MikroTik 및 SMS를 통한 VPN 사용자의 이중 인증

안녕 동료들! 오늘날 "원격 작업"에 대한 열정의 강도가 약간 가라앉았을 때 대부분의 관리자가 회사 네트워크에 대한 직원의 원격 액세스 작업을 이겼습니다. VPN 보안 개선에 대한 오랜 경험을 공유할 때입니다. 이 기사는 이제 IPSec IKEv2 및 xAuth에 유행하지 않을 것입니다. 시스템을 구축하는 것입니다. 2단계 인증(XNUMXFA) MikroTik이 VPN 서버 역할을 하는 VPN 사용자. 즉, PPP와 같은 "고전적인" 프로토콜이 사용되는 경우입니다.

오늘은 사용자 계정이 "하이재킹"된 경우에도 MikroTik PPP-VPN을 보호하는 방법을 알려드리겠습니다. 이 제도를 내 고객 중 한 명에게 소개했을 때 그는 "음, 이제 은행에 있는 것과 같습니다!"라고 간단히 설명했습니다.

이 방법은 외부 인증자 서비스를 사용하지 않습니다. 작업은 라우터 자체에서 내부적으로 수행됩니다. 연결 클라이언트에 대한 비용이 없습니다. 이 방법은 PC 클라이언트와 모바일 장치 모두에서 작동합니다.

일반적인 보호 체계는 다음과 같습니다.

1. VPN 서버에 성공적으로 연결된 사용자의 내부 IP 주소는 자동으로 그레이리스트에 추가됩니다.
2. 연결 이벤트는 사용 가능한 방법 중 하나를 사용하여 사용자에게 전송되는 일회성 코드를 자동으로 생성합니다.
3. 이 목록의 주소는 일회성 암호를 받기 위해 대기 중인 "인증자" 서비스를 제외하고 로컬 네트워크 리소스에 대한 액세스가 제한됩니다.
4. 코드를 제시한 후 사용자는 네트워크의 내부 리소스에 액세스할 수 있습니다.

처음으로 내가 직면해야 했던 가장 작은 문제는 사용자에게 2FA 코드를 보내기 위해 사용자에 대한 연락처 정보를 저장하는 것이었습니다. Mikrotik에서는 사용자에 해당하는 임의의 데이터 필드를 생성하는 것이 불가능하므로 기존 "설명" 필드를 사용했습니다.

/ppp 비밀 추가 이름=Petrov 비밀번호=4M@ngr! 코멘트="89876543210"

초 문제는 더 심각한 것으로 판명되었습니다. 경로 선택과 코드 전달 방법입니다. 현재 세 가지 체계가 구현되어 있습니다. a) USB 모뎀을 통한 SMS b) 이메일 c) 적색 셀룰러 사업자의 기업 고객이 사용할 수 있는 이메일을 통한 SMS.

예, SMS 체계는 비용을 발생시킵니다. 그러나 보면 "보안은 항상 돈에 관한 것입니다"(c).
나는 개인적으로 전자 메일 체계를 좋아하지 않습니다. 인증 중인 클라이언트에 대해 메일 서버를 사용할 수 있어야 하기 때문이 아닙니다. 트래픽을 분할하는 것은 문제가 아닙니다. 그러나 클라이언트가 부주의하게 브라우저에 VPN과 이메일 암호를 모두 저장한 다음 랩톱을 분실한 경우 공격자는 여기에서 회사 네트워크에 대한 전체 액세스 권한을 얻을 수 있습니다.

그래서 결정되었습니다. SMS 메시지를 사용하여 일회성 코드를 전달합니다.

세 번째 문제는 어디서 MikroTik에서 2FA에 대한 유사 무작위 코드를 생성하는 방법. RouterOS 스크립팅 언어에는 random() 함수와 유사한 기능이 없으며 이전에 몇 가지 목발 스크립트 의사 난수 생성기를 본 적이 있습니다. 나는 여러 가지 이유로 그들 중 어느 것도 좋아하지 않았습니다.

사실 MikroTik에는 의사 난수 시퀀스 생성기가 있습니다! /certificates scep-server의 맥락에서 겉보기에는 숨겨져 있습니다. 첫 번째 방법 일회용 암호를 얻는 것은 쉽고 간단합니다 - 명령으로 /인증서 scep-server otp 생성. 간단한 변수 할당 작업을 수행하면 나중에 스크립트에서 사용할 수 있는 배열 값을 얻게 됩니다.

