MikroTik आणि SMS द्वारे VPN वापरकर्त्यांचे द्वि-घटक प्रमाणीकरण

नमस्कार सहकारी! आज, जेव्हा "रिमोट वर्क" बद्दलच्या आवडीची तीव्रता थोडी कमी झाली आहे, बहुतेक प्रशासकांनी कॉर्पोरेट नेटवर्कवर कर्मचार्‍यांच्या दूरस्थ प्रवेशाचे कार्य जिंकले आहे, VPN सुरक्षा सुधारण्याचा माझा दीर्घकाळचा अनुभव सामायिक करण्याची वेळ आली आहे. हा लेख आता फॅशनेबल होणार नाही IPSec IKEv2 आणि xAuth. हे एक प्रणाली तयार करण्याबद्दल आहे. द्वि-घटक प्रमाणीकरण (2FA) VPN वापरकर्ते जेव्हा MikroTik VPN सर्व्हर म्हणून काम करतात. बहुदा, जेव्हा PPP सारखे "क्लासिक" प्रोटोकॉल वापरले जातात.

आज मी तुम्हाला MikroTik PPP-VPN चे संरक्षण कसे करायचे ते सांगेन जरी वापरकर्ता खाते "हायजॅक" झाले असले तरीही. जेव्हा माझ्या एका ग्राहकाला ही योजना सादर केली गेली तेव्हा त्याने त्याचे थोडक्यात वर्णन केले "ठीक आहे, आता ते बँकेप्रमाणेच आहे!".

पद्धत बाह्य प्रमाणक सेवा वापरत नाही. कार्ये राउटरद्वारेच अंतर्गत केली जातात. कनेक्टिंग क्लायंटसाठी कोणतेही शुल्क नाही. ही पद्धत पीसी क्लायंट आणि मोबाइल डिव्हाइस दोन्हीसाठी कार्य करते.

सामान्य संरक्षण योजना खालीलप्रमाणे आहे:

1. VPN सर्व्हरशी यशस्वीरित्या कनेक्ट केलेल्या वापरकर्त्याचा अंतर्गत IP पत्ता स्वयंचलितपणे ग्रेलिस्ट केला जातो.
2. कनेक्शन इव्हेंट स्वयंचलितपणे एक-वेळ कोड तयार करतो जो उपलब्ध पद्धतींपैकी एक वापरून वापरकर्त्याला पाठविला जातो.
3. या सूचीतील पत्त्यांना स्थानिक नेटवर्क संसाधनांमध्ये मर्यादित प्रवेश आहे, "ऑथेंटिकेटर" सेवेचा अपवाद वगळता, जो एक-वेळचा पासकोड प्राप्त होण्याची प्रतीक्षा करत आहे.
4. कोड सादर केल्यानंतर, वापरकर्त्यास नेटवर्कच्या अंतर्गत संसाधनांमध्ये प्रवेश असतो.

पहिला मला सर्वात लहान समस्या भेडसावत होती ती म्हणजे वापरकर्त्याला 2FA कोड पाठवण्यासाठी त्याच्याबद्दलची संपर्क माहिती संग्रहित करणे. Mikrotik मधील वापरकर्त्यांशी संबंधित अनियंत्रित डेटा फील्ड तयार करणे अशक्य असल्याने, विद्यमान "टिप्पणी" फील्ड वापरली गेली:

/ppp गुपिते जोडा name=Petrov पासवर्ड=4M@ngr! टिप्पणी="89876543210"

दुसरा समस्या अधिक गंभीर बनली - मार्ग आणि कोड वितरित करण्याची पद्धत निवडणे. सध्या तीन योजना लागू केल्या आहेत: अ) USB-मॉडेम द्वारे SMS b) ई-मेल क) ई-मेल द्वारे SMS रेड सेल्युलर ऑपरेटरच्या कॉर्पोरेट क्लायंटसाठी उपलब्ध आहे.

