በMikroTik እና SMS የ VPN ተጠቃሚዎች ባለ ሁለት ደረጃ ማረጋገጫ

ሰላም ባልደረቦች! ዛሬ፣ በ"የርቀት ስራ" ዙሪያ ያለው የስሜታዊነት ጥንካሬ ትንሽ ሲቀንስ፣ አብዛኛው አስተዳዳሪዎች የሰራተኞችን የርቀት መዳረሻ ወደ ኮርፖሬት አውታረመረብ የማግኘት ተግባር አሸንፈዋል፣ የ VPN ደህንነትን በማሻሻል የረጅም ጊዜ ልምዴን የማካፍልበት ጊዜ ነው። ይህ መጣጥፍ አሁን ፋሽን አይሆንም IPSec IKEv2 እና xAuth። ስርዓት ስለመገንባት ነው። ባለ ሁለት ደረጃ ማረጋገጫ (2ኤፍኤ) MikroTik እንደ VPN አገልጋይ ሆኖ ሲሰራ የቪፒኤን ተጠቃሚዎች። ማለትም፣ እንደ ፒፒፒ ያሉ “የተለመደ” ፕሮቶኮሎች ጥቅም ላይ ሲውሉ ነው።

ዛሬ MikroTik PPP-VPN የተጠቃሚ መለያው "የተጠለፈ" ቢሆንም እንዴት እንደሚጠብቅ እነግርዎታለሁ። ይህ እቅድ ከደንበኞቼ ከአንዱ ጋር ሲተዋወቀው፣ “ደህና፣ አሁን ልክ በባንክ ውስጥ ነው!” በማለት ገልጾታል።

ዘዴው የውጭ አረጋጋጭ አገልግሎቶችን አይጠቀምም. ተግባሮቹ የሚከናወኑት በራውተር በራሱ ነው. ለማገናኘት ደንበኛ ምንም ወጪ የለም። ዘዴው ለሁለቱም ፒሲ ደንበኞች እና ተንቀሳቃሽ መሳሪያዎች ይሰራል.

አጠቃላይ የመከላከያ ዘዴው እንደሚከተለው ነው-

1. በተሳካ ሁኔታ ከቪፒኤን አገልጋይ ጋር የተገናኘ ተጠቃሚ የውስጥ አይፒ አድራሻ በራስ-ሰር ግራጫ መዝገብ ውስጥ ይገባል።
2. የግንኙነት ክስተቱ ካሉት ዘዴዎች አንዱን በመጠቀም ለተጠቃሚው የሚላክ የአንድ ጊዜ ኮድ በራስ-ሰር ያመነጫል።
3. በዚህ ዝርዝር ውስጥ ያሉ አድራሻዎች የአንድ ጊዜ የይለፍ ኮድ ለመቀበል ከሚጠብቀው "አረጋጋጭ" አገልግሎት በስተቀር ለአካባቢያዊ አውታረመረብ ሀብቶች የተገደበ መዳረሻ አላቸው.
4. ኮዱን ካቀረበ በኋላ ተጠቃሚው የአውታረ መረቡ ውስጣዊ ሀብቶችን ማግኘት ይችላል።

የመጀመሪያው ያጋጠመኝ ትንሹ ችግር የተጠቃሚውን የ 2FA ኮድ ለመላክ የእውቂያ መረጃ ማከማቸት ነበር። በሚክሮቲክ ውስጥ ከተጠቃሚዎች ጋር የሚዛመዱ የዘፈቀደ የመረጃ መስኮችን መፍጠር የማይቻል በመሆኑ ነባሩ “አስተያየት” መስክ ጥቅም ላይ ውሏል

/ppp ሚስጥሮች ስም ያክሉ = ፔትሮቭ የይለፍ ቃል=4M@ngr! አስተያየት="89876543210"

ሁለተኛው ችግሩ የበለጠ ከባድ ሆነ - የመንገዱን ምርጫ እና ኮዱን የማድረስ ዘዴ። ሶስት መርሃግብሮች በአሁኑ ጊዜ ተግባራዊ ናቸው ሀ) ኤስኤምኤስ በዩኤስቢ-ሞደም ለ) ኢ-ሜል ሐ) ኤስኤምኤስ በኢሜል ለቀይ ሴሉላር ኦፕሬተር ኮርፖሬት ደንበኞች ይገኛል።