두 번째 방법 적용하기 쉬운 일회용 비밀번호 얻기 - 외부 서비스 사용 random.org 원하는 종류의 의사 난수 시퀀스를 생성합니다. 다음은 단순화된 캔틸레버 데이터를 변수로 가져오는 예:

암호
:global rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user ]->"da
ta") 1 6] :put $rnd1

콘솔용으로 형식화된 요청(스크립트 본문에 이스케이프 특수 문자가 필요함)은 $rnd1 변수에 XNUMX자리 문자열을 수신합니다. 다음 "put" 명령은 단순히 MikroTik 콘솔에 변수를 표시합니다.

네 번째 문제 신속하게 해결해야 하는 문제 - 이것은 연결된 클라이언트가 인증의 두 번째 단계에서 일회성 코드를 전송하는 방법과 위치입니다.

MikroTik 라우터에는 코드를 수락하고 특정 클라이언트와 일치시킬 수 있는 서비스가 있어야 합니다. 제공된 코드가 예상한 것과 일치하는 경우 클라이언트의 주소는 회사 내부 네트워크에 대한 액세스가 허용되는 주소인 특정 "화이트" 목록에 포함되어야 합니다.

잘못된 서비스 선택으로 인해 Mikrotik에 내장된 웹 프록시를 사용하여 http를 통해 코드를 수락하기로 결정했습니다. 방화벽은 IP 주소의 동적 목록과 함께 작동할 수 있으므로 코드 검색을 수행하고 클라이언트 IP와 일치시키고 Layer7 regexp를 사용하여 "화이트" 목록에 추가하는 것은 방화벽입니다. 라우터 자체에는 조건부 DNS 이름 "gw.local"이 지정되었으며 PPP 클라이언트에 발행하기 위해 정적 A 레코드가 생성되었습니다.

DNS
/ip dns 정적 추가 이름=gw.local 주소=172.31.1.1

프록시에서 확인되지 않은 클라이언트의 트래픽 캡처:
/ip firewall nat add chain=dstnat dst-port=80,443 in-interface=2fa protocol=tcp !src-address-list=2fa_approved action=redirect to-ports=3128


이 경우 프록시에는 두 가지 기능이 있습니다.

1. 클라이언트와 TCP 연결을 엽니다.

2. 인증에 성공하면 클라이언트 브라우저를 인증 성공을 알리는 페이지 또는 사진으로 리디렉션합니다.

프록시 구성
/ip proxy
set enabled=yes port=3128
/ip proxy access
add action=deny disabled=no redirect-to=gw.local./mikrotik_logo.png src-address=0.0.0.0/0

중요한 구성 요소를 나열하겠습니다.

1. interface-list "2fa" - 2FA 내에서 처리해야 하는 트래픽인 클라이언트 인터페이스의 동적 목록입니다.
2. address-list "2fa_jailed" - VPN 클라이언트의 터널 IP 주소 목록인 "회색";
3. address_list "2fa_approved" - XNUMX단계 인증을 성공적으로 통과한 VPN 클라이언트의 터널 IP 주소의 "흰색" 목록입니다.
4. 방화벽 체인 "input_2fa" - tcp 패킷에서 인증 코드가 있는지 확인하고 코드 발신자의 IP 주소를 필요한 것과 일치시킵니다. 체인의 규칙은 동적으로 추가 및 제거됩니다.

패킷 처리의 단순화된 순서도는 다음과 같습니다.

아직 인증의 두 번째 단계를 통과하지 않은 "회색" 목록의 클라이언트에서 오는 트래픽의 Layer7 검사에 들어가기 위해 표준 "입력" 체인에 규칙이 생성되었습니다.

암호
/ip firewall filter add chain=input !src-address-list=2fa_approved action=jump jump-target=input_2fa

이제 이 모든 부를 PPP 서비스에 연결하기 시작하겠습니다. MikroTik을 사용하면 프로필(ppp-profile)에서 스크립트를 사용하고 ppp 연결을 설정하고 끊는 이벤트에 스크립트를 할당할 수 있습니다. ppp-profile 설정은 PPP 서버 전체와 개별 사용자 모두에게 적용될 수 있습니다. 동시에 사용자에게 할당된 프로필이 우선순위를 가지며 서버 전체에 대해 선택된 프로필의 매개변수를 지정된 매개변수로 덮어씁니다.

