هيلو ساٿيو! اڄ، جڏهن ريموٽ ڪم جي آس پاس جوش ٿورڙو گهٽجي ويو آهي، اڪثر منتظمين ڪارپوريٽ نيٽ ورڪ تائين ملازمن جي ريموٽ رسائي جي ڪم کي فتح ڪري ڇڏيو آهي، اهو وقت آهي وي پي اين سيڪيورٽي کي بهتر ڪرڻ ۾ منهنجو ڊگهو تجربو شيئر ڪرڻ جو. هي آرٽيڪل في الحال فيشن واري IPSec IKEv2 ۽ xAuth کي نه ڍڪيندو. اهو هڪ سسٽم جي تعمير بابت آهي VPN استعمال ڪندڙ جڏهن MikroTik VPN سرور طور ڪم ڪري ٿو. يعني، جڏهن ”ڪلاسڪ“ پروٽوڪول استعمال ڪيا ويندا آهن جهڙوڪ پي پي پي.
اڄ مان توهان کي ٻڌائيندس ته MikroTik PPP-VPN جي حفاظت ڪيئن ڪجي جيتوڻيڪ توهان جو يوزر اڪائونٽ هائيجيجي وڃي. جڏهن هي اسڪيم منهنجي هڪ گراهڪ کي متعارف ڪرايو ويو، هن مختصر طور تي ان کي بيان ڪيو ته "چڱو، هاڻي اهو صرف هڪ بئنڪ وانگر آهي!"
طريقو خارجي تصديق ڪندڙ خدمتون استعمال نٿو ڪري. ڪم اندروني طور تي روٽر طرفان ڪيا ويا آهن. ڳنڍيل ڪلائنٽ لاء ڪابه قيمت. طريقو ڪم ڪري ٿو ٻنهي لاءِ PC ڪلائنٽ ۽ موبائل ڊوائيسز.
عام تحفظ جو منصوبو هن ريت آهي:
- هڪ صارف جو اندروني IP پتو جيڪو ڪاميابي سان VPN سرور سان ڳنڍيل آهي خودڪار طور تي گرين لسٽ ۾ شامل ڪيو ويو آهي.
- ڪنيڪشن ايونٽ خودڪار طريقي سان ٺاهي ٿو ھڪڙي وقت جو ڪوڊ جيڪو استعمال ڪندڙ کي موڪليو ويو آھي دستياب طريقن مان ھڪڙو استعمال ڪندي.
- ھن لسٽ ۾ ايڊريسز کي مقامي نيٽ ورڪ وسيلن تائين محدود پھچ آھي، سواءِ ”تصديق ڪندڙ“ سروس جي، جيڪا ھڪڙي وقت جي پاسورڊ ڪوڊ حاصل ڪرڻ جي اميد رکي ٿي.
- ڪوڊ پيش ڪرڻ کان پوء، صارف کي اندروني نيٽ ورڪ وسيلن تائين رسائي آهي.
پهرين ننڍڙو مسئلو جيڪو اسان کي منهن ڏيڻو پيو هو صارف جي رابطي جي معلومات کي محفوظ ڪري رهيو هو ته هن کي 2FA ڪوڊ موڪليو. جيئن ته Mikrotik ۾ استعمال ڪندڙن سان لاڳاپيل ڊيٽا فيلڊ ٺاهڻ ناممڪن آهي، موجوده "تبصرو" فيلڊ استعمال ڪيو ويو:
/ppp راز شامل ڪريو نالو=پيٽروف پاسورڊ=4M@ngr! تبصرو="89876543210"
ٻيو مسئلو وڌيڪ سنجيده ٿي ويو - رستو جو انتخاب ۽ ڪوڊ پهچائڻ جو طريقو. في الحال، ٽي اسڪيمون لاڳو ٿيل آهن: الف) USB موڊيم ذريعي ايس ايم ايس ب) اي ميل ج) ايس ايم ايس ذريعي اي ميل ريڊ موبائل آپريٽر جي ڪارپوريٽ ڪلائنٽ لاءِ دستياب آهي.
ها، ايس ايم ايس اسڪيمن جي قيمت آهي. پر جيڪڏهن توهان ان کي ڏسندا، "سيڪيورٽي هميشه پئسن جي باري ۾ آهي" (c).
