Es werden zum Login also zwei komplett unterschiedliche Dinge ben\u00f6tigt, einmal etwas, das man kennen muss (typischerweise das Passwort), und dann etwas, das man besitzen muss (typischerweise einen Token-Generator). Der Token-Generator erzeugt nun automatisiert zeitabh\u00e4ngige Token, also mehrstellige Ziffern-Folgen, die sich mit der Zeit \u00e4ndern. Hierf\u00fcr gibt es bei WatchGuard die Unterst\u00fctzung von Secure-ID – aber diese Tokens sind umst\u00e4ndlich, man muss sie n\u00e4mlich dabei haben. Also “noch ein Ding rumschleppen”.<\/p>\n
Seit einigen Jahren gibt es bei Google die M\u00f6glichkeit, mit Google-Authenticator eine Zwei-Faktor-Authentisierungzu aktivieren. Hierbei wird ebenfalls ein “Ding” als Tokengenerator verwendet, nur ist dieses Ding etwas, das man sowieso schon dabei hat: das Smartphone.<\/p>\n
Die Idee ist nun, die Token-Erzeugung in eine App auf dem Smartphone auszulagern, somit mu\u00df jemand zum Login auf das Google-Konto nicht nur das Passwort kennen, sondern auch das Smartphone besitzen _und_ es freischalten k\u00f6nnen, um an\u00a0das Token zu kommen.<\/p>\n
Was liegt nun n\u00e4her, als die\u00a0WatchGuard mit Google-Authenticator zu verm\u00e4hlen?<\/p>\n
<\/p>\n
Hierzu muss man allerdings ein wenig in die Trickkiste greifen. Das prinzipielle Vorgehen ist:<\/p>\n
- \n
- Setup eines Linux-Servers\u00a0als radius-Server mit freeradius<\/li>\n
- Setup der Authentifizierung f\u00fcr freeradius mit google-authenticator \u00fcber PAM<\/li>\n
- Setup der Benutzer als lokale Linux-Benutzer mit den entsprechenden Gruppen<\/li>\n
- Einrichten des google-authenticator f\u00fcr jeden Benutzer und konfiguration des jeweiligen smartphones<\/li>\n
- Konfiguration des freeradius, um die entsprechenden Gruppen zur\u00fcckzumelden<\/li>\n
- Verbinden der Watchguard Firewall mit dem radius-Server<\/li>\n<\/ul>\n
Da es beim WatchGuard SSLVPN-Client keine M\u00f6glichkeit gibt, ein token zus\u00e4tzlich zum Passwort einzugeben, wird ein weiterer Kunstgriff aus der Linux-PAM-Trickkiste verwendet: das Passwort wird einfach zusammengesetzt aus dem Password + dem von der app generierten Token.<\/p>\n
Anstelle einem Passwort (z.B. “strenggeheim”) und einem zeitbasiertem Token (z.B. “123456”) mu\u00df dann als Passwort “strenggeheim123456” eingegeben werden. Das Google-Authenticator-Modulo f\u00fcr PAM zerlegt das auf der Linuxseite dann passend.<\/p>\n
Installation des Linux-Servers mit freeradius<\/h3>\n
Zun\u00e4chste wird der Linux-Server installiert.\u00a0Die folgende Beispiele basieren auf einer ubuntu-16.4-server Installation, ausgew\u00e4hlt bei der Installation war nur “system tools” und “openssh server”!<\/p>\n
Installation des freeradius + Google-Authenticator<\/h4>\n
Leider kann das mitgelieferte libpam-google-authenticator-Paket nicht verwendet werden, es unterst\u00fctzt nicht alle ben\u00f6tigten PAM-Keywords. Daher muss es selbst gebaut werden. NTP ist nicht zwingend notwendig, aber sehr sinnvoll, schlie\u00dflich muss der Server mit der genauen Zeit laufen, da die Zeit als Basis f\u00fcr das Token verwendet wird.<\/p>\n
