🥇אימות דו-גורמי למשתמשי VPN באמצעות MikroTik ו-SMS

שלום עמיתים! היום, כאשר עוצמת התשוקות סביב "עבודה מרחוק" שככה מעט, רוב המנהלים זכו במשימה של גישה מרחוק של עובדים לרשת הארגונית, הגיע הזמן לחלוק את הניסיון רב השנים שלי בשיפור אבטחת ה-VPN. מאמר זה לא יהיה אופנתי כעת IPSec IKEv2 ו-xAuth. מדובר בבניית מערכת. אימות דו-גורמי (2FA) משתמשי VPN כאשר MikroTik פועל כשרת VPN. כלומר, כאשר משתמשים בפרוטוקולים "קלאסיים" כגון PPP.

היום אני אגיד לך איך להגן על MikroTik PPP-VPN גם במקרה של "חטיפה" של חשבון המשתמש. כאשר התוכנית הזו הוצגה לאחד הלקוחות שלי, הוא תיאר אותה בקצרה כ"טוב, עכשיו זה בדיוק כמו בבנק!".

השיטה אינה משתמשת בשירותי אימות חיצוניים. המשימות מבוצעות באופן פנימי על ידי הנתב עצמו. ללא עלות עבור הלקוח המחבר. השיטה פועלת הן עבור לקוחות PC והן עבור מכשירים ניידים.

תכנית ההגנה הכללית היא כדלקמן:

כתובת ה-IP הפנימית של משתמש שהתחבר בהצלחה לשרת ה-VPN מופיעה באופן אוטומטי ברשימה אפורה.
אירוע החיבור יוצר אוטומטית קוד חד פעמי שנשלח למשתמש באחת מהשיטות הזמינות.
לכתובות ברשימה זו יש גישה מוגבלת למשאבי רשת מקומית, למעט שירות "מאמת", שמחכה לקבל קוד סיסמה חד פעמי.
לאחר הצגת הקוד, למשתמש יש גישה למשאבים הפנימיים של הרשת.

Первая הבעיה הקטנה ביותר שנאלצתי להתמודד איתה הייתה אחסון פרטי הקשר על המשתמש כדי לשלוח לו את קוד ה-2FA. מכיוון שאי אפשר ליצור שדות נתונים שרירותיים התואמים למשתמשים ב-Mikrotik, נעשה שימוש בשדה "הערה" הקיים:

/ppp סודות הוסף שם=סיסמת פטרוב=4M@ngr! comment="89876543210"

ב הבעיה התבררה כחמורה יותר - בחירת הנתיב והשיטה להעברת הקוד. שלוש תוכניות מיושמות כיום: א) SMS באמצעות מודם USB ב) דואר אלקטרוני ג) SMS באמצעות דואר אלקטרוני זמין עבור לקוחות ארגוניים של מפעיל הסלולר האדום.

כן, תוכניות SMS מביאות עלויות. אבל אם אתה מסתכל, "ביטחון הוא תמיד על כסף" (ג).
אני אישית לא אוהב את התוכנית עם דואר אלקטרוני. לא בגלל שזה מחייב את שרת הדואר להיות זמין עבור הלקוח המאומת - אין בעיה לפצל את התעבורה. עם זאת, אם לקוח שמר ברשלנות גם סיסמאות vpn וגם דוא"ל בדפדפן ואז איבד את המחשב הנייד שלו, התוקף יקבל ממנו גישה מלאה לרשת הארגונית.

אז, הוחלט - אנו מספקים קוד חד פעמי באמצעות הודעות SMS.

Третья הבעיה הייתה איפה כיצד ליצור קוד פסאודו אקראי עבור 2FA ב-MikroTik. אין אנלוגי לפונקציה random() בשפת הסקריפטים של RouterOS, וראיתי כמה מחוללי מספרים פסאודו-אקראיים של קביים בעבר. לא אהבתי אף אחד מהם מסיבות שונות.

למעשה, יש מחולל רצפים פסאודו אקראי ב-MikroTik! הוא מוסתר ממבט שטחי בהקשר של /certificates scep-server. השיטה הראשונה קבלת סיסמה חד פעמית היא קלה ופשוטה - עם הפקודה /certificates scep-server otp ליצור. אם נבצע פעולת הקצאת משתנה פשוטה, נקבל ערך מערך שניתן להשתמש בו מאוחר יותר בסקריפטים.

