2FA-ലേക്ക് പോകുക (ASA SSL VPN-നുള്ള രണ്ട്-ഘടക പ്രാമാണീകരണം)

നിങ്ങളുടെ ഓർഗനൈസേഷനിലെ ഒരു പ്രത്യേക സെർവറിലേക്ക് ആക്‌സസ് ആവശ്യമുള്ള നിങ്ങളുടെ ഉപയോക്താക്കളോ പങ്കാളികളോ ആകട്ടെ, ഒരു കോർപ്പറേറ്റ് പരിതസ്ഥിതിയിലേക്ക് വിദൂര ആക്‌സസ് നൽകേണ്ടതിന്റെ ആവശ്യകത കൂടുതൽ കൂടുതൽ ഉയർന്നുവരുന്നു.

ഈ ആവശ്യങ്ങൾക്കായി, മിക്ക കമ്പനികളും വിപിഎൻ സാങ്കേതികവിദ്യ ഉപയോഗിക്കുന്നു, ഇത് ഓർഗനൈസേഷന്റെ പ്രാദേശിക ഉറവിടങ്ങളിലേക്ക് ആക്സസ് നൽകുന്നതിനുള്ള വിശ്വസനീയമായ സംരക്ഷിത മാർഗമാണെന്ന് സ്വയം തെളിയിച്ചിട്ടുണ്ട്.

എന്റെ കമ്പനി ഒരു അപവാദമായിരുന്നില്ല, മറ്റു പലരെയും പോലെ ഞങ്ങളും ഈ സാങ്കേതികവിദ്യ ഉപയോഗിക്കുന്നു. കൂടാതെ, മറ്റു പലരെയും പോലെ, ഞങ്ങൾ ഒരു റിമോട്ട് ആക്‌സസ് ഗേറ്റ്‌വേ ആയി Cisco ASA 55xx ഉപയോഗിക്കുന്നു.

വിദൂര ഉപയോക്താക്കളുടെ എണ്ണം വർദ്ധിക്കുന്നതിനാൽ, ക്രെഡൻഷ്യലുകൾ നൽകുന്നതിനുള്ള നടപടിക്രമങ്ങൾ ലളിതമാക്കേണ്ടതുണ്ട്. എന്നാൽ അതേ സമയം, ഇത് സുരക്ഷയിൽ വിട്ടുവീഴ്ച ചെയ്യാതെ ചെയ്യണം.

ഒറ്റത്തവണ പാസ്‌വേഡുകൾ ഉപയോഗിച്ച് സിസ്കോ എസ്എസ്എൽ വിപിഎൻ വഴി കണക്റ്റുചെയ്യുന്നതിന് ടു-ഫാക്ടർ ഓതന്റിക്കേഷൻ ഉപയോഗിക്കുന്നതിൽ ഞങ്ങൾ സ്വയം ഒരു പരിഹാരം കണ്ടെത്തി. ആവശ്യമായ സോഫ്‌റ്റ്‌വെയർ (നിങ്ങളുടെ ഇൻഫ്രാസ്ട്രക്ചറിൽ ഇതിനകം Cisco ASA ഉണ്ടെങ്കിൽ) കുറഞ്ഞ സമയവും പൂജ്യ ചെലവും ഉപയോഗിച്ച് അത്തരമൊരു പരിഹാരം എങ്ങനെ സംഘടിപ്പിക്കാമെന്ന് ഈ പ്രസിദ്ധീകരണം നിങ്ങളോട് പറയും.