होय, एसएमएस योजना खर्च आणतात. पण जर तुम्ही बघितले तर, "सुरक्षा ही नेहमी पैशाबद्दल असते" (c).
मला वैयक्तिकरित्या ई-मेलसह योजना आवडत नाही. क्लायंटला प्रमाणीकृत करण्यासाठी मेल सर्व्हर उपलब्ध असणे आवश्यक आहे म्हणून नाही - रहदारी विभाजित करणे ही समस्या नाही. तथापि, जर एखाद्या क्लायंटने निष्काळजीपणे व्हीपीएन आणि ईमेल दोन्ही संकेतशब्द ब्राउझरमध्ये सेव्ह केले आणि नंतर त्याचा लॅपटॉप गमावला, तर आक्रमणकर्त्याला त्यातून कॉर्पोरेट नेटवर्कमध्ये पूर्ण प्रवेश मिळेल.

म्हणून, हे ठरवले आहे - आम्ही एसएमएस संदेश वापरून एक-वेळ कोड वितरीत करतो.

तिसरे समस्या कुठे होती MikroTik मध्ये 2FA साठी स्यूडो-रँडम कोड कसा तयार करायचा. राउटरओएस स्क्रिप्टिंग भाषेमध्ये यादृच्छिक() फंक्शनचे कोणतेही अॅनालॉग नाही आणि मी यापूर्वी अनेक क्रच स्क्रिप्ट स्यूडो-रँडम नंबर जनरेटर पाहिले आहेत. विविध कारणांमुळे मला त्यापैकी एकही आवडले नाही.

खरं तर, MikroTik मध्ये एक छद्म-यादृच्छिक अनुक्रम जनरेटर आहे! हे /certificates scep-server च्या संदर्भात वरवरच्या नजरेतून लपलेले आहे. प्रथम मार्ग एक-वेळ पासवर्ड मिळवणे सोपे आणि सोपे आहे - कमांडसह /प्रमाणपत्रे scep-server otp व्युत्पन्न करतात. जर आपण साधे व्हेरिएबल असाइनमेंट ऑपरेशन केले तर आपल्याला अॅरे व्हॅल्यू मिळेल जी नंतर स्क्रिप्टमध्ये वापरली जाऊ शकते.

दुसरा मार्ग एक-वेळ पासवर्ड मिळवणे जो लागू करणे देखील सोपे आहे - बाह्य सेवा वापरून यादृच्छिक ..org छद्म-यादृच्छिक संख्यांचा इच्छित प्रकारचा क्रम तयार करण्यासाठी. येथे एक सरलीकृत आहे cantilevered व्हेरिएबलमध्ये डेटा मिळवण्याचे उदाहरण:

कोड
:global rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user ]->"da
ta") 1 6] :put $rnd1

कन्सोलसाठी फॉरमॅट केलेली विनंती (स्क्रिप्ट बॉडीमध्ये विशेष वर्णांची आवश्यकता असेल) $rnd1 व्हेरिएबलमध्ये सहा अंकांची स्ट्रिंग प्राप्त करते. खालील "पुट" कमांड MikroTik कन्सोलमध्ये फक्त व्हेरिएबल दाखवते.

चौथी समस्या ज्याचे त्वरीत निराकरण करणे आवश्यक होते - प्रमाणीकरणाच्या दुसऱ्या टप्प्यावर कनेक्ट केलेला क्लायंट त्याचा एक-वेळचा कोड कसा आणि कुठे हस्तांतरित करेल.

MikroTik राउटरवर अशी सेवा असणे आवश्यक आहे जी कोड स्वीकारू शकेल आणि विशिष्ट क्लायंटशी जुळेल. प्रदान केलेला कोड अपेक्षित असलेल्याशी जुळत असल्यास, क्लायंटचा पत्ता एका विशिष्ट "पांढऱ्या" सूचीमध्ये समाविष्ट केला जावा, ज्या पत्त्यांमधून कंपनीच्या अंतर्गत नेटवर्कमध्ये प्रवेश करण्याची परवानगी आहे.