이 접근 방식의 결과로 이중 인증을 위한 특수 프로필을 생성하고 모든 사용자에게 할당하는 것이 아니라 필요하다고 생각하는 사용자에게만 할당할 수 있습니다. 이는 PPP 서비스를 사용하여 최종 사용자를 연결할 뿐만 아니라 동시에 사이트 간 연결을 구축하는 경우 관련이 있을 수 있습니다.

새로 생성된 특수 프로필에서는 주소 및 인터페이스의 "회색" 목록에 연결된 사용자의 주소 및 인터페이스를 동적으로 추가합니다.

윈박스

암호
/ppp profile add address-list=2fa_jailed change-tcp-mss=no local-address=192.0.2.254 name=2FA interface-list=2fa only-one=yes remote-address=dhcp_pool1 use-compression=no use-encryption= required use-mpls=no use-upnp=no dns-server=172.31.1.1

dstnat(사전 라우팅) 체인에서 비보조 VPN 클라이언트의 트래픽을 감지하고 캡처하려면 "address-list" 및 "interface-list" 목록을 모두 사용해야 합니다.

준비가 완료되면 추가 방화벽 체인과 프로필이 생성되고 2FA 코드 및 개별 방화벽 규칙의 자동 생성을 담당하는 스크립트를 작성합니다.

문서 wiki.mikrotik.com PPP-Profile에서 PPP 클라이언트 연결-연결 해제 이벤트와 관련된 변수에 대한 정보를 풍부하게 제공합니다. "사용자 로그인 이벤트에서 스크립트를 실행합니다. 다음은 이벤트 스크립트에 액세스할 수 있는 사용 가능한 변수입니다: 사용자, 로컬 주소, 원격 주소, 호출자 ID, 호출 ID, 인터페이스". 그들 중 일부는 우리에게 매우 유용합니다.

PPP 연결 이벤트에 대한 프로필에 사용되는 코드

#Логируем для отладки полученные переменные 
:log info (

quot;local-address")

:log info (

quot;remote-address")

:log info (

quot;caller-id")

:log info (

quot;called-id")

:log info ([/int pptp-server get (

quot;interface") name])

#Объявляем свои локальные переменные

:local listname "2fa_jailed"

:local viamodem false

:local modemport "usb2"

#ищем автоматически созданную запись в адрес-листе "2fa_jailed"

:local recnum1 [/ip fi address-list find address=(

quot;remote-address") list=$listname]
#получаем псевдослучайный код через random.org

#:local rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user]->"data") 0 4]
#либо получаем псевдослучайный код через локальный генератор

#:local rnd1 [pick ([/cert scep-server otp generate as-value minutes-valid=1]->"password") 0 4 ]
#Ищем и обновляем коммент к записи в адрес-листе. Вносим искомый код для отладки

/ip fir address-list set $recnum1 comment=$rnd1

#получаем номер телефона куда слать SMS

:local vphone [/ppp secret get [find name=$user] comment]
#Готовим тело сообщения. Если клиент подключается к VPN прямо с телефона ему достаточно

#будет перейти прямо по ссылке из полученного сообщения

:local msgboby ("Your code: ".$comm1."n Or open link http://gw.local/otp/".$comm1."/")
# Отправляем SMS по выбранному каналу - USB-модем или email-to-sms

if $viamodem do={

/tool sms send phone-number=$vphone message=$msgboby port=$modemport }

else={

/tool e-mail send server=a.b.c.d [email protected] [email protected] subject="@".$vphone body=$msgboby }
#Генерируем Layer7 regexp

local vregexp ("otp\/".$comm1)

:local vcomment ("2fa_".(

quot;remote-address"))

/ip firewall layer7-protocol add name=(

quot;vcomment") comment=(

quot;remote-address") regexp=(

quot;vregexp")
#Генерируем правило проверяющее по Layer7 трафик клиента в поисках нужного кода

