🥇ორფაქტორიანი ავთენტიფიკაცია VPN მომხმარებლებისთვის MikroTik და SMS

გამარჯობა კოლეგებო! დღეს, როდესაც „დისტანციური მუშაობის“ გარშემო ვნებების ინტენსივობა ოდნავ ჩაცხრა, ადმინისტრატორთა უმრავლესობამ მოიგო თანამშრომლების დისტანციური წვდომის დავალება კორპორატიულ ქსელში, დროა გავუზიარო ჩემი მრავალწლიანი გამოცდილება VPN უსაფრთხოების გაუმჯობესების საქმეში. ეს სტატია ახლა არ იქნება მოდური IPSec IKEv2 და xAuth. საუბარია სისტემის აშენებაზე. ორფაქტორიანი ავთენტიფიკაცია (2FA) VPN მომხმარებლები, როდესაც MikroTik მოქმედებს როგორც VPN სერვერი. კერძოდ, როდესაც გამოიყენება "კლასიკური" პროტოკოლები, როგორიცაა PPP.

დღეს მე გეტყვით როგორ დავიცვათ MikroTik PPP-VPN მომხმარებლის ანგარიშის „გატაცების“ შემთხვევაშიც კი. როდესაც ეს სქემა გააცნო ჩემს ერთ-ერთ მომხმარებელს, მან მოკლედ აღწერა ეს, როგორც "ახლა ისეა, როგორც ბანკში!".

მეთოდი არ იყენებს გარე ავთენტიფიკატორის სერვისებს. ამოცანები შესრულებულია შინაგანად თავად როუტერის მიერ. არანაირი ღირებულება დამაკავშირებელი კლიენტისთვის. მეთოდი მუშაობს როგორც კომპიუტერის კლიენტებისთვის, ასევე მობილური მოწყობილობებისთვის.

დაცვის ზოგადი სქემა შემდეგია:

მომხმარებლის შიდა IP მისამართი, რომელიც წარმატებით არის დაკავშირებული VPN სერვერთან, ავტომატურად შედის ნაცრისფერ სიაში.
კავშირის მოვლენა ავტომატურად წარმოქმნის ერთჯერად კოდს, რომელიც ეგზავნება მომხმარებელს ერთ-ერთი ხელმისაწვდომი მეთოდის გამოყენებით.
ამ სიაში მისამართებს აქვთ შეზღუდული წვდომა ლოკალური ქსელის რესურსებზე, გარდა სერვისის „ავტენტიფიკატორისა“, რომელიც ელოდება ერთჯერადი პაროლის კოდს.
კოდის წარდგენის შემდეგ მომხმარებელს აქვს წვდომა ქსელის შიდა რესურსებზე.

პირველი ყველაზე პატარა პრობლემა, რაც მე მომიწია, იყო მომხმარებლის შესახებ საკონტაქტო ინფორმაციის შენახვა 2FA კოდის გასაგზავნად. ვინაიდან Mikrotik-ში მომხმარებლების შესაბამისი თვითნებური მონაცემთა ველების შექმნა შეუძლებელია, გამოყენებული იქნა არსებული „კომენტარის“ ველი:

/ppp secrets დაამატეთ სახელი=პეტროვის პაროლი=4M@ngr! კომენტარი = "89876543210"

მეორე პრობლემა უფრო სერიოზული აღმოჩნდა - კოდის მიწოდების გზისა და მეთოდის არჩევა. ამჟამად დანერგილია სამი სქემა: ა) SMS USB-მოდემით ბ) ელექტრონული ფოსტა გ) SMS ელექტრონული ფოსტით, რომელიც ხელმისაწვდომია წითელი ფიჭური ოპერატორის კორპორატიული კლიენტებისთვის.

დიახ, SMS სქემებს მოაქვს ხარჯები. მაგრამ თუ დააკვირდებით, „უსაფრთხოება ყოველთვის ფულს ეხება“ (გ).
მე პირადად არ მომწონს ელ.ფოსტის სქემა. არა იმიტომ, რომ ის მოითხოვს ფოსტის სერვერის ხელმისაწვდომობას კლიენტისთვის, რომლის ავტორიზაცია ხდება - ტრაფიკის გაყოფა პრობლემა არ არის. თუმცა, თუ კლიენტი დაუდევრად შეინახავდა როგორც vpn, ასევე ელ.ფოსტის პაროლს ბრაუზერში და შემდეგ დაკარგავდა ლეპტოპს, თავდამსხმელი მისგან მიიღებს სრულ წვდომას კორპორატიულ ქსელში.