सेवांच्या खराब निवडीमुळे, मिक्रोटिकमध्ये तयार केलेल्या वेबप्रॉक्सीचा वापर करून HTTP द्वारे कोड स्वीकारण्याचा निर्णय घेण्यात आला. आणि फायरवॉल आयपी अॅड्रेसच्या डायनॅमिक लिस्टसह काम करू शकत असल्याने, तो फायरवॉल आहे जो कोड शोधतो, तो क्लायंट आयपीशी जुळतो आणि Layer7 regexp वापरून "व्हाइट" सूचीमध्ये जोडतो. राउटरला स्वतः एक सशर्त DNS नाव "gw.local" नियुक्त केले गेले आहे, PPP क्लायंटना जारी करण्यासाठी त्यावर एक स्थिर A-रेकॉर्ड तयार केला गेला आहे:

DNS
/ip dns static add name=gw.local address=172.31.1.1

प्रॉक्सीवर असत्यापित क्लायंटची रहदारी कॅप्चर करणे:
/ip firewall nat add chain=dstnat dst-port=80,443 in-interface=2fa protocol=tcp !src-address-list=2fa_approved action=redirect to-ports=3128


या प्रकरणात, प्रॉक्सीमध्ये दोन कार्ये आहेत.

1. क्लायंटसह टीसीपी कनेक्शन उघडा;

2. यशस्वी प्रमाणीकरणाच्या बाबतीत, क्लायंट ब्राउझरला पृष्ठावर पुनर्निर्देशित करा किंवा यशस्वी प्रमाणीकरणाबद्दल सूचित करणारे चित्र:

प्रॉक्सी कॉन्फिगरेशन
/ip proxy
set enabled=yes port=3128
/ip proxy access
add action=deny disabled=no redirect-to=gw.local./mikrotik_logo.png src-address=0.0.0.0/0

मी महत्वाचे कॉन्फिगरेशन घटक सूचीबद्ध करेन:

1. इंटरफेस-लिस्ट "2fa" - क्लायंट इंटरफेसची डायनॅमिक सूची, ट्रॅफिक ज्यातून 2FA मध्ये प्रक्रिया करणे आवश्यक आहे;
2. पत्ता-सूची "2fa_jailed" - VPN क्लायंटच्या बोगद्याच्या IP पत्त्यांची "ग्रे" यादी;
3. पत्ता_सूची "2fa_approved" - दोन-घटक प्रमाणीकरण यशस्वीपणे पार केलेल्या VPN क्लायंटच्या सुरंग IP पत्त्यांची "पांढरी" यादी.
4. फायरवॉल साखळी "input_2fa" - ते अधिकृतता कोडच्या उपस्थितीसाठी tcp पॅकेट तपासते आणि आवश्यक असलेल्या कोड पाठवणार्‍याच्या IP पत्त्याशी जुळते. साखळीतील नियम गतिशीलपणे जोडले आणि काढले जातात.

पॅकेट प्रक्रियेचा एक सरलीकृत फ्लोचार्ट असा दिसतो:

अद्याप प्रमाणीकरणाचा दुसरा टप्पा पार न केलेल्या "राखाडी" सूचीमधील क्लायंटच्या ट्रॅफिकची लेयर7 तपासणी करण्यासाठी, मानक "इनपुट" साखळीमध्ये एक नियम तयार केला गेला आहे:

कोड
/ip firewall filter add chain=input !src-address-list=2fa_approved action=jump jump-target=input_2fa

आता ही सर्व संपत्ती पीपीपी सेवेसाठी जोडण्यास सुरुवात करूया. MikroTik तुम्हाला प्रोफाइलमध्ये (ppp-प्रोफाइल) स्क्रिप्ट्स वापरण्याची आणि त्यांना ppp कनेक्शन स्थापित करण्याच्या आणि तोडण्याच्या घटनांमध्ये नियुक्त करण्याची परवानगी देते. ppp-प्रोफाइल सेटिंग्ज PPP सर्व्हरवर संपूर्णपणे किंवा वैयक्तिक वापरकर्त्यांसाठी लागू केल्या जाऊ शकतात. त्याच वेळी, वापरकर्त्याला नियुक्त केलेल्या प्रोफाइलला प्राधान्य असते, सर्व्हरसाठी निवडलेल्या प्रोफाइलचे पॅरामीटर्स त्याच्या निर्दिष्ट पॅरामीटर्ससह ओव्हरराइड करते.

