Als Client2Site VPN Service bietet AWS “Client VPN endpoints”, was unter der Haube ein OpenVPN ist.
Per Default, können sich alle User aus dem Active Directory verbinden, unabhängig einer Gruppenmitgliedschaft. Ist für die Autorisation eine Gruppe angegeben, wird nur der Zugriff auf die Ressourcen hinter dem VPN verhindert – nicht aber die Verbindung zum VPN Server.
Das ist unschön!
Wir wollen als Lösung nur Benutzern mit der Mitgliedschaft in einer Active Directory Gruppe den Aufbau der VPN Verbindung ermöglichen. Dafür bietet AWS den Client Connect Handler. Dieser wird bei jedem VPN Verbindungaufbau kontaktiert.
Während des Verbindungsaufbaus führt der Client Connect Handler eine benutzerdefinierte Autorisierungslogik aus, nachdem der Client VPN-Service die Geräte (oder Benutzer) authentifiziert hat.
Durch eine AWS Lambda-Funktion wird der Handler implementiert und kann über die AWS-Konsole oder AWS CLI aktiviert werden.
Genug der Theorie, nun zum praktischen Teil 😉
Bevor wir starten, benötigen wir ein gültiges Server Zertifikat, welches am besten in den AWS Certificates Manager importiert wird und den AWS Directory Service (AWS Managed Microsoft AD).
Und jetzt schauen wir uns Schritt-für-Schritt die nächsten Punkte an:
01 –Erstellen der AWS Lambda Function
02 – Anlegen des Client VPN Endpoints
03 – Die Target Network Associations und eine Autorisation Rule erstellen
01
Im ersten Schritt öffnen wir den AWS Lambda Service und erstellen uns per „CREATE FUNCTION“ eine neue Funktion.
Dafür benötigen wir folgende Basis Informationen.
BASIC INFORMATION
Function name: Dieser muss beginnen mit: AWSClientVPN–
Runtime: Python 3.9
Und klicken auf „CREATE FUNCTION“.
Jetzt werden wir zur Übersicht weitergeleitet, wo wir die Logik in der Lambda Function hinterlegen können.
Dafür benutzen wir unseren Python Code:
[Code] #!/usr/bin/env python3 import datetime vpn_group_sid = "S-1-5-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXX" def lambda_handler(event, context): #print('## EVENT') #print(event) allow = False error_msg = "You are not allowed to connect." if 'groups' in event: if vpn_group_sid in event['groups']: allow = True return { "allow": allow, "error-msg-on-failed-posture-compliance": error_msg, "posture-compliance-statuses": [], "schema-version": "v1" } [/Code]
TIPP: Die Meldung die der User zu sehen bekommt, wird als „error_msg“ von dem Connection Handler übergeben und kann hier in der Function leicht angepasst werden.
Wir gehen wie beschrieben vor:
Die AWS Lambda Function wurde mit unserem Beispielcode erstellt und ist jetzt „scharf geschaltet“.
02
Im nächsten Schritt erstellen wir und das benötigte Client VPN.
Dafür gehen wir zu dem entsprechenden AWS Service und erstellen einen neuen Client-VPN-Endpunkt.
Jetzt benötigen wir das Server Zertifikat, wie in der Einleitung angesprochen, was im AWS Certificates Manager hinterlegt sein sollte.
Du hast noch kein Zertifikat? Dann kannst Du dir z.B. mit easy-rsa relativ einfach eines erstellen.
Im nächsten Schritt wählen wir bei den Authentication options die „User based authentication“ aus, was dazu führt, das wir die ID des AWS Directory Services angeben müssen.
Zuletzt muss noch die Lambda Funktion die wir im ersten Schritt erstellt haben, als „Client connect Handler“ ausgewählt werden.
03
Jetzt muss noch die Target Network Associations konfiguriert werden.
Das sind die Subnetze in denen der VPN Client in das Ziel VPC kommt
Ein Client VPN-Endpunkt benötigt mindestens eine Target Network Association, damit sich Clients damit verbinden und eine VPN-Verbindung herstellen können.
Wir konfigurieren hier die SID einer Active Directory Gruppe (mit den VPN Users) hinterlegen.
Die Konfiguration sollten nun bereit zum Testen sein.
Der Client kann unter AWS Client VPN Download | Amazon Web Services heruntergeladen.
Die Konfiguration unseres VPN kann in AWS Client VPN endpoints heruntergeladen werden.
Nun noch unter DATEI > PROFILE verwalten das heruntergeladene Profil hinzufügen.
Jetzt noch VERBINDEN klicken.
User ohne Berechtigung werden nun auch direkt getrennt:
fazit
Durch den „Client Connection Handler“ kann ein Benutzer mit fehlender Berechtigung nun keine VPN Verbindung mehr aufbauen und wird darüber auch entsprechend Informiert.
Vereinfachen kann man den Aufbau natürlich auch, in dem ein Cloudformation Template (Stichwort: Infrastructure as Code) dafür erstellt wird, was die benötigten Parameter abfragt und alles „am Stück“ konfiguriert bzw. erstellt.