አዎ፣ የኤስኤምኤስ እቅዶች ወጪዎችን ያመጣሉ. ነገር ግን ከተመለከቱ, "ደህንነት ሁልጊዜ ስለ ገንዘብ ነው" (ሐ).
እኔ በግሌ ኢ-ሜል ያለውን እቅድ አልወደውም። የመልእክት አገልጋዩ ለደንበኛው እንዲረጋገጥ ስለሚያስፈልገው አይደለም - የትራፊክ መከፋፈል ችግር አይደለም። ነገር ግን፣ አንድ ደንበኛ በግዴለሽነት ሁለቱንም ቪፒኤን እና ኢሜል የይለፍ ቃሎችን በአሳሹ ውስጥ ካስቀመጠ እና ላፕቶፑ ከጠፋ አጥቂው የኮርፖሬት ኔትወርክን ሙሉ በሙሉ ማግኘት ይችላል።

ስለዚህ, ተወስኗል - የኤስኤምኤስ መልዕክቶችን በመጠቀም የአንድ ጊዜ ኮድ እናደርሳለን.

ሦስተኛው ችግሩ የት ነበር ሚክሮቲክ ውስጥ ለ2FA የውሸት-የዘፈቀደ ኮድ እንዴት ማመንጨት እንደሚቻል. በ RouterOS ስክሪፕት ቋንቋ ውስጥ የዘፈቀደ() ተግባር አናሎግ የለም፣ እና ከዚህ በፊት በርካታ የክራንች ስክሪፕት የውሸት-የዘፈቀደ ቁጥር ማመንጫዎችን አይቻለሁ። አንዳቸውንም በተለያዩ ምክንያቶች አልወደድኳቸውም።

በእውነቱ፣ በሚክሮቲክ ውስጥ የውሸት-የዘፈቀደ ተከታታይ ጀነሬተር አለ! በ/ሰርተፍኬቶች sep-server አውድ ውስጥ ከውጫዊ እይታ ተደብቋል። የመጀመሪያው መንገድ የአንድ ጊዜ የይለፍ ቃል ማግኘት ቀላል እና ቀላል ነው - በትእዛዙ / የምስክር ወረቀቶች sep-server otp ያመነጫሉ. ቀላል ተለዋዋጭ የምደባ ክዋኔ ከሠራን፣ በኋላ በስክሪፕቶች ውስጥ ጥቅም ላይ ሊውል የሚችል የድርድር እሴት እናገኛለን።

ሁለተኛው መንገድ የአንድ ጊዜ የይለፍ ቃል ማግኘት ይህም እንዲሁ ለመጠቀም ቀላል ነው - ውጫዊ አገልግሎትን በመጠቀም random.org የተፈለገውን አይነት የሐሰት-ነሲብ ቁጥሮች ቅደም ተከተል ለመፍጠር። እዚህ ቀለል ያለ ነው። cantilevered ውሂብ ወደ ተለዋዋጭ የመግባት ምሳሌ

ኮድ
:global rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user ]->"da
ta") 1 6] :put $rnd1

ለኮንሶል የተቀረፀው ጥያቄ (ልዩ ቁምፊዎችን ማምለጥ በስክሪፕቱ አካል ውስጥ ያስፈልጋል) በ$rnd1 ተለዋዋጭ ውስጥ ባለ ስድስት አሃዝ ሕብረቁምፊ ይቀበላል። የሚከተለው "አስቀምጥ" ትዕዛዝ በቀላሉ በሚክሮቲክ ኮንሶል ውስጥ ያለውን ተለዋዋጭ ያሳያል.

አራተኛው ችግር በፍጥነት መፍታት የነበረበት - ይህ የተገናኘው ደንበኛ በሁለተኛው የማረጋገጫ ደረጃ ላይ የአንድ ጊዜ ኮድ እንዴት እና የት እንደሚያስተላልፍ ነው።

በሚክሮቲክ ራውተር ላይ ኮዱን ተቀብሎ ከተወሰነ ደንበኛ ጋር የሚዛመድ አገልግሎት መኖር አለበት። የቀረበው ኮድ ከተጠበቀው ጋር የሚዛመድ ከሆነ, የደንበኛው አድራሻ በተወሰነ "ነጭ" ዝርዝር ውስጥ መካተት አለበት, አድራሻዎች የኩባንያው ውስጣዊ አውታረመረብ እንዲገቡ ይፈቀድላቸዋል.

