MikroTik र SMS मार्फत VPN प्रयोगकर्ताहरूको दुई-कारक प्रमाणीकरण

नमस्ते सहकर्मीहरू! आज, जब "रिमोट वर्क" वरिपरि जुनूनको तीव्रता अलिकति कम भयो, अधिकांश प्रशासकहरूले कर्पोरेट नेटवर्कमा कर्मचारीहरूको टाढाको पहुँचको कार्य जितेका छन्, यो VPN सुरक्षा सुधार गर्ने मेरो लामो समयको अनुभव साझा गर्ने समय हो। यो लेख अब फैशनेबल हुनेछैन IPSec IKEv2 र xAuth। यो एक प्रणाली निर्माण को बारे मा छ। दुई-कारक प्रमाणीकरण (2FA) VPN प्रयोगकर्ताहरू जब MikroTik ले VPN सर्भरको रूपमा कार्य गर्दछ। अर्थात्, जब "क्लासिक" प्रोटोकलहरू जस्तै PPP प्रयोग गरिन्छ।

आज म तपाईंलाई MikroTik PPP-VPN कसरी सुरक्षित गर्ने भनेर बताउनेछु यदि प्रयोगकर्ता खाता "हाइज्याक" भएको छ भने। जब यो योजना मेरो एक ग्राहकलाई परिचय गराइयो, उसले यसलाई संक्षिप्त रूपमा वर्णन गर्यो "ठीक छ, अब यो बैंकमा जस्तै छ!"।

विधिले बाह्य प्रमाणक सेवाहरू प्रयोग गर्दैन। कार्यहरू आन्तरिक रूपमा राउटरद्वारा गरिन्छ। जडान गर्ने ग्राहकको लागि कुनै लागत छैन। विधि दुवै पीसी ग्राहक र मोबाइल उपकरणहरूको लागि काम गर्दछ।

सामान्य सुरक्षा योजना निम्नानुसार छ:

1. VPN सर्भरमा सफलतापूर्वक जडान भएको प्रयोगकर्ताको आन्तरिक IP ठेगाना स्वतः ग्रेलिस्टेड हुन्छ।
2. जडान घटनाले स्वचालित रूपमा एक-पटक कोड उत्पन्न गर्दछ जुन उपलब्ध विधिहरू मध्ये एक प्रयोग गरेर प्रयोगकर्तालाई पठाइन्छ।
3. यस सूचीका ठेगानाहरूसँग स्थानीय नेटवर्क स्रोतहरूमा सीमित पहुँच छ, "प्रमाणक" सेवाको अपवाद बाहेक, जुन एक पटकको पासकोड प्राप्त गर्न पर्खिरहेको छ।
4. कोड प्रस्तुत गरेपछि, प्रयोगकर्ताको नेटवर्कको आन्तरिक स्रोतहरूमा पहुँच छ।

पहिलो मैले सामना गर्नुपर्ने सबैभन्दा सानो समस्या भनेको प्रयोगकर्तालाई 2FA कोड पठाउनको लागि सम्पर्क जानकारी भण्डारण गर्नु थियो। Mikrotik मा प्रयोगकर्ताहरूसँग सम्बन्धित मनमानी डाटा क्षेत्रहरू सिर्जना गर्न असम्भव भएकोले, अवस्थित "टिप्पणी" क्षेत्र प्रयोग गरिएको थियो:

/ppp गोप्य नाम थप्नुहोस्=Petrov पासवर्ड=4M@ngr! comment="89876543210"

दोस्रो समस्या थप गम्भीर हुन गयो - मार्ग र कोड वितरण को तरिका को छनोट। हाल तीनवटा योजनाहरू लागू गरिएका छन्: क) USB-मोडेम मार्फत एसएमएस ख) इ-मेल ग) रेड सेलुलर अपरेटरका कर्पोरेट ग्राहकहरूका लागि उपलब्ध इ-मेल मार्फत एसएमएस।