مان ذاتي طور تي اي ميل اسڪيم کي پسند نٿو ڪريان. نه ته ان لاءِ ضروري آهي ته ميل سرور موجود هجي ته ڪلائنٽ جي تصديق ٿيل هجي - اهو ٽرئفڪ کي ورهائڻ ۾ ڪو مسئلو ناهي. بهرحال، جيڪڏهن ڪلائنٽ لاپرواهيءَ سان برائوزر ۾ VPN ۽ اي ميل ٻنهي جا پاسورڊ محفوظ ڪري ڇڏيا، ۽ پوءِ پنهنجو ليپ ٽاپ گم ٿي ويو، حملو ڪندڙ ان کان ڪارپوريٽ نيٽ ورڪ تائين مڪمل پهچ حاصل ڪندو.
تنهن ڪري، اهو فيصلو ڪيو ويو آهي - اسان ايس ايم ايس پيغامن کي استعمال ڪندي هڪ ڀيرو ڪوڊ فراهم ڪندا آهيون.
ٽيون مسئلو هو ڪٿي ۽ MikroTik ۾ 2FA لاءِ pseudo-random code ڪيئن ٺاھيو. RouterOS اسڪرپٽنگ ٻولي ۾ random() فنڪشن جي برابر ناهي، ۽ مون ڏٺو آهي ڪيترن ئي خراب اسڪرپٽ ٿيل pseudo-random نمبر جنريٽر اڳ. مون مختلف سببن جي ڪري انهن مان ڪنهن کي پسند نه ڪيو.
حقيقت ۾، MikroTik ۾ هڪ pseudo-random sequence جنريٽر آهي! اهو /سرٽيفڪيٽ اسڪپ-سرور جي حوالي سان هڪ سطحي نظر کان لڪايو ويو آهي. پهرين رستو ھڪڙي وقت جو پاسورڊ حاصل ڪرڻ آسان ۽ سادو آھي - حڪم سان /سرٽيفڪيٽ scep-server otp generate. جيڪڏهن اسان هڪ سادي متغير تفويض آپريشن کي انجام ڏيون ٿا، اسان کي هڪ صف جي قيمت ملندي جيڪا بعد ۾ اسڪرپٽ ۾ استعمال ڪري سگهجي ٿي.
ٻيو رستو هڪ دفعو پاسورڊ حاصل ڪرڻ، جيڪو پڻ استعمال ڪرڻ آسان آهي - هڪ خارجي خدمت استعمال ڪندي pseudorandom انگن جي ترتيب جي مطلوب قسم کي پيدا ڪرڻ لاء. هتي هڪ آسان آهي cantilevered هڪ متغير ۾ ڊيٽا حاصل ڪرڻ جو مثال:
ڪوڊ
:global rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user ]->"da
ta") 1 6]
:put $rnd1
ڪنسول لاءِ فارميٽ ٿيل هڪ درخواست (اسڪرپٽ جي باڊي ۾ خاص ڪردارن جي ضرورت پوندي) $rnd1 متغير ۾ ڇهن عددي اکرن جي هڪ تار وصول ڪري ٿي. هيٺ ڏنل "پٽ" حڪم صرف MikroTik ڪنسول ۾ متغير ڏيکاري ٿو.
چوٿون مسئلو جنهن کي جلدي حل ڪيو وڃي ها ته ڪيئن ۽ ڪٿي ڳنڍيل ڪلائنٽ تصديق جي ٻئي مرحلي تي پنهنجو هڪ ڀيرو ڪوڊ منتقل ڪندو.
MikroTik روٽر تي هڪ خدمت هجڻ گهرجي جيڪا ڪوڊ قبول ڪري سگهي ۽ ان کي مخصوص ڪلائنٽ سان ملائي. جيڪڏهن مهيا ڪيل ڪوڊ متوقع هڪ سان ملندو آهي، ڪلائنٽ جي ايڊريس کي هڪ خاص "اڇو" لسٽ ۾ شامل ڪيو وڃي، پتا جن مان ڪمپني جي اندروني نيٽ ورڪ تائين رسائي جي اجازت ڏني وئي آهي.