apt-get install freeradius\r\napt-get install ntp\r\napt-get install libpam0g-dev libqrencode3 make gcc\r\ncd \/usr\/src\/\r\nwget https:\/\/google-authenticator.googlecode.com\/files\/libpam-google-authenticator-1.0-source.tar.bz2\r\ntar jvxf libpam-google-authenticator-1.0-source.tar.bz2\r\ncd libpam-google-authenticator-1.0\/\r\nmake\r\nmake install<\/pre>\n
Demo-Gruppen und Demo-User anlegen<\/h4>\n
Zun\u00e4chst werden die ben\u00f6tigten Gruppen und Benutzer angelegt:<\/p>\n
root@radius:~# groupadd radius-disabled\r\nroot@radius:~# groupadd ssl-vpn-users\r\nroot@radius:~# groupadd mailserveraccess\r\nroot@radius:~# groupadd terminalserveraccess\r\nroot@radius:~# useradd -d \/home\/test1 -s \/bin\/bash -m -c \"Radius Test-User 1\" test1 \r\nroot@radius:~# passwd test1\r\nEnter new UNIX password: \r\nRetype new UNIX password: \r\npasswd: password updated successfully\r\nroot@radius:~# useradd -d \/home\/test2 -s \/bin\/bash -m -c \"Radius Test-User 2\" test2 \r\nroot@radius:~# passwd test2\r\nEnter new UNIX password: \r\nRetype new UNIX password: \r\npasswd: password updated successfully\r\nroot@radius:~# usermod -G ssl-vpn-users,terminalserveraccess,mailserveraccess test1\r\nroot@radius:~# usermod -G radius-disabled,ssl-vpn-users,terminalserveraccess test2\r\nroot@radius:~# id test1\r\nuid=1001(test1) gid=1006(test1) groups=1006(test1),1002(ssl-vpn-users),1004(mailserveraccess),1005(terminalserveraccess)\r\nroot@radius:~# id test2\r\nuid=1002(test2) gid=1007(test2) groups=1007(test2),1001(radius-disabled),1002(ssl-vpn-users),1005(terminalserveraccess)<\/pre>\n
Die Gruppe ssl-vpn-users wird sp\u00e4ter auf die von WatchGuard ben\u00f6tigte Gruppe SSL-VPN-Users gemappt, die Gruppe radius-disabled ist zum disablen eines Accounts gedacht. Die restlichen Gruppen sind f\u00fcr Resourcen, die man sp\u00e4ter in der WatchGuard mit Policies freigeben m\u00f6chte.<\/p>\n
Konfiguration freeradius und PAM<\/h4>\n
Zun\u00e4chst muss der Radius-Server als root laufen. Dies wird ben\u00f6tigt, damit der Radius-Server in den Home-Directories der User die Datei .Google-Authenticator lesen kann, die aufgrund der entsprechende Restrictions mit den Linux-Rechten 400 versehen sind.<\/p>\n
In der Datei \/etc\/freeradius\/radiusd.conf wird hierzu der entsprechende Eintrag von freerad auf root ge\u00e4ndert:<\/p>\n
user = root\r\ngroup = root<\/pre>\n
Einen Prozess als root laufen zu lassen ist b\u00f6se. Da\u00a0der Server aber au\u00dfer Radius nichts macht, und nur die Radius-Requests durch die Firewall erh\u00e4lt, ist das zwar immer noch unsch\u00f6n, aber nicht wirklich kritisch. Eventuell kann dies auch umschifft werden, siehe hierzu den Abschnitt Ausblick am Ende\u00a0dieses Beitrags.<\/p>\n
In der Datei \/etc\/freeradius\/users wird die Konfiguration am Ende der Datei erg\u00e4nzt:<\/p>\n
DEFAULT Group == \"radius-disabled\", Auth-Type := Reject\r\n Reply-Message = \"Your account has been disabled.\"\r\n\r\nDEFAULT Group == \"ssl-vpn-users\", Auth-type = PAM<\/pre>\n
Hiermit wird f\u00fcr die Gruppe radius-disabled der Zugriff via Radius komplett abgeschaltet, und nur f\u00fcr die Gruppe ssl-vpn-users die Authentifizierung auf PAM geschaltet.<\/p>\n
In der Datei \/etc\/freeradius\/sites-enabled\/default mu\u00dft noch\u00a0das PAM-Modul aktiviert werden, hierzu ist das Kommentarzeichen zu Beginn der Zeile vor dem Schl\u00fcsselwort pam zu l\u00f6schen:<\/p>\n