ასე რომ, გადაწყვეტილია - ჩვენ ვაწვდით ერთჯერად კოდს SMS შეტყობინებების გამოყენებით.

მესამე პრობლემა იყო სად როგორ გენერირება ფსევდო შემთხვევითი კოდი 2FA-სთვის MikroTik-ში. არ არსებობს შემთხვევითი() ფუნქციის ანალოგი RouterOS სკრიპტირების ენაში და მანამდე მინახავს რამდენიმე კრუტუნის სკრიპტის ფსევდო შემთხვევითი რიცხვების გენერატორი. არც ერთი არ მომეწონა სხვადასხვა მიზეზის გამო.

სინამდვილეში, MikroTik-ში არის ფსევდო შემთხვევითი მიმდევრობის გენერატორი! იგი დაფარულია ზედაპირული შეხედვით /სერთიფიკატების scep-server-ის კონტექსტში. პირველი მეთოდი ერთჯერადი პაროლის მიღება მარტივი და მარტივია - ბრძანებით / სერთიფიკატები scep-server otp გენერირება. თუ ჩვენ შევასრულებთ ცვლადის მინიჭების მარტივ ოპერაციას, მივიღებთ მასივის მნიშვნელობას, რომელიც შეიძლება მოგვიანებით გამოვიყენოთ სკრიპტებში.

მეორე მეთოდი ერთჯერადი პაროლის მიღება, რომელიც ასევე მარტივი გამოსაყენებელია - გარე სერვისის გამოყენებით შემთხვევითი.org ფსევდო შემთხვევითი რიცხვების სასურველი სახის მიმდევრობის გენერირება. აქ არის გამარტივებული კანტილევერი ცვლადში მონაცემების მიღების მაგალითი:

კოდი
:global rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user ]->"da ta") 1 6] :put $rnd1

კონსოლისთვის ფორმატირებული მოთხოვნა (სკრიპტის სხეულში საჭირო იქნება სპეციალური სიმბოლოების გაქცევა) იღებს ექვსციფრიან სტრიქონს $rnd1 ცვლადში. შემდეგი "put" ბრძანება უბრალოდ აჩვენებს ცვლადს MikroTik კონსოლში.

მეოთხე პრობლემა რაც სწრაფად უნდა მოგვარებულიყო, იყო ის, თუ როგორ და სად გადასცემდა დაკავშირებული კლიენტი თავის ერთჯერად კოდს ავტორიზაციის მეორე ეტაპზე.

MikroTik როუტერზე უნდა იყოს სერვისი, რომელსაც შეუძლია კოდის მიღება და კონკრეტულ კლიენტთან შეხამება. თუ მოწოდებული კოდი ემთხვევა მოსალოდნელს, კლიენტის მისამართი უნდა იყოს შეტანილი გარკვეულ „თეთრ“ სიაში, საიდანაც ნებადართულია წვდომა კომპანიის შიდა ქსელში.

სერვისების ცუდი არჩევანის გამო, გადაწყდა კოდების მიღება http-ის საშუალებით Mikrotik-ში ჩაშენებული webproxy-ის გამოყენებით. და რადგან firewall-ს შეუძლია იმუშაოს IP მისამართების დინამიურ სიებთან, ეს არის firewall, რომელიც ახორციელებს კოდის ძიებას, შეესაბამება მას კლიენტის IP-სთან და ამატებს მას "თეთრ" სიაში Layer7 regexp-ის გამოყენებით. თავად როუტერს მიენიჭა პირობითი DNS სახელი "gw.local", მასზე შეიქმნა სტატიკური A- ჩანაწერი PPP კლიენტებისთვის გასაცემად:

DNS
/ip dns static add name=gw.local address=172.31.1.1

ტრაფიკის აღება დაუდასტურებელი კლიენტებისგან პროქსის საშუალებით:
/ip firewall nat add chain=dstnat dst-port=80,443 in-interface=2fa protocol=tcp !src-address-list=2fa_approved action=redirect to-ports=3128

ამ შემთხვევაში პროქსის ორი ფუნქცია აქვს.

