גיין צו 2FA (צוויי-פאַקטאָר אָטענטאַקיישאַן פֿאַר ASA SSL VPN)

די נויט צו צושטעלן ווייַט אַקסעס צו אַ פֿירמע סוויווע איז ימערדזשינג מער און מער אָפט, קיין ענין צי עס זענען דיין יוזערז אָדער פּאַרטנערס וואָס דאַרפֿן אַקסעס צו אַ באַזונדער סערווער אין דיין אָרגאַניזאַציע.

פֿאַר די צוועקן, רובֿ קאָמפּאַניעס נוצן VPN טעכנאָלאָגיע, וואָס האט פּראָווען זיך צו זיין אַ רילייאַבלי פּראָטעקטעד וועג צו צושטעלן אַקסעס צו די היגע רעסורסן פון דער אָרגאַניזאַציע.

מייַן פירמע איז געווען קיין ויסנעם, און מיר, ווי פילע אנדערע, נוצן דעם טעכנאָלאָגיע. און, ווי פילע אנדערע, מיר נוצן Cisco ASA 55xx ווי אַ ווייַט אַקסעס גייטוויי.

ווי די נומער פון ווייַט ניצערס ינקריסיז, עס איז אַ נויט צו פאַרפּאָשעטערן די פּראָצעדור פֿאַר ארויסגעבן קראַדענטשאַלז. אבער אין דער זעלביקער צייַט, דאָס מוזן זיין געטאן אָן קאַמפּראַמייזינג זיכערקייַט.

פֿאַר זיך, מיר געפֿונען אַ לייזונג אין ניצן צוויי-פאַקטאָר אָטענטאַקיישאַן פֿאַר קאַנעקטינג דורך Cisco SSL VPN, ניצן איין-צייַט פּאַסווערדז. און די ויסגאַבע וועט זאָגן איר ווי צו אָרגאַניזירן אַזאַ אַ לייזונג מיט מינימאַל צייט און נול קאָס פֿאַר די נייטיק ווייכווארג (צוגעשטעלט אַז איר שוין האָבן Cisco ASA אין דיין ינפראַסטראַקטשער).

דער מאַרק איז ריפּליט מיט באָקסעד סאַלושאַנז פֿאַר דזשענערייטינג איין-צייַט פּאַסווערדז, און אָפפערס אַ פּלאַץ פון אָפּציעס צו באַקומען זיי, זיין עס שיקט די פּאַראָל דורך SMS אָדער ניצן טאָקענס, ביידע ייַזנוואַרג און ווייכווארג (למשל, אויף אַ רירעוודיק טעלעפאָן). אָבער דער פאַרלאַנג צו שפּאָרן געלט און דער פאַרלאַנג צו שפּאָרן געלט פֿאַר מיין באַלעבאָס, אין דעם קראַנט קריזיס, געצווונגען מיר צו געפֿינען אַ פריי וועג צו ינסטרומענט אַ דינסט פֿאַר דזשענערייטינג איין-צייַט פּאַסווערדז. וואָס, כאָטש פריי, איז נישט פיל ערגער צו געשעפט סאַלושאַנז (דאָ מיר זאָל מאַכן אַ רעזערוואַציע, באמערקט אַז דעם פּראָדוקט אויך האט אַ געשעפט ווערסיע, אָבער מיר מסכים אַז אונדזער קאָס אין געלט וועט זיין נול).