या दृष्टिकोनाचा परिणाम म्हणून, आम्ही द्वि-घटक प्रमाणीकरणासाठी एक विशेष प्रोफाइल तयार करू शकतो आणि ते सर्व वापरकर्त्यांना नाही, तर ज्यांना असे करणे आवश्यक आहे त्यांच्यासाठी नियुक्त करू शकतो. तुम्ही पीपीपी सेवा केवळ अंतिम वापरकर्त्यांना जोडण्यासाठी वापरत असल्यास, परंतु त्याच वेळी साइट-टू-साइट कनेक्शन तयार करण्यासाठी हे संबंधित असू शकते.

नव्याने तयार केलेल्या विशेष प्रोफाइलमध्ये, आम्ही पत्ते आणि इंटरफेसच्या "ग्रे" सूचीमध्ये कनेक्ट केलेल्या वापरकर्त्याचा पत्ता आणि इंटरफेस डायनॅमिक जोडण्याचा वापर करतो:

winbox

कोड
/ppp profile add address-list=2fa_jailed change-tcp-mss=no local-address=192.0.2.254 name=2FA interface-list=2fa only-one=yes remote-address=dhcp_pool1 use-compression=no use-encryption= required use-mpls=no use-upnp=no dns-server=172.31.1.1

dstnat (prerouting) साखळीतील गैर-दुय्यम VPN क्लायंट्सकडून रहदारी शोधण्यासाठी आणि कॅप्चर करण्यासाठी दोन्ही "पत्ता-सूची" आणि "इंटरफेस-सूची" याद्या वापरणे आवश्यक आहे.

तयारी पूर्ण झाल्यावर, अतिरिक्त फायरवॉल चेन आणि प्रोफाइल तयार केले जाईल, आम्ही 2FA कोड आणि वैयक्तिक फायरवॉल नियमांच्या स्वयं-निर्मितीसाठी जबाबदार असलेली स्क्रिप्ट लिहू.

दस्तऐवजीकरण wiki.mikrotik.com पीपीपी-प्रोफाइल वर पीपीपी क्लायंट कनेक्ट-डिस्कनेक्ट इव्हेंटशी संबंधित व्हेरिएबल्सबद्दल माहिती देऊन आम्हाला समृद्ध करते "वापरकर्ता लॉगिन-इव्हेंटवर स्क्रिप्ट कार्यान्वित करा. हे उपलब्ध व्हेरिएबल्स आहेत जे इव्हेंट स्क्रिप्टसाठी प्रवेशयोग्य आहेत: वापरकर्ता, स्थानिक-पत्ता, रिमोट-पत्ता, कॉलर-आयडी, कॉल-आयडी, इंटरफेस". त्यापैकी काही आमच्यासाठी खूप उपयुक्त आहेत.

PPP ऑन-अप कनेक्शन इव्हेंटसाठी प्रोफाइलमध्ये कोड वापरला जातो

#Логируем для отладки полученные переменные 
:log info (

quot;local-address")

:log info (

quot;remote-address")

:log info (

quot;caller-id")

:log info (

quot;called-id")

:log info ([/int pptp-server get (

quot;interface") name])

#Объявляем свои локальные переменные

:local listname "2fa_jailed"

:local viamodem false

:local modemport "usb2"

#ищем автоматически созданную запись в адрес-листе "2fa_jailed"

:local recnum1 [/ip fi address-list find address=(

quot;remote-address") list=$listname]
#получаем псевдослучайный код через random.org

