The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Вопрос по VPN. Как сделать двухфакторную аутентификацию?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Безопасность системы)
Изначальное сообщение [ Отслеживать ]

"Вопрос по VPN. Как сделать двухфакторную аутентификацию?"  +/
Сообщение от White_Shark (ok) on 22-Янв-14, 22:04 
Здравствуйте! Помогите пожалуйста разобраться с таким вопросом. В LAN имеются 2 сервера. На каждом из них установлено ПО "Trassir" (сервер видео-наблюдения). Если находясь в LAN в клиенте ввести IP, порт и логин с паролем, то клиент подключается к серверу и получает видео с камер. Есть желание реализовать следующее:

1) Внешний доступ к этим серверам. Я в Гугле нашел только 2 варианта - это:
     а) VPN. Плюсы - безопасность (наверное ещё куча плюсов есть...). Минусы - нужен белый IP (стоит ежемесячных денег)
     б) Сервисы типа No-IP. Плюсы - бесплатно. Минусы - безопасность (надо думать, что VPN безопаснее)
     в) Если есть ещё какие-нибудь, то буду благодарен за подсказку.
Предварительно из всех этих вариантов выбрал VPN, как наиболее безопасный.
Провайдер предоставляет интернет через свою LAN (выделяет внутренний IP, маску подсети, шлюз и DNS). Если оплачиваешь статический внешний IP, то (я так понял) получаешь на одном из портов своего роутера белый и-нет IP.
Хочется по максимуму оградиться от несанкционированного доступа в LAN извне. Наверное будет эффективно сделать так, чтобы для установления VPN-соединения с моим роутером (Mirkotik RB750gl) нужно было помимо логина и пароля ввести одноразовый пароль (приходит по SMS, e-mail или какой-нибудь софт-токен на телефоне сообщает раз в минуту), если правильно понял, то это называется двухфакторная аутентификация. Нужно ли мне для этого где-нибудь в сети поднимать сервер Radius, если нужно, можно ли его будет поднять на самом Mirkotik? Слышал есть такая штука, как Google Authenticator. Можно ли это как-то здесь использовать?

2) В моей LAN есть сервер, доступ к которому даже из LAN хочется организовать тоже через двухфакторную аутентификацию. Клиентское ПО начинает коннектиться к серверу, спрашивается логин и пароль, если верно, запрашивается одноразовый пароль. Если всё-таки для этого нужен радиус, то имеет ли значение где в LAN он установлен? Имеет 2 сетевые карты, которые взаимодействуют через Radius на вход и выход (между клиентом и сервером) или он должен просто присутствовать в сети? Тогда что помешает клиенту его обойти/проигнорировать (как это будет работать)?

3) И раз уж в LAN итак будут реализованы такие системы доступа, то за одно можно ли их использовать для удобного ограничения доступа к LAN по WiFi?

Помогите пожалуйста сориентироваться как такие вещи обычно решаются, какие аппаратные и программные решения используются? В основном, интересуют не коммерческие решения (наверное есть такие), в крайнем случае - не дорогие решения (Это я про софт). Даже сориентироваться по каким названиям и технологиям Гуглить уже будет шорохе, но если кто-нибудь подскажет поконкретнее будет вообще очень здорово. Заранее спасибо!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Вопрос по VPN. Как сделать двухфакторную аутентификацию?"  +/
Сообщение от pavel_simple (ok) on 23-Янв-14, 07:19 
>[оверквотинг удален]
> то клиент подключается к серверу и получает видео с камер. Есть
> желание реализовать следующее:
> 1) Внешний доступ к этим серверам. Я в Гугле нашел только 2
> варианта - это:
>      а) VPN. Плюсы - безопасность (наверное ещё
> куча плюсов есть...). Минусы - нужен белый IP (стоит ежемесячных денег)
>      б) Сервисы типа No-IP. Плюсы - бесплатно.
> Минусы - безопасность (надо думать, что VPN безопаснее)
>      в) Если есть ещё какие-нибудь, то буду
> благодарен за подсказку.