በአገልግሎቶቹ ደካማ ምርጫ ምክንያት ወደ ሚክሮቲክ የተሰራውን ዌብ ፕሮክሲ በመጠቀም በ http በኩል ኮዶችን ለመቀበል ተወስኗል። እና ፋየርዎል ከተለዋዋጭ የአይፒ አድራሻዎች ዝርዝሮች ጋር ሊሰራ ስለሚችል የኮዱን ፍለጋ የሚያከናውነው ፋየርዎል ነው, ከደንበኛው አይፒ ጋር በማዛመድ እና Layer7 regexp በመጠቀም ወደ "ነጭ" ዝርዝር ውስጥ ይጨምራል. ራውተሩ ራሱ ሁኔታዊ የዲ ኤን ኤስ ስም "gw.local" ተሰጥቷል፣ በላዩ ላይ ለPPP ደንበኞች የሚሰጥ የማይንቀሳቀስ A-መዝገብ ተፈጥሯል፡-

ዲ ኤን ኤስ
/IP dns static add name=gw.local address=172.31.1.1

በፕሮክሲው ላይ ያልተረጋገጡ ደንበኞችን ትራፊክ መያዝ፡-
/ip firewall nat add chain=dstnat dst-port=80,443 in-interface=2fa protocol=tcp !src-address-list=2fa_approved action=redirect to-ports=3128


በዚህ ጉዳይ ላይ ፕሮክሲው ሁለት ተግባራት አሉት.

1. የ tcp ግንኙነቶችን ከደንበኞች ጋር ይክፈቱ;

2. የተሳካ ፍቃድ ከሆነ የደንበኛውን አሳሽ ስለ ስኬታማ ማረጋገጫ ወደሚያሳውቅ ገጽ ወይም ምስል ያዙሩት፡-

የተኪ ውቅር
/ip proxy
set enabled=yes port=3128
/ip proxy access
add action=deny disabled=no redirect-to=gw.local./mikrotik_logo.png src-address=0.0.0.0/0

አስፈላጊዎቹን የውቅር አካላት እዘረዝራለሁ፡-

1. በይነገጽ-ዝርዝር "2fa" - ተለዋዋጭ የደንበኛ በይነገጾች ዝርዝር, በ 2FA ውስጥ ሂደትን የሚፈልግ ትራፊክ;
2. የአድራሻ ዝርዝር "2fa_jailed" - "ግራጫ" የቪፒኤን ደንበኞች ዋሻ IP አድራሻዎች ዝርዝር;
3. address_list "2fa_approved" - "ነጭ" ባለ ሁለት ደረጃ ማረጋገጫ በተሳካ ሁኔታ ያለፉ የቪፒኤን ደንበኞች ዋሻ IP አድራሻዎች ዝርዝር።
4. የፋየርዎል ሰንሰለት "input_2fa" - የፍቃድ ኮድ መኖሩን የ tcp ፓኬጆችን ይፈትሻል እና የኮድ ላኪውን የአይፒ አድራሻ ከሚፈለገው ጋር ያዛምዳል። በሰንሰለቱ ውስጥ ያሉት ደንቦች በተለዋዋጭነት ተጨምረዋል እና ይወገዳሉ.

ቀለል ያለ የፓኬት ማቀነባበሪያ ገበታ ይህን ይመስላል።

ሁለተኛውን የማረጋገጫ ደረጃ ካላለፉት ከ "ግራጫ" ዝርዝር ውስጥ ከደንበኞች ወደ Layer7 የትራፊክ ፍተሻ ለመግባት በመደበኛ የ "ግቤት" ሰንሰለት ውስጥ ደንብ ተፈጥሯል ።

ኮድ
/ip firewall filter add chain=input !src-address-list=2fa_approved action=jump jump-target=input_2fa