שיטה שנייה קבלת סיסמה חד פעמית שגם היא קלה ליישום - באמצעות שירות חיצוני random.org כדי ליצור את הסוג הרצוי של רצף של מספרים פסאודו אקראיים. הנה פשטות שלוחה דוגמה להכנסת נתונים למשתנה:

קוד
:global rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user ]->"da ta") 1 6] :put $rnd1

בקשה המעוצבת עבור המסוף (תווים מיוחדים יידרשו בגוף הסקריפט) מקבלת מחרוזת של שש ספרות למשתנה $rnd1. הפקודה הבאה "put" פשוט מציגה את המשתנה בקונסולת MikroTik.

הבעיה הרביעית שהיה צריך לפתור במהירות - כך ואיפה הלקוח המחובר יעביר את הקוד החד-פעמי שלו בשלב השני של האימות.

חייב להיות שירות בנתב MikroTik שיכול לקבל את הקוד ולהתאים אותו ללקוח ספציפי. אם הקוד שסופק תואם את הקוד הצפוי, יש לכלול את כתובת הלקוח ברשימה "לבנה" מסוימת, שממנה מותרת גישה לרשת הפנימית של החברה.

בשל הבחירה הדלה של השירותים, הוחלט לקבל קודים דרך http באמצעות ה-webproxy המובנה ב-Mikrotik. ומכיוון שחומת האש יכולה לעבוד עם רשימות דינמיות של כתובות IP, חומת האש היא זו שמבצעת את החיפוש אחר הקוד, מתאימה אותו ל-IP של הלקוח ומוסיפה אותו לרשימה ה"לבנה" באמצעות Layer7 regexp. לנתב עצמו הוקצה שם DNS מותנה "gw.local", נוצרה עליו רשומת A סטטית להנפקה ללקוחות PPP:

DNS
/ip dns static add name=gw.local address=172.31.1.1

לכידת תנועה של לקוחות לא מאומתים בפרוקסי:
/ip firewall nat add chain=dstnat dst-port=80,443 in-interface=2fa protocol=tcp !src-address-list=2fa_approved action=redirect to-ports=3128

במקרה זה, ל-proxy יש שתי פונקציות.

1. פתח חיבורי tcp עם לקוחות;

2. במקרה של הרשאה מוצלחת, הפנה מחדש את דפדפן הלקוח לדף או תמונה המודיעים על אימות מוצלח:

תצורת פרוקסי
/ip proxy set enabled=yes port=3128 /ip proxy access add action=deny disabled=no redirect-to=gw.local./mikrotik_logo.png src-address=0.0.0.0/0

אפרט את רכיבי התצורה החשובים:

interface-list "2fa" - רשימה דינמית של ממשקי לקוח, שתעבורה ממנה דורשת עיבוד בתוך 2FA;
רשימת כתובות "2fa_jailed" - רשימה "אפורה" של כתובות IP במנהרה של לקוחות VPN;
address_list "2fa_approved" - רשימה "לבנה" של כתובות IP במנהרה של לקוחות VPN שעברו בהצלחה אימות דו-גורמי.
שרשרת חומת האש "input_2fa" - היא בודקת את קיומו של קוד הרשאה של מנות tcp ומתאימה את כתובת ה-IP של שולח הקוד לכתובת הנדרשת. כללים בשרשרת מתווספים ומוסרים באופן דינמי.

תרשים זרימה פשוט של עיבוד מנות נראה כך:

כדי להיכנס לבדיקת Layer7 של תעבורה מלקוחות מהרשימה ה"אפורה" שעדיין לא עברו את השלב השני של האימות, נוצר כלל בשרשרת ה"קלט" הרגילה:

קוד
/ip firewall filter add chain=input !src-address-list=2fa_approved action=jump jump-target=input_2fa

עכשיו בואו נתחיל להצמיד את כל העושר הזה לשירות PPP. MikroTik מאפשרת לך להשתמש בסקריפטים בפרופילים (ppp-profile) ולהקצות אותם לאירועים של הקמת וניתוק חיבור ppp. ניתן להחיל את הגדרות פרופיל ppp הן על שרת ה-PPP בכללותו והן על משתמשים בודדים. יחד עם זאת, לפרופיל המוקצה למשתמש יש עדיפות, העוקף את הפרמטרים של הפרופיל שנבחר עבור השרת בכללותו עם הפרמטרים שצוינו.

