मिक्रोटिक और एसएमएस के माध्यम से वीपीएन उपयोगकर्ताओं का दो-कारक प्रमाणीकरण

नमस्ते सहयोगियों! आज, जब "दूरस्थ कार्य" को लेकर जुनून की तीव्रता थोड़ी कम हो गई है, तो अधिकांश व्यवस्थापकों ने कॉर्पोरेट नेटवर्क तक कर्मचारियों की दूरस्थ पहुंच का कार्य जीत लिया है, अब वीपीएन सुरक्षा में सुधार के अपने लंबे समय के अनुभव को साझा करने का समय आ गया है। यह लेख अब IPSec IKEv2 और xAuth फैशनेबल नहीं होगा। यह एक सिस्टम बनाने के बारे में है. दो-कारक प्रमाणीकरण (2FA) वीपीएन उपयोगकर्ता जब मिक्रोटिक वीपीएन सर्वर के रूप में कार्य करते हैं। अर्थात्, जब पीपीपी जैसे "क्लासिक" प्रोटोकॉल का उपयोग किया जाता है।

आज मैं आपको बताऊंगा कि उपयोगकर्ता खाते के "अपहरण" की स्थिति में भी मिक्रोटिक पीपीपी-वीपीएन की सुरक्षा कैसे की जाए। जब इस योजना को मेरे एक ग्राहक के सामने पेश किया गया, तो उसने संक्षेप में इसका वर्णन करते हुए कहा, "ठीक है, अब यह बिल्कुल एक बैंक की तरह है!"।

यह विधि बाहरी प्रमाणक सेवाओं का उपयोग नहीं करती है। कार्य राउटर द्वारा ही आंतरिक रूप से निष्पादित किए जाते हैं। कनेक्टिंग क्लाइंट के लिए कोई लागत नहीं. यह विधि पीसी क्लाइंट और मोबाइल डिवाइस दोनों के लिए काम करती है।

सामान्य सुरक्षा योजना इस प्रकार है:

1. वीपीएन सर्वर से सफलतापूर्वक कनेक्ट होने वाले उपयोगकर्ता का आंतरिक आईपी पता स्वचालित रूप से ग्रेलिस्ट में डाल दिया जाता है।
2. कनेक्शन ईवेंट स्वचालित रूप से एक बार कोड उत्पन्न करता है जो उपलब्ध तरीकों में से एक का उपयोग करके उपयोगकर्ता को भेजा जाता है।
3. इस सूची के पतों की स्थानीय नेटवर्क संसाधनों तक सीमित पहुंच है, "प्रमाणक" सेवा के अपवाद के साथ, जो एक बार का पासकोड प्राप्त करने की प्रतीक्षा कर रही है।
4. कोड प्रस्तुत करने के बाद, उपयोगकर्ता के पास नेटवर्क के आंतरिक संसाधनों तक पहुंच होती है।

पहले सबसे छोटी समस्या जिसका मुझे सामना करना पड़ा वह थी उपयोगकर्ता को 2FA कोड भेजने के लिए उसके बारे में संपर्क जानकारी संग्रहीत करना। चूँकि मिकरोटिक में उपयोगकर्ताओं के अनुरूप मनमाना डेटा फ़ील्ड बनाना असंभव है, मौजूदा "टिप्पणी" फ़ील्ड का उपयोग किया गया था:

/पीपीपी रहस्य नाम जोड़ें=पेट्रोव पासवर्ड=4एम@एनजीआर! टिप्पणी='89876543210'

दूसरा समस्या अधिक गंभीर निकली - कोड वितरित करने के पथ और विधि का चुनाव। वर्तमान में तीन योजनाएं लागू की गई हैं: ए) यूएसबी-मॉडेम के माध्यम से एसएमएस बी) ई-मेल सी) रेड सेल्युलर ऑपरेटर के कॉर्पोरेट ग्राहकों के लिए ई-मेल के माध्यम से एसएमएस उपलब्ध है।