אַזוי, מיר וועלן דאַרפֿן:

- א לינוקס בילד מיט אַ געבויט-אין גאַנג פון מכשירים - מולטיאָטפּ, פרעעראַדיוס און נגינקס, פֿאַר אַקסעס די סערווער דורך די וועב (http://download.multiotp.net/ - איך געוויינט אַ פאַרטיק בילד פֿאַר VMware)
- אַקטיוו Directory סערווירער
- Cisco ASA זיך (פֿאַר קאַנוויניאַנס, איך נוצן ASDM)
- קיין ווייכווארג סימען וואָס שטיצט די TOTP מעקאַניזאַם (איך, למשל, נוצן Google Authenticator, אָבער דער זעלביקער FreeOTP וועט טאָן)

איך וועל נישט גיין אין פרטים פון ווי די בילד אַנפאָולדז. ווי אַ רעזולטאַט, איר וועט באַקומען דעביאַן לינוקס מיט MultiOTP און FreeRADIUS שוין אינסטאַלירן, קאַנפיגיערד צו אַרבעטן צוזאַמען און אַ וועב צובינד פֿאַר אָטפּ אַדמיניסטראַציע.

שריט 1. מיר אָנהייבן די סיסטעם און קאַנפיגיער עס פֿאַר דיין נעץ
דורך פעליקייַט, די סיסטעם קומט מיט וואָרצל וואָרצל קראַדענטשאַלז. איך טראַכטן אַלעמען געסט אַז עס וואָלט זיין אַ גוטע געדאַנק צו טוישן די וואָרצל באַניצער פּאַראָל נאָך דער ערשטער לאָגין. איר אויך דאַרפֿן צו טוישן די נעץ סעטטינגס (דורך פעליקייַט עס איז '192.168.1.44' מיט די גייטוויי '192.168.1.1'). דערנאָך איר קענען ריסטאַרט די סיסטעם.

לאָמיר שאַפֿן אַ באַניצער אין אַקטיוו Directory אָטפּ, מיט פּאַראָל MySuperPassword.

שריט 2. שטעלן אַרויף די קשר און אַרייַנפיר אַקטיווע Directory ניצערס
צו טאָן דאָס, מיר דאַרפֿן אַקסעס צו די קאַנסאָול און גלייַך צו דער טעקע multiotp.php, ניצן וואָס מיר וועלן קאַנפיגיער קשר סעטטינגס צו Active Directory.

גיין צו וועגווייַזער /usr/local/bin/multiotp/ און דורכפירן די פאלגענדע קאַמאַנדז אין דרייַ:

./multiotp.php -config default-request-prefix-pin=0

באַשטימען צי אַן נאָך (שטענדיק) שטיפט איז פארלאנגט ווען אַרייַן אַ איין-צייַט שטיפט (0 אָדער 1)

./multiotp.php -config default-request-ldap-pwd=0

דיטערמאַנז צי אַ פעלד פּאַראָל איז פארלאנגט ווען אַרייַן אַ איין-צייַט שטיפט (0 אָדער 1)

./multiotp.php -config ldap-server-type=1

דער טיפּ פון LDAP סערווער איז אנגעוויזן (0 = רעגולער LDAP סערווער, אין אונדזער פאַל 1 = אַקטיוו Directory)

./multiotp.php -config ldap-cn-identifier="sAMAccountName"

ספּעציפיצירט די פֿאָרמאַט אין וואָס צו פאָרשטעלן דעם נאמען (דעם ווערט וועט ווייַזן בלויז די נאָמען, אָן די פעלד)

./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"

די זעלבע זאַך, נאָר פֿאַר אַ גרופּע

./multiotp.php -config ldap-group-attribute="memberOf"

ספּעציפיצירט אַ מעטאָד צו באַשליסן צי אַ באַניצער געהערט צו אַ גרופּע

./multiotp.php -config ldap-ssl=1

זאָל איך נוצן אַ זיכער קשר צו די LDAP סערווער (פון קורס - יאָ!)

