誰がVPNを必要としますか？

2017年3月の時点で、hh.ruに投稿されたリモートアクセスジョブのシェアは1.5％、つまり13,339の空きがありました。 1年で、その数は2倍になりました 。 2014年には、遠隔地の従業員数は60万人、つまり経済的に活発な人口（15〜69歳）の1％と推定されました。 J'son＆Partners Consultingは、2018年までに、雇用されているすべてのロシア人の約20％がリモートで働くと予測しています。 たとえば、2017年末までに、ビーラインは従業員の50％から70％を遠隔協力に移すことを計画しています。

企業が従業員をリモートサイトに転送する理由：

• 仕事を借りて維持するコストを削減します。
• 1つの場所にバインドされていないため、チームを編成できます。
  
  同じ都市内で決して組み立てることができないプロジェクト。 さらにプラスは、安価な労働力を使用する可能性です。
• 家族の状況に関連して従業員のニーズを満たす。

私たちは10年以上前にVPNの必要性を発見しました。 私たちにとって、従業員にVPNアクセスを提供する動機は、世界中のどこからでも昼夜を問わずに企業ネットワークにすばやくアクセスできることでした。

完璧なVPNソリューションを選択する方法

多くの解決策があります。 多くの場合、企業で既に使用されている機器とソフトウェアに基づいて決定する必要があり、システム管理者はどのソフトウェアを構成するスキルを持っています。 そもそも、私たちがすぐに拒否したこと、それから私たちが何を試みたのか、何が終わったのかをお話しします。

ルーター内のVPN

市場には多くのいわゆる「中国のソリューション」があります。 ほとんどすべてのルーターは、ビルトインVPNサーバーの機能を備えています。 通常、これはシンプルなオン/オフ機能であり、ユーザーのパスワードログインを追加します。Radiusサーバーと統合することもあります。 なぜそのような決定を考慮しなかったのですか？ まず、私たちは安全性とサービスの継続性について考えます。 同様の鉄片は信頼性の高い保護を自慢できず（ファームウェアは通常、非常にまれにしか出てこないか、原則として動作しません）、操作の信頼性には多くの要望があります。

エンタープライズVPNクラス

ガートナースクエアを見ると、VPN市場では、ネットワーク機器を製造する企業が長年リーダーでした。 ジュニパーネットワークス、シスコ、チェックポイント：これらはすべて、VPNサービスを含む包括的なソリューションを備えています。

このような決定には、おそらく2つの欠点があります。 何よりもまず-高コスト。 2つ目は、脆弱性の閉鎖率が望まれるものを大きく残しており、年間サポート料金を支払わない場合、セキュリティの更新を待つべきではないということです。 少し前に、3番目のポイントが登場しました。大規模ネットワークベンダーのソフトウェアに埋め込まれたブックマークです。

Microsoft VPN

10年前、私たちは主にWindowsに焦点を当てた会社でした。 マイクロソフトは、基盤に基づいてインフラストラクチャ全体を構築しているユーザー向けに無料のソリューションを提供しています。 単純な場合、セットアップは初心者のシステム管理者にとっても問題を引き起こしません。 私たちのケースでは、セキュリティの観点からそれぞれVPNからすべてを絞り出したかったため、パスワードの使用は除外されました。 当然、パスワードの代わりに証明書を使用し、製品のRutoken EDSを使用してキーペアを保存したかったのです。 プロジェクトを実装するには、ドメインコントローラー、RADIUSサーバー、適切に構成されたPKIインフラストラクチャが必要でした。 構成について詳しくは説明しません。これらの問題についてはインターネット上に多くの情報がありますが、PKIの正しい構成は、一般に数十の記事を描くことができます。 自宅で使用した最初のプロトコルはPPTPでした。 長い間、このVPNオプションは私たちに適していましたが、最終的には2つの理由でそれを放棄しなければなりませんでした：PPTPはどこでも機能しなかったため、Windowsだけでなく他のオペレーティングシステムも使用し始めました。 したがって、私たちは代替案を探し始めました。 PPTPのサポートは最近Appleによって中止されたことに注意してください。 そもそも、マイクロソフトで提供できる他のプロトコルを確認することにしました。 SSTP / L2TP。 SSTPはWindowsでしか機能しないことを除いて、私たち全員に適していました。 L2TPにはこの欠点はありませんでしたが、L2TPの構成と保守は非常にコストがかかるように思われ、別の方法を試してみることにしました。 ユーザーと管理者の両方にとってよりシンプルなソリューションが必要でした。