ഒറ്റത്തവണ പാസ്‌വേഡുകൾ സൃഷ്ടിക്കുന്നതിനുള്ള ബോക്‌സ്ഡ് സൊല്യൂഷനുകൾ വിപണിയിൽ നിറഞ്ഞിരിക്കുന്നു, അവ ലഭിക്കുന്നതിന് ധാരാളം ഓപ്ഷനുകൾ വാഗ്ദാനം ചെയ്യുന്നു, അത് SMS വഴി പാസ്‌വേഡ് അയയ്‌ക്കുകയോ ഹാർഡ്‌വെയറും സോഫ്‌റ്റ്‌വെയറും (ഉദാഹരണത്തിന്, ഒരു മൊബൈൽ ഫോണിൽ) ടോക്കണുകൾ ഉപയോഗിച്ചോ ആകട്ടെ. എന്നാൽ പണം ലാഭിക്കാനുള്ള ആഗ്രഹവും എന്റെ തൊഴിലുടമയ്ക്ക് പണം ലാഭിക്കാനുള്ള ആഗ്രഹവും, നിലവിലെ പ്രതിസന്ധിയിൽ, ഒറ്റത്തവണ പാസ്‌വേഡുകൾ സൃഷ്ടിക്കുന്നതിനുള്ള ഒരു സേവനം നടപ്പിലാക്കുന്നതിനുള്ള ഒരു സ്വതന്ത്ര മാർഗം കണ്ടെത്താൻ എന്നെ നിർബന്ധിച്ചു. സൗജന്യമാണെങ്കിലും, വാണിജ്യപരമായ പരിഹാരങ്ങളേക്കാൾ വളരെ താഴ്ന്നതല്ല (ഇവിടെ ഞങ്ങൾ ഒരു റിസർവേഷൻ നടത്തണം, ഈ ഉൽപ്പന്നത്തിനും ഒരു വാണിജ്യ പതിപ്പുണ്ടെന്ന കാര്യം ശ്രദ്ധിക്കുക, എന്നാൽ പണത്തിൽ ഞങ്ങളുടെ ചെലവുകൾ പൂജ്യമാകുമെന്ന് ഞങ്ങൾ സമ്മതിച്ചു).

അതിനാൽ, ഞങ്ങൾക്ക് ഇത് ആവശ്യമാണ്:

- വെബിലൂടെ സെർവർ ആക്‌സസ് ചെയ്യുന്നതിനായി മൾട്ടിOTP, FreeRADIUS, nginx എന്നീ ബിൽറ്റ്-ഇൻ ടൂളുകളുള്ള ഒരു ലിനക്സ് ഇമേജ് (http://download.multiotp.net/ - VMware-നായി ഞാൻ ഒരു റെഡിമെയ്ഡ് ഇമേജ് ഉപയോഗിച്ചു)
- സജീവ ഡയറക്ടറി സെർവർ
— Cisco ASA തന്നെ (സൗകര്യാർത്ഥം, ഞാൻ ASDM ഉപയോഗിക്കുന്നു)
— TOTP മെക്കാനിസത്തെ പിന്തുണയ്ക്കുന്ന ഏതൊരു സോഫ്റ്റ്‌വെയർ ടോക്കണും (ഉദാഹരണത്തിന്, ഞാൻ Google Authenticator ഉപയോഗിക്കുന്നു, എന്നാൽ അതേ FreeOTP തന്നെ ചെയ്യും)

ചിത്രം എങ്ങനെ വികസിക്കുന്നു എന്നതിന്റെ വിശദാംശങ്ങളിലേക്ക് ഞാൻ പോകുന്നില്ല. തൽഫലമായി, നിങ്ങൾക്ക് ഇതിനകം ഇൻസ്റ്റാൾ ചെയ്ത മൾട്ടിഒടിപിയും ഫ്രീറേഡിയസും ഉള്ള ഡെബിയൻ ലിനക്സ് ലഭിക്കും, ഒരുമിച്ച് പ്രവർത്തിക്കാൻ കോൺഫിഗർ ചെയ്‌തിരിക്കുന്നു, കൂടാതെ OTP അഡ്മിനിസ്ട്രേഷനുള്ള ഒരു വെബ് ഇന്റർഫേസും.

ഘട്ടം 1. ഞങ്ങൾ സിസ്റ്റം ആരംഭിക്കുകയും നിങ്ങളുടെ നെറ്റ്‌വർക്കിനായി കോൺഫിഗർ ചെയ്യുകയും ചെയ്യുന്നു
സ്ഥിരസ്ഥിതിയായി, സിസ്റ്റം റൂട്ട് ക്രെഡൻഷ്യലുകളുമായാണ് വരുന്നത്. ആദ്യ ലോഗിൻ കഴിഞ്ഞ് റൂട്ട് യൂസർ പാസ്സ്‌വേർഡ് മാറ്റുന്നത് നല്ലതായിരിക്കും എന്ന് എല്ലാവരും ഊഹിച്ചതായി കരുതുന്നു. നെറ്റ്‌വർക്ക് ക്രമീകരണങ്ങൾ മാറ്റേണ്ടതും ആവശ്യമാണ് (സ്ഥിരസ്ഥിതിയായി ഇത് ഗേറ്റ്‌വേ '192.168.1.44' ഉള്ള '192.168.1.1' ആണ്). അതിനുശേഷം നിങ്ങൾക്ക് സിസ്റ്റം റീബൂട്ട് ചെയ്യാം.

