Zwee-Faktor Authentifikatioun an OpenVPN mat Telegram Bot

Den Artikel beschreift d'Opstellung vun engem OpenVPN Server fir Zwee-Faktor Authentifikatioun mat engem Telegram Bot z'aktivéieren, deen eng Bestätegungsufro beim Uschloss schéckt.

OpenVPN ass e bekannten, gratis Open-Source VPN Server dee wäit benotzt gëtt fir sécheren Employé Zougang zu intern organisatoresch Ressourcen ze organiséieren.

Als Authentifikatioun fir d'Verbindung mat engem VPN Server gëtt normalerweis eng Kombinatioun vun engem Schlëssel a Benotzer Login / Passwuert benotzt. Zur selwechter Zäit verwandelt d'Passwuert, déi um Client gespäichert ass, de ganze Set an een eenzegen Faktor deen net de passenden Sécherheetsniveau ubitt. En Ugräifer, deen Zougang zum Clientcomputer krut, kritt och Zougang zum VPN Server. Dëst ass besonnesch wouer fir Verbindunge vu Maschinnen déi Windows lafen.

D'Benotzung vum zweete Faktor reduzéiert de Risiko vun onerlaabten Zougang ëm 99% a komplizéiert de Verbindungsprozess fir d'Benotzer guer net.

Loosst mech direkt eng Reservatioun maachen: fir d'Ëmsetzung musst Dir en Drëtt-Partei Authentifikatiounsserver multifactor.ru verbannen, an deem Dir e gratis Tarif fir Är Besoinen benotze kënnt.

Wéi se funktionéiert

1. OpenVPN benotzt den openvpn-plugin-auth-pam Plugin fir d'Authentifikatioun
2. De Plugin kontrolléiert d'Passwuert vum Benotzer um Server an freet den zweete Faktor iwwer de RADIUS Protokoll am Multifactor Service
3. Multifactor schéckt e Message un de Benotzer iwwer Telegram Bot deen den Zougang bestätegt
4. De Benotzer bestätegt den Zougangsufro am Telegram Chat a verbënnt mam VPN

Installéiere vun engem OpenVPN Server

Et gi vill Artikelen um Internet déi de Prozess vun der Installatioun an der Konfiguratioun vun OpenVPN beschreiwen, sou datt mir se net duplizéieren. Wann Dir Hëllef braucht, ginn et e puer Linken op Tutorials um Enn vum Artikel.

Multifactor opsetzen

Géi op Multifactor Kontroll System, gitt op d'Sektioun "Ressourcen" a erstellt en neie VPN.
Wann Dir erstallt hutt, hutt Dir zwou Méiglechkeeten fir Iech verfügbar: NAS-IDentifier и Gedeelt Geheimnis, si wäerte fir spéider Konfiguratioun erfuerderlech sinn.

An der Rubrik "Gruppen", gitt op d'Grupp Astellunge "All Benotzer" a läscht de Fändel "All Ressourcen" sou datt nëmmen Benotzer vun enger bestëmmter Grupp mat dem VPN Server verbannen kënnen.

Erstellt eng nei Grupp "VPN Benotzer", deaktivéiert all Authentifikatiounsmethoden ausser Telegram a gitt un datt d'Benotzer Zougang zu der erstallt VPN Ressource hunn.

An der Rubrik "Benotzer" erstellt Benotzer déi Zougang zum VPN hunn, addéiere se an d'Grupp "VPN Benotzer" a schéckt hinnen e Link fir den zweete Faktor vun der Authentifikatioun ze konfiguréieren. De Benotzer Login muss dem Login um VPN Server passen.

En OpenVPN Server opsetzen

De Fichier opmaachen /etc/openvpn/server.conf a füügt e Plugin fir d'Authentifikatioun mam PAM Modul un

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

De Plugin kann am Dossier lokaliséiert ginn /usr/lib/openvpn/plugins/ oder /usr/lib64/openvpn/plugins/ jee no Ärem System.

Als nächst musst Dir de pam_radius_auth Modul installéieren

$ sudo yum install pam_radius

Öffnen d'Datei fir z'änneren /etc/pam_radius.conf a spezifizéiert d'Adress vum RADIUS-Server vum Multifactor

radius.multifactor.ru   shared_secret   40

wou:

• radius.multifactor.ru - Server Adress
• shared_secret - kopéiert vum entspriechende VPN Astellungsparameter
• 40 Sekonnen - Timeout fir op eng Ufro mat enger grousser Spillraum ze waarden

Déi verbleiwen Server musse geläscht oder kommentéiert ginn (setze en Semikolon am Ufank)

Als nächst, erstellt eng Datei fir Service-Typ openvpn

$ sudo vi /etc/pam.d/openvpn

a schreift et an

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

Déi éischt Zeil verbënnt de PAM Modul pam_radius_auth mat de Parameteren:

• skip_passwd - deaktivéiert d'Transmissioun vum Passwuert vum Benotzer op de RADIUS Multifactor Server (hie brauch et net ze wëssen).
• client_id - ersetzt [NAS-Identifier] mam entspriechende Parameter vun de VPN Ressource Astellungen.
  All méiglech Parameteren sinn beschriwwen an Dokumentatioun fir de Modul.

Déi zweet an drëtt Zeil enthalen Systemverifikatioun vum Login, Passwuert a Benotzerrechter op Ärem Server zesumme mat engem zweeten Authentifikatiounsfaktor.

Restart OpenVPN

$ sudo systemctl restart openvpn@server

Client Setup

Gitt eng Ufro fir Benotzer Login a Passwuert an der Client Konfiguratiounsdatei

auth-user-pass

Inspektioun

Start den OpenVPN Client, verbënnt mam Server, gitt Äre Benotzernumm a Passwuert. Den Telegram Bot schéckt eng Zougangsufro mat zwee Knäppercher

Ee Knäppchen erlaabt Zougang, déi zweet blockéiert et.

Elo kënnt Dir Äert Passwuert sécher um Client späicheren; den zweete Faktor schützt Ären OpenVPN Server zouverlässeg virun onerlaabten Zougang.

Wann eppes net funktionnéiert

Sequenziell kontrolléiert datt Dir näischt verpasst hutt:

• Et gëtt e Benotzer um Server mat OpenVPN mat engem Passwuert gesat
• De Server huet Zougang iwwer UDP Hafen 1812 op d'Adress radius.multifactor.ru
• D'NAS-Identifier a Shared Secret Parameteren sinn korrekt spezifizéiert
• E Benotzer mat deemselwechte Login gouf am Multifactor System erstallt a krut Zougang zu der VPN Benotzergrupp
• De Benotzer huet d'Authentifikatiounsmethod iwwer Telegram konfiguréiert

Wann Dir OpenVPN net virdru ageriicht hutt, liest detailléiert Artikel.

D'Instruktioune gi mat Beispiller op CentOS 7 gemaach.

Source: will.com