خدمتن جي محدود انتخاب جي ڪري، اهو فيصلو ڪيو ويو ته ڪوڊس کي قبول ڪيو وڃي http ذريعي ويب پروسي استعمال ڪندي Mikrotik ۾ ٺهيل. ۽ جيئن ته فائر وال IP پتي جي متحرڪ فهرستن سان ڪم ڪري سگهي ٿي، اهو فائر وال آهي جيڪو ڪوڊ ڳولي ٿو، ان کي ڪلائنٽ IP سان ملائي ٿو ۽ ان کي "سفيد" لسٽ ۾ شامل ڪري ٿو Layer7 regexp استعمال ڪندي. روٽر پاڻ کي هڪ مشروط DNS نالو "gw.local" تفويض ڪيو ويو آهي، ۽ PPP گراهڪن کي جاري ڪرڻ لاء ان تي هڪ جامد هڪ رڪارڊ ٺاهيو ويو آهي:
DNS
/ip dns static add name=gw.local address=172.31.1.1
پراکسي ذريعي غير تصديق ٿيل ڪلائنٽ کان ٽرئفڪ کي پڪڙڻ:
/ip firewall nat add chain=dstnat dst-port=80,443 in-interface=2fa protocol=tcp !src-address-list=2fa_approved action=redirect to-ports=3128
انهي حالت ۾، پراکسي جا ٻه ڪم آهن.
1. کليل TCP ڪنيڪشن گراهڪن سان؛
2. ڪامياب اختيار جي صورت ۾، ڪلائنٽ برائوزر کي ريڊائريڪٽ ڪريو ھڪڙي صفحي يا تصوير ڏانھن جيڪو ڪامياب تصديق بابت اطلاع ڏئي ٿو:
پراکسي ترتيب
/ip proxy
set enabled=yes port=3128
/ip proxy access
add action=deny disabled=no redirect-to=gw.local./mikrotik_logo.png src-address=0.0.0.0/0
مان اهم تشڪيل عناصر جي فهرست ڪندس:
- interface-list "2fa" - ڪلائنٽ انٽرفيس جي هڪ متحرڪ فهرست، ٽرئفڪ جنهن مان 2FA جي فريم ورڪ اندر پروسيسنگ جي ضرورت آهي؛
- ايڊريس لسٽ “2fa_jailed” — “گري” سرنگ جي فهرست VPN ڪلائنٽ جي IP پتي؛
- address_list "2fa_approved" - VPN ڪلائنٽ جي سرنگ IP پتي جي هڪ اڇي لسٽ جيڪا ڪاميابيءَ سان ٻه عنصر جي تصديق ڪئي آهي.
- فائر وال زنجير “input_2fa” - اهو چيڪ ڪري ٿو TCP پيڪٽس جي موجودگي لاءِ اختياري ڪوڊ ۽ ڇا ڪوڊ موڪليندڙ جو IP پتو گهربل هڪ سان ملي ٿو. زنجير ۾ ضابطا شامل ڪيا ويا آهن ۽ متحرڪ طور تي هٽايو ويو آهي.
هڪ آسان پيڪٽ پروسيسنگ فلو چارٽ هن طرح نظر اچي ٿو:
"گري" لسٽ تي ڪلائنٽ کان ٽرئفڪ شامل ڪرڻ لاء جيڪي اڃا تائين تصديق جي ٻئي مرحلي کي Layer7 اسڪين ۾ نه گذريا آهن، هڪ ضابطو ٺاهيو ويو آهي معياري "ان پٽ" زنجير ۾:
ڪوڊ
/ip firewall filter add chain=input !src-address-list=2fa_approved action=jump jump-target=input_2fa
هاڻي اچو ته ان سموري دولت کي پيپلز پارٽي جي خدمت سان ڳنڍڻ شروع ڪريون. MikroTik توهان کي اجازت ڏئي ٿو اسڪرپٽ استعمال ڪرڻ جي پروفائيل ۾ (ppp-profile) ۽ انهن کي تفويض ڪرڻ جي واقعن کي ترتيب ڏيڻ ۽ هڪ ppp ڪنيڪشن ٽوڙڻ جي. ppp-پروفائل سيٽنگون لاڳو ڪري سگھجن ٿيون PPP سرور تي مڪمل طور تي ۽ انفرادي استعمال ڪندڙن لاءِ. انهي صورت ۾، صارف کي تفويض ڪيل پروفائل کي ترجيح ڏني وئي آهي، ان جي مخصوص پيٽرولن سان گڏ مڪمل طور تي سرور لاء چونڊيل پروفائل جي پيرا ميٽرز کي ختم ڪندي.