നമുക്ക് ആക്റ്റീവ് ഡയറക്ടറിയിൽ ഒരു ഉപയോക്താവിനെ സൃഷ്ടിക്കാം ഒടിപി, പാസ്‌വേഡ് സഹിതം MySuperPassword.

ഘട്ടം 2. കണക്ഷൻ സജ്ജീകരിച്ച് സജീവ ഡയറക്ടറി ഉപയോക്താക്കളെ ഇറക്കുമതി ചെയ്യുക
ഇത് ചെയ്യുന്നതിന്, ഞങ്ങൾക്ക് കൺസോളിലേക്കും നേരിട്ട് ഫയലിലേക്കും ആക്സസ് ആവശ്യമാണ് multiotp.php, ഇത് ഉപയോഗിച്ച് ഞങ്ങൾ ആക്റ്റീവ് ഡയറക്ടറിയിലേക്ക് കണക്ഷൻ ക്രമീകരണങ്ങൾ ക്രമീകരിക്കും.

ഡയറക്ടറിയിലേക്ക് പോകുക /usr/local/bin/multiotp/ കൂടാതെ ഇനിപ്പറയുന്ന കമാൻഡുകൾ തുടർച്ചയായി നടപ്പിലാക്കുക:

./multiotp.php -config default-request-prefix-pin=0

ഒറ്റത്തവണ പിൻ (0 അല്ലെങ്കിൽ 1) നൽകുമ്പോൾ ഒരു അധിക (സ്ഥിരം) പിൻ ആവശ്യമാണോ എന്ന് നിർണ്ണയിക്കുന്നു

./multiotp.php -config default-request-ldap-pwd=0

ഒറ്റത്തവണ പിൻ (0 അല്ലെങ്കിൽ 1) നൽകുമ്പോൾ ഒരു ഡൊമെയ്‌ൻ പാസ്‌വേഡ് ആവശ്യമാണോ എന്ന് നിർണ്ണയിക്കുന്നു

./multiotp.php -config ldap-server-type=1

LDAP സെർവറിന്റെ തരം സൂചിപ്പിച്ചിരിക്കുന്നു (0 = സാധാരണ LDAP സെർവർ, ഞങ്ങളുടെ കാര്യത്തിൽ 1 = സജീവ ഡയറക്ടറി)

./multiotp.php -config ldap-cn-identifier="sAMAccountName"

ഉപയോക്തൃനാമം അവതരിപ്പിക്കേണ്ട ഫോർമാറ്റ് വ്യക്തമാക്കുന്നു (ഈ മൂല്യം ഡൊമെയ്ൻ ഇല്ലാതെ പേര് മാത്രം പ്രദർശിപ്പിക്കും)

./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"

ഒരേ കാര്യം, ഒരു ഗ്രൂപ്പിന് മാത്രം

./multiotp.php -config ldap-group-attribute="memberOf"

ഒരു ഉപയോക്താവ് ഒരു ഗ്രൂപ്പിൽ പെട്ടയാളാണോ എന്ന് നിർണ്ണയിക്കുന്നതിനുള്ള ഒരു രീതി വ്യക്തമാക്കുന്നു

./multiotp.php -config ldap-ssl=1

ഞാൻ LDAP സെർവറിലേക്ക് ഒരു സുരക്ഷിത കണക്ഷൻ ഉപയോഗിക്കണമോ (തീർച്ചയായും, അതെ!)

