İki faktorlu identifikasiya OpenVPN Telegram botu ilə

Bu məqalədə serverin necə qurulacağı təsvir olunur. OpenVPN Qoşulduqda təsdiq sorğusu göndərəcək Telegram botu ilə iki faktorlu identifikasiyanı aktivləşdirmək üçün.

OpenVPN — təşkilatın daxili resurslarına işçilərin təhlükəsiz girişini təmin etmək üçün geniş istifadə olunan, geniş yayılmış, pulsuz, açıq mənbəli VPN serveri.

VPN serverinə qoşulmaq üçün adətən açar və istifadəçinin giriş/parolunun kombinasiyası identifikasiya kimi istifadə olunur. Lakin, klientdə saxlanılan parol bütün dəsti tək bir faktora çevirir ki, bu da tələb olunan təhlükəsizlik səviyyəsini təmin etmir. Klient kompüterinə giriş əldə edən təcavüzkar VPN serverinə də giriş əldə edir. Bu, xüsusilə işləyən maşınlardan bağlantılar üçün doğrudur. Windows.

İkinci amildən istifadə icazəsiz giriş riskini 99% azaldır və istifadəçilər üçün qoşulma prosesini heç də çətinləşdirmir.

Dərhal bir şərt qoyacağam ki, həyata keçirmək üçün ehtiyaclarınız üçün pulsuz tarifdən istifadə edə biləcəyiniz üçüncü tərəf multifactor.ru autentifikasiya serverinə qoşulmalısınız.

Əməliyyat prinsipi

1. OpenVPN identifikasiya üçün openvpn-plugin-auth-pam plaginindən istifadə edir
2. Plugin serverdə istifadəçinin parolunu yoxlayır və Multifaktor xidmətində RADIUS protokolu vasitəsilə ikinci faktoru tələb edir.
3. Multifaktor istifadəçiyə giriş təsdiqi ilə Telegram botu vasitəsilə mesaj göndərir
4. İstifadəçi Telegram çatında giriş sorğusunu təsdiqləyir və VPN-ə qoşulur

Quraşdırma OpenVPN server

İnternetdə quraşdırma və konfiqurasiya prosesini təsvir edən bir çox məqalə var. OpenVPN, ona görə də onları təkrarlamayacağıq. Əgər köməyə ehtiyacınız varsa, məqalənin sonunda təlim materiallarına bir neçə keçid var.

Multifaktor təyini

Getmək Multifaktor nəzarət sistemi, Resurslara gedin və yeni VPN yaradın.
Yaratdıqdan sonra iki seçim sizin üçün əlçatan olacaq: NAS ID и Paylaşılan sirr, onlar sonrakı konfiqurasiya üçün tələb olunacaq.

"Qruplar" bölməsində "Bütün istifadəçilər" qrup parametrlərinə keçin və "Bütün resurslar" bayrağının işarəsini çıxarın ki, yalnız müəyyən bir qrupun istifadəçiləri VPN serverinə qoşula bilsin.

Yeni "VPN istifadəçiləri" qrupu yaradın, Telegramdan başqa bütün autentifikasiya üsullarını deaktiv edin və istifadəçilərin yaradılmış VPN resursuna çıxışı olduğunu göstərin.

"İstifadəçilər" bölməsində VPN-ə çıxışı olan istifadəçilər yaradın, qrupa "VPN istifadəçiləri" əlavə edin və ikinci autentifikasiya faktorunu qurmaq üçün onlara link göndərin. İstifadəçi girişi VPN serverindəki girişə uyğun olmalıdır.

nizamlama OpenVPN server

Faylı açın /etc/openvpn/server.conf və PAM modulundan istifadə edərək autentifikasiya üçün plagin əlavə edin

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

Plugin kataloqda yerləşdirilə bilər /usr/lib/openvpn/plugins/ və ya /usr/lib64/openvpn/plugins/ sisteminizdən asılı olaraq.

Sonra, pam_radius_auth modulunu quraşdırmalısınız

$ sudo yum install pam_radius

Redaktə üçün faylı açın /etc/pam_radius.conf və Multifaktorun RADIUS serverinin ünvanını təyin edin

radius.multifactor.ru   shared_secret   40

Ü:

• radius.multifactor.ru — server ünvanı
• shared_secret - müvafiq VPN parametrləri parametrindən kopyalayın
• 40 saniyə - böyük marja ilə sorğunun vaxtı aşımı

Qalan serverlər silinməli və ya şərh edilməlidir (əvvəlində nöqtəli vergül qoyun)

Sonra xidmət tipli openvpn üçün fayl yaradın

$ sudo vi /etc/pam.d/openvpn

və içinə qoyun

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

birinci sətir pam_radius_auth PAM modulunu parametrlərlə birləşdirir:

• skip_passwd - istifadəçinin parolunun Multifaktor RADIUS serverinə ötürülməsini dayandırır (onun bilməsi lazım deyil).
• client_id - [NAS-İdentifikatoru] VPN resurs parametrlərindən müvafiq parametrlə əvəz edin.
  Bütün mümkün variantlarda təsvir edilmişdir modul üçün sənədlər.

İkinci və üçüncü sətirlərə ikinci autentifikasiya faktoru ilə birlikdə serverinizdə giriş, parol və istifadəçi hüquqlarının sistem yoxlanışı daxildir.

Yenidən başlamaq OpenVPN

$ sudo systemctl restart openvpn@server

Müştəri quraşdırması

Müştəri konfiqurasiya faylına istifadəçi adı və parol sorğusu daxil edin

auth-user-pass

Проверка

Müştərini işə salın OpenVPN, serverə qoşulun və istifadəçi adınızı və şifrənizi daxil edin. Telegram botu sizə iki düyməli giriş sorğusu göndərəcək.

Bir düymə girişə imkan verir, ikinci blok.

İndi parolunuzu klientdə təhlükəsiz şəkildə saxlaya bilərsiniz, ikinci amil sizi etibarlı şəkildə qoruyacaq OpenVPN serveri icazəsiz girişdən qoruyun.

Bir şey işləmirsə

Heç nəyi qaçırmadığınızı ardıcıl olaraq yoxlayın:

• Serverdə OpenVPN müəyyən bir parolu olan bir istifadəçi var
• UDP portu 1812 vasitəsilə serverdən radius.multifactor.ru ünvanına daxil olun
• NAS-İdentifikator və Paylaşılan Gizli parametrləri düzgündür
• Multifaktor sistemində eyni girişi olan istifadəçi yaradılıb və ona VPN istifadəçi qrupuna daxil olmaq hüququ verilib.
• İstifadəçi Telegram vasitəsilə autentifikasiya metodunu konfiqurasiya edib

Əgər əvvəllər quraşdırmamısınızsa OpenVPN, oxuyun genişləndirilmiş məqalə.

Təlimatlar nümunələrlə hazırlanmışdır CentOS 7.

Mənbə: www.habr.com