Két faktoros azonosítás MikroTik VPN routerhez, SSTP és L2TP+IPsec autentikációhoz

Sziasztok!

Szeretnék, munka miatt lenne nagyon fontos, meg kellene oldanom, lehetőleg nyílt forráskódú, ingyenes alapokon, hogy a meglévő SSTP és L2TP+IPsec VPN-jeinket "kétfaktorosítani" szükséges.
Én egy külföldi mikrotikes fórumon találtam egy jónak tűnő leírást a FreeIPA+FreeRADIUS+FreeOTP hármasról, magában működik is (kétszer is neki futottam már) de sajnos a MikroTik PPP autenthication+accounting nem akarja, vagy nem tudja használni. :(

https://www.freeipa.org/page/Using_FreeIPA_and_FreeRadius_as_a_RADIUS_b…
Mivel ilyen irányú tapasztalatom nincs és megakadtam vele, így Nektek esetleg van tapasztalatotok, vagy sikerült megoldani akár más eszközökkel ezt?
Előre is Köszönöm a Segítségeteket!

Hozzászólások

ugyan megvalósításig nem jutottam végül, de én Yubico+Freeradius-t nézegettem

Szerkesztve: 2022. 05. 19., cs – 22:32

Nálam Mikrotik+Freeradius szépen muzsikál. Bár nem írtad pontosan, hogy a ppp auth-al mi a baj, de remélem az megvan, hogy sem az SSTP, sem az l2tp(over ipsec) nem tud ilyet, ezért két lehetőséged van: vagy a jelszóba kell tenni a (t)otp-t (pl. a végére, elejére, ahova tetszik), vagy várakoztatni kell a Mikrotiket radius oldalról, ha valamilyen user interakció a második faktor (pl. push alapú token app). Illetve az előbbi esetben csak PAP jöhet szóba, mert a freeradiusnak plaintext kell megkapnia a jelszót, hogy tudja benne azonosítani az egyes darabokat (statikus rész és otp). Nem lehet hogy ezzel van a baj, mert pl. mschap-al jönnének az userek?

Nálunk push alapú MFA van amúgy. A Freeradius ellenőrzi először a jelszót, majd meghív egy scriptet ami kiküldi a push-t (egy cloud szolgáltató mobilapp-os megoldását használjuk erre, fizetős). Amíg az user nem approve-ol az authentikátor appban telefonon, órán, stb..-n, addig a Mikrotik nem kap választ, az ő szempontjából olyan, mintha egy lassan válaszoló radius szerverrel lenne dolga. Ha jól rémlik, 30 sec a maximum radius timeout ami beállítható (6.48-on), de ezen belül elég random, hogy mikor fogja elhajtani az usert auth server timeout hibával (valahol 12-30 sec között van mindig). Meg van mondva, hogy készítsék oda a telefont, vagy próbálják újra ha nem voltak elég gyorsak. Alapvetően élhető, zéró panasz van rá, lassan 2 éve működik.

A használt mfa szolgáltatót inkább nem nevezném meg, egyedi okok miatt döntöttünk mellette, ha viszont ajánlanom kellene valamit ami ugyanezt tudja (sőt..), akkor az a DUO (Cisco) lenne. Ráadásul adnak radius szervert is (kicsit félrevezető módon "duo authproxy" a neve), ami tud openldap/AD backendet illetve a duo mfa push api-t is támogatja helyből nyilván, és faék egyszerű az egész, kb. 5 perc beüzemelni. Ja, és maga a DUO 10 userig ingyenes. De ha nem bízol meg benne, akkor persze használhatod akár a FreeRadiust itt is, a DUO api jól dokumentált, és ha jól rémlik bőven találni hozzá FreeRadius-os példákat.

(T)OTP ugyanez, csak ott ugye annyiból más a helyzet, hogy neked kell radius oldalon felbontani a kapott jelszót statikus + otp részre, és külön-külön ellenőrizni az egyes darabokat. Első körben ezzel mentem, működött is, de már nem emlékszem hogy saját scripttel oldottam e meg, vagy van e erre valami kész FreeRadius modul.

Üdv,

Köszönöm a Tippet, a cleartext PAP auth bejött, első körben PPTP-vel működik! :)

Ellenben ezt már nem szabad használnunk, úgyhogy Kíváncsi vagyok, hogy a többi, biztonságosabb protokollal rendben lesz-e a dolog.

Még egyszer Köszönöm, nem mertem titkosítás nélküli autentikációban gondolkodni, de a villámgyorsan lejáró OTP miatt talán ez nem annyira gáz.

"Magic Disco Rádió, ami elvarázsol!"
www.magicdiscoradio.com

Köszönöm ezt a tippet is, és szerencsém van, ui. SSTP-vel is működik, ahol az SSL/TLS negotiation után megy el a felhasználónév+jelszó+OTP hármas, legalábbis ezt olvastam a protokollról.

Vagyis a PAP is már encryptelve utazik a Világhálón, a FreeRADIUS felé megy csak el a routertől cleartextben, ha jól okoskodom.

Ez így már tetszik, remélem a menedzsmentnek és a hálózatos gurunknak is majd. ;)

Még egyszer Köszönöm Mindenkinek a Segítséget, tippeket! :)

"Magic Disco Rádió, ami elvarázsol!"
www.magicdiscoradio.com