हां, एसएमएस योजनाएं लागत लाती हैं। लेकिन अगर आप देखें, तो "सुरक्षा हमेशा पैसे से जुड़ी होती है" (सी)।
मुझे व्यक्तिगत रूप से ई-मेल वाली योजना पसंद नहीं है। इसलिए नहीं कि क्लाइंट को प्रमाणित करने के लिए मेल सर्वर का उपलब्ध होना आवश्यक है - ट्रैफ़िक को विभाजित करना कोई समस्या नहीं है। हालाँकि, यदि कोई ग्राहक लापरवाही से वीपीएन और ईमेल पासवर्ड दोनों को ब्राउज़र में सहेजता है और फिर अपना लैपटॉप खो देता है, तो हमलावर को इससे कॉर्पोरेट नेटवर्क तक पूर्ण पहुंच प्राप्त हो जाएगी।

तो, यह निर्णय लिया गया है - हम एसएमएस संदेशों का उपयोग करके एक बार का कोड वितरित करते हैं।

तिहाई समस्या कहां थी मिक्रोटिक में 2एफए के लिए छद्म-यादृच्छिक कोड कैसे उत्पन्न करें. राउटरओएस स्क्रिप्टिंग भाषा में रैंडम() फ़ंक्शन के बराबर कोई नहीं है, और मैंने पहले कई बैसाखी स्क्रिप्ट छद्म-यादृच्छिक संख्या जनरेटर देखे हैं। विभिन्न कारणों से मुझे उनमें से कोई भी पसंद नहीं आया।

वास्तव में, मिक्रोटिक में एक छद्म-यादृच्छिक अनुक्रम जनरेटर है! यह /certificates scep-server के संदर्भ में सतही नज़र से छिपा हुआ है। पहली विधि वन-टाइम पासवर्ड प्राप्त करना आसान और सरल है - कमांड के साथ /प्रमाणपत्र एससीपी-सर्वर ओटीपी उत्पन्न होता है. यदि हम एक साधारण वेरिएबल असाइनमेंट ऑपरेशन करते हैं, तो हमें एक ऐरे मान मिलेगा जिसका उपयोग बाद में स्क्रिप्ट में किया जा सकता है।

दूसरी विधि एक वन-टाइम पासवर्ड प्राप्त करना जिसे लागू करना भी आसान है - बाहरी सेवा का उपयोग करके random.org छद्म-यादृच्छिक संख्याओं का वांछित प्रकार का अनुक्रम उत्पन्न करने के लिए। यहाँ एक सरलीकृत है ब्रैकट एक वेरिएबल में डेटा प्राप्त करने का उदाहरण:

कोड
:global rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user ]->"da
ta") 1 6] :put $rnd1

कंसोल के लिए स्वरूपित एक अनुरोध (स्क्रिप्ट बॉडी में विशेष वर्णों से बचने की आवश्यकता होगी) $rnd1 चर में छह अंकों की एक स्ट्रिंग प्राप्त करता है। निम्नलिखित "पुट" कमांड केवल मिक्रोटिक कंसोल में वेरिएबल प्रदर्शित करता है।

चौथी समस्या जिसे तुरंत हल करना था - यह है कि कनेक्टेड क्लाइंट प्रमाणीकरण के दूसरे चरण में अपना वन-टाइम कोड कैसे और कहाँ स्थानांतरित करेगा।

मिक्रोटिक राउटर पर एक सेवा होनी चाहिए जो कोड को स्वीकार कर सके और इसे एक विशिष्ट क्लाइंट के साथ मिला सके। यदि प्रदान किया गया कोड अपेक्षित कोड से मेल खाता है, तो ग्राहक का पता एक निश्चित "सफेद" सूची में शामिल किया जाना चाहिए, जिनके पते से कंपनी के आंतरिक नेटवर्क तक पहुंच की अनुमति है।