हो, एसएमएस योजनाहरूले लागतहरू ल्याउँछन्। तर यदि तपाईंले हेर्नुभयो भने, "सुरक्षा सधैं पैसाको बारेमा हो" (c)।
मलाई व्यक्तिगत रूपमा इ-मेलको साथ योजना मनपर्दैन। किनकी यो मेल सर्भरलाई क्लाइन्ट प्रमाणिकरणको लागि उपलब्ध हुन आवश्यक छ - यो ट्राफिक विभाजित गर्न समस्या होइन। यद्यपि, यदि ग्राहकले लापरवाहीपूर्वक दुबै vpn र इमेल पासवर्डहरू ब्राउजरमा बचत गरे र त्यसपछि आफ्नो ल्यापटप गुमाए, आक्रमणकारीले यसबाट कर्पोरेट नेटवर्कमा पूर्ण पहुँच प्राप्त गर्नेछ।

त्यसोभए, यो निर्णय गरियो - हामी एसएमएस सन्देशहरू प्रयोग गरेर एक-पटके कोड डेलिभर गर्छौं।

तेस्रो समस्या कहाँ थियो MikroTik मा 2FA को लागि स्यूडो-यादृच्छिक कोड कसरी उत्पन्न गर्ने। त्यहाँ राउटरओएस स्क्रिप्टिङ भाषामा अनियमित() प्रकार्यको कुनै एनालग छैन, र मैले पहिले धेरै क्रच स्क्रिप्ट स्यूडो-यादृच्छिक नम्बर जनरेटरहरू देखेको छु। विभिन्न कारणले मलाई ती मध्ये कुनै पनि मन परेन।

वास्तवमा, MikroTik मा छद्म-यादृच्छिक अनुक्रम जनरेटर छ! यो / सर्टिफिकेट scep-सर्भरको सन्दर्भमा सतही नजरबाट लुकेको छ। पहिलो तरिका एक पटकको पासवर्ड प्राप्त गर्न सजिलो र सरल छ - आदेश संग /प्रमाणपत्र scep-सर्भर otp उत्पन्न। यदि हामीले एक साधारण चर असाइनमेन्ट सञ्चालन गर्छौं भने, हामीले एरे मान पाउनेछौं जुन पछि स्क्रिप्टहरूमा प्रयोग गर्न सकिन्छ।

दोस्रो बाटो एक पटकको पासवर्ड प्राप्त गर्दै जुन लागू गर्न पनि सजिलो छ - बाह्य सेवा प्रयोग गरेर random.org छद्म अनियमित संख्याहरूको इच्छित प्रकारको अनुक्रम उत्पन्न गर्न। यहाँ सरलीकृत छ cantilevered चरमा डाटा प्राप्त गर्ने उदाहरण:

कोड
:global rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user ]->"da
ta") 1 6] :put $rnd1

कन्सोलको लागि ढाँचा गरिएको अनुरोध (स्क्रिप्टको मुख्य भागमा विशेष क्यारेक्टरहरू आवश्यक हुनेछ) $rnd1 चरमा छ अङ्कहरूको स्ट्रिङ प्राप्त गर्दछ। निम्न "पुट" कमाण्डले MikroTik कन्सोलमा चर देखाउँछ।

चौथो समस्या जुन छिट्टै समाधान गर्नु पर्ने थियो - यो कसरी र कहाँ जडान भएको क्लाइन्टले प्रमाणीकरणको दोस्रो चरणमा यसको एक-पटक कोड स्थानान्तरण गर्नेछ।

MikroTik राउटरमा एउटा सेवा हुनुपर्छ जसले कोड स्वीकार गर्न सक्छ र एक विशिष्ट ग्राहकसँग मेल खान्छ। यदि प्रदान गरिएको कोड अपेक्षित एकसँग मेल खान्छ भने, ग्राहकको ठेगाना निश्चित "सेतो" सूचीमा समावेश गरिनुपर्छ, ठेगानाहरू जसबाट कम्पनीको आन्तरिक नेटवर्कमा पहुँच अनुमति दिइएको छ।