есть ещё вариант сделать teredo тунель -- и иметь на серверах белый ipv6 адрес. -- это как минимум.

> Предварительно из всех этих вариантов выбрал VPN, как наиболее безопасный.
> Провайдер предоставляет интернет через свою LAN (выделяет внутренний IP, маску подсети,
> шлюз и DNS). Если оплачиваешь статический внешний IP, то (я так
> понял) получаешь на одном из портов своего роутера белый и-нет IP.

при использовании teredo + vpn необходимость в белом ipv4 адресе отпадает.

> Хочется по максимуму оградиться от несанкционированного доступа в LAN извне. Наверное будет
> эффективно сделать так, чтобы для установления VPN-соединения с моим роутером (Mirkotik
> RB750gl) нужно было помимо логина и пароля ввести одноразовый пароль (приходит
> по SMS, e-mail или какой-нибудь софт-токен на телефоне сообщает раз в
> минуту), если правильно понял, то это называется двухфакторная аутентификация. Нужно ли
> мне для этого где-нибудь в сети поднимать сервер Radius, если нужно,
> можно ли его будет поднять на самом Mirkotik? Слышал есть такая
> штука, как Google Authenticator. Можно ли это как-то здесь использовать?

если гугол не знает -- то на такой микротик можно поставить metarouter, и заиметь на микротике нужный функционал.
>[оверквотинг удален]
> обойти/проигнорировать (как это будет работать)?
> 3) И раз уж в LAN итак будут реализованы такие системы доступа,
> то за одно можно ли их использовать для удобного ограничения доступа
> к LAN по WiFi?
> Помогите пожалуйста сориентироваться как такие вещи обычно решаются, какие аппаратные
> и программные решения используются? В основном, интересуют не коммерческие решения (наверное
> есть такие), в крайнем случае - не дорогие решения (Это я
> про софт). Даже сориентироваться по каким названиям и технологиям Гуглить уже
> будет шорохе, но если кто-нибудь подскажет поконкретнее будет вообще очень здорово.
> Заранее спасибо!

вы не обижайтесь, но "Один дурак задаст столько вопросов, что сто мудрецов не ответят!" ,и поэтому нужно делать попорядку, одно за другим.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Вопрос по VPN. Как сделать двухфакторную аутентификацию?"  +/
Сообщение от White_Shark (ok) on 23-Янв-14, 19:40 
> есть ещё вариант сделать teredo тунель -- и иметь на серверах белый
> ipv6 адрес. -- это как минимум.
> при использовании teredo + vpn необходимость в белом ipv4 адресе отпадает.

Огромное спасибо, сейчас буду в эту сторону копать. Хотел с самого утра этим заняться, но возникли другие срочные дела. Я немного посмотрел в Гугл - похоже, это ещё новые течения и мало кто это использует. Какие-то там есть проблемы с безопасностью, есть даже статьи "как отключить teredo" - вроде бы как есть там какие-то дырки в безопасности. http://www.cyberforum.ru/windows7/thread83612.html. Кстати, интересно, ios7 поддерживает teredo + vpn в качестве клиента? В общем, спасибо за наводку - буду гуглить.

> если гугол не знает -- то на такой микротик можно поставить metarouter,
> и заиметь на микротике нужный функционал.

Гугл всё знает, только, чтоб он рассказал, нужно знать про что спрашивать :) Я например про metarouter раньше вообще не знал, поэтому у гугла не интересовался про него, а очень зря :) Я так понял, metarouter превращает роутер в очень универсальную штуку, главное, чтобы мощности процессора и объема ОЗУ роутера хватило. Кстати, не подскажете, как называется прога с нужным функционалом в моем случае (для двухфакторной аутентификации)?