አሁን ይህንን ሁሉ ሀብት ከፒፒፒ አገልግሎት ጋር ማያያዝ እንጀምር። MikroTik ስክሪፕቶችን በፕሮፋይሎች (ppp-profile) እንዲጠቀሙ እና የppp ግንኙነትን ለመመስረት እና ለማፍረስ ክስተቶች እንዲመድቡ ይፈቅድልዎታል። የppp-መገለጫ ቅንጅቶች በአጠቃላይ በፒ.ፒ.ፒ አገልጋይ ወይም በግለሰብ ተጠቃሚዎች ላይ ሊተገበሩ ይችላሉ። በተመሳሳይ ጊዜ, ለተጠቃሚው የተመደበው መገለጫ ቅድሚያ አለው, ለአገልጋዩ በአጠቃላይ የተመረጠውን የመገለጫ መለኪያዎች በተገለጹት መመዘኛዎች ይሽራል.

በዚህ አቀራረብ ምክንያት, ለሁለት-ደረጃ ማረጋገጫ ልዩ መገለጫ መፍጠር እና ለሁሉም ተጠቃሚዎች መመደብ እንችላለን, ነገር ግን ይህን ማድረግ አስፈላጊ እንደሆነ ለሚቆጥሩት ብቻ ነው. የመጨረሻ ተጠቃሚዎችን ለማገናኘት ብቻ ሳይሆን በተመሳሳይ ጊዜ ከጣቢያ-ወደ-ጣቢያ ግንኙነቶችን ለመገንባት የPPP አገልግሎቶችን ከተጠቀሙ ይህ ጠቃሚ ሊሆን ይችላል።

አዲስ በተፈጠረው ልዩ መገለጫ ውስጥ የአድራሻውን እና የተገናኘውን ተጠቃሚ በይነገጽ ወደ "ግራጫ" የአድራሻ ዝርዝሮች እና በይነገጾች ተለዋዋጭ መጨመርን እንጠቀማለን-

ዊንቦክስ

ኮድ
/ppp profile add address-list=2fa_jailed change-tcp-mss=no local-address=192.0.2.254 name=2FA interface-list=2fa only-one=yes remote-address=dhcp_pool1 use-compression=no use-encryption= required use-mpls=no use-upnp=no dns-server=172.31.1.1

የሁለተኛ ደረጃ ካልሆኑ የቪፒኤን ደንበኞች በ dstnat (prerouting) ሰንሰለት ውስጥ ያለውን ትራፊክ ለማወቅ እና ለመያዝ ሁለቱንም "አድራሻ-ዝርዝር" እና "በይነገጽ ዝርዝር" ዝርዝሮችን መጠቀም ያስፈልጋል።

ዝግጅቱ ሲጠናቀቅ, ተጨማሪ የፋየርዎል ሰንሰለቶች እና መገለጫዎች ይፈጠራሉ, የ 2FA ኮድ እና የግለሰብ ፋየርዎል ደንቦችን በራስ-ሰር ለማመንጨት ኃላፊነት ያለው ስክሪፕት እንጽፋለን.

ሰነድ wiki.mikrotik.com በPPP-መገለጫ ላይ ከPPP ደንበኛ ግንኙነት-አቋረጠ ሁነቶች ጋር በተያያዙ ተለዋዋጮች መረጃ ያበለጽገናል። "በተጠቃሚ መግቢያ-ክስተት ላይ ስክሪፕት ያስፈጽም. እነዚህ ለዝግጅቱ ስክሪፕት ተደራሽ የሆኑ ተለዋዋጮች ናቸው፡ ተጠቃሚ፣ የአካባቢ አድራሻ፣ የርቀት አድራሻ፣ የደዋይ መታወቂያ፣ የተጠራ-መታወቂያ፣ በይነገጽ". አንዳንዶቹ ለእኛ በጣም ጠቃሚ ናቸው.