./multiotp.php -config ldap-port=636

LDAP സെർവറിലേക്ക് ബന്ധിപ്പിക്കുന്നതിനുള്ള പോർട്ട്

./multiotp.php -config ldap-domain-controllers=adSRV.domain.local

നിങ്ങളുടെ സജീവ ഡയറക്ടറി സെർവർ വിലാസം

./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"

ഡൊമെയ്‌നിലെ ഉപയോക്താക്കൾക്കായി എവിടെ നിന്ന് തിരയാൻ തുടങ്ങണമെന്ന് ഞങ്ങൾ സൂചിപ്പിക്കുന്നു

./multiotp.php -config ldap-bind-dn="[email protected]"

സജീവ ഡയറക്ടറിയിൽ തിരയൽ അവകാശമുള്ള ഒരു ഉപയോക്താവിനെ വ്യക്തമാക്കുക

./multiotp.php -config ldap-server-password="MySuperPassword"

സജീവ ഡയറക്‌ടറിയിലേക്ക് കണക്‌റ്റ് ചെയ്യുന്നതിനുള്ള ഉപയോക്തൃ പാസ്‌വേഡ് വ്യക്തമാക്കുക

./multiotp.php -config ldap-network-timeout=10

സജീവ ഡയറക്‌ടറിയിലേക്ക് കണക്‌റ്റ് ചെയ്യുന്നതിനുള്ള സമയപരിധി ക്രമീകരിക്കുന്നു

./multiotp.php -config ldap-time-limit=30

ഉപയോക്തൃ ഇറക്കുമതി പ്രവർത്തനത്തിന് ഞങ്ങൾ ഒരു സമയ പരിധി നിശ്ചയിച്ചു

./multiotp.php -config ldap-activated=1

സജീവ ഡയറക്ടറി കണക്ഷൻ കോൺഫിഗറേഷൻ സജീവമാക്കുന്നു

./multiotp.php -debug -display-log -ldap-users-sync

ഞങ്ങൾ സജീവ ഡയറക്ടറിയിൽ നിന്ന് ഉപയോക്താക്കളെ ഇറക്കുമതി ചെയ്യുന്നു

ഘട്ടം 3. ടോക്കണിനായി ഒരു QR കോഡ് സൃഷ്ടിക്കുക
ഇവിടെ എല്ലാം വളരെ ലളിതമാണ്. ബ്രൗസറിൽ OTP സെർവറിന്റെ വെബ് ഇന്റർഫേസ് തുറക്കുക, ലോഗിൻ ചെയ്യുക (അഡ്മിന്റെ സ്ഥിരസ്ഥിതി പാസ്‌വേഡ് മാറ്റാൻ മറക്കരുത്!), "പ്രിന്റ്" ബട്ടണിൽ ക്ലിക്ക് ചെയ്യുക:

ഈ പ്രവർത്തനത്തിന്റെ ഫലം രണ്ട് QR കോഡുകൾ അടങ്ങുന്ന ഒരു പേജായിരിക്കും. അവയിൽ ആദ്യത്തേത് ഞങ്ങൾ ധൈര്യത്തോടെ അവഗണിക്കുന്നു (ആകർഷണീയമായ ലിഖിതങ്ങൾ Google Authenticator / Authenticator / 2 Steps Authenticator ഉണ്ടായിരുന്നിട്ടും), ഞങ്ങൾ രണ്ടാമത്തെ കോഡ് ഫോണിലെ ഒരു സോഫ്റ്റ്വെയർ ടോക്കണിലേക്ക് വീണ്ടും സ്കാൻ ചെയ്യുന്നു:

(അതെ, QR കോഡ് വായിക്കാൻ പറ്റാത്തതാക്കി മാറ്റാൻ ഞാൻ അത് മനഃപൂർവം നശിപ്പിച്ചു).

ഈ പ്രവർത്തനങ്ങൾ പൂർത്തിയാക്കിയ ശേഷം, ഓരോ മുപ്പത് സെക്കൻഡിലും നിങ്ങളുടെ ആപ്ലിക്കേഷനിൽ ആറ് അക്ക പാസ്‌വേഡ് ജനറേറ്റ് ചെയ്യാൻ തുടങ്ങും.