./multiotp.php -config ldap-port=636

פּאָרט פֿאַר קאַנעקטינג צו די LDAP סערווער

./multiotp.php -config ldap-domain-controllers=adSRV.domain.local

דיין אַקטיווע Directory סערווער אַדרעס

./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"

מיר אָנווייַזן ווו צו אָנהייבן זוכן פֿאַר ניצערס אין די פעלד

./multiotp.php -config ldap-bind-dn="[email protected]"

ספּעציפיצירן אַ באַניצער וואס האט זוכן רעכט אין אַקטיוו Directory

./multiotp.php -config ldap-server-password="MySuperPassword"

ספּעציפיצירן די באַניצער פּאַראָל צו פאַרבינדן צו Active Directory

./multiotp.php -config ldap-network-timeout=10

באַשטעטיקן די טיימאַוט פֿאַר קאַנעקטינג צו Active Directory

./multiotp.php -config ldap-time-limit=30

מיר שטעלן אַ צייט לימיט פֿאַר די באַניצער אַרייַנפיר אָפּעראַציע

./multiotp.php -config ldap-activated=1

אַקטאַווייטינג די קאַנפיגיעריישאַן פון Active Directory פֿאַרבינדונג

./multiotp.php -debug -display-log -ldap-users-sync

מיר אַרייַנפיר ניצערס פון אַקטיוו Directory

שריט 3. דזשענערייט אַ QR קאָד פֿאַר די סימען
אַלץ דאָ איז גאָר פּשוט. עפֿענען די וועב צובינד פון די אָטפּ סערווער אין דעם בלעטערער, ​​קלאָץ אין (טאָן ניט פאַרגעסן צו טוישן די פעליקייַט פּאַראָל פֿאַר די אַדמיניסטראַטאָר!), און גיט די "דרוק" קנעפּל:

דער רעזולטאַט פון דעם קאַמף וועט זיין אַ בלאַט וואָס כּולל צוויי QR קאָודז. מיר מוטיק איגנאָרירן דער ערשטער פון זיי (טראָץ די אַטראַקטיוו ינסקריפּשאַן Google Authenticator / Authenticator / 2 Steps Authenticator), און ווידער, מיר מוטיק יבערקוקן די רגע קאָד אין אַ ווייכווארג סימען אויף די טעלעפאָן:

(יאָ, איך דיליבראַט קאַליע די QR קאָד צו מאַכן עס אַנרידאַבאַל).

נאָך קאַמפּליטינג די אַקשאַנז, אַ זעקס-ציפֿער פּאַראָל וועט זיין דזשענערייטאַד אין דיין אַפּלאַקיישאַן יעדער דרייסיק סעקונדעס.

צו זיין זיכער, איר קענען קאָנטראָלירן עס אין דער זעלביקער צובינד:

דורך אַרייַן דיין נאמען און איין מאָל פּאַראָל פֿון די אַפּלאַקיישאַן אויף דיין טעלעפאָן. האָט איר באַקומען אַ positive ענטפער? אַזוי מיר מאַך אויף.

שריט 4. נאָך קאַנפיגיעריישאַן און טעסטינג פון FreeRADIUS אָפּעראַציע
ווי איך דערמאנט אויבן, MultiOTP איז שוין קאַנפיגיערד צו אַרבעטן מיט FreeRADIUS, אַלע וואָס בלייבט צו לויפן טעסץ און לייגן אינפֿאָרמאַציע וועגן אונדזער VPN גייטוויי צו די FreeRADIUS קאַנפיגיעריישאַן טעקע.

מיר צוריקקומען צו די סערווער קאַנסאָול, צו די וועגווייַזער /usr/local/bin/multiotp/, אַרייַן:

./multiotp.php -config debug=1
./multiotp.php -config display-log=1

אַרייַנגערעכנט מער דיטיילד לאָגינג.

אין די FreeRADIUS קלייאַנץ קאַנפיגיעריישאַן טעקע (/etc/freeradius/clinets.conf) באַמערקן אַלע שורות שייַכות צו לאָקאַלהאָסט און לייג צוויי איינסן:

client localhost {
        ipaddr = 127.0.0.1
        secret          = testing321
        require_message_authenticator = no
}

- פֿאַר פּרובירן

client 192.168.1.254/32 {
        shortname =     CiscoASA
        secret =        ConnectToRADIUSSecret
}

- פֿאַר אונדזער VPN גייטוויי.

