🥇Автентикација со два фактори за корисници на VPN преку MikroTik и СМС

Здраво колеги! Денес, кога интензитетот на страстите околу „работата на далечина“ малку стивна, мнозинството администратори ја добија задачата за далечински пристап на вработените до корпоративната мрежа, време е да го споделам моето долгогодишно искуство за подобрување на безбедноста на VPN. Оваа статија нема да биде мода сега IPSec IKEv2 и xAuth. Се работи за изградба на систем. автентикација со два фактори (2FA) Корисници на VPN кога MikroTik делува како VPN сервер. Имено, кога се користат „класични“ протоколи како PPP.

Денес ќе ви кажам како да го заштитите MikroTik PPP-VPN дури и во случај на „киднапирање“ на корисничката сметка. Кога оваа шема му беше претставена на еден од моите клиенти, тој накратко ја опиша како „добро, сега е исто како во банка!“.

Методот не користи услуги за надворешни автентикатори. Задачите се извршуваат внатрешно од самиот рутер. Без трошоци за клиентот што се поврзува. Методот работи и за клиенти на компјутер и за мобилни уреди.

Општата шема за заштита е како што следува:

Внатрешната IP адреса на корисник кој успешно се поврзал со серверот VPN автоматски се става во сива листа.
Настанот за поврзување автоматски генерира еднократен код кој се испраќа до корисникот користејќи еден од достапните методи.
Адресите во оваа листа имаат ограничен пристап до ресурсите на локалната мрежа, со исклучок на услугата „автентикатор“, која чека да добие еднократна лозинка.
По презентирањето на кодот, корисникот има пристап до внатрешните ресурси на мрежата.

Првиот најмалиот проблем со кој морав да се соочам беше складирањето информации за контакт за корисникот за да му го испратам кодот 2FA. Бидејќи е невозможно да се создадат произволни полиња со податоци што одговараат на корисниците во Mikrotik, постоечкото поле „коментар“ беше искористено:

/ppp secrets додадете име=Петровска лозинка=4M@ngr! коментар = "89876543210"

Вториот проблемот се покажа како посериозен - изборот на патеката и начинот на доставување на кодот. Во моментов се имплементирани три шеми: а) СМС преку USB-модем б) е-пошта в) СМС преку е-пошта достапна за корпоративните клиенти на црвениот мобилен оператор.

Да, СМС шемите носат трошоци. Но, ако погледнете, „безбедноста е секогаш за пари“ (в).
Мене лично не ми се допаѓа шемата со е-пошта. Не затоа што бара серверот за пошта да биде достапен за клиентот што се автентицира - не е проблем да се подели сообраќајот. Меѓутоа, ако клиентот невнимателно ги зачувал лозинките за vpn и за е-пошта во прелистувачот, а потоа го изгубил својот лаптоп, напаѓачот ќе добие целосен пристап до корпоративната мрежа од него.

Значи, одлучено е - доставуваме еднократна шифра користејќи СМС пораки.

Третиот Проблемот беше каде како да генерирате псевдо-случаен код за 2FA во MikroTik. Не постои аналог на функцијата random() во јазикот за скриптирање RouterOS, и претходно сум видел неколку генератори на псевдо-случајни броеви со патерици. Ниту еден од нив не ми се допадна од различни причини.

Всушност, постои генератор на псевдо-случајни секвенци во MikroTik! Тоа е скриено од површен поглед во контекст на /certificates scep-server. Првиот начин добивањето еднократна лозинка е лесно и едноставно - со командата /сертификати scep-сервер otp генерира. Ако извршиме едноставна операција за доделување променлива, ќе добиеме вредност на низата што може да се користи подоцна во скрипти.