ഉറപ്പാക്കാൻ, നിങ്ങൾക്ക് ഇത് ഒരേ ഇന്റർഫേസിൽ പരിശോധിക്കാം:

നിങ്ങളുടെ ഫോണിലെ ആപ്ലിക്കേഷനിൽ നിന്ന് നിങ്ങളുടെ ഉപയോക്തൃനാമവും ഒറ്റത്തവണ പാസ്‌വേഡും നൽകുന്നതിലൂടെ. നിങ്ങൾക്ക് അനുകൂലമായ പ്രതികരണം ലഭിച്ചോ? അതിനാൽ ഞങ്ങൾ മുന്നോട്ട് പോകുന്നു.

ഘട്ടം 4. FreeRADIUS പ്രവർത്തനത്തിന്റെ അധിക കോൺഫിഗറേഷനും പരിശോധനയും
ഞാൻ മുകളിൽ സൂചിപ്പിച്ചതുപോലെ, FreeRADIUS-നൊപ്പം പ്രവർത്തിക്കാൻ multiOTP ഇതിനകം കോൺഫിഗർ ചെയ്‌തിട്ടുണ്ട്, ഇനിയുള്ളത് ടെസ്റ്റുകൾ പ്രവർത്തിപ്പിക്കുകയും FreeRADIUS കോൺഫിഗറേഷൻ ഫയലിലേക്ക് ഞങ്ങളുടെ VPN ഗേറ്റ്‌വേയെക്കുറിച്ചുള്ള വിവരങ്ങൾ ചേർക്കുകയും ചെയ്യുക എന്നതാണ്.

ഞങ്ങൾ സെർവർ കൺസോളിലേക്ക്, ഡയറക്ടറിയിലേക്ക് മടങ്ങുന്നു /usr/local/bin/multiotp/, നൽകുക:

./multiotp.php -config debug=1
./multiotp.php -config display-log=1

കൂടുതൽ വിശദമായ ലോഗിംഗ് ഉൾപ്പെടെ.

FreeRADIUS ക്ലയന്റുകളുടെ കോൺഫിഗറേഷൻ ഫയലിൽ (/etc/freeradius/clinets.conf) ഇതുമായി ബന്ധപ്പെട്ട എല്ലാ വരികളും കമന്റ് ചെയ്യുക ലോക്കൽഹോസ്റ്റിൽ കൂടാതെ രണ്ട് എൻട്രികൾ ചേർക്കുക:

client localhost {
        ipaddr = 127.0.0.1
        secret          = testing321
        require_message_authenticator = no
}

- പരീക്ഷണത്തിനായി

client 192.168.1.254/32 {
        shortname =     CiscoASA
        secret =        ConnectToRADIUSSecret
}

— ഞങ്ങളുടെ VPN ഗേറ്റ്‌വേയ്‌ക്കായി.

FreeRADIUS പുനരാരംഭിച്ച് ലോഗിൻ ചെയ്യാൻ ശ്രമിക്കുക:

radtest username 100110 localhost 1812 testing321

എവിടെ ഉപയോക്തൃനാമം = ഉപയോക്തൃനാമം, 100110 = ഫോണിലെ ആപ്ലിക്കേഷൻ ഞങ്ങൾക്ക് നൽകിയ പാസ്‌വേഡ്, ലോക്കൽഹോസ്റ്റിൽ = RADIUS സെർവർ വിലാസം, 1812 - റേഡിയസ് സെർവർ പോർട്ട്, പരിശോധന321 — RADIUS സെർവർ ക്ലയന്റ് പാസ്‌വേഡ് (ഞങ്ങൾ കോൺഫിഗറിൽ വ്യക്തമാക്കിയത്).

ഈ കമാൻഡിന്റെ ഫലം ഏകദേശം ഇനിപ്പറയുന്ന രീതിയിൽ ഔട്ട്പുട്ട് ചെയ്യും:

Sending Access-Request of id 44 to 127.0.0.1 port 1812
        User-Name = "username"
        User-Password = "100110"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20

ഉപയോക്താവ് വിജയകരമായി പ്രാമാണീകരിച്ചുവെന്ന് ഇപ്പോൾ ഞങ്ങൾ ഉറപ്പാക്കേണ്ടതുണ്ട്. ഇത് ചെയ്യുന്നതിന്, ഞങ്ങൾ multiotp-ന്റെ ലോഗ് തന്നെ നോക്കും:

tail /var/log/multiotp/multiotp.log

അവസാന എൻട്രി ഉണ്ടെങ്കിൽ:

2016-09-01 08:58:17     notice  username  User    OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17     debug           Debug   Debug: 0 OK: Token accepted from 127.0.0.1

അപ്പോൾ എല്ലാം നന്നായി പോയി, നമുക്ക് പൂർത്തിയാക്കാം

ഘട്ടം 5: Cisco ASA കോൺഫിഗർ ചെയ്യുക
ആക്റ്റീവ് ഡയറക്‌ടറിയുമായി ചേർന്ന് കോൺഫിഗർ ചെയ്‌ത SLL VPN വഴി ആക്‌സസ് ചെയ്യുന്നതിനായി ഞങ്ങൾ ഇതിനകം കോൺഫിഗർ ചെയ്‌ത ഗ്രൂപ്പും നയങ്ങളും ഉണ്ടെന്ന് സമ്മതിക്കാം, കൂടാതെ ഈ പ്രൊഫൈലിനായി ഞങ്ങൾ രണ്ട്-ഘടക പ്രാമാണീകരണം ചേർക്കേണ്ടതുണ്ട്.

1. ഒരു പുതിയ AAA സെർവർ ഗ്രൂപ്പ് ചേർക്കുക:

2. ഗ്രൂപ്പിലേക്ക് ഞങ്ങളുടെ മൾട്ടിഒടിപി സെർവർ ചേർക്കുക:

3. ഞങ്ങൾ എഡിറ്റ് ചെയ്യുന്നു കണക്ഷൻ പ്രൊഫൈൽ, ആക്ടീവ് ഡയറക്ടറി സെർവർ ഗ്രൂപ്പിനെ പ്രധാന പ്രാമാണീകരണ സെർവറായി സജ്ജമാക്കുക:

4. ടാബിൽ വിപുലമായ -> പ്രാമാണീകരണം ഞങ്ങൾ സജീവ ഡയറക്ടറി സെർവർ ഗ്രൂപ്പും തിരഞ്ഞെടുക്കുന്നു:

5. ടാബിൽ വിപുലമായ -> സെക്കൻഡറി പ്രാമാണീകരണം, മൾട്ടിOTP സെർവർ രജിസ്റ്റർ ചെയ്തിട്ടുള്ള സൃഷ്ടിച്ച സെർവർ ഗ്രൂപ്പ് തിരഞ്ഞെടുക്കുക. സെഷൻ ഉപയോക്തൃനാമം പ്രാഥമിക AAA സെർവർ ഗ്രൂപ്പിൽ നിന്ന് പാരമ്പര്യമായി ലഭിച്ചതാണെന്ന കാര്യം ശ്രദ്ധിക്കുക:

ക്രമീകരണങ്ങൾ പ്രയോഗിക്കുക ഒപ്പം

ഘട്ടം 6, അല്ലെങ്കിൽ അവസാനത്തേത്
SLL VPN-ന് രണ്ട്-ഘടക പ്രാമാണീകരണം പ്രവർത്തിക്കുന്നുണ്ടോയെന്ന് പരിശോധിക്കാം:

വോയില! Cisco AnyConnect VPN ക്ലയന്റ് വഴി കണക്റ്റുചെയ്യുമ്പോൾ, നിങ്ങളോട് രണ്ടാമത്തെ ഒറ്റത്തവണ പാസ്‌വേഡും ആവശ്യപ്പെടും.

ഈ ലേഖനം ആരെയെങ്കിലും സഹായിക്കുമെന്ന് ഞാൻ പ്രതീക്ഷിക്കുന്നു, ഇത് എങ്ങനെ ഉപയോഗിക്കാമെന്നതിനെക്കുറിച്ചുള്ള ചിന്തയ്ക്ക് ഇത് ആർക്കെങ്കിലും ഭക്ഷണം നൽകുമെന്ന് ഞാൻ പ്രതീക്ഷിക്കുന്നു, സ .ജന്യമാണ് മറ്റ് ജോലികൾക്കായി OTP സെർവർ. നിങ്ങൾക്ക് വേണമെങ്കിൽ അഭിപ്രായങ്ങളിൽ പങ്കിടുക.

അവലംബം: www.habr.com