#и небольшой защитой от брутфорса кодов с помощью dst-limit

/ip firewall filter add action=add-src-to-address-list address-list=2fa_approved address-list-timeout=none-dynamic chain=input_2fa dst-port=80,443,3128 layer7-protocol=(

quot;vcomment") protocol=tcp src-address=(

quot;remote-address") dst-limit=1,1,src-address/1m40s



특히 아무 생각 없이 복사-붙여넣기를 좋아하는 사람들을 위해 경고합니다. 코드는 테스트 버전에서 가져온 것이며 사소한 오타가 포함될 수 있습니다. 이해하는 사람이 정확히 어디에 있는지 파악하는 것은 어렵지 않습니다.
사용자가 연결을 끊으면 "On-Down" 이벤트가 발생하고 매개변수가 있는 해당 스크립트가 호출됩니다. 이 스크립트의 작업은 연결이 끊긴 사용자에 대해 생성된 방화벽 규칙을 정리하는 것입니다.
PPP 온다운 연결 이벤트에 대한 프로필에 사용되는 코드
:local vcomment ("2fa_".(

quot;remote-address"))

/ip firewall address-list remove [find address=(

quot;remote-address") list=2fa_approved]
/ip firewall filter remove [find chain="input_2fa" src-address=(

quot;remote-address") ]
/ip firewall layer7-protocol remove [find name=$vcomment]


그런 다음 사용자를 생성하고 전체 또는 일부를 XNUMX단계 인증 프로필에 할당할 수 있습니다.
윈박스


암호

/ppp secrets set [find name=Petrov] profile=2FA
클라이언트 측에서 어떻게 보이는지.
VPN 연결이 설정되면 SIM 카드가 있는 Android/iOS 전화/태블릿은 다음과 같은 SMS를 받습니다.
SMS


전화/태블릿에서 직접 연결이 설정되면 메시지의 링크를 클릭하기만 하면 2FA를 통과할 수 있습니다. 편안합니다.
PC에서 VPN 연결이 설정되면 사용자는 최소한의 비밀번호 형식을 입력해야 합니다. VPN을 설정할 때 HTML 파일 형태의 작은 양식이 사용자에게 제공됩니다. 파일을 메일로 보낼 수도 있으므로 사용자가 파일을 저장하고 편리한 위치에 바로 가기를 만들 수 있습니다. 다음과 같습니다.
테이블에 라벨


사용자가 바로 가기를 클릭하면 간단한 코드 입력 양식이 열리고 열린 URL에 코드가 붙여넣어집니다.
스크린 형태


가장 원시적인 형태를 예로 들어 설명합니다. 원하는 사람은 스스로 수정할 수 있습니다.
2fa_login_mini.html
<html>
<head> <title>SMS OTP login</title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> </head>
<body>
<form name="login" action="location.href='http://gw.local/otp/'+document.getElementById(‘text').value"  method="post"
 <input id="text" type="text"/> 
<input type="button" value="Login" onclick="location.href='http://gw.local/otp/'+document.getElementById('text').value"/> 
</form>
</body>
</html>

인증에 성공하면 브라우저에 MikroTik 로고가 표시되어 인증 성공을 알립니다.

이미지는 WebProxy Deny Redirect를 사용하여 내장된 MikroTik 웹 서버에서 반환됩니다.
"핫스팟" 도구를 사용하여 이미지를 사용자 정의할 수 있고 거기에 자신의 버전을 업로드하고 WebProxy로 거부 리디렉션 URL을 설정할 수 있다고 가정합니다.
가장 저렴한 "장난감" Mikrotik을 20달러에 구입하고 500달러짜리 라우터를 그것으로 교체하려는 사람들에게 큰 요청이 있습니다. 그렇게 하지 마십시오. "hAP Lite" / "hAP mini"(홈 액세스 포인트)와 같은 장치는 CPU(smips)가 매우 약하여 비즈니스 세그먼트의 부하를 처리하지 못할 가능성이 높습니다.
경고!  이 솔루션에는 한 가지 단점이 있습니다. 클라이언트가 연결하거나 연결을 끊으면 라우터가 비휘발성 메모리에 저장하려고 시도하는 구성 변경 사항이 발생합니다. 많은 수의 클라이언트와 빈번한 연결 및 연결 해제로 인해 라우터의 내부 저장소 성능이 저하될 수 있습니다.
추신: 클라이언트에 코드를 전달하는 방법은 프로그래밍 능력이 충분한 한 확장 및 보완될 수 있습니다. 예를 들어 텔레그램으로 메시지를 보내거나 ... 옵션을 제안할 수 있습니다!
이 기사가 귀하에게 유용하고 중소기업의 네트워크를 좀 더 안전하게 만드는 데 도움이 되기를 바랍니다.
출처 : habr.com