Openvpn

Aktivでは、オープンソースを心から愛しています。 Microsoft VPNの代替品を選択したため、OpenVPNソリューションを無視できませんでした。 私たちにとっての主な利点は、「すぐに使える」ソリューションがすべてのプラットフォームで機能することです。 単純なケースでサーバーを上げるのは非常に簡単です。 これで、dockerと、たとえば既製のイメージを使用して 、これを数分で実行できます。 しかし、もっと欲しかった。 以前に発行された証明書を使用するために、Microsoft CAとの統合をプロジェクトに追加したかったのです。 使用するトークンのサポートを追加したかったのです。 OpenVPNバンドルとトークンの構成方法は、たとえばこの記事で説明されています 。 Microsoft CAとOpenVPNの統合を構成することはより困難でしたが、一般的にはかなり実現可能です。 結果のソリューションを約3年間使用しましたが、この間ずっと、より便利なオプションを探し続けました。 OpenVPNに切り替えることで得た主な機会は、任意のOSからのアクセスでした。 しかし、さらに2つの主張がありました。会社の従業員は証明書を発行するためにMicrosoft CAと7つの地獄を巡らなければならず、管理者は依然としてかなり洗練されたVPNインフラストラクチャを維持しなければなりませんでした。

Rootoken VPN

あらゆるオペレーティングシステムでトークンを使用する方法に関する知識があり、PKIインフラストラクチャを適切に準備する方法を理解しており、OpenVPNのさまざまなバージョンを構成でき、ブラウザーウィンドウからこれらすべてをユーザーフレンドリーな方法で管理できるテクノロジを備えています。 そこで、新製品のアイデアが生まれました。

Rootoken VPNを構成する

私たちは、セットアップをシンプルでわかりやすいものにするように心がけました。 すべてのセットアップは数分で完了し、初期セットアップウィザードとして実装されます。 最初のステップでは、デバイスのネットワーク設定を構成する必要があります。ここでのコメントは不要だと思います。

2番目の手順では、会社名を入力し、デバイスが組み込みの証明機関を構成するまで数分待つ必要があります。

3番目のステップは、VPNサービス自体を構成することです。 接続が行われる外部IPを指定します。 暗号化とネットワークアドレスの種類を選択します。

4番目の構成手順は、ローカルユーザーを作成するか、ADから追加することです。

この設定は完了したと見なすことができますが、他のすべてのアクションは従業員が実行できます（ただし、管理者はすべてを実行できます）。

従業員口座

管理者がユーザーを追加した後、従業員はセルフサービスポータルを使用できます。

オペレーティングシステムと従業員のブラウザに応じて、トークンの操作に必要なプラグインとブラウザの拡張機能をインストールする必要があります。

プラグイン/拡張機能をインストールしたら、Rutoken EDSで証明書を生成するだけです。

そして、目的のオペレーティングシステムでクライアントをインストールします。

どのように機能しますか？

ハードウェアについて少し。 当初は、コスト、利便性、生産性のバランスを取る必要があるため、ソリューションに使用する「ベース」を長い間考えていました。 市場で提供されているものを調査した後、ソリューションの実装とさらなる配布のための2つのオプションを決定しました。

• x86（エンタープライズ）は、ITインフラストラクチャの一部として展開できる仮想マシンイメージの形式でエンドユーザーに提供されるソフトウェアソリューションです。

• Raspberry Piはすでに有名なマイクロコンピューターであり、最高のコストではなく非常に優れたパフォーマンスを備えており、文字通り箱から取り出してから10分後にVPNサーバーとして使用を開始できます。

それでは、ソリューションの仕組みを見てみましょう。 まず、2要素認証を実装したことを思い出してください。 クライアントの秘密鍵と証明書のキャリアとして、独自のプロダクションのトークンと、それらを操作するためのソフトウェアが使用されます。

ただし、最初は、製品が正しく機能するために必要なサービスを構成する必要があります。 サービスは現在、当社の専門家によって半自動モードで構成されています。 これは、ソフトウェアと初期設定を展開するプロセスが自動化されることを意味しますが、このプロセスの初期化は依然として人の特権です。 初期セットアップ中に、システムパッケージ、python、django、OpenVPN、スーパーバイザー、OpenSSLなどがインストールされます。