> вы не обижайтесь, но "Один дурак задаст столько вопросов, что сто мудрецов
> не ответят!" ,и поэтому нужно делать попорядку, одно за другим.

Да, по порядку лучше будет. Тогда "первый вопрос" == (teredo + vpn) + (metarouter + "ПО умеющее делать двухфакторную аутентификацию"). Сейчас тогда я погуглю, пойму, что я хочу спросить и тогда спрошу, а пока огромное спасибо за наводки!

PS Уже сейчас вопросы появляются :) Наверное это можно отнести к вопросу №2 в моем первом посте. Про топологию LAN в моем случае. Mikrotick+metarouter должен располагаться в качестве шлюза между клиентом и сервером или есть другой вариант? Например, сервер прежде, чем пустить клиента, должен спросить разрешения у Mikrotick+metarouter, но если так, то сам программный сервер должен уметь это делать. В моем случае, "Trassir", по-моему, не умеет это делать, но точно не знаю - надо выяснять, если выяснять, то как это умение называется?. А может на сам сервер наблюдения (имею в виду саму железяку), параллельно с Trassir, поставить что-то типа программного шлюза - обращаешься к серверу по его LAN IP и порту, прога-шлюз запрос перехватывает и прежде чем пропустить запрос, аутентификацию применяет, а? Это было-бы наверное хорошим решением, только как такие проги называются?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Вопрос по VPN. Как сделать двухфакторную аутентификацию?"  +/
Сообщение от pavel_simple (ok) on 24-Янв-14, 11:34 
>[оверквотинг удален]
> Mikrotick+metarouter должен располагаться в качестве шлюза между клиентом и сервером или
> есть другой вариант? Например, сервер прежде, чем пустить клиента, должен спросить
> разрешения у Mikrotick+metarouter, но если так, то сам программный сервер должен
> уметь это делать. В моем случае, "Trassir", по-моему, не умеет это
> делать, но точно не знаю - надо выяснять, если выяснять, то
> как это умение называется?. А может на сам сервер наблюдения (имею
> в виду саму железяку), параллельно с Trassir, поставить что-то типа программного
> шлюза - обращаешься к серверу по его LAN IP и порту,
> прога-шлюз запрос перехватывает и прежде чем пропустить запрос, аутентификацию применяет,
> а? Это было-бы наверное хорошим решением, только как такие проги называются?

я бы сделал так
1. как я понял микротик умеет terodo -- а teredo нам нужен для того чтобы иметь белый ip -- пусть и ipv6
2. микротик умеет vpn -- всякий и разный. -- т.е. задача подключения к серверам решена.
3. контроль доступа на уровне транспортного ipsec тунеля можно на самом сервере настроить.
4. при необходимости можно как угодно заскриптовать правила последнего тунеля. -- можно придумать много всего -- только я не вижу причин overengineer'рить на ровном месте -- т.е. мудохаться с second factor auth.

хотя....

metarouter + http sms шлюз + cron + правила fw -- вроде клеится -- только все-равно перемудрёно.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Вопрос по VPN. Как сделать двухфакторную аутентификацию?"  +/
Сообщение от White_Shark (ok) on 24-Янв-14, 13:01 

> 3. контроль доступа на уровне транспортного ipsec тунеля можно на самом сервере
> настроить.

Если построить туннель между metarouter и самим сервером (железкой, на которой установлен Trassir) - т.е. получается туннель (в случае доступа к серверу из LAN, а не из и-нет) клиент - metarouter - сервер... хотя наверное, клиент - сервер - metarouter - сервер. Если так, то не будет ли тогда весь трафик (от клиента к серверу) нагружать канал от сервера к metarouter (как бы идти в обход, через metarouter), или обращение сервера к metarouter будет разовым, только в момент аутентификации пользователя?