सेवाहरूको खराब छनौटको कारण, Mikrotik मा निर्मित वेबप्रोक्सी प्रयोग गरेर http मार्फत कोडहरू स्वीकार गर्ने निर्णय गरियो। र फायरवालले IP ठेगानाहरूको गतिशील सूचीहरूसँग काम गर्न सक्ने भएकोले, यो फायरवाल हो जसले कोडको लागि खोजी गर्छ, यसलाई क्लाइन्ट आईपीसँग मेल खान्छ र Layer7 regexp प्रयोग गरेर "सेतो" सूचीमा थप्छ। राउटरलाई सशर्त DNS नाम "gw.local" तोकिएको छ, PPP ग्राहकहरूलाई जारी गर्नको लागि यसमा स्थिर A-रेकर्ड सिर्जना गरिएको छ:

DNS
/ip dns static add name=gw.local address=172.31.1.1

प्रोक्सीमा अप्रमाणित ग्राहकहरूको ट्राफिक क्याप्चर गर्दै:
/ip firewall nat add chain=dstnat dst-port=80,443 in-interface=2fa protocol=tcp !src-address-list=2fa_approved action=redirect to-ports=3128


यस अवस्थामा, प्रोक्सीसँग दुई प्रकार्यहरू छन्।

1. क्लाइन्टहरूसँग tcp जडानहरू खोल्नुहोस्;

२. सफल प्रमाणीकरणको अवस्थामा, क्लाइन्ट ब्राउजरलाई पृष्ठ वा तस्विरमा सफल प्रमाणीकरणको बारेमा सूचित गर्ने रिडिरेक्ट गर्नुहोस्:

प्रोक्सी कन्फिगरेसन
/ip proxy
set enabled=yes port=3128
/ip proxy access
add action=deny disabled=no redirect-to=gw.local./mikrotik_logo.png src-address=0.0.0.0/0

म महत्त्वपूर्ण कन्फिगरेसन तत्वहरू सूचीबद्ध गर्नेछु:

1. इन्टरफेस-सूची "2fa" - क्लाइन्ट इन्टरफेसहरूको गतिशील सूची, ट्राफिक जसबाट 2FA भित्र प्रशोधन आवश्यक छ;
2. ठेगाना-सूची "2fa_jailed" - VPN ग्राहकहरूको सुरुङ IP ठेगानाहरूको "खैरो" सूची;
3. ठेगाना_सूची "2fa_approved" - VPN क्लाइन्टहरूको सुरुङ IP ठेगानाहरूको "सेतो" सूची जसले सफलतापूर्वक दुई-कारक प्रमाणीकरण पार गरेको छ।
4. फायरवाल चेन "input_2fa" - यसले प्राधिकरण कोडको उपस्थितिको लागि tcp प्याकेटहरू जाँच गर्दछ र आवश्यक कोड प्रेषकको IP ठेगानासँग मेल खान्छ। चेनमा नियमहरू थपिन्छन् र गतिशील रूपमा हटाइन्छ।

प्याकेट प्रशोधन को एक सरल फ्लोचार्ट यस्तो देखिन्छ:

"ग्रे" सूचीबाट ग्राहकहरूबाट ट्राफिकको Layer7 जाँचमा प्रवेश गर्न जुन अझै प्रमाणीकरणको दोस्रो चरण पार गरेको छैन, मानक "इनपुट" चेनमा नियम सिर्जना गरिएको छ:

कोड
/ip firewall filter add chain=input !src-address-list=2fa_approved action=jump jump-target=input_2fa

अब यो सबै सम्पत्ति पीपीपी सेवामा जोड्न सुरु गरौं। MikroTik ले तपाईंलाई प्रोफाइलहरू (ppp-profile) मा स्क्रिप्टहरू प्रयोग गर्न र ppp जडान स्थापना र तोड्ने घटनाहरूमा नियुक्त गर्न अनुमति दिन्छ। ppp-प्रोफाइल सेटिङहरू PPP सर्भरमा सम्पूर्ण रूपमा र व्यक्तिगत प्रयोगकर्ताहरूमा लागू गर्न सकिन्छ। एकै समयमा, प्रयोगकर्तालाई तोकिएको प्रोफाइलको प्राथमिकता हुन्छ, सर्भरको लागि चयन गरिएको प्रोफाइलको मापदण्डहरूलाई यसको निर्दिष्ट प्यारामिटरहरूसँग ओभरराइड गर्दै।