Вториот пат добивање на еднократна лозинка која исто така е лесно да се примени - користење на надворешна услуга случаен.org да се генерира саканиот вид на низа од псевдо-случајни броеви. Еве еден поедноставен конзола пример за внесување податоци во променлива:

Код
:global rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user ]->"da ta") 1 6] :put $rnd1

Барање форматирано за конзолата (ќе биде потребно бегство од специјални знаци во телото на скриптата) добива низа од шест цифри во променливата $rnd1. Следната команда „стави“ едноставно ја прикажува променливата во конзолата MikroTik.

Четвртиот проблем што мораше брзо да се реши - вака и каде поврзаниот клиент ќе го пренесе својот еднократен код во втората фаза на автентикација.

Мора да има услуга на рутерот MikroTik што може да го прифати кодот и да го совпадне со одреден клиент. Доколку дадениот код се совпаѓа со очекуваниот, адресата на клиентот треба да биде вклучена во одредена „бела“ листа, адреси од кои е дозволен пристап до внатрешната мрежа на компанијата.

Поради лошиот избор на услуги, беше одлучено да се прифатат кодови преку http со користење на веб-прокси вграден во Mikrotik. И бидејќи заштитниот ѕид може да работи со динамични списоци на IP адреси, заштитниот ѕид е тој што го врши пребарувањето на кодот, усогласувајќи го со IP-а на клиентот и додавајќи го во „белата“ листа користејќи Layer7 regexp. На самиот рутер му е доделено условно име на DNS „gw.local“, на него е создаден статичен А-запис за издавање на клиенти на PPP:

DNS
/ip dns статичко додавање име=gw.локална адреса=172.31.1.1

Снимање сообраќај на непроверени клиенти на прокси:
/ip firewall nat add chain=dstnat dst-port=80,443 in-interface=2fa protocol=tcp !src-address-list=2fa_approved action=redirect to-ports=3128

Во овој случај, проксито има две функции.

1. Отворете tcp врски со клиенти;

2. Во случај на успешно овластување, пренасочете го прелистувачот на клиентот на страница или слика што известува за успешна автентикација:

Конфигурација на прокси
/ip proxy set enabled=yes port=3128 /ip proxy access add action=deny disabled=no redirect-to=gw.local./mikrotik_logo.png src-address=0.0.0.0/0

Ќе ги наведам важните конфигурациски елементи:

интерфејс-листа „2fa“ - динамична листа на клиентски интерфејси, сообраќајот од кој бара обработка во рамките на 2FA;
список со адреси „2fa_jailed“ - „сива“ листа на IP-адреси на тунелот на клиентите на VPN;
address_list "2fa_approved" - "бел" список на IP адреси на тунел на VPN клиенти кои успешно ја поминале двофакторната автентикација.
синџир на заштитен ѕид „input_2fa“ - ги проверува tcp пакетите за присуство на код за авторизација и ја совпаѓа IP адресата на испраќачот на кодот со потребната. Правилата во синџирот се додаваат и отстрануваат динамично.

Поедноставен дијаграм на текови на обработка на пакети изгледа вака:

За да влезете во Layer7 проверката на сообраќајот од клиентите од „сивата“ листа што сè уште не ја поминале втората фаза на автентикација, создадено е правило во стандардниот синџир „влез“:

Код
/ip firewall filter add chain=input !src-address-list=2fa_approved action=jump jump-target=input_2fa

Сега да почнеме да го прицврстуваме сето ова богатство на услугата ЈПП. MikroTik ви овозможува да користите скрипти во профили (ppp-профил) и да ги доделувате на настаните за воспоставување и прекинување на врската ppp. Поставките на ppp-профилот може да се применат и на серверот PPP како целина и на индивидуалните корисници. Во исто време, профилот доделен на корисникот има приоритет, надминувајќи ги параметрите на профилот избран за серверот како целина со неговите наведени параметри.

Како резултат на овој пристап, можеме да создадеме посебен профил за двофакторна автентикација и да го доделиме не на сите корисници, туку само на оние кои сметаат дека е неопходно да го сторат тоа. Ова може да биде релевантно ако користите PPP услуги не само за поврзување на крајните корисници, туку во исто време и за градење врски од локација до локација.