सेवाओं के खराब विकल्प के कारण, मिकरोटिक में निर्मित वेबप्रॉक्सी का उपयोग करके http के माध्यम से कोड स्वीकार करने का निर्णय लिया गया। और चूंकि फ़ायरवॉल आईपी पते की गतिशील सूचियों के साथ काम कर सकता है, यह फ़ायरवॉल है जो कोड की खोज करता है, इसे क्लाइंट आईपी के साथ मिलान करता है और लेयर 7 रेगएक्सपी का उपयोग करके इसे "सफेद" सूची में जोड़ता है। राउटर को स्वयं एक सशर्त DNS नाम "gw.local" सौंपा गया है, पीपीपी ग्राहकों को जारी करने के लिए इस पर एक स्थिर ए-रिकॉर्ड बनाया गया है:

डीएनएस
/आईपी डीएनएस स्थिर नाम जोड़ें=gw.स्थानीय पता=172.31.1.1

प्रॉक्सी पर असत्यापित ग्राहकों का ट्रैफ़िक कैप्चर करना:
/ip firewall nat add chain=dstnat dst-port=80,443 in-interface=2fa protocol=tcp !src-address-list=2fa_approved action=redirect to-ports=3128


इस मामले में, प्रॉक्सी के दो कार्य हैं।

1. ग्राहकों के साथ टीसीपी कनेक्शन खोलें;

2. सफल प्राधिकरण के मामले में, क्लाइंट ब्राउज़र को सफल प्रमाणीकरण के बारे में सूचित करने वाले पृष्ठ या चित्र पर रीडायरेक्ट करें:

प्रॉक्सी कॉन्फ़िगरेशन
/ip proxy
set enabled=yes port=3128
/ip proxy access
add action=deny disabled=no redirect-to=gw.local./mikrotik_logo.png src-address=0.0.0.0/0

मैं महत्वपूर्ण कॉन्फ़िगरेशन तत्वों को सूचीबद्ध करूंगा:

1. इंटरफ़ेस-सूची "2fa" - क्लाइंट इंटरफ़ेस की एक गतिशील सूची, जिससे ट्रैफ़िक को 2FA के भीतर प्रसंस्करण की आवश्यकता होती है;
2. पता-सूची "2fa_jailed" - वीपीएन ग्राहकों के सुरंग आईपी पते की "ग्रे" सूची;
3. एड्रेस_लिस्ट "2fa_approved" - वीपीएन क्लाइंट्स के टनल आईपी एड्रेस की "व्हाइट" सूची जो सफलतापूर्वक दो-कारक प्रमाणीकरण पारित कर चुके हैं।
4. फ़ायरवॉल श्रृंखला "input_2fa" - यह एक प्राधिकरण कोड की उपस्थिति के लिए टीसीपी पैकेट की जांच करता है और आवश्यक कोड के साथ कोड प्रेषक के आईपी पते से मेल खाता है। श्रृंखला में नियम गतिशील रूप से जोड़े और हटाए जाते हैं।

पैकेट प्रोसेसिंग का एक सरलीकृत फ़्लोचार्ट इस तरह दिखता है:

"ग्रे" सूची से ग्राहकों के ट्रैफ़िक की लेयर7 जांच में शामिल होने के लिए, जिन्होंने अभी तक प्रमाणीकरण के दूसरे चरण को पारित नहीं किया है, मानक "इनपुट" श्रृंखला में एक नियम बनाया गया है:

कोड
/ip firewall filter add chain=input !src-address-list=2fa_approved action=jump jump-target=input_2fa