यस दृष्टिकोणको नतिजाको रूपमा, हामी दुई-कारक प्रमाणीकरणको लागि विशेष प्रोफाइल सिर्जना गर्न सक्छौं र यसलाई सबै प्रयोगकर्ताहरूलाई होइन, तर त्यसो गर्न आवश्यक ठान्नेहरूलाई मात्र प्रदान गर्न सक्छौं। यो सान्दर्भिक हुन सक्छ यदि तपाइँ PPP सेवाहरू मात्र प्रयोगकर्ताहरूलाई जडान गर्न प्रयोग गर्नुहुन्छ, तर एकै समयमा साइट-टु-साइट जडानहरू निर्माण गर्न।

भर्खरै सिर्जना गरिएको विशेष प्रोफाइलमा, हामी ठेगाना र इन्टरफेसहरूको "ग्रे" सूचीहरूमा जडान गरिएको प्रयोगकर्ताको ठेगाना र इन्टरफेसको गतिशील थप प्रयोग गर्छौं:

winbox

कोड
/ppp profile add address-list=2fa_jailed change-tcp-mss=no local-address=192.0.2.254 name=2FA interface-list=2fa only-one=yes remote-address=dhcp_pool1 use-compression=no use-encryption= required use-mpls=no use-upnp=no dns-server=172.31.1.1

dstnat (prerouting) चेनमा गैर-सेकेन्डरी VPN क्लाइन्टहरूबाट ट्राफिक पत्ता लगाउन र क्याप्चर गर्न दुवै "ठेगाना-सूची" र "इन्टरफेस-सूची" सूचीहरू प्रयोग गर्न आवश्यक छ।

जब तयारी पूरा हुन्छ, अतिरिक्त फायरवाल चेनहरू र प्रोफाइल बनाइन्छ, हामी 2FA कोड र व्यक्तिगत फायरवाल नियमहरूको स्वत: उत्पादनको लागि जिम्मेवार लिपि लेख्नेछौं।

दस्तावेजीकरण wiki.mikrotik.com पीपीपी-प्रोफाइलमा पीपीपी ग्राहक जडान-विच्छेद घटनाहरूसँग सम्बन्धित चरहरूको बारेमा जानकारीले हामीलाई समृद्ध बनाउँछ। "प्रयोगकर्ता लगइन-घटनामा लिपि कार्यान्वयन गर्नुहोस्। यी उपलब्ध चरहरू छन् जुन घटना स्क्रिप्टको लागि पहुँचयोग्य छन्: प्रयोगकर्ता, स्थानीय-ठेगाना, रिमोट-ठेगाना, कलर-आईडी, कल-आईडी, इन्टरफेस"। ती मध्ये केही हाम्रो लागि धेरै उपयोगी छन्।

PPP अन-अप जडान घटनाको लागि प्रोफाइलमा प्रयोग गरिएको कोड

#Логируем для отладки полученные переменные 
:log info (

quot;local-address")

:log info (

quot;remote-address")

:log info (

quot;caller-id")

:log info (

quot;called-id")

:log info ([/int pptp-server get (

quot;interface") name])

#Объявляем свои локальные переменные

:local listname "2fa_jailed"

:local viamodem false

:local modemport "usb2"

#ищем автоматически созданную запись в адрес-листе "2fa_jailed"

:local recnum1 [/ip fi address-list find address=(

quot;remote-address") list=$listname]
#получаем псевдослучайный код через random.org

#:local rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user]->"data") 0 4]
#либо получаем псевдослучайный код через локальный генератор