#:local rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user]->"data") 0 4]
#либо получаем псевдослучайный код через локальный генератор

#:local rnd1 [pick ([/cert scep-server otp generate as-value minutes-valid=1]->"password") 0 4 ]
#Ищем и обновляем коммент к записи в адрес-листе. Вносим искомый код для отладки

/ip fir address-list set $recnum1 comment=$rnd1

#получаем номер телефона куда слать SMS

:local vphone [/ppp secret get [find name=$user] comment]
#Готовим тело сообщения. Если клиент подключается к VPN прямо с телефона ему достаточно

#будет перейти прямо по ссылке из полученного сообщения

:local msgboby ("Your code: ".$comm1."n Or open link http://gw.local/otp/".$comm1."/")
# Отправляем SMS по выбранному каналу - USB-модем или email-to-sms

if $viamodem do={

/tool sms send phone-number=$vphone message=$msgboby port=$modemport }

else={

/tool e-mail send server=a.b.c.d [email protected] [email protected] subject="@".$vphone body=$msgboby }
#Генерируем Layer7 regexp

local vregexp ("otp\/".$comm1)

:local vcomment ("2fa_".(

quot;remote-address"))

/ip firewall layer7-protocol add name=(

quot;vcomment") comment=(

quot;remote-address") regexp=(

quot;vregexp")
#Генерируем правило проверяющее по Layer7 трафик клиента в поисках нужного кода

#и небольшой защитой от брутфорса кодов с помощью dst-limit

/ip firewall filter add action=add-src-to-address-list address-list=2fa_approved address-list-timeout=none-dynamic chain=input_2fa dst-port=80,443,3128 layer7-protocol=(

quot;vcomment") protocol=tcp src-address=(

quot;remote-address") dst-limit=1,1,src-address/1m40s



विशेषत: ज्यांना बिनदिक्कतपणे कॉपी-पेस्ट करायला आवडते त्यांच्यासाठी, मी तुम्हाला चेतावणी देतो - कोड चाचणी आवृत्तीमधून घेतलेला आहे आणि त्यात किरकोळ टायपोज असू शकतात. समजूतदार माणसाला नेमके कुठे हे शोधणे अवघड जाणार नाही.
जेव्हा वापरकर्ता डिस्कनेक्ट होतो, तेव्हा "ऑन-डाउन" इव्हेंट तयार होतो आणि पॅरामीटर्ससह संबंधित स्क्रिप्ट कॉल केली जाते. या स्क्रिप्टचा उद्देश डिस्कनेक्ट केलेल्या वापरकर्त्यासाठी तयार केलेले फायरवॉल नियम साफ करणे हा आहे.
PPP ऑन-डाउन कनेक्शन इव्हेंटसाठी प्रोफाइलमध्ये कोड वापरला जातो
:local vcomment ("2fa_".(

quot;remote-address"))

/ip firewall address-list remove [find address=(

quot;remote-address") list=2fa_approved]
/ip firewall filter remove [find chain="input_2fa" src-address=(

quot;remote-address") ]
/ip firewall layer7-protocol remove [find name=$vcomment]


त्यानंतर तुम्ही वापरकर्ते तयार करू शकता आणि सर्व किंवा काही टू-फॅक्टर ऑथेंटिकेशन प्रोफाइलमध्ये नियुक्त करू शकता.
winbox


कोड

/ppp secrets set [find name=Petrov] profile=2FA
क्लायंटच्या बाजूने ते कसे दिसते.
जेव्हा व्हीपीएन कनेक्शन स्थापित केले जाते, तेव्हा सिम कार्ड असलेल्या Android/iOS फोन/टॅबलेटला असा एसएमएस प्राप्त होतो:
एसएमएस