आइए अब इस सारी संपत्ति को पीपीपी सेवा से जोड़ना शुरू करें। मिक्रोटिक आपको प्रोफाइल (पीपीपी-प्रोफाइल) में स्क्रिप्ट का उपयोग करने और उन्हें पीपीपी कनेक्शन स्थापित करने और तोड़ने की घटनाओं के लिए असाइन करने की अनुमति देता है। पीपीपी-प्रोफ़ाइल सेटिंग्स को संपूर्ण पीपीपी सर्वर या व्यक्तिगत उपयोगकर्ताओं पर लागू किया जा सकता है। उसी समय, उपयोगकर्ता को सौंपी गई प्रोफ़ाइल को प्राथमिकता दी जाती है, जो सर्वर के लिए चयनित प्रोफ़ाइल के मापदंडों को उसके निर्दिष्ट मापदंडों के साथ ओवरराइड करती है।

इस दृष्टिकोण के परिणामस्वरूप, हम दो-कारक प्रमाणीकरण के लिए एक विशेष प्रोफ़ाइल बना सकते हैं और इसे सभी उपयोगकर्ताओं को नहीं, बल्कि केवल उन लोगों को सौंप सकते हैं जो ऐसा करना आवश्यक समझते हैं। यह प्रासंगिक हो सकता है यदि आप पीपीपी सेवाओं का उपयोग न केवल अंतिम उपयोगकर्ताओं को जोड़ने के लिए करते हैं, बल्कि साथ ही साइट-टू-साइट कनेक्शन बनाने के लिए भी करते हैं।

नव निर्मित विशेष प्रोफ़ाइल में, हम पते और इंटरफ़ेस की "ग्रे" सूचियों में जुड़े उपयोगकर्ता के पते और इंटरफ़ेस के गतिशील जोड़ का उपयोग करते हैं:

विनबॉक्स

कोड
/ppp profile add address-list=2fa_jailed change-tcp-mss=no local-address=192.0.2.254 name=2FA interface-list=2fa only-one=yes remote-address=dhcp_pool1 use-compression=no use-encryption= required use-mpls=no use-upnp=no dns-server=172.31.1.1

Dstnat (प्रीरूटिंग) श्रृंखला में गैर-माध्यमिक वीपीएन क्लाइंट से ट्रैफ़िक का पता लगाने और कैप्चर करने के लिए "पता-सूची" और "इंटरफ़ेस-सूची" दोनों सूचियों का उपयोग करना आवश्यक है।

जब तैयारी पूरी हो जाती है, अतिरिक्त फ़ायरवॉल श्रृंखला और एक प्रोफ़ाइल बनाई जाती है, तो हम 2FA कोड और व्यक्तिगत फ़ायरवॉल नियमों के ऑटो-जनरेशन के लिए जिम्मेदार एक स्क्रिप्ट लिखेंगे।

दस्तावेज़ीकरण wiki.mikrotik.com पीपीपी-प्रोफाइल पर हमें पीपीपी क्लाइंट कनेक्ट-डिस्कनेक्ट इवेंट से जुड़े वेरिएबल्स के बारे में जानकारी मिलती है "उपयोगकर्ता लॉगिन-इवेंट पर स्क्रिप्ट निष्पादित करें। ये उपलब्ध वेरिएबल हैं जो ईवेंट स्क्रिप्ट के लिए पहुंच योग्य हैं: उपयोगकर्ता, स्थानीय-पता, रिमोट-पता, कॉलर-आईडी, कॉल-आईडी, इंटरफ़ेस". उनमें से कुछ हमारे लिए बहुत उपयोगी हैं।

पीपीपी ऑन-अप कनेक्शन इवेंट के लिए प्रोफ़ाइल में उपयोग किया गया कोड

#Логируем для отладки полученные переменные 
:log info (

quot;local-address")

:log info (

quot;remote-address")

:log info (

quot;caller-id")

:log info (

quot;called-id")

:log info ([/int pptp-server get (

quot;interface") name])

#Объявляем свои локальные переменные

:local listname "2fa_jailed"

:local viamodem false

:local modemport "usb2"

#ищем автоматически созданную запись в адрес-листе "2fa_jailed"

:local recnum1 [/ip fi address-list find address=(

quot;remote-address") list=$listname]
#получаем псевдослучайный код через random.org