כתוצאה מגישה זו, נוכל ליצור פרופיל מיוחד לאימות דו-גורמי ולהקצותו לא לכל המשתמשים, אלא רק למי שחושב שיש צורך לעשות זאת. זה עשוי להיות רלוונטי אם אתה משתמש בשירותי PPP לא רק כדי לחבר משתמשי קצה, אלא באותו הזמן כדי לבנות חיבורים מאתר לאתר.

בפרופיל המיוחד החדש שנוצר, אנו משתמשים בתוספת הדינמית של הכתובת והממשק של המשתמש המחובר לרשימות ה"אפורות" של הכתובות והממשקים:

winbox

קוד
/ppp profile add address-list=2fa_jailed change-tcp-mss=no local-address=192.0.2.254 name=2FA interface-list=2fa only-one=yes remote-address=dhcp_pool1 use-compression=no use-encryption= required use-mpls=no use-upnp=no dns-server=172.31.1.1

יש צורך להשתמש ברשימות "רשימת כתובות" ו"רשימת ממשק" כדי לזהות וללכוד תעבורה מלקוחות VPN שאינם משניים בשרשרת dstnat (prerouting).

בסיום ההכנה, נוצרות שרשרות נוספות של חומת אש ופרופיל, נכתוב סקריפט שאחראי על יצירה אוטומטית של קוד ה-2FA וכללי חומת אש בודדים.

תיעוד wiki.mikrotik.com on PPP-Profile מעשיר אותנו במידע על משתנים הקשורים לאירועי חיבור-ניתוק של לקוח PPP "הפעל סקריפט באירוע התחברות של המשתמש. אלו הם משתנים זמינים הנגישים עבור סקריפט האירוע: משתמש, כתובת מקומית, כתובת מרחוק, מזהה מתקשר, מזהה טלפון, ממשק". חלקם מאוד שימושיים עבורנו.

קוד בשימוש בפרופיל עבור אירוע חיבור PPP on-up

#Логируем для отладки полученные переменные 
:log info (

quot;local-address")

:log info (

quot;remote-address")

:log info (

quot;caller-id")

:log info (

quot;called-id")

:log info ([/int pptp-server get (

quot;interface") name])

#Объявляем свои локальные переменные

:local listname "2fa_jailed"

:local viamodem false

:local modemport "usb2"

#ищем автоматически созданную запись в адрес-листе "2fa_jailed"

:local recnum1 [/ip fi address-list find address=(

quot;remote-address") list=$listname]
#получаем псевдослучайный код через random.org

#:local rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user]->"data") 0 4]
#либо получаем псевдослучайный код через локальный генератор

#:local rnd1 [pick ([/cert scep-server otp generate as-value minutes-valid=1]->"password") 0 4 ]
#Ищем и обновляем коммент к записи в адрес-листе. Вносим искомый код для отладки

/ip fir address-list set $recnum1 comment=$rnd1

#получаем номер телефона куда слать SMS

:local vphone [/ppp secret get [find name=$user] comment]
#Готовим тело сообщения. Если клиент подключается к VPN прямо с телефона ему достаточно

#будет перейти прямо по ссылке из полученного сообщения

:local msgboby ("Your code: ".$comm1."n Or open link http://gw.local/otp/".$comm1."/")
# Отправляем SMS по выбранному каналу - USB-модем или email-to-sms

if $viamodem do={

/tool sms send phone-number=$vphone message=$msgboby port=$modemport }

else={

/tool e-mail send server=a.b.c.d [email protected] [email protected] subject="@".$vphone body=$msgboby }
#Генерируем Layer7 regexp

local vregexp ("otp\/".$comm1)

:local vcomment ("2fa_".(

quot;remote-address"))

/ip firewall layer7-protocol add name=(

quot;vcomment") comment=(

quot;remote-address") regexp=(

quot;vregexp")
#Генерируем правило проверяющее по Layer7 трафик клиента в поисках нужного кода