> 4. при необходимости можно как угодно заскриптовать правила последнего тунеля. -- можно
> придумать много всего -- только я не вижу причин overengineer'рить на
> ровном месте -- т.е. мудохаться с second factor auth.
> хотя....
> metarouter + http sms шлюз + cron + правила fw -- вроде
> клеится -- только все-равно перемудрёно.

Cron в этой схеме для того, чтобы периодически (по заданному расписанию) генерировать одноразовый пароль и отсылать юзеру? Тогда получиться, что юзер будет завален sms'ками, скажем, раз в минуту :) Наверное, нужно отсылать sms'ки не по расписанию, а по событию (попытке аутентификации, например). Хотя может быть я так думаю, поскольку не знаю какие ещё есть возможности у cron'а - знаю только то, что вычитал про cron в wiki - там сказано, что это прога выполняет какие-либо действия по расписанию. Хотя, может быть cron будет по расписанию генерить пароль, а отсылать его или нет (и куда отсылать) будет решать какой-нить скрипт?

А какие при этом нужны умения FireWall'а? Получать разрешение на доступ у radius'а, который живет на metarouter? Хотя, наверное понял... связка должна выглядеть так (добавил скобки :)) (metarouter + http sms шлюз + cron) + правила fw. То что в скобках, физически находится на mikrotik,  а то что не в скобках, т.е. FireWall, находиться на сервере?
Если вышесказанное правильно (т.е. я правильно всё понял), то может подскажете какой-нибудь бесплатный FireWall под Win 7? Так чтоб умел по одному порту пропускать без проблем (хочу на этом серваке заодно запустить Asterisk - нужно, чтобы sip-клиенты без особых трудностей и супер-аутентификации подключались к sip-софт-АТС и получать и принимать звонки с sip-домофона), а по другому (порт для Trassir) отправлял к RADIUS'у? Кстати, не будет ли такая конфигурация небезопасной, а то как-нибудь хакнут через Sip-сервер и все заморочки с двойной аутентификацией псу под хвост :) ? На серваке будет именно Wind'а стоять, поскольку дистрибутива Trassir под Linux у меня нет, хотя, наверное, можно запустить Trassir и под wine, но не знаю что лучше - надо подумать. Wine всё-таки эмулятор - опасаюсь, что на производительности сервака отразиться, а сервер хочу максимально "зажать по производительности", ибо энергосбережение и бесперебойники :).


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Вопрос по VPN. Как сделать двухфакторную аутентификацию?"  +/
Сообщение от pavel_simple (ok) on 24-Янв-14, 13:22 
>> 3. контроль доступа на уровне транспортного ipsec тунеля можно на самом сервере
>> настроить.
> Если построить туннель между metarouter и самим сервером (железкой, на которой установлен
> Trassir) - т.е. получается туннель (в случае доступа к серверу из
> LAN, а не из и-нет) клиент - metarouter - сервер... хотя
> наверное, клиент - сервер - metarouter - сервер. Если так, то
> не будет ли тогда весь трафик (от клиента к серверу) нагружать
> канал от сервера к metarouter (как бы идти в обход, через
> metarouter), или обращение сервера к metarouter будет разовым, только в момент
> аутентификации пользователя?

нужно читься выражать свои мысли если и не совсем правильно - то хотя-бы понятно для собеседника -- я ничё не понил

>[оверквотинг удален]
>> клеится -- только все-равно перемудрёно.
> Cron в этой схеме для того, чтобы периодически (по заданному расписанию) генерировать
> одноразовый пароль и отсылать юзеру? Тогда получиться, что юзер будет завален
> sms'ками, скажем, раз в минуту :) Наверное, нужно отсылать sms'ки не
> по расписанию, а по событию (попытке аутентификации, например). Хотя может быть
> я так думаю, поскольку не знаю какие ещё есть возможности у
> cron'а - знаю только то, что вычитал про cron в wiki
> - там сказано, что это прога выполняет какие-либо действия по расписанию.
> Хотя, может быть cron будет по расписанию генерить пароль, а отсылать
> его или нет (и куда отсылать) будет решать какой-нить скрипт?