ለፒፒፒ ግንኙነት ክስተት መገለጫ ውስጥ ጥቅም ላይ የዋለ ኮድ

#Логируем для отладки полученные переменные 
:log info (

quot;local-address")

:log info (

quot;remote-address")

:log info (

quot;caller-id")

:log info (

quot;called-id")

:log info ([/int pptp-server get (

quot;interface") name])

#Объявляем свои локальные переменные

:local listname "2fa_jailed"

:local viamodem false

:local modemport "usb2"

#ищем автоматически созданную запись в адрес-листе "2fa_jailed"

:local recnum1 [/ip fi address-list find address=(

quot;remote-address") list=$listname]
#получаем псевдослучайный код через random.org

#:local rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user]->"data") 0 4]
#либо получаем псевдослучайный код через локальный генератор

#:local rnd1 [pick ([/cert scep-server otp generate as-value minutes-valid=1]->"password") 0 4 ]
#Ищем и обновляем коммент к записи в адрес-листе. Вносим искомый код для отладки

/ip fir address-list set $recnum1 comment=$rnd1

#получаем номер телефона куда слать SMS

:local vphone [/ppp secret get [find name=$user] comment]
#Готовим тело сообщения. Если клиент подключается к VPN прямо с телефона ему достаточно

#будет перейти прямо по ссылке из полученного сообщения

:local msgboby ("Your code: ".$comm1."n Or open link http://gw.local/otp/".$comm1."/")
# Отправляем SMS по выбранному каналу - USB-модем или email-to-sms

if $viamodem do={

/tool sms send phone-number=$vphone message=$msgboby port=$modemport }

else={

/tool e-mail send server=a.b.c.d [email protected] [email protected] subject="@".$vphone body=$msgboby }
#Генерируем Layer7 regexp

local vregexp ("otp\/".$comm1)

:local vcomment ("2fa_".(

quot;remote-address"))

/ip firewall layer7-protocol add name=(

quot;vcomment") comment=(

quot;remote-address") regexp=(

quot;vregexp")
#Генерируем правило проверяющее по Layer7 трафик клиента в поисках нужного кода

#и небольшой защитой от брутфорса кодов с помощью dst-limit

/ip firewall filter add action=add-src-to-address-list address-list=2fa_approved address-list-timeout=none-dynamic chain=input_2fa dst-port=80,443,3128 layer7-protocol=(

quot;vcomment") protocol=tcp src-address=(

quot;remote-address") dst-limit=1,1,src-address/1m40s



በተለይ ሳያስቡት ኮፒ መለጠፍ ለሚወዱ፣ አስጠነቅቃችኋለሁ - ኮዱ ከሙከራው ስሪት የተወሰደ እና ጥቃቅን ስህተቶችን ሊይዝ ይችላል። አስተዋይ ሰው የት እንደሆነ በትክክል ለማወቅ አስቸጋሪ አይሆንም።
ተጠቃሚው ሲቋረጥ "በታች" ክስተት ይፈጠራል እና ግቤቶች ያለው ተዛማጅ ስክሪፕት ይባላል. የዚህ ስክሪፕት አላማ ለተቋረጠው ተጠቃሚ የተፈጠረውን የፋየርዎል ህግን ማጽዳት ነው።
ቁልቁል ለፒፒፒ ግንኙነት ክስተት በመገለጫ ውስጥ ጥቅም ላይ የዋለ ኮድ
:local vcomment ("2fa_".(

quot;remote-address"))

/ip firewall address-list remove [find address=(

quot;remote-address") list=2fa_approved]
/ip firewall filter remove [find chain="input_2fa" src-address=(

quot;remote-address") ]
/ip firewall layer7-protocol remove [find name=$vcomment]


ከዚያ ተጠቃሚዎችን መፍጠር እና ሁሉንም ወይም የተወሰኑትን ወደ ባለ ሁለት ደረጃ የማረጋገጫ መገለጫ መመደብ ይችላሉ።
ዊንቦክስ


ኮድ

/ppp secrets set [find name=Petrov] profile=2FA
በደንበኛው በኩል እንዴት እንደሚታይ።
የቪፒኤን ግንኙነት ሲፈጠር አንድሮይድ/አይኦኤስ ስልክ/ታብሌት ሲም ካርድ ያለው ኤስኤምኤስ ይቀበላል።
ኤስኤምኤስ