#:local rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user]->"data") 0 4]
#либо получаем псевдослучайный код через локальный генератор

#:local rnd1 [pick ([/cert scep-server otp generate as-value minutes-valid=1]->"password") 0 4 ]
#Ищем и обновляем коммент к записи в адрес-листе. Вносим искомый код для отладки

/ip fir address-list set $recnum1 comment=$rnd1

#получаем номер телефона куда слать SMS

:local vphone [/ppp secret get [find name=$user] comment]
#Готовим тело сообщения. Если клиент подключается к VPN прямо с телефона ему достаточно

#будет перейти прямо по ссылке из полученного сообщения

:local msgboby ("Your code: ".$comm1."n Or open link http://gw.local/otp/".$comm1."/")
# Отправляем SMS по выбранному каналу - USB-модем или email-to-sms

if $viamodem do={

/tool sms send phone-number=$vphone message=$msgboby port=$modemport }

else={

/tool e-mail send server=a.b.c.d [email protected] [email protected] subject="@".$vphone body=$msgboby }
#Генерируем Layer7 regexp

local vregexp ("otp\/".$comm1)

:local vcomment ("2fa_".(

quot;remote-address"))

/ip firewall layer7-protocol add name=(

quot;vcomment") comment=(

quot;remote-address") regexp=(

quot;vregexp")
#Генерируем правило проверяющее по Layer7 трафик клиента в поисках нужного кода

#и небольшой защитой от брутфорса кодов с помощью dst-limit

/ip firewall filter add action=add-src-to-address-list address-list=2fa_approved address-list-timeout=none-dynamic chain=input_2fa dst-port=80,443,3128 layer7-protocol=(

quot;vcomment") protocol=tcp src-address=(

quot;remote-address") dst-limit=1,1,src-address/1m40s



विशेष रूप से उन लोगों के लिए जो बिना सोचे-समझे कॉपी-पेस्ट करना पसंद करते हैं, मैं आपको चेतावनी देता हूं - कोड परीक्षण संस्करण से लिया गया है और इसमें मामूली टाइपो त्रुटियां हो सकती हैं। किसी समझदार व्यक्ति के लिए यह पता लगाना कठिन नहीं होगा कि वास्तव में कहां है।
जब कोई उपयोगकर्ता डिस्कनेक्ट करता है, तो एक "ऑन-डाउन" ईवेंट उत्पन्न होता है और पैरामीटर के साथ संबंधित स्क्रिप्ट को कॉल किया जाता है। इस स्क्रिप्ट का कार्य डिस्कनेक्ट किए गए उपयोगकर्ता के लिए बनाए गए फ़ायरवॉल नियमों को साफ़ करना है।
पीपीपी ऑन-डाउन कनेक्शन इवेंट के लिए प्रोफ़ाइल में उपयोग किया गया कोड
:local vcomment ("2fa_".(

quot;remote-address"))

/ip firewall address-list remove [find address=(

quot;remote-address") list=2fa_approved]
/ip firewall filter remove [find chain="input_2fa" src-address=(

quot;remote-address") ]
/ip firewall layer7-protocol remove [find name=$vcomment]


फिर आप उपयोगकर्ता बना सकते हैं और उनमें से सभी या कुछ को दो-कारक प्रमाणीकरण प्रोफ़ाइल पर असाइन कर सकते हैं।
विनबॉक्स


कोड

/ppp secrets set [find name=Petrov] profile=2FA
यह ग्राहक पक्ष पर कैसा दिखता है.
जब वीपीएन कनेक्शन स्थापित होता है, तो सिम कार्ड वाले एंड्रॉइड/आईओएस फोन/टैबलेट को इस तरह एक एसएमएस प्राप्त होता है:
एसएमएस


