Autenticazione Active Directory con pfSense

 

Tra le più interessanti e utili funzioni che offre pfSense c'è l'opportunità di autenticare gli utenti appoggiandosi su back end di tipo LDAP, tipicamente Active Directory.

Ciò permette a un utente di accedere con le proprie credenziali di dominio alla OpenVPN remota o all'interfaccia web del firewall, laddove autorizzato.

Che cos'è LDAP?

LDAP è un protocollo applicativo utilizzato per gestire e accedere a servizi informativi distribuiti di directory. Organizza i dati in modo gerarchico, facilitandone il controllo e la gestione. E' il protocollo su cui Active Directory di Microsoft si appoggia per accedere al proprio database di utenti computer e oggetti.

Configurazione autenticazione LDAP con Active Directory su pfSense

Posizionarsi su System - User Manager - Authentication Servers

Cliccare su Add

Scegliere un Nome Descrittivo: SRV-DC

Type: LDAP

Hostname or IP address: l'ip o l'hostname di un domain controller che il firewall può raggiungere

Porta e protocollo: lasciare di default o impostare su LDAPS se necessario coi relativi parametri

Search Scope: Entire Subtree

Base DN: la base del vostro AD -  es. DC=pfsenseitaly,DC=local

Authentication container: la OU che contine gli utenti da autenticare (utilizzare il tasto "Select a container") - es. OU=Users,DC=pfsenseitaly,DC=local

Extended Query: da flaggare

Query: gruppo precedentemente creato in AD e utilizzato per identificare uno specifico gruppo di utenti autorizzati - es. memberOf=CN=OpenVPN_Auth,OU=Groups,DC=pfsenseitaly,DC=local

Bind credentials: inserire le credenziali di un utente che abbia accesso in lettura al db di AD

Lasciare il resto di default e salvare.

Verifica autenticazione

Posizionarsi su Diagnostics - Authentication

Scegliere il back-end di autenticazione appena creato

Inserire le credenziali di un utente e cliccare su Test

pfSense e la 2FA

Inutile dire che l'autenticazione basata solo su username e password è sempre più insicura, da una parte gli utenti si ostinano ad utilizzare password insicure dall'altra i metodi per carpire credenziali sono sempre più avanzati. A tutto questo si unisce il fatto che tutte le credenziali rubate finiscono prima o poi in vendita sul dark web in veri e propri ecommerce.

Login su pfSense tramite RADIUS

Per chi lavora in aziende strutturate è fondamentale gestire l'accesso alle risorse utilizzando un unico server di autenticazione ed in modo che ogni utente con poteri amministraivi sia correttamente identificabile. In quest'articolo vedremo come configurare e gestire l'accesso all'interfaccia di amministrazione di pfsense sfruttando un server RADIUS come server di autenticazione in modo che chi amministra il firewall possa accedere con la propria username e password.

L'uso dei gruppi nell'autenticazione LDAP/AD

In quest'articolo vorrei riprendere ed approfondire quanto già pubblicato nell'articolo del 31 luglio 2012 dal titolo Autenticazione LDAP/AD in pfSense 2.0 

Nell'approfondimento vedremo come impiegare dei gruppi di sicurezza di windows per gestire in modo più agevole gli utenti che si vuole autorizzare all'uso di una qualche funzione di pfSense. 

Nel nostro esempio supporremo di dover utilizzare l'atenticazione ActiveDirectory per gestire l'accesso vpn.

Heartbleed Bug e pfSense

Lunedì 7 Aprile 2014 rimarrà a lungo una data memorabile per l'intera comunità internet.

Stiamo parlando di Heartbleed, la vulnerabilità nel pacchetto OpenSSL che, da due anni, mette a richio di furto i dati di due terzi dei siti Internet.

Il 7 aprile il team di OpenSSL ha rilasciato un breve comunicato per dichiarare la vulnerabilità contrassegnata dal codice CVE-2014-0160 che affligge il pacchetto OpenSSL dalla versione 1.0.1 alla 1.0.1f
Nello stesso giorno è stato rilasciato il pacchetto OpenSSL 1.0.1g che provvede alla correzione della falla.

VPN ad autenticazione forte con OTP

Nell'ultimo articolo abbiamo visto come sia possibile attivare su pfSense la Strong Authentication con One-Time Password. 

Questo tipo di autenticazione può tornare utile per aumentare la sicurezza delle connessioni VPN. 

Il meccanismo implementato con FreeRADIUS e pubblicato nella sezione Server per le authenticazioni, può essere sfruttato per gestire l'autenticazione di una connessione OpenVPN semplicemente andano a richiamare nel campo Backend for authentication del nostro server VPN, la configurazione per l'utuilizzo delle OTP.

Unendo l'articolo One-time password ed autenticazione forte in pfSense con l'articolo Configurare OpenVPN Server su pfSense ed apportando le opportune modifiche, potete ottenere un sistema completo per la connessione alla vostra rete in OpenVPN sfruttando per l'autenticazione le One-Time Password.

L'articolo che segue è stato pubblicato nel novembre 2013 da Massimo Giaimo e tratta in modo completo l'intera configurazione.

 

VPN ad autenticazione forte con OTP

di Massimo Giaimo

One-time password ed autenticazione forte in pfSense

E' risaputo che l'uomo è sempre l'anello debole di ogni meccanismo di sicurezza, è sufficiente la password sbagliata al posto sbagliato per far crollare i sistemi di sicurezza più avanzati. 

Aziende che hanno necessità di raggiungere elevati standard di sicurezza hanno fatto ricorso a meccanismi atti a ridurre il fattore uomo. Tra questi troviamo le One-Time Password ed i meccanismi di autenticazione a due fattori. In questo articolo vedremo cosa sono, come funzionano e come configurarli anche in pfSense.

Gruppi utenti e privilegi

Esistono situazioni in cui è necessario dare accesso all'interfaccia di amministrazione ad altri utenti, script o software. Pensiamo ad uno script di backup o ad uno script per effettuare lo shutdown pilotato in caso di black-out, queste sono tutte situazioni in cui è indispensabile inserire in uno script username e password in chiaro. Utilizzare la password di admin è una pessima idea che ci espone a forti rischi. Oggi vedremo come fare a creare utenti con privilegi ristretti a quelle poche funzioni di cui l'utente ha realmente necessità.

Resettare la password di amministratore

Non mi capita spesso di dover resettare la password di admin dei sistemi che gestisco ma, può capitare di essere chiamati a gestire un firewall di cui nessuno ricorda più la password oppure di inserire una password particolare e finire poi per dimenticarsela.

Ultimamente mi è capitato di dover riprendere il controllo di un firewall pfSense dopo che il vecchio amministratore di sistema se n'era andato con tanto di password.

Per questo motivo ho pensato potesse essere utile riportare una procedura di recupero password.

OpenVPN con autenticazione LDAP su dominio Windows 2003

Oggi proveremo a mettere insieme quanto appreso nei due precedenti post per creare qualcosa di molto professionale: una connessione OpenVPN con autenticazione tramite Domain Controller Windows 2003.

Questa funzionalità, spesso molto richiesta, è prerogativa dei firewall più costosi e blasonati mentre noi vedremo come sia possibile realizzare tutto con un firewall opensource e senza impazzire in configurazioni impossibili.

Autenticazione LDAP/AD in pfSense 2.0

In molti casi è utile poter fare interagire pfSense con il sistema di autenticazione della nostra rete per poter gestire gli utenti in modo centralizzato.

Nelle prime versioni di pfSense era possibile gestire i servizi di autenticazione ricorrendo al database interno o tramite database esterni attraverso radius.