ግንኙነቱ በቀጥታ ከስልክ/ታብሌቱ የተቋቋመ ከሆነ ከመልእክቱ የሚገኘውን ሊንክ በመጫን በቀላሉ በ2FA ማለፍ ይችላሉ። ምቹ ነው።
የቪፒኤን ግንኙነቱ ከፒሲ የተቋቋመ ከሆነ ተጠቃሚው አነስተኛ የይለፍ ቃል ቅጽ እንዲያስገባ ይጠየቃል። ቪፒኤን ሲያቀናብር ትንሽ ቅጽ በኤችቲኤምኤል ፋይል መልክ ለተጠቃሚው ይሰጣል። ፋይሉ ተጠቃሚው እንዲያስቀምጠው እና ምቹ በሆነ ቦታ ላይ አቋራጭ መንገድ እንዲፈጥር በፖስታ እንኳን ሊላክ ይችላል። ይህን ይመስላል።
በጠረጴዛው ላይ ምልክት ያድርጉ


ተጠቃሚው አቋራጩ ላይ ጠቅ ያደርጋል፣ ቀላል የኮድ ግቤት ቅጽ ይከፈታል፣ እሱም ኮዱን በተከፈተው ዩአርኤል ውስጥ ይለጥፋል፡
የማያ ገጽ ቅጽ


በጣም ጥንታዊው ቅጽ እንደ ምሳሌ ተሰጥቷል. የሚፈልጉ ሁሉ ለራሳቸው መለወጥ ይችላሉ።
2fa_login_mini.html
<html>
<head> <title>SMS OTP login</title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> </head>
<body>
<form name="login" action="location.href='http://gw.local/otp/'+document.getElementById(‘text').value"  method="post"
 <input id="text" type="text"/> 
<input type="button" value="Login" onclick="location.href='http://gw.local/otp/'+document.getElementById('text').value"/> 
</form>
</body>
</html>

ፈቃዱ የተሳካ ከሆነ ተጠቃሚው የMikroTik አርማ በአሳሹ ውስጥ ያያሉ፣ ይህም የተሳካ ማረጋገጫን ያመለክታል፡

ምስሉ በWebProxy Deny Redirect በመጠቀም አብሮ ከተሰራው ከሚክሮቲክ ዌብ አገልጋይ የተመለሰ መሆኑን ልብ ይበሉ።
ምስሉ የ"ሆትስፖት" መሳሪያን በመጠቀም፣ የእራስዎን እትም እዚያ ላይ በመስቀል እና የ Deny Redirect URLን በWebProxy በማቀናበር ሊስተካከል የሚችል ይመስለኛል።
በጣም ርካሹን "አሻንጉሊት" ሚክሮቲክን በ 20 ዶላር ለመግዛት እና የ 500 ዶላር ራውተርን በእሱ ለመተካት ለሚሞክሩ ሰዎች ትልቅ ጥያቄ - ያንን አታድርጉ. እንደ "hAP Lite" / "hAP mini" (የቤት መዳረሻ ነጥብ) ያሉ መሳሪያዎች በጣም ደካማ ሲፒዩ (ስሚፕስ) አላቸው, እና ምናልባት በንግድ ክፍሉ ውስጥ ያለውን ሸክም መቋቋም አይችሉም.
ማስጠንቀቂያ!  ይህ መፍትሔ አንድ ጉዳት አለው: ደንበኞች ሲገናኙ ወይም ሲያቋርጡ የውቅረት ለውጦች ይከሰታሉ, ይህም ራውተር በማይለዋወጥ ማህደረ ትውስታው ውስጥ ለማስቀመጥ ይሞክራል. ብዙ ቁጥር ያላቸው ደንበኞች እና ተደጋጋሚ ግንኙነቶች እና ግንኙነቶች ይህ በ ራውተር ውስጥ ያለውን የውስጥ ማከማቻ መበላሸት ሊያስከትል ይችላል.
PS: ኮድ ለደንበኛው የማድረስ ዘዴዎች የፕሮግራም ችሎታዎችዎ በቂ እስከሆኑ ድረስ ሊሰፉ እና ሊጨመሩ ይችላሉ። ለምሳሌ፣ ወደ ቴሌግራም መልእክት መላክ ወይም ... አማራጮችን መጠቆም ትችላለህ!
ጽሑፉ ለእርስዎ ጠቃሚ እንደሚሆን ተስፋ አደርጋለሁ እና የአነስተኛ እና መካከለኛ መጠን ያላቸው ንግዶችን አውታረ መረቦች ትንሽ የበለጠ አስተማማኝ ለማድረግ ይረዳል.
ምንጭ: hab.com