а можно ещё нескромный вопрос  -- вы администрированием unix-like ос когда-нибудь занимались ? а то у вас очень определённая деформация по поводу того как дымать в неправильную сторону.

> А какие при этом нужны умения FireWall'а? Получать разрешение на доступ у
> radius'а, который живет на metarouter? Хотя, наверное понял... связка должна выглядеть
> так (добавил скобки :)) (metarouter + http sms шлюз + cron)
> + правила fw. То что в скобках, физически находится на mikrotik,
>  а то что не в скобках, т.е. FireWall, находиться на
> сервере?

fw тоже на microtik'е

>[оверквотинг удален]
> нужно, чтобы sip-клиенты без особых трудностей и супер-аутентификации подключались к sip-софт-АТС
> и получать и принимать звонки с sip-домофона), а по другому (порт
> для Trassir) отправлял к RADIUS'у? Кстати, не будет ли такая конфигурация
> небезопасной, а то как-нибудь хакнут через Sip-сервер и все заморочки с
> двойной аутентификацией псу под хвост :) ? На серваке будет именно
> Wind'а стоять, поскольку дистрибутива Trassir под Linux у меня нет, хотя,
> наверное, можно запустить Trassir и под wine, но не знаю что
> лучше - надо подумать. Wine всё-таки эмулятор - опасаюсь, что на
> производительности сервака отразиться, а сервер хочу максимально "зажать по производительности",
> ибо энергосбережение и бесперебойники :).

увольте -- я и так слишком много написал -- я по четвергам не подаю.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Вопрос по VPN. Как сделать двухфакторную аутентификацию?"  +/
Сообщение от White_Shark (ok) on 24-Янв-14, 14:52 
>[оверквотинг удален]
>> Если построить туннель между metarouter и самим сервером (железкой, на которой установлен
>> Trassir) - т.е. получается туннель (в случае доступа к серверу из
>> LAN, а не из и-нет) клиент - metarouter - сервер... хотя
>> наверное, клиент - сервер - metarouter - сервер. Если так, то
>> не будет ли тогда весь трафик (от клиента к серверу) нагружать
>> канал от сервера к metarouter (как бы идти в обход, через
>> metarouter), или обращение сервера к metarouter будет разовым, только в момент
>> аутентификации пользователя?
> нужно читься выражать свои мысли если и не совсем правильно - то
> хотя-бы понятно для собеседника -- я ничё не понил

Извините, действительно, сумбурно получилось. Попробую по другому сформулировать. Если настроить ipsec туннель, то между чем и чем? Для чего этот туннель использовать? Этот туннель создается на время аутентификации или на всё время сессии (всего времени просмотра юзером видео с сервера)? Этот туннель только для аутентификации или по нему передается весь видео-поток? Будут ли ответы на эти вопросы меняться в зависимости от того, откуда юзер пытается получить доступ к серверу из и-нет или из LAN?


>[оверквотинг удален]
>> одноразовый пароль и отсылать юзеру? Тогда получиться, что юзер будет завален
>> sms'ками, скажем, раз в минуту :) Наверное, нужно отсылать sms'ки не
>> по расписанию, а по событию (попытке аутентификации, например). Хотя может быть
>> я так думаю, поскольку не знаю какие ещё есть возможности у
>> cron'а - знаю только то, что вычитал про cron в wiki
>> - там сказано, что это прога выполняет какие-либо действия по расписанию.
>> Хотя, может быть cron будет по расписанию генерить пароль, а отсылать
>> его или нет (и куда отсылать) будет решать какой-нить скрипт?
> а можно ещё нескромный вопрос  -- вы администрированием unix-like ос когда-нибудь
> занимались ?