जर कनेक्शन थेट फोन / टॅब्लेटवरून स्थापित केले असेल, तर तुम्ही संदेशातील लिंकवर क्लिक करून 2FA मधून जाऊ शकता. ते आरामदायक आहे.
व्हीपीएन कनेक्शन पीसीवरून स्थापित केले असल्यास, वापरकर्त्यास किमान पासवर्ड फॉर्म प्रविष्ट करणे आवश्यक असेल. VPN सेट करताना वापरकर्त्याला HTML फाईलच्या स्वरूपात एक छोटा फॉर्म दिला जातो. फाईल मेलद्वारे देखील पाठविली जाऊ शकते जेणेकरून वापरकर्ता ती जतन करेल आणि सोयीस्कर ठिकाणी शॉर्टकट तयार करेल. हे असे दिसते:
टेबलवर लेबल


वापरकर्ता शॉर्टकटवर क्लिक करतो, एक साधा कोड एंट्री फॉर्म उघडतो, जो उघडलेल्या URL मध्ये कोड पेस्ट करेल:
स्क्रीन फॉर्म


सर्वात आदिम स्वरूप उदाहरण म्हणून दिले आहे. ज्यांना इच्छा आहे ते स्वतःसाठी बदल करू शकतात.
2fa_login_mini.html
<html>
<head> <title>SMS OTP login</title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> </head>
<body>
<form name="login" action="location.href='http://gw.local/otp/'+document.getElementById(‘text').value"  method="post"
 <input id="text" type="text"/> 
<input type="button" value="Login" onclick="location.href='http://gw.local/otp/'+document.getElementById('text').value"/> 
</form>
</body>
</html>

अधिकृतता यशस्वी झाल्यास, वापरकर्त्याला ब्राउझरमध्ये MikroTik लोगो दिसेल, जो यशस्वी प्रमाणीकरणाचा संकेत देईल:

लक्षात ठेवा की इमेज बिल्ट-इन MikroTik वेब सर्व्हरवरून WebProxy Deny Redirect वापरून परत केली आहे.
मला असे वाटते की "हॉटस्पॉट" टूल वापरून प्रतिमा सानुकूलित केली जाऊ शकते, तेथे तुमची स्वतःची आवृत्ती अपलोड करा आणि WebProxy सह रीडायरेक्ट URL नाकारू द्या.
जे सर्वात स्वस्त "खेळणी" Mikrotik $20 मध्ये विकत घेण्याचा प्रयत्न करत आहेत त्यांना एक मोठी विनंती आहे आणि $500 चे राउटर त्यासोबत बदलू नका - असे करू नका. "hAP Lite" / "hAP mini" (होम ऍक्सेस पॉईंट) सारख्या उपकरणांमध्ये खूप कमकुवत CPU (smips) आहे आणि ते व्यवसाय विभागातील लोडचा सामना करू शकत नाहीत.
चेतावणी!  या सोल्यूशनचा एक तोटा आहे: जेव्हा क्लायंट कनेक्ट किंवा डिस्कनेक्ट करतात तेव्हा कॉन्फिगरेशन बदल होतात, जे राउटर त्याच्या नॉन-व्होलॅटाइल मेमरीमध्ये जतन करण्याचा प्रयत्न करतो. मोठ्या संख्येने क्लायंट आणि वारंवार कनेक्शन आणि डिस्कनेक्शन, यामुळे राउटरमधील अंतर्गत स्टोरेज खराब होऊ शकते.
PS: क्लायंटला कोड वितरीत करण्याच्या पद्धतींचा विस्तार केला जाऊ शकतो आणि जोपर्यंत तुमची प्रोग्रामिंग क्षमता पुरेशी आहे तोपर्यंत पूरक केली जाऊ शकते. उदाहरणार्थ, तुम्ही टेलीग्रामवर संदेश पाठवू शकता किंवा ... पर्याय सुचवू शकता!
मला आशा आहे की लेख तुमच्यासाठी उपयुक्त ठरेल आणि लहान आणि मध्यम आकाराच्या व्यवसायांचे नेटवर्क थोडे अधिक सुरक्षित करण्यात मदत करेल.
स्त्रोत: www.habr.com