それから何？ 次に、インフラストラクチャ全体を構成する必要があります。これは、実際にセキュリティ全般を担当します。 つまり、CA（認証局）、PKI（公開鍵インフラストラクチャ）、必要な鍵と証明書を書き出します。

PKIとCAの作成、OpenVPNサーバーの構成ファイルの作成、キーの生成、証明書の発行は、製品がクライアントに転送された後に実行されます。 しかし、これは、このために特定の知識とオペレーティングシステムへの直接アクセスが必要であることを意味しません。 すべてが管理システムのバックエンドのビジネスロジックに実装され、Webインターフェイスを介してアクセスが提供されます。 クライアントは、最小限の属性セット（上記）を入力するだけでよく、その後、PKIの初期化とCAの作成のプロセスが開始されます。 システムコマンドへの特定の呼び出しを記述することは意味がありません。長い間すべてが記述され、私たちに噛み付いてきました。 私たちが行った主なことは、このプロセスを自動化することでした。これにより、ユーザーは管理に関する特定の知識を持つ必要がなくなりました。

キーと証明書を使用するために、ホイールを再発明せず（将来の製品開発計画に基づいてそれを発明したかったのですが）、easy-rsaを使用することにしました。

インフラストラクチャをセットアップする最も長いプロセスは、Diffie-Hellmanファイルを生成することです。 私たちは長い間パラメータを実験し、「品質と性能」のバランスに達しました。 一般的にこのステップを取り除く考えがありましたが、サーバーの容量を使用し、初期初期化中に単純に「配布」することで、そのようなファイルを事前に生成することができました。 さらに、このファイルに含まれるデータはプライベートではありません。 しかし、これまでのところ、これらの考えをさらなる「研究」のために残しています。

次に、キーペアを個別に作成し、CAで証明書を発行する要求を生成し、トークンでこの証明書を実際に受信するためのメカニズムをエンドユーザーに提供する必要があります。 また、トークンの事前認証を使用してVPN接続を確立できるクライアントも必要です。

WebおよびSaaSサービスの電子署名、暗号化、2要素認証の機能を実装するプラグインのおかげで、最初のタスクを解決しました。 証明書を書き出してトークンに書き込むには、ユーザーはこのプラグインをインストールし、トークンをコンピューターに接続した後、リンクに従ってRutokenVPNサービスの個人アカウントにアクセスする必要があります（プラグインの詳細については、 リソースを参照してください）

証明書発行プロセスが初期化されると、トークンの要求が生成され、キーペアとCAの証明書の要求が生成されます。 秘密鍵がトークンに書き込まれ、証明書発行要求がCAに送信され、CAがそれを順番に書き出して応答として返します。 その後、証明書もトークンに書き込まれます。

ほとんどすべてがVPN接続を確立する準備ができています。 サーバーとトークンの操作方法を「知っている」クライアントが十分ではありません。

クライアントはElectronに実装されています。 どんな動物なのか誰も知らないので、ごく簡単に言えば、js、css、htmlを使用してデスクトップアプリケーションを実装する能力です。 詳細を説明しなくても、クライアントはOpenVPNクライアントの一種の「ラッパー」であり、必要なパラメーターを使用した呼び出しを許可します。 なぜそうですか？ 実際、選択したソリューションには特定の制限がありますが、私たちにとってはより便利でした。

VPNセッションを確立するとき、認証に必要なキー情報のキャリアとしてトークンを使用するため、OpenVPNクライアントがそれと連携するように構成する必要があります。 PKCS＃11は、OpenVPNクライアント設定で指定されたパスへのパスを使用するための独自のライブラリです。 詳細についてはこちらをご覧ください 。

VPN接続を確立するように求められたら、キーPINが要求され、正しく入力された場合、クライアント認証の証明書が取得され、クライアントがサーバーをハンドシェイクし、VPN接続が確立されます。 知識のある人は、それほど単純ではないことに反対するかもしれませんが、この説明の目的は、OpenVPNのすべての詳細を伝えることではなく、実装の主なポイントを強調することだけです。

私たちの計画について少し。 現在取り組んでいる主なものは、GOST暗号化の実装です。 かなり大きな研究経路がすでにカバーされているため、実装に可能な限り近づけることができます。 近い将来、この機能に対する潜在的な顧客の関心を満たせるようになるでしょう。