#\r\n# Pluggable Authentication Modules.\r\npam<\/pre>\n
F\u00fcr einen ersten Test dieses Setups startet man in einer Shell den freeradius-Server mit<\/p>\n
root@radius:\/etc\/freeradius# service freeradius stop\r\nroot@radius:\/etc\/freeradius# freeradius -XXX<\/pre>\n
Und testet mit radtest die beiden Testaccounts. (ich habe oben als Passwort 12341234 vergeben). das Secret testing123 ist das Default-Secret f\u00fcr lokales testen):<\/p>\n
root@radius:\/etc\/freeradius# service freeradius restart\r\nroot@radius:\/etc\/freeradius# radtest test1 12341234 localhost 18120 testing123\r\nSending Access-Request of id 148 to 127.0.0.1 port 1812\r\n User-Name = \"test1\"\r\n User-Password = \"12341234\"\r\n NAS-IP-Address = 127.0.1.1\r\n NAS-Port = 18120\r\n Message-Authenticator = 0x00000000000000000000000000000000\r\nrad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=148, length=20\r\n\r\nroot@radius:\/etc\/freeradius# radtest test2 12341234 localhost 18120 testing123\r\nSending Access-Request of id 67 to 127.0.0.1 port 1812\r\n User-Name = \"test2\"\r\n User-Password = \"12341234\"\r\n NAS-IP-Address = 127.0.1.1\r\n NAS-Port = 18120\r\n Message-Authenticator = 0x00000000000000000000000000000000\r\nrad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=67, length=53\r\n Reply-Message = \"Your account has been disabled.\"\r\nroot@radius:\/etc\/freeradius#<\/pre>\n
Der erste Account wird sauber authentifiziert (Access-Accept), w\u00e4hrend der zweite Account abgelehnt wird (Access-Reject, “Your account has been disabled”).<\/p>\n
Erweiterung der Radius-Konfiguration um Gruppen<\/h4>\n
WatchGuard verwendet f\u00fcr die Auswertung der Radius-Gruppen das Attribut Filter-Id (11). Dieses muss nun in der radius-Konfiguration entsprechend bef\u00fcllt werden. Hierzu werden zwei Dateien ben\u00f6tigt, die sp\u00e4ter mit $INCLUDE eingebunden werden.<\/p>\n
In \/etc\/freeradius\/groups.conf werden die Linux-Gruppen auf die in der WatchGuard sichtbaren Gruppen gemappt, z.B. auf die ben\u00f6tigte Gruppe SSL-VPN-Users.<\/p>\n
if (Group-Name == \"ssl-vpn-users\") {\r\n update control {\r\n Tmp-String-1 := \"SSL-VPN-Users\"\r\n }\r\n}\r\nif (Group-Name == \"users\") {\r\n update control {\r\n Tmp-String-2 := \"RadiusUsers\"\r\n }\r\n}\r\nif (Group-Name == \"terminalserveraccess\") {\r\n update control {\r\n Tmp-String-3 := \"TerminalServer\"\r\n }\r\n}\r\nif (Group-Name == \"mailserveraccess\") {\r\n update control {\r\n Tmp-String-4 := \"MailServer\"\r\n }\r\n}<\/pre>\nIn \/etc\/freeradius\/post-auth.conf wird nach dem authentisieren die Filter-ID entsprechend der Werte aus group.conf bef\u00fcllt.<\/p>\n
update reply {\r\n Filter-Id := \"%{control:Tmp-String-2}\"\r\n Filter-Id := \"%{control:Tmp-String-3}\"\r\n Filter-Id := \"%{control:Tmp-String-1}\"\r\n Filter-Id := \"%{control:Tmp-String-4}\"\r\n Filter-Id := \"%{control:Tmp-String-5}\"\r\n Filter-Id := \"%{control:Tmp-String-6}\"\r\n Filter-Id := \"%{control:Tmp-String-7}\"\r\n}<\/pre>\nIn \/etc\/freeradius\/sites-enabled\/default werden nun obige Dateien inkludiert, hierzu werden die Bereiche Authorization und post-auth um die INCLUDE-Zeile erg\u00e4nzt.<\/p>\n