هن طريقي جي نتيجي ۾، اسان ٻه عنصر جي تصديق لاء هڪ خاص پروفائل ٺاهي سگهون ٿا ۽ ان کي سڀني استعمال ڪندڙن کي نه، پر صرف انهن کي تفويض ڪري سگهون ٿا جن کي اسان ائين ڪرڻ ضروري سمجهون ٿا. اهو لاڳاپيل ٿي سگهي ٿو جيڪڏهن توهان PPP خدمتون استعمال ڪندا آهيو نه صرف آخري صارفين کي ڳنڍڻ لاء، پر ساڳئي وقت سائيٽ کان سائيٽ ڪنيڪشن ٺاهڻ لاء.
نئين ٺاهيل خاص پروفائل ۾، اسان ايڊريس ۽ انٽرفيس جي "گرين" لسٽن ۾ ڳنڍيل استعمال ڪندڙ جي ايڊريس ۽ انٽرفيس جي متحرڪ اضافو استعمال ڪندا آهيون:
winbox
ڪوڊ
/ppp profile add address-list=2fa_jailed change-tcp-mss=no local-address=192.0.2.254 name=2FA interface-list=2fa only-one=yes remote-address=dhcp_pool1 use-compression=no use-encryption= required use-mpls=no use-upnp=no dns-server=172.31.1.1
اهو ضروري آهي ته "پتا-فهرست" ۽ "انٽرفيس-لسٽ" جي فهرستن کي گڏ ڪرڻ لاءِ وي پي اين ڪلائنٽ جي ٽرئفڪ کي سڃاڻڻ ۽ پڪڙڻ لاءِ جيڪي dstnat (prerouting) زنجير ۾ ثانوي اختيار نه پاس ڪيا آهن.
جڏهن تياري مڪمل ٿي ويندي، اضافي فائر وال زنجير ۽ هڪ پروفائل ٺاهي وئي آهي، اسان هڪ اسڪرپٽ لکنداسين جيڪو 2FA ڪوڊ ۽ انفرادي فائر وال قاعدن جي خودڪار نسل لاءِ ذميوار هوندو.
on PPP-پروفائل اسان کي PPP ڪلائنٽ ڪنيڪشن ۽ ڌار ٿيڻ جي واقعن سان لاڳاپيل متغيرن بابت معلومات سان مالا مال ڪري ٿو "اسڪرپٽ تي عمل ڪريو يوزر لاگ ان-ايونٽ. اهي موجود متغير آهن جيڪي ايونٽ اسڪرپٽ لاءِ پهچ وارا آهن: يوزر، لوڪل ايڊريس، ريموٽ ايڊريس، ڪالر-آءِ ڊي، ڪال-آئي ڊي، انٽرفيس". انهن مان ڪجهه اسان لاء تمام مفيد ٿيندو.