#:local rnd1 [pick ([/cert scep-server otp generate as-value minutes-valid=1]->"password") 0 4 ]
#Ищем и обновляем коммент к записи в адрес-листе. Вносим искомый код для отладки

/ip fir address-list set $recnum1 comment=$rnd1

#получаем номер телефона куда слать SMS

:local vphone [/ppp secret get [find name=$user] comment]
#Готовим тело сообщения. Если клиент подключается к VPN прямо с телефона ему достаточно

#будет перейти прямо по ссылке из полученного сообщения

:local msgboby ("Your code: ".$comm1."n Or open link http://gw.local/otp/".$comm1."/")
# Отправляем SMS по выбранному каналу - USB-модем или email-to-sms

if $viamodem do={

/tool sms send phone-number=$vphone message=$msgboby port=$modemport }

else={

/tool e-mail send server=a.b.c.d [email protected] [email protected] subject="@".$vphone body=$msgboby }
#Генерируем Layer7 regexp

local vregexp ("otp\/".$comm1)

:local vcomment ("2fa_".(

quot;remote-address"))

/ip firewall layer7-protocol add name=(

quot;vcomment") comment=(

quot;remote-address") regexp=(

quot;vregexp")
#Генерируем правило проверяющее по Layer7 трафик клиента в поисках нужного кода

#и небольшой защитой от брутфорса кодов с помощью dst-limit

/ip firewall filter add action=add-src-to-address-list address-list=2fa_approved address-list-timeout=none-dynamic chain=input_2fa dst-port=80,443,3128 layer7-protocol=(

quot;vcomment") protocol=tcp src-address=(

quot;remote-address") dst-limit=1,1,src-address/1m40s



विशेष गरी ती व्यक्तिहरूका लागि जो बिना दिमागमा प्रतिलिपि टाँस्न मन पराउँछन्, म तपाईंलाई चेतावनी दिन्छु - कोड परीक्षण संस्करणबाट लिइएको हो र यसमा सानो टाइपो हुन सक्छ। बुझ्ने व्यक्तिलाई ठ्याक्कै कहाँ पत्ता लगाउन गाह्रो हुनेछैन।
जब एक प्रयोगकर्ता विच्छेदन हुन्छ, एक "अन-डाउन" घटना उत्पन्न हुन्छ र प्यारामिटरहरूसँग सम्बन्धित स्क्रिप्ट भनिन्छ। यस स्क्रिप्टको कार्य विच्छेदन प्रयोगकर्ताको लागि सिर्जना गरिएको फायरवाल नियमहरू सफा गर्नु हो।
PPP अन-डाउन जडान घटनाको लागि प्रोफाइलमा प्रयोग गरिएको कोड
:local vcomment ("2fa_".(

quot;remote-address"))

/ip firewall address-list remove [find address=(

quot;remote-address") list=2fa_approved]
/ip firewall filter remove [find chain="input_2fa" src-address=(

quot;remote-address") ]
/ip firewall layer7-protocol remove [find name=$vcomment]


त्यसपछि तपाइँ प्रयोगकर्ताहरू सिर्जना गर्न सक्नुहुन्छ र सबै वा ती मध्ये केहीलाई दुई-कारक प्रमाणीकरण प्रोफाइलमा असाइन गर्न सक्नुहुन्छ।
winbox


कोड

/ppp secrets set [find name=Petrov] profile=2FA
यो ग्राहक पक्षमा कस्तो देखिन्छ।
जब VPN जडान स्थापित हुन्छ, सिम कार्ड भएको एन्ड्रोइड/iOS फोन/ट्याब्लेटले निम्न प्रकारको SMS प्राप्त गर्दछ:
एस एम एस