ריסטאַרט FreeRADIUS און פּרובירן צו קלאָץ אין:

radtest username 100110 localhost 1812 testing321

ווו נאמען = באַניצער נאָמען, 100110 = פּאַראָל געגעבן צו אונדז דורך די אַפּלאַקיישאַן אויף די טעלעפאָן, לאָקאַלהאָסט = RADIUS סערווער אַדרעס, 1812 - RADIUS סערווער פּאָרט, testing321 - RADIUS סערווער קליענט פּאַראָל (וואָס מיר ספּעסיפיעד אין די קאַנפיגיעריישאַן).

דער רעזולטאַט פון דעם באַפֿעל וועט זיין רעזולטאַט בעערעך ווי גייט:

Sending Access-Request of id 44 to 127.0.0.1 port 1812
        User-Name = "username"
        User-Password = "100110"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20

איצט מיר דאַרפֿן צו מאַכן זיכער אַז דער באַניצער איז הצלחה אָטענטאַקייטאַד. צו טאָן דאָס, מיר וועלן קוקן אין די לאָג פון מולטיאָטפּ זיך:

tail /var/log/multiotp/multiotp.log

און אויב די לעצטע פּאָזיציע איז:

2016-09-01 08:58:17     notice  username  User    OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17     debug           Debug   Debug: 0 OK: Token accepted from 127.0.0.1

דערנאָך אַלץ איז גוט און מיר קענען פאַרענדיקן

שריט 5: קאַנפיגיער Cisco ASA
לאָמיר שטימען אַז מיר האָבן שוין אַ קאַנפיגיערד גרופּע און פּאַלאַסיז פֿאַר אַקסעס דורך SLL VPN, קאַנפיגיערד אין קאַנדזשאַנגקשאַן מיט אַקטיוו Directory, און מיר דאַרפֿן צו לייגן צוויי-פאַקטאָר אָטענטאַקיישאַן פֿאַר דעם פּראָפיל.

1. לייג אַ נייַע AAA סערווער גרופּע:

2. לייג אונדזער מולטיאָטפּ סערווער צו דער גרופּע:

3. מיר רעדאַגירן קשר פּראָפיל, באַשטעטיקן די אַקטיווע Directory סערווער גרופּע ווי די הויפּט אָטענטאַקיישאַן סערווער:

4. אין די קוויטל אַוואַנסירטע -> אָטענטאַקיישאַן מיר אויך אויסקלייַבן די אַקטיווע Directory סערווער גרופּע:

5. אין די קוויטל אַוואַנסירטע -> צווייטיק אָטענטאַקיישאַן, אויסקלייַבן די באשאפן סערווער גרופּע אין וואָס די מולטיאָטפּ סערווער איז רעגיסטרירט. באַמערקונג אַז די סעסיע נאמען איז ינכעראַטיד פון די ערשטיק אַאַאַ סערווער גרופּע:

צולייגן די סעטטינגס און

שריט 6, אויך די לעצטע
לאָמיר קאָנטראָלירן אויב צוויי-פאַקטאָר אָטענטאַקיישאַן אַרבעט פֿאַר SLL VPN:

וואָילאַ! ווען קאַנעקטינג דורך Cisco AnyConnect VPN קליענט, איר וועט אויך זיין געבעטן פֿאַר אַ צווייט איין-צייַט פּאַראָל.

איך האָפֿן אַז דער אַרטיקל וועט העלפֿן עמעצער, און אַז עס וועט געבן עמעצער צו טראַכטן וועגן ווי צו נוצן דעם, פריי אָטפּ סערווער, פֿאַר אנדערע טאַסקס. ייַנטיילן אין די באַמערקונגען אויב איר ווילט.

מקור: www.habr.com