AWS Client VPN – Verbindungsaufbau steuern mit Lambda und Client Connection Handler

Als Client2Site VPN Service bietet AWS “Client VPN endpoints”, was unter der Haube ein OpenVPN ist.

Per Default, können sich alle User aus dem Active Directory verbinden, unabhängig einer Gruppenmitgliedschaft. Ist  für die Autorisation eine Gruppe angegeben, wird nur der Zugriff auf die Ressourcen hinter dem VPN verhindert – nicht aber die Verbindung zum VPN Server.

Das ist unschön!

Wir wollen als Lösung nur Benutzern mit der Mitgliedschaft in einer Active Directory Gruppe den Aufbau der VPN Verbindung ermöglichen. Dafür bietet AWS den Client Connect Handler. Dieser wird bei jedem VPN Verbindungaufbau kontaktiert.

Während des Verbindungsaufbaus führt der Client Connect Handler eine benutzerdefinierte Autorisierungslogik aus, nachdem der Client VPN-Service die Geräte (oder Benutzer) authentifiziert hat.

Durch eine AWS Lambda-Funktion wird der Handler implementiert und kann über die AWS-Konsole oder AWS CLI aktiviert werden.

Genug der Theorie, nun zum praktischen Teil 😉

Los geht‘s

Bevor wir starten, benötigen wir ein gültiges Server Zertifikat, welches am besten in den AWS Certificates Manager importiert wird und den AWS Directory Service (AWS Managed Microsoft AD).

Und jetzt schauen wir uns Schritt-für-Schritt die nächsten Punkte an:

01

Erstellen der AWS Lambda Function

Anlegen des Client VPN Endpoints

Die Target Network Associations und eine Autorisation Rule erstellen

01

Wir erstellen eine AWS Lambda Function als „Client Connect Handler“

Im ersten Schritt öffnen wir den AWS Lambda Service und erstellen uns per „CREATE FUNCTION“ eine neue Funktion.

Dafür benötigen wir folgende Basis Informationen. 

Basic information

Function name 

Dieser muss beginnen mit: AWSClientVPN

Runtime

Python 3.9 

Und klicken auf „CREATE FUNCTION“. 

Jetzt werden wir zur Übersicht weitergeleitet, wo wir die Logik in der Lambda Function hinterlegen können. 

Dafür benutzen wir unseren Python Code:

[Code] 
#!/usr/bin/env python3 
import datetime 

vpn_group_sid = "S-1-5-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXX" 
def lambda_handler(event, context): 
#print('## EVENT') 
#print(event) 
allow = False 
error_msg = "You are not allowed to connect." 
if 'groups' in event: 
   if vpn_group_sid in event['groups']: 
     allow = True 
return { 
   "allow": allow, 
   "error-msg-on-failed-posture-compliance": error_msg, 
   "posture-compliance-statuses": [], 
   "schema-version": "v1" 
} 
[/Code] 

TIPP: Die Meldung die der User zu sehen bekommt, wird als „error_msg“ von dem Connection Handler übergeben und kann hier in der Function leicht angepasst werden. 

Wir gehen wie beschrieben vor: 

  1. Code im Reiter lambda_function einfügen. 
  2. Deploy Button klicken. 
  3. Function publishen über die Auswahl: Actions – Publish new version. 

Die AWS Lambda Function wurde mit unserem Beispielcode erstellt und ist jetzt „scharf geschaltet“. 

02

Wir erstellen ein Client VPN

Im nächsten Schritt erstellen wir und das benötigte Client VPN. 

Dafür gehen wir zu dem entsprechenden AWS Service und erstellen einen neuen Client-VPN-Endpunkt. 

Jetzt benötigen wir das Server Zertifikat, wie in der Einleitung angesprochen, was im AWS Certificates Manager hinterlegt sein sollte.  

Du hast noch kein Zertifikat? Dann kannst Du dir z.B. mit easy-rsa relativ einfach eines erstellen.  

Im nächsten Schritt wählen wir bei den Authentication options die „User based authentication“ aus, was dazu führt, das wir die ID des AWS Directory Services angeben müssen. 

Zuletzt muss noch die Lambda Funktion die wir im ersten Schritt erstellt haben, als „Client connect Handler“ ausgewählt werden. 

03

Target network Associations

Jetzt muss noch die Target Network Associations konfiguriert werden. 

Das sind die Subnetze in denen der VPN Client in das Ziel VPC kommt 

Ein Client VPN-Endpunkt benötigt mindestens eine Target Network Association, damit sich Clients damit verbinden und eine VPN-Verbindung herstellen können.  

Autorisation Rule

Jetzt noch eine Autorisation Rule, diese erlaubt es Benutzer auf eine Ressource (CIDR) zuzugreifen. 

Wir konfigurieren hier die SID einer Active Directory Gruppe (mit den VPN Users) hinterlegen. 

Die Konfiguration sollten nun bereit zum Testen sein. 
Der Client kann unter AWS Client VPN Download | Amazon Web Services heruntergeladen.
Die Konfiguration unseres VPN kann in AWS Client VPN endpoints heruntergeladen werden. 

Nun noch unter DATEI > PROFILE verwalten das heruntergeladene Profil hinzufügen. 

Jetzt noch VERBINDEN klicken. 

User ohne Berechtigung werden nun auch direkt getrennt: 

fazit

Durch den „Client Connection Handler“ kann ein Benutzer mit fehlender Berechtigung nun keine VPN Verbindung mehr aufbauen und wird darüber auch entsprechend Informiert. 

Vereinfachen kann man den Aufbau natürlich auch, in dem ein Cloudformation Template (Stichwort: Infrastructure as Code) dafür erstellt wird, was die benötigten Parameter abfragt und alles „am Stück“ konfiguriert bzw. erstellt. 

Facebook
Twitter
LinkedIn
WhatsApp