Во новосоздадениот специјален профил, го користиме динамичкото додавање на адресата и интерфејсот на поврзаниот корисник на „сивите“ списоци на адреси и интерфејси:

winbox

Код
/ppp profile add address-list=2fa_jailed change-tcp-mss=no local-address=192.0.2.254 name=2FA interface-list=2fa only-one=yes remote-address=dhcp_pool1 use-compression=no use-encryption= required use-mpls=no use-upnp=no dns-server=172.31.1.1

Неопходно е да се користат и списоците „список на адреси“ и „листа на интерфејс“ за откривање и снимање на сообраќај од несекундарни VPN клиенти во синџирот dstnat (прерутирање).

Кога ќе заврши подготовката, ќе се создадат дополнителни синџири на заштитен ѕид и профил, ќе напишеме скрипта одговорна за автоматско генерирање на кодот 2FA и индивидуални правила за заштитен ѕид.

Документација wiki.mikrotik.com на PPP-Profile нè збогатува со информации за променливи поврзани со настани за поврзување-исклучување на клиентот PPP „Изврши скрипта на настан за најавување на корисникот. Ова се достапни променливи кои се достапни за скриптата за настан: корисник, локална адреса, далечинска адреса, идентификатор на повикувач, повикан-ид, интерфејс“. Некои од нив ни се многу корисни.

Код што се користи во профилот за настан за вклучување на PPP

#Логируем для отладки полученные переменные :log info ( quot;local-address") :log info ( quot;remote-address") :log info ( quot;caller-id") :log info ( quot;called-id") :log info ([/int pptp-server get ( quot;interface") name]) #Объявляем свои локальные переменные :local listname "2fa_jailed" :local viamodem false :local modemport "usb2" #ищем автоматически созданную запись в адрес-листе "2fa_jailed" :local recnum1 [/ip fi address-list find address=( quot;remote-address") list=$listname] #получаем псевдослучайный код через random.org #:local rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user]->"data") 0 4] #либо получаем псевдослучайный код через локальный генератор #:local rnd1 [pick ([/cert scep-server otp generate as-value minutes-valid=1]->"password") 0 4 ] #Ищем и обновляем коммент к записи в адрес-листе. Вносим искомый код для отладки /ip fir address-list set $recnum1 comment=$rnd1 #получаем номер телефона куда слать SMS :local vphone [/ppp secret get [find name=$user] comment] #Готовим тело сообщения. Если клиент подключается к VPN прямо с телефона ему достаточно #будет перейти прямо по ссылке из полученного сообщения :local msgboby ("Your code: ".$comm1."n Or open link http://gw.local/otp/".$comm1."/") # Отправляем SMS по выбранному каналу - USB-модем или email-to-sms if $viamodem do={ /tool sms send phone-number=$vphone message=$msgboby port=$modemport } else={ /tool e-mail send server=a.b.c.d [email protected] [email protected] subject="@".$vphone body=$msgboby } #Генерируем Layer7 regexp local vregexp ("otp\/".$comm1) :local vcomment ("2fa_".( quot;remote-address")) /ip firewall layer7-protocol add name=( quot;vcomment") comment=( quot;remote-address") regexp=( quot;vregexp") #Генерируем правило проверяющее по Layer7 трафик клиента в поисках нужного кода #и небольшой защитой от брутфорса кодов с помощью dst-limit /ip firewall filter add action=add-src-to-address-list address-list=2fa_approved address-list-timeout=none-dynamic chain=input_2fa dst-port=80,443,3128 layer7-protocol=( quot;vcomment") protocol=tcp src-address=(

quot;remote-address") dst-limit=1,1,src-address/1m40s
Особено за оние кои сакаат безумно да копираат-пејстираат, ве предупредувам - кодот е преземен од тест верзијата и може да содржи мали печатни грешки. Нема да биде тешко за разбирлив човек да открие каде точно.