1. გახსენით tcp კავშირები კლიენტებთან;

2. წარმატებული ავტორიზაციის შემთხვევაში, კლიენტის ბრაუზერი გადამისამართეთ გვერდზე ან სურათზე, რომელიც აცნობებს წარმატებული ავტორიზაციის შესახებ:

პროქსი კონფიგურაცია
/ip proxy set enabled=yes port=3128 /ip proxy access add action=deny disabled=no redirect-to=gw.local./mikrotik_logo.png src-address=0.0.0.0/0

მე ჩამოვთვლი კონფიგურაციის მნიშვნელოვან ელემენტებს:

ინტერფეისის სია "2fa" - კლიენტის ინტერფეისების დინამიური სია, საიდანაც ტრაფიკი მოითხოვს დამუშავებას 2FA-ში;
მისამართების სია „2fa_jailed“ — VPN კლიენტების გვირაბის IP მისამართების „ნაცრისფერი“ სია;
address_list "2fa_approved" - VPN კლიენტების გვირაბის IP მისამართების თეთრი სია, რომლებმაც წარმატებით გაიარეს ორფაქტორიანი ავთენტიფიკაცია.
firewall ჯაჭვი "input_2fa" - ის ამოწმებს tcp პაკეტებს ავტორიზაციის კოდის არსებობისთვის და შეესაბამება კოდის გამგზავნის IP მისამართს საჭიროს. ჯაჭვის წესები ემატება და ამოღებულია დინამიურად.

პაკეტის დამუშავების გამარტივებული დიაგრამა ასე გამოიყურება:

"ნაცრისფერი" სიიდან კლიენტებისგან ტრაფიკის Layer7 შემოწმებაში შესასვლელად, რომლებსაც ჯერ არ გაუვლიათ ავტორიზაციის მეორე ეტაპი, სტანდარტული "შეყვანის" ჯაჭვში შეიქმნა წესი:

კოდი
/ip firewall filter add chain=input !src-address-list=2fa_approved action=jump jump-target=input_2fa

ახლა დავიწყოთ მთელი ამ სიმდიდრის დაკავშირება PPP სერვისთან. MikroTik საშუალებას გაძლევთ გამოიყენოთ სკრიპტები პროფილებში (ppp-პროფილი) და მიაკუთვნოთ ისინი ppp კავშირის დაყენებისა და გაწყვეტის მოვლენებს. ppp-პროფილის პარამეტრები შეიძლება გამოყენებულ იქნას როგორც PPP სერვერზე, როგორც მთლიანზე, ასევე ცალკეულ მომხმარებლებს. ამ შემთხვევაში, მომხმარებლისთვის მინიჭებულ პროფილს აქვს პრიორიტეტი, რომელიც აჭარბებს სერვერისთვის შერჩეული პროფილის პარამეტრებს მისი მითითებული პარამეტრებით.

ამ მიდგომის შედეგად ჩვენ შეგვიძლია შევქმნათ სპეციალური პროფილი ორფაქტორიანი ავთენტიფიკაციისთვის და მივაკუთვნოთ არა ყველა მომხმარებელს, არამედ მხოლოდ მათ, ვინც ამას საჭიროდ თვლის. ეს შეიძლება იყოს რელევანტური, თუ იყენებთ PPP სერვისებს არა მხოლოდ საბოლოო მომხმარებლების დასაკავშირებლად, არამედ, ამავე დროს, საიტიდან საიტის კავშირების დასამყარებლად.

ახლად შექმნილ სპეციალურ პროფილში ჩვენ ვიყენებთ დაკავშირებული მომხმარებლის მისამართისა და ინტერფეისის დინამიურ დამატებას მისამართებისა და ინტერფეისების "ნაცრისფერ" სიებში:

ვინბოქსი

კოდი
/ppp profile add address-list=2fa_jailed change-tcp-mss=no local-address=192.0.2.254 name=2FA interface-list=2fa only-one=yes remote-address=dhcp_pool1 use-compression=no use-encryption= required use-mpls=no use-upnp=no dns-server=172.31.1.1

აუცილებელია გამოიყენოთ როგორც "მისამართების სია" და "ინტერფეისის სია" სიების აღმოსაჩენად და აღრიცხვისთვის არამეორადი VPN კლიენტებისგან ტრაფიკი dstnat (წინასწარ გადაყვანის) ჯაჭვში.

როდესაც მზადება დასრულდება, დამატებითი firewall ჯაჭვები და პროფილი შეიქმნება, ჩვენ დავწერთ სკრიპტს, რომელიც პასუხისმგებელია 2FA კოდის ავტომატურ გენერირებაზე და ცალკეულ ფაირვოლ წესებზე.