authorize {\r\n [...]\r\n $INCLUDE groups.conf\r\n}\r\n[...]\r\npost-auth {\r\n [...]\r\n $INCLUDE post-auth.conf\r\n}<\/pre>\nNach dem Neustarten des freeradius (wieder mit -XXX) erhalten wir folgendes Ergebnis:<\/p>\n
root@radius:\/etc\/freeradius# radtest test1 12341234 localhost 18120 testing123\r\nSending Access-Request of id 255 to 127.0.0.1 port 1812\r\n User-Name = \"test1\"\r\n User-Password = \"12341234\"\r\n NAS-IP-Address = 127.0.1.1\r\n NAS-Port = 18120\r\n Message-Authenticator = 0x00000000000000000000000000000000\r\nrad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=255, length=63\r\n Filter-Id = \"TerminalServer\"\r\n Filter-Id = \"SSL-VPN-Users\"\r\n Filter-Id = \"MailServer\"\r\n\r\nroot@radius:\/etc\/freeradius# radtest test2 12341234 localhost 18120 testing123\r\nSending Access-Request of id 119 to 127.0.0.1 port 1812\r\n User-Name = \"test2\"\r\n User-Password = \"12341234\"\r\n NAS-IP-Address = 127.0.1.1\r\n NAS-Port = 18120\r\n Message-Authenticator = 0x00000000000000000000000000000000\r\nrad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=119, length=53\r\n Reply-Message = \"Your account has been disabled.\"<\/pre>\n
Der User test1 bekommt nun die f\u00fcr ihn relevanten Gruppen als Filter-Id mit ausgeliefert.<\/p>\n
Google-Authenticator f\u00fcr den User initialisieren<\/h4>\n
Zur Initialisierung des Google-Authenticator f\u00fcr den User test1 erzeugen wir mit Google-Authenticator das entsprechende Secret, installieren die App Google-Authenticator<\/a> auf einem Smartphone und fotografieren den entstandenen QR-Code; die entsprechenden Fragen auf wiederholbare Codes, Ratelimit etc. beantwortet man entsprechend der gew\u00fcnschten Funktionalit\u00e4ten.<\/p>\n
![\"google-authenticator\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/google-authenticator-300x229.png\")
<\/a>\u00a0\u00a0![\"google-auth-1\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/google-auth-1-169x300.png\")
<\/a>\u00a0![\"google-auth-2\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/google-auth-2-169x300.png\")
<\/p>\nPAM f\u00fcr Radius auf Google-Authenticator umstellen<\/h4>\n
In der Datei \/etc\/pam.d\/radius wird nun der Inhalt wie folgt ge\u00e4ndert (alle bisherigen Konfigurationseinstellungen auskommentieren und durch die zwei neuen Zeilen ersetzen):<\/p>\n
# We fall back to the system default in \/etc\/pam.d\/common-*\r\n# \r\n\r\n#@include common-auth\r\n#@include common-account\r\n#@include common-password\r\n#@include common-session\r\n\r\nauth requisite pam_google_authenticator.so forward_pass\r\nauth required pam_unix.so use_first_pass<\/pre>\n
Zum Testen m\u00fcssen wir nun das von der App ausgew\u00fcrfelte Token mit \u00fcbergeben, da sonst der Passwort-Check zu einem Reject f\u00fchrt:<\/p>\n
root@radius:\/etc\/pam.d# radtest test1 12341234 localhost 18120 testing123\r\nSending Access-Request of id 44 to 127.0.0.1 port 1812\r\n User-Name = \"test1\"\r\n User-Password = \"12341234\"\r\n NAS-IP-Address = 127.0.1.1\r\n NAS-Port = 18120\r\n Message-Authenticator = 0x00000000000000000000000000000000\r\nrad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=44, length=20\r\n\r\nroot@radius:\/etc\/pam.d# radtest test1 12341234395752 localhost 18120 testing123\r\nSending Access-Request of id 233 to 127.0.0.1 port 1812\r\n User-Name = \"test1\"\r\n User-Password = \"12341234395752\"\r\n NAS-IP-Address = 127.0.1.1\r\n NAS-Port = 18120\r\n Message-Authenticator = 0x00000000000000000000000000000000\r\nrad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=233, length=63\r\n Filter-Id = \"TerminalServer\"\r\n Filter-Id = \"SSL-VPN-Users\"\r\n Filter-Id = \"MailServer\"<\/pre>\n