यदि फोन / ट्याब्लेटबाट सीधा जडान स्थापित भएको छ भने, तपाइँ सन्देशबाट लिङ्कमा क्लिक गरेर मात्र 2FA मार्फत जान सक्नुहुन्छ। यो सहज छ।
यदि VPN जडान PC बाट स्थापित छ भने, प्रयोगकर्ताले न्यूनतम पासवर्ड फारम प्रविष्ट गर्न आवश्यक हुनेछ। VPN सेटअप गर्दा प्रयोगकर्तालाई HTML फाइलको रूपमा एउटा सानो फारम दिइन्छ। फाइललाई मेल मार्फत पनि पठाउन सकिन्छ ताकि प्रयोगकर्ताले यसलाई सुरक्षित गर्दछ र सुविधाजनक ठाउँमा सर्टकट सिर्जना गर्दछ। यो यस्तो देखिन्छ:
टेबलमा लेबल


प्रयोगकर्ताले सर्टकटमा क्लिक गर्छ, एउटा साधारण कोड प्रविष्टि फारम खुल्छ, जसले खोलिएको URL मा कोड पेस्ट गर्नेछ:
स्क्रिन फारम


सबैभन्दा आदिम रूप उदाहरणको रूपमा दिइएको छ। चाहनेहरूले आफैंलाई परिमार्जन गर्न सक्छन्।
2fa_login_mini.html
<html>
<head> <title>SMS OTP login</title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> </head>
<body>
<form name="login" action="location.href='http://gw.local/otp/'+document.getElementById(‘text').value"  method="post"
 <input id="text" type="text"/> 
<input type="button" value="Login" onclick="location.href='http://gw.local/otp/'+document.getElementById('text').value"/> 
</form>
</body>
</html>

यदि प्राधिकरण सफल भयो भने, प्रयोगकर्ताले ब्राउजरमा MikroTik लोगो देख्नेछ, जसले सफल प्रमाणीकरण संकेत गर्नुपर्छ:

ध्यान दिनुहोस् कि छवि बिल्ट-इन MikroTik वेब सर्भरबाट WebProxy अस्वीकार रिडिरेक्ट प्रयोग गरेर फर्काइएको छ।
मलाई लाग्छ कि छविलाई "हटस्पट" उपकरण प्रयोग गरेर अनुकूलित गर्न सकिन्छ, त्यहाँ तपाईंको आफ्नै संस्करण अपलोड गरी WebProxy मार्फत रिडिरेक्ट URL लाई अस्वीकार गर्नुहोस्।
सबै भन्दा सस्तो "खेलौना" Mikrotik $ 20 मा किन्न र यसको साथ $ 500 राउटर बदल्न प्रयास गर्नेहरूलाई ठूलो अनुरोध - त्यसो नगर्नुहोस्। "hAP Lite" / "hAP mini" (होम एक्सेस पोइन्ट) जस्ता यन्त्रहरूमा धेरै कमजोर CPU (smips) हुन्छ, र यसले व्यापार खण्डमा लोडसँग सामना नगर्ने सम्भावना हुन्छ।
चेतावनी!  यस समाधानको एक हानि छ: जब ग्राहकहरू जडान वा विच्छेदन हुन्छन्, कन्फिगरेसन परिवर्तनहरू हुन्छन्, जुन राउटरले यसको गैर-अस्थिर मेमोरीमा बचत गर्न प्रयास गर्दछ। धेरै संख्यामा ग्राहकहरू र बारम्बार जडानहरू र विच्छेदहरू, यसले राउटरमा आन्तरिक भण्डारणको ह्रास निम्त्याउन सक्छ।
PS: क्लाइन्टलाई कोड डेलिभर गर्ने तरिकाहरू विस्तार गर्न सकिन्छ र तपाईंको प्रोग्रामिङ क्षमताहरू पर्याप्त भएसम्म पूरक गर्न सकिन्छ। उदाहरणका लागि, तपाईंले टेलिग्राममा सन्देशहरू पठाउन सक्नुहुन्छ वा ... विकल्पहरू सुझाव गर्नुहोस्!
मलाई आशा छ कि लेख तपाईका लागि उपयोगी हुनेछ र साना र मध्यम आकारका व्यवसायहरूको नेटवर्कलाई अलि बढी सुरक्षित बनाउन मद्दत गर्नेछ।
स्रोत: www.habr.com