დოკუმენტაცია wiki.mikrotik.com PPP-პროფილზე გვამდიდრებს ინფორმაცია ცვლადების შესახებ, რომლებიც დაკავშირებულია PPP კლიენტის დაკავშირება-გაწყვეტის მოვლენებთან "შეასრულეთ სკრიპტი მომხმარებლის შესვლა-მოვლენაზე. ეს არის ხელმისაწვდომი ცვლადები, რომლებიც ხელმისაწვდომია მოვლენის სკრიპტისთვის: მომხმარებელი, ლოკალური მისამართი, დისტანციური მისამართი, აბონენტის ID, გამოძახებული ID, ინტერფეისი". ზოგიერთი მათგანი ჩვენთვის ძალიან სასარგებლოა.

კოდი, რომელიც გამოიყენება პროფილში PPP ჩართული კავშირის ღონისძიებისთვის

#Логируем для отладки полученные переменные :log info ( quot;local-address") :log info ( quot;remote-address") :log info ( quot;caller-id") :log info ( quot;called-id") :log info ([/int pptp-server get ( quot;interface") name]) #Объявляем свои локальные переменные :local listname "2fa_jailed" :local viamodem false :local modemport "usb2" #ищем автоматически созданную запись в адрес-листе "2fa_jailed" :local recnum1 [/ip fi address-list find address=( quot;remote-address") list=$listname] #получаем псевдослучайный код через random.org #:local rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user]->"data") 0 4] #либо получаем псевдослучайный код через локальный генератор #:local rnd1 [pick ([/cert scep-server otp generate as-value minutes-valid=1]->"password") 0 4 ] #Ищем и обновляем коммент к записи в адрес-листе. Вносим искомый код для отладки /ip fir address-list set $recnum1 comment=$rnd1 #получаем номер телефона куда слать SMS :local vphone [/ppp secret get [find name=$user] comment] #Готовим тело сообщения. Если клиент подключается к VPN прямо с телефона ему достаточно #будет перейти прямо по ссылке из полученного сообщения :local msgboby ("Your code: ".$comm1."n Or open link http://gw.local/otp/".$comm1."/") # Отправляем SMS по выбранному каналу - USB-модем или email-to-sms if $viamodem do={ /tool sms send phone-number=$vphone message=$msgboby port=$modemport } else={ /tool e-mail send server=a.b.c.d [email protected] [email protected] subject="@".$vphone body=$msgboby } #Генерируем Layer7 regexp local vregexp ("otp\/".$comm1) :local vcomment ("2fa_".( quot;remote-address")) /ip firewall layer7-protocol add name=( quot;vcomment") comment=( quot;remote-address") regexp=( quot;vregexp") #Генерируем правило проверяющее по Layer7 трафик клиента в поисках нужного кода #и небольшой защитой от брутфорса кодов с помощью dst-limit /ip firewall filter add action=add-src-to-address-list address-list=2fa_approved address-list-timeout=none-dynamic chain=input_2fa dst-port=80,443,3128 layer7-protocol=( quot;vcomment") protocol=tcp src-address=(

quot;remote-address") dst-limit=1,1,src-address/1m40s
განსაკუთრებით მათთვის, ვისაც უყვარს უაზრო კოპირება-პასტის გაკეთება, გაფრთხილებთ - კოდი აღებულია სატესტო ვერსიიდან და შესაძლოა შეიცავდეს მცირე შეცდომას. გააზრებული ადამიანისთვის არ გაუჭირდება ზუსტად იმის გარკვევა, სად.

როდესაც მომხმარებელი გათიშავს, იქმნება "On-Down" მოვლენა და გამოიძახება შესაბამისი სკრიპტი პარამეტრებით. ამ სკრიპტის ამოცანაა გათიშული მომხმარებლისთვის შექმნილი firewall-ის წესების გასუფთავება.

კოდი, რომელიც გამოიყენება პროფილში PPP ქვევით კავშირის მოვლენისთვის

:local vcomment ("2fa_".( quot;remote-address")) /ip firewall address-list remove [find address=( quot;remote-address") list=2fa_approved] /ip firewall filter remove [find chain="input_2fa" src-address=(

quot;remote-address") ] /ip firewall layer7-protocol remove [find name=$vcomment]
შემდეგ შეგიძლიათ შექმნათ მომხმარებლები და მიაკუთვნოთ ყველა ან ზოგიერთი მათგანი ორფაქტორიანი ავტორიზაციის პროფილს.

ვინბოქსი

კოდი
/ppp secrets set [find name=Petrov] profile=2FA

როგორ გამოიყურება კლიენტის მხრიდან.