यदि कनेक्शन सीधे फोन/टैबलेट से स्थापित किया गया है, तो आप केवल संदेश के लिंक पर क्लिक करके 2एफए से गुजर सकते हैं। यह आरामदायक है।
यदि वीपीएन कनेक्शन पीसी से स्थापित किया गया है, तो उपयोगकर्ता को न्यूनतम पासवर्ड फॉर्म दर्ज करना होगा। वीपीएन सेट करते समय उपयोगकर्ता को HTML फ़ाइल के रूप में एक छोटा फॉर्म दिया जाता है। फ़ाइल को मेल द्वारा भी भेजा जा सकता है ताकि उपयोगकर्ता इसे सहेज सके और सुविधाजनक स्थान पर एक शॉर्टकट बना सके। यह इस तरह दिख रहा है:
मेज पर लेबल


उपयोगकर्ता शॉर्टकट पर क्लिक करता है, एक सरल कोड प्रविष्टि फॉर्म खुलता है, जो कोड को खुले हुए यूआरएल में पेस्ट करेगा:
स्क्रीन फॉर्म


सबसे आदिम रूप उदाहरण के तौर पर दिया गया है। जो चाहें वे अपने लिए संशोधन कर सकते हैं।
2fa_login_mini.html
<html>
<head> <title>SMS OTP login</title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> </head>
<body>
<form name="login" action="location.href='http://gw.local/otp/'+document.getElementById(‘text').value"  method="post"
 <input id="text" type="text"/> 
<input type="button" value="Login" onclick="location.href='http://gw.local/otp/'+document.getElementById('text').value"/> 
</form>
</body>
</html>

यदि प्राधिकरण सफल रहा, तो उपयोगकर्ता को ब्राउज़र में मिक्रोटिक लोगो दिखाई देगा, जिसे सफल प्रमाणीकरण का संकेत देना चाहिए:

ध्यान दें कि छवि WebProxy Deny Redirect का उपयोग करके अंतर्निहित MikroTik वेब सर्वर से लौटाई गई है।
मेरा मानना ​​है कि छवि को "हॉटस्पॉट" टूल का उपयोग करके अनुकूलित किया जा सकता है, वहां अपना खुद का संस्करण अपलोड किया जा सकता है और वेबप्रॉक्सी के साथ उस पर अस्वीकार रीडायरेक्ट यूआरएल सेट किया जा सकता है।
उन लोगों से एक बड़ा अनुरोध जो $20 में सबसे सस्ता "खिलौना" मिकरोटिक खरीदने और उसके साथ $500 का राउटर बदलने की कोशिश कर रहे हैं - ऐसा न करें। "एचएपी लाइट" / "एचएपी मिनी" (होम एक्सेस प्वाइंट) जैसे उपकरणों में बहुत कमजोर सीपीयू (स्मिप्स) होता है, और यह संभावना है कि वे बिजनेस सेगमेंट में लोड का सामना नहीं कर पाएंगे।
चेतावनी!  इस समाधान में एक खामी है: जब क्लाइंट कनेक्ट या डिस्कनेक्ट होते हैं, तो कॉन्फ़िगरेशन परिवर्तन होते हैं, जिन्हें राउटर अपनी गैर-वाष्पशील मेमोरी में सहेजने का प्रयास करता है। बड़ी संख्या में क्लाइंट और बार-बार कनेक्शन और डिस्कनेक्शन के साथ, इससे राउटर में आंतरिक स्टोरेज में गिरावट हो सकती है।
पुनश्च: जहां तक ​​आपकी प्रोग्रामिंग क्षमताएं पर्याप्त हैं, क्लाइंट को कोड पहुंचाने के तरीकों का विस्तार और पूरक किया जा सकता है। उदाहरण के लिए, आप टेलीग्राम पर संदेश भेज सकते हैं या... विकल्प सुझा सकते हैं!
मुझे उम्मीद है कि लेख आपके लिए उपयोगी होगा और छोटे और मध्यम आकार के व्यवसायों के नेटवर्क को थोड़ा और सुरक्षित बनाने में मदद करेगा।
स्रोत: www.habr.com