Профессионально нет, никогда. Правда, 4-5 лет назад пробовал устанавливать/тестировать/использовать один из дистрибутивов на ноутбуке. Дистр назывался Gentoo Linux. Вроде тогда всё получалось, ядро настроил/скомпилил, дрова для звука/видео/WiFi поставил, графическую оболочку прикрутил. Короче попробовал, что-то получилось, отодвинул в сторону, поскольку не было всех для меня необходимых программ под Linux (AutoCAD, Lingvo, ещё чего-то - сейчас уже не помню), а wine использовать не захотел, тоже уже не помню по каким причинам.

> а то у вас очень определённая деформация по поводу
> того как дымать в неправильную сторону.

Зачем грубить-то? Я просто хотел более точно сформулировать вопрос и конкретизировать, но видимо перестарался и получилось как-то бредово, да. За это ещё раз извините, впредь буду стараться этого не делать.

>> А какие при этом нужны умения FireWall'а? Получать разрешение на доступ у
>> radius'а, который живет на metarouter? Хотя, наверное понял... связка должна выглядеть
>> так (добавил скобки :)) (metarouter + http sms шлюз + cron)
>> + правила fw. То что в скобках, физически находится на mikrotik,
>>  а то что не в скобках, т.е. FireWall, находиться на
>> сервере?
> fw тоже на microtik'е

Если юзер хочет получить доступ из и-нет, тогда понятно - он кроме как через mikrotik на сервер не попадет. Как быть, если юзер хочет получить доступ к серверу через LAN? Если на сервере при этом не установлен FW, то что ему (юзеру) преградит путь к серваку - на свиче (свич с функциями L3 уровня соединяет две подсети) поставлено правило, что из VLAN1 (подсеть с юзером) разрешен доступ к VLAN2 (подсеть с серваком). Тогда юзер минуя FW на microtik'е попадет на сервер. А в LAN не всем пользователям можно подключаться к серверу.

>[оверквотинг удален]
>> для Trassir) отправлял к RADIUS'у? Кстати, не будет ли такая конфигурация
>> небезопасной, а то как-нибудь хакнут через Sip-сервер и все заморочки с
>> двойной аутентификацией псу под хвост :) ? На серваке будет именно
>> Wind'а стоять, поскольку дистрибутива Trassir под Linux у меня нет, хотя,
>> наверное, можно запустить Trassir и под wine, но не знаю что
>> лучше - надо подумать. Wine всё-таки эмулятор - опасаюсь, что на
>> производительности сервака отразиться, а сервер хочу максимально "зажать по производительности",
>> ибо энергосбережение и бесперебойники :).
> увольте -- я и так слишком много написал -- я по четвергам
> не подаю.

Опять грубите, я же Вам не грубил. Да, я обратился за советом к людям, которые разбираются в вопросах сетевой безопасности, которые в свое время тоже чего-то не знали и тоже чего-то не понимали, но потом решая данные задачи стали в этом деле спецами. И которые не против поделиться своими знаниями и опытом с начинающими, теми кто хочет в этих вопросах разобраться.
Лично, Вы, мне очень помогли и многое подсказали, большое спасибо Вам за это. И если я Вас чем-то задел, то точно не специально.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Вопрос по VPN. Как сделать двухфакторную аутентификацию?"  +/
Сообщение от pavel_simple (ok) on 24-Янв-14, 15:16 
>[оверквотинг удален]
>> увольте -- я и так слишком много написал -- я по четвергам
>> не подаю.
> Опять грубите, я же Вам не грубил. Да, я обратился за советом
> к людям, которые разбираются в вопросах сетевой безопасности, которые в свое
> время тоже чего-то не знали и тоже чего-то не понимали, но
> потом решая данные задачи стали в этом деле спецами. И которые
> не против поделиться своими знаниями и опытом с начинающими, теми кто
> хочет в этих вопросах разобраться.
> Лично, Вы, мне очень помогли и многое подсказали, большое спасибо Вам за
> это. И если я Вас чем-то задел, то точно