#и небольшой защитой от брутфорса кодов с помощью dst-limit

/ip firewall filter add action=add-src-to-address-list address-list=2fa_approved address-list-timeout=none-dynamic chain=input_2fa dst-port=80,443,3128 layer7-protocol=(

quot;vcomment") protocol=tcp src-address=(

quot;remote-address") dst-limit=1,1,src-address/1m40s



במיוחד למי שאוהב לעשות העתק-הדבק ללא שכל, אני מזהיר אותך - הקוד נלקח מגרסת הבדיקה ועלול להכיל שגיאות הקלדה קלות. לאדם מבין לא יהיה קשה להבין היכן בדיוק.
כאשר משתמש מתנתק, נוצר אירוע "On-Down" והסקריפט המתאים עם הפרמטרים נקרא. מטרת הסקריפט הזה היא לנקות את כללי חומת האש שנוצרו עבור המשתמש המנותק.
קוד המשמש בפרופיל עבור אירוע חיבור PPP on-down
:local vcomment ("2fa_".(

quot;remote-address"))

/ip firewall address-list remove [find address=(

quot;remote-address") list=2fa_approved]
/ip firewall filter remove [find chain="input_2fa" src-address=(

quot;remote-address") ]
/ip firewall layer7-protocol remove [find name=$vcomment]


לאחר מכן תוכל ליצור משתמשים ולהקצות את כולם או חלקם לפרופיל אימות דו-גורמי.
winbox


קוד

/ppp secrets set [find name=Petrov] profile=2FA
איך זה נראה בצד הלקוח.
כאשר נוצר חיבור VPN, טלפון/טאבלט אנדרואיד/iOS עם כרטיס SIM מקבל הודעת SMS בצורה הבאה:
סמס


אם החיבור נוצר ישירות מהטלפון / הטאבלט, אז אתה יכול לעבור דרך 2FA פשוט על ידי לחיצה על הקישור מההודעה. זה נוח.
אם חיבור ה-VPN נוצר ממחשב, המשתמש יידרש להזין טופס סיסמה מינימלית. טופס קטן בצורת קובץ HTML ניתן למשתמש בעת הגדרת ה-VPN. ניתן אפילו לשלוח את הקובץ בדואר כך שהמשתמש שומר אותו ויוצר קיצור דרך במקום נוח. זה נראה כמו זה:
תווית על השולחן


המשתמש לוחץ על קיצור הדרך, נפתח טופס הזנת קוד פשוט אשר ידביק את הקוד בכתובת ה-URL שנפתחה:
טופס מסך


הצורה הפרימיטיבית ביותר ניתנת כדוגמה. מי שרוצה יכול לשנות בעצמו.
2fa_login_mini.html
<html>
<head> <title>SMS OTP login</title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> </head>
<body>
<form name="login" action="location.href='http://gw.local/otp/'+document.getElementById(‘text').value"  method="post"
 <input id="text" type="text"/> 
<input type="button" value="Login" onclick="location.href='http://gw.local/otp/'+document.getElementById('text').value"/> 
</form>
</body>
</html>

אם ההרשאה הצליחה, המשתמש יראה את הלוגו של MikroTik בדפדפן, שאמור לאותת על אימות מוצלח:

שימו לב שהתמונה מוחזרת משרת האינטרנט המובנה של MikroTik באמצעות WebProxy Deny Redirect.
אני מניח שניתן להתאים אישית את התמונה באמצעות הכלי "נקודה חמה", העלאת גרסה משלך לשם והגדרת כתובת ה-Dany Redirect אליה באמצעות WebProxy.
בקשה גדולה למי שמנסה לקנות את "הצעצוע" הזול ביותר של מיקרוטיק ב-20$ ולהחליף בו נתב של 500$ - אל תעשו את זה. למכשירים כמו "hAP Lite" / "hAP mini" (נקודת גישה ביתית) יש מעבד (smips) חלש מאוד, וסביר להניח שהם לא יתמודדו עם העומס בפלח העסקי.
אזהרה!  לפתרון הזה יש חיסרון אחד: כאשר לקוחות מתחברים או מתנתקים, מתרחשים שינויים בתצורה, אותם מנסה הנתב לשמור בזיכרון הלא נדיף שלו. עם מספר רב של לקוחות וחיבורים וניתוקים תכופים, הדבר עלול להוביל לפגיעה באחסון הפנימי בנתב.
נ.ב: ניתן להרחיב ולהשלים שיטות להעברת קוד ללקוח ככל שיכולות התכנות שלך מספיקות. לדוגמה, אתה יכול לשלוח הודעות לטלגרם או ... להציע אפשרויות!
אני מקווה שהמאמר יהיה שימושי עבורכם ויעזור להפוך את הרשתות של עסקים קטנים ובינוניים לקצת יותר בטוחים.
מקור: www.habr.com

אימות דו-גורמי של משתמשי VPN באמצעות MikroTik ו-SMS