Кога корисникот ќе се исклучи, се генерира настан „On-Down“ и се повикува соодветната скрипта со параметри. Целта на оваа скрипта е да ги исчисти правилата за заштитен ѕид создадени за исклучениот корисник.

Код што се користи во профилот за настан за поврзување PPP надолу

:local vcomment ("2fa_".( quot;remote-address")) /ip firewall address-list remove [find address=( quot;remote-address") list=2fa_approved] /ip firewall filter remove [find chain="input_2fa" src-address=(

quot;remote-address") ] /ip firewall layer7-protocol remove [find name=$vcomment]
Потоа можете да креирате корисници и да ги доделите сите или некои од нив на двофакторски профил за автентикација.

winbox

Код
/ppp secrets set [find name=Petrov] profile=2FA

Како изгледа на страната на клиентот.

Кога ќе се воспостави VPN конекција, телефон/таблет со Android/iOS со SIM-картичка добива вака СМС:

порака

Ако врската е воспоставена директно од телефонот / таблетот, тогаш можете да поминете низ 2FA едноставно со кликнување на врската од пораката. Удобно е.

Ако VPN-врската е воспоставена од компјутер, тогаш од корисникот ќе се бара да внесе минимален формулар за лозинка. Мала форма во форма на HTML-датотека му се дава на корисникот при поставување на VPN. Датотеката може да се испрати дури и по пошта, така што корисникот ќе ја зачува и ќе создаде кратенка на погодно место. Изгледа вака:

Етикетата на масата

Корисникот кликнува на кратенката, се отвора едноставна форма за внесување код, која ќе го залепи кодот во отворената URL адреса:

Форма на екран

Како пример е дадена најпримитивната форма. Оние кои сакаат можат сами да модифицираат.

2fa_login_mini.html

<html>
<head> <title>SMS OTP login</title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> </head>
<body>
<form name="login" action="location.href='http://gw.local/otp/'+document.getElementById(‘text').value"  method="post"
 <input id="text" type="text"/> 
<input type="button" value="Login" onclick="location.href='http://gw.local/otp/'+document.getElementById('text').value"/> 
</form>
</body>
</html>

Ако овластувањето беше успешно, корисникот ќе го види логото на MikroTik во прелистувачот, што треба да сигнализира успешна автентикација:

Забележете дека сликата се враќа од вградениот веб-сервер на MikroTik со помош на WebProxy Deny Redirect.

Претпоставувам дека сликата може да се прилагоди со помош на алатката „жешка точка“, прикачувајќи ја вашата сопствена верзија таму и поставувајќи ја URL-адресата за одбивање пренасочување со WebProxy.

Големо барање до оние кои се обидуваат да ја купат најефтината „играчка“ Mikrotik за 20 долари и да заменат рутер од 500 долари со неа - не го правете тоа. Уредите како „hAP Lite“ / „hAP mini“ (домашна пристапна точка) имаат многу слаб процесор (smips) и веројатно е дека нема да се справат со оптоварувањето во деловниот сегмент.

Предупредување! Ова решение има еден недостаток: кога клиентите се поврзуваат или исклучуваат, се случуваат промени во конфигурацијата, кои рутерот се обидува да ги зачува во својата неиспарлива меморија. Со голем број клиенти и чести приклучоци и исклучувања, ова може да доведе до деградација на внатрешната меморија во рутерот.

PS: Методите за доставување код до клиентот може да се прошират и дополнат онолку колку што се доволни вашите програмски можности. На пример, можете да испраќате пораки на телеграма или да ... предложите опции!

Се надевам дека статијата ќе ви биде корисна и ќе помогне да ги направите мрежите на малите и средни бизниси малку побезбедни.

Извор: www.habr.com

Двофакторна автентикација на VPN корисници преку MikroTik и SMS