پروفائل ۾ استعمال ٿيل ڪوڊ PPP آن-اپ ڪنيڪشن واقعي لاءِ
#Логируем для отладки полученные переменные :log info (quot;local-address")
:log info (quot;remote-address")
:log info (quot;caller-id")
:log info (quot;called-id")
:log info ([/int pptp-server get (quot;interface") name])
#Объявляем свои локальные переменные
:local listname "2fa_jailed"
:local viamodem false
:local modemport "usb2"
#ищем автоматически созданную запись в адрес-листе "2fa_jailed"
:local recnum1 [/ip fi address-list find address=(quot;remote-address") list=$listname]
#получаем псевдослучайный код через random.org
#:local rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user]->"data") 0 4] #либо получаем псевдослучайный код через локальный генератор
#:local rnd1 [pick ([/cert scep-server otp generate as-value minutes-valid=1]->"password") 0 4 ]#Ищем и обновляем коммент к записи в адрес-листе. Вносим искомый код для отладки
/ip fir address-list set $recnum1 comment=$rnd1
#получаем номер телефона куда слать SMS
:local vphone [/ppp secret get [find name=$user] comment]#Готовим тело сообщения. Если клиент подключается к VPN прямо с телефона ему достаточно
#будет перейти прямо по ссылке из полученного сообщения
:local msgboby ("Your code: ".$comm1."n Or open link http://gw.local/otp/".$comm1."/")# Отправляем SMS по выбранному каналу - USB-модем или email-to-sms
if $viamodem do={
/tool sms send phone-number=$vphone message=$msgboby port=$modemport }
else={
/tool e-mail send server=a.b.c.d [email protected] [email protected] subject="@".$vphone body=$msgboby }#Генерируем Layer7 regexp
local vregexp ("otp\/".$comm1)
:local vcomment ("2fa_".(quot;remote-address"))
/ip firewall layer7-protocol add name=(quot;vcomment") comment=(
quot;remote-address") regexp=(
quot;vregexp")
#Генерируем правило проверяющее по Layer7 трафик клиента в поисках нужного кода
#и небольшой защитой от брутфорса кодов с помощью dst-limit
/ip firewall filter add action=add-src-to-address-list address-list=2fa_approved address-list-timeout=none-dynamic chain=input_2fa dst-port=80,443,3128 layer7-protocol=(quot;vcomment") protocol=tcp src-address=(
quot;remote-address") dst-limit=1,1,src-address/1m40s
مان توهان کي ڊيڄاريان ٿو خاص طور تي انهن لاءِ جيڪي پسند ڪن ٿا بي پرواهه ڪاپي پيسٽ ڪريو - ڪوڊ ٽيسٽ ورزن مان ورتو ويو آهي ۽ ٿي سگهي ٿو ان ۾ معمولي غلطيون. سمجھڻ واري شخص لاءِ اهو معلوم ڪرڻ ڏکيو نه ٿيندو ته بلڪل ڪٿي.جڏهن هڪ صارف ڊسڪنيڪٽ ڪري ٿو، هڪ "آن-ڊائون" واقعو پيدا ٿئي ٿو ۽ لاڳاپيل اسڪرپٽ کي پيرا ميٽرز سان سڏيو ويندو آهي. هن اسڪرپٽ جو مقصد منقطع صارف لاءِ ٺاهيل فائر وال قاعدن کي صاف ڪرڻ آهي.
PPP آن-ڊائون ڪنيڪشن واقعي لاءِ پروفائل ۾ استعمال ٿيل ڪوڊ
:local vcomment ("2fa_".(quot;remote-address"))
/ip firewall address-list remove [find address=(quot;remote-address") list=2fa_approved] /ip firewall filter remove [find chain="input_2fa" src-address=(
quot;remote-address") ] /ip firewall layer7-protocol remove [find name=$vcomment]
توهان پوءِ صارف ٺاهي سگهو ٿا ۽ انهن مان ڪجهه يا سڀني کي تفويض ڪري سگهو ٿا ٻن عنصر جي تصديق واري پروفائيل تي.winbox
ڪوڊ
/ppp secrets set [find name=Petrov] profile=2FAڪلائنٽ جي پاسي تي ڇا نظر اچي ٿو.
جڏهن توهان هڪ VPN ڪنيڪشن قائم ڪريو ٿا، هڪ ايس ايم ايس تقريبن هن طرح موڪليو ويو آهي توهان جي Android/iOS فون/ٽيبليٽ تي سم ڪارڊ سان:
ايس ايم ايس
جيڪڏهن ڪنيڪشن سڌو سنئون توهان جي فون / ٽيبليٽ تان قائم آهي، ته پوءِ توهان 2FA ذريعي وڃي سگهو ٿا صرف پيغام جي لنڪ تي ڪلڪ ڪري. اهو آرامده آهي.