Verbinden von freeradius und WatchGuard<\/h4>\n
Als erstes ben\u00f6tigen wir einen Eintrag in der Datei \/etc\/freeradius\/clients.conf, hier wird das Passwort gesetzt, das wir in\u00a0der WatchGuard angeben m\u00fcssen, und nat\u00fcrlich die IP der Firebox,\u00a0damit niemand anders unseren Radius-Server fragen darf.,<\/p>\n
client 10.0.1.1 {\r\n secret = strenggeheim\r\n shortname = Firebox\r\n}<\/pre>\nZun\u00e4chst wird der Server im Policy-Manager unter Setup => Authentication => Authentication-Servers im Tab Radius eingetragen (hier mit der Server-IP 10.0.1.36.<\/p>\n
![\"radius-server\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/radius-server.png\")
<\/a><\/p>\nAnschlie\u00dfend werden\u00a0die Radius-Gruppen definiert:<\/p>\n
![\"radius-groups-2\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/radius-groups-2.png\")
<\/a> ![\"radius-groups-3\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/radius-groups-3.png\")
<\/a><\/p>\nAbschlie\u00dfend wird die Gruppen-Definition f\u00fcr das SSLVPN unter VPN => Mobile-VPN => SSL im Tab Authentication erg\u00e4nzt:<\/p>\n
![\"radius-groups-1\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/radius-groups-1.png\")
<\/a><\/p>\nJetzt k\u00f6nnen die definierten Gruppen in den Policies verwendet werden.<\/p>\n
Anmeldung im WatchGuard SSLVPN-Client<\/h4>\n
Zur Anmeldung im WatchGuard SSLVPN-Client muss nun der Benutzername mit dem Prefix “radius\\” verwendet werden, um der Firebox zu sagen, da\u00df hier als Authentisierung radius gew\u00fcnscht wird. Das Passwort besteht aus dem Benutzerpasswort zzgl. dem Google-Authenticator-Token (wie oben bei den tests zu sehen).<\/p>\n
<\/p>\n
Ausblick: Anbinden einer AD und mit lokaler Google-Authenticator Konfiguration<\/h4>\n
Prinzipiell sollte es m\u00f6glich sein, anstelle via PAM gegen die lokale Linux-Benutzer (\/etc\/passwd \/etc\/group) gegen LDAP und damit gegen eine AD zu authentisieren. Ebenso kann man dem Google-Authenticator Modul einen Pfad f\u00fcr die Home-Verzeichnisse\u00a0der Benutzer mitgeben, um lokal trotzdem die entsprechende .google-authenticator-Datei zu haben.<\/p>\n
Dieses Setup\u00a0habe ich aber noch nicht ausgetestet.<\/p>\n","protected":false},"excerpt":{"rendered":"
WatchGuard SSLVPN 2-Factor mit Google-Authenticator Token Zwei-Faktor-Authentisierung ist derzeit stark im Kommen und dies ist eine gute Entwicklung. Eine Zwei-Faktor-Authentisierung baut auf zwei Dinge: Something you know Something you have Es werden zum Login also zwei komplett unterschiedliche Dinge ben\u00f6tigt, einmal etwas, das man kennen muss (typischerweise das Passwort), und dann etwas, das man besitzen muss (typischerweise einen Token-Generator). Der Token-Generator erzeugt nun automatisiert zeitabh\u00e4ngige … Weiterlesen Watchguard SSLVPN 2-Factor mit Google-Authenticator Token<\/span>