VPN კავშირის დამყარებისას, Android/iOS ტელეფონი/ტაბლეტი SIM ბარათით იღებს ასეთ SMS-ს:

ესემესი

თუ კავშირი დამყარებულია უშუალოდ ტელეფონიდან / ტაბლეტიდან, მაშინ შეგიძლიათ გაიაროთ 2FA უბრალოდ შეტყობინების ბმულზე დაჭერით. კომფორტულია.

თუ VPN კავშირი დამყარებულია კომპიუტერიდან, მაშინ მომხმარებელს მოეთხოვება მინიმალური პაროლის ფორმის შეყვანა. VPN-ის დაყენებისას მომხმარებელს ეძლევა მცირე ფორმა HTML ფაილის სახით. ფაილის გაგზავნა შესაძლებელია ფოსტითაც კი, რათა მომხმარებელმა შეინახოს იგი და შექმნას მალსახმობი მოსახერხებელ ადგილას. ეს ასე გამოიყურება:

ეტიკეტი მაგიდაზე

მომხმარებელი დააწკაპუნებს მალსახმობზე, იხსნება კოდის შეყვანის მარტივი ფორმა, რომელიც ჩასვით კოდს გახსნილ URL-ში:

ეკრანის ფორმა

მაგალითისთვის მოყვანილია ყველაზე პრიმიტიული ფორმა. მსურველებს შეუძლიათ საკუთარი თავის შეცვლა.

2fa_login_mini.html

<html>
<head> <title>SMS OTP login</title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> </head>
<body>
<form name="login" action="location.href='http://gw.local/otp/'+document.getElementById(‘text').value"  method="post"
 <input id="text" type="text"/> 
<input type="button" value="Login" onclick="location.href='http://gw.local/otp/'+document.getElementById('text').value"/> 
</form>
</body>
</html>

თუ ავტორიზაცია წარმატებული იყო, მომხმარებელი დაინახავს MikroTik ლოგოს ბრაუზერში, რომელიც უნდა მიუთითებდეს წარმატებულ ავთენტიფიკაციაზე:

გაითვალისწინეთ, რომ სურათი ბრუნდება ჩაშენებული MikroTik ვებ სერვერიდან WebProxy Deny Redirect-ის გამოყენებით.

ვფიქრობ, სურათის მორგება შესაძლებელია "ცხელი წერტილის" ხელსაწყოს გამოყენებით, ატვირთეთ თქვენი საკუთარი ვერსია იქ და დააყენეთ მასზე უარის თქმის გადამისამართების URL WebProxy-ით.

დიდი თხოვნა მათ, ვინც ცდილობს იყიდოს ყველაზე იაფი „სათამაშო“ Mikrotik 20 დოლარად და შეცვალოს იგი 500 დოლარიანი როუტერით - ნუ გააკეთებთ ამას. მოწყობილობებს, როგორიცაა "hAP Lite"/"hAP mini" (სახლის წვდომის წერტილი) აქვთ ძალიან სუსტი CPU (smips) და, სავარაუდოდ, ვერ უმკლავდებიან დატვირთვას ბიზნეს სეგმენტში.

ყურადღება! ამ გადაწყვეტას აქვს ერთი ნაკლი: კლიენტების მიერთების ან გათიშვისას ხდება კონფიგურაციის ცვლილებები, რასაც როუტერი ცდილობს შეინახოს თავის არასტაბილურ მეხსიერებაში. კლიენტების დიდი რაოდენობით და ხშირი კავშირებითა და გათიშვით, ამან შეიძლება გამოიწვიოს როუტერში შიდა მეხსიერების დეგრადაცია.

PS: კლიენტისთვის კოდის მიწოდების მეთოდები შეიძლება გაფართოვდეს და დაემატოს იმდენად, რამდენადაც თქვენი პროგრამირების შესაძლებლობები საკმარისია. მაგალითად, შეგიძლიათ გაგზავნოთ შეტყობინებები ტელეგრამაზე ან... შემოგთავაზოთ ვარიანტები!

ვიმედოვნებ, რომ ეს სტატია თქვენთვის სასარგებლო იქნება და დაგეხმარებათ მცირე და საშუალო ბიზნესის ქსელების უფრო დაცულობაში.

წყარო: www.habr.com

VPN მომხმარებლების ორფაქტორიანი ავთენტიფიკაცია MikroTik-ისა და SMS-ის საშუალებით