جيڪڏهن هڪ پي سي مان هڪ VPN ڪنيڪشن قائم ڪيو ويو آهي، پوء صارف کي گهربل پاسورڊ جي گهٽ ۾ گهٽ فارم داخل ڪرڻ جي ضرورت پوندي. هڪ HTML فائل جي صورت ۾ هڪ ننڍڙو فارم صارف ڏانهن موڪليو ويو آهي جڏهن VPN ترتيب ڏيو. فائل اي ميل ذريعي پڻ موڪلي سگھجي ٿو ته جيئن صارف ان کي محفوظ ڪري ۽ هڪ آسان جاء تي شارٽ ڪٽ ٺاهي. اهو تقريبن اهو آهي جيڪو اهو ڏسڻ جهڙو آهي:
ٽيبل تي ليبل
صارف شارٽ ڪٽ تي ڪلڪ ڪري ٿو، هڪ سادي ڪوڊ داخل ٿيڻ وارو فارم کلي ٿو، جيڪو ڪوڊ داخل ڪندو کليل URL ۾:
فارم اسڪرين
فارم سڀ کان وڌيڪ ابتدائي آهي، مثال طور ڏنو ويو آهي. جيڪي چاھين ٿا اُن ۾ ترميم ڪري سگھن ٿا پنھنجي مرضيءَ مطابق.
2fa_login_mini.html
<html> <head> <title>SMS OTP login</title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> </head> <body> <form name="login" action="location.href='http://gw.local/otp/'+document.getElementById(‘text').value" method="post" <input id="text" type="text"/> <input type="button" value="Login" onclick="location.href='http://gw.local/otp/'+document.getElementById('text').value"/> </form> </body> </html>جيڪڏهن اختيار ڏيڻ ڪامياب آهي، صارف برائوزر ۾ MikroTik لوگو ڏسندو، جيڪو ڪامياب تصديق جي سگنل طور ڪم ڪرڻ گهرجي:
نوٽ ڪريو ته تصوير واپس ڪئي وئي آھي بلٽ ان MikroTik ويب سرور مان WebProxy Deny Redirect استعمال ڪندي.
مان سمجهان ٿو ته تصوير کي "هاٽ اسپاٽ" ٽول استعمال ڪندي ترتيب ڏئي سگهجي ٿو، اتي توهان جو پنهنجو ورجن اپلوڊ ڪري ۽ WebProxy سان ان تي ريڊائريڪٽ يو آر ايل کي رد ڪري سيٽ ڪري.
انهن لاءِ هڪ وڏي گذارش جيڪي ڪوشش ڪري رهيا آهن سستا ”راند“ Mikrotik $20 لاءِ ۽ ان کي بدلي $500 روٽر سان - ائين نه ڪريو. ڊوائيسز جهڙوڪ "hAP Lite" / "hAP mini" (گهر رسائي پوائنٽ) هڪ تمام ڪمزور سي پي يو (smips) آهن، ۽ ممڪن آهي ته ڪاروباري ڀاڱي ۾ لوڊ سان مقابلو نه ڪن.
خبردار! هن حل ۾ هڪ خرابي آهي: جڏهن گراهڪ ڳنڍي يا ڊسڪ ڪن ٿا، ترتيبن ۾ تبديليون ٿينديون آهن، جنهن کي روٽر پنهنجي غير مستحڪم ياداشت ۾ محفوظ ڪرڻ جي ڪوشش ڪندو آهي. گراهڪن جي وڏي تعداد ۽ بار بار ڪنيڪشن ۽ منقطع ٿيڻ سان، اهو روٽر ۾ اندروني اسٽوريج جي خراب ٿيڻ جي ڪري سگھي ٿو.
PS: ڪلائنٽ تائين ڪوڊ پهچائڻ جا طريقا وڌائي سگھجن ٿا ۽ اضافي ڪري سگھجن ٿا جيستائين توھان جي پروگرامنگ صلاحيتن جو تعلق آھي. مثال طور، توهان ٽيليگرام تي پيغام موڪلي سگهو ٿا يا... آپشن تجويز ڪريو!
مون کي اميد آهي ته هي آرٽيڪل توهان لاءِ ڪارآمد ثابت ٿيندو ۽ ننڍڙا ۽ وچولي درجي جي ڪاروباري نيٽ ورڪن کي وڌيڪ محفوظ بنائڻ ۾ مدد ڪندو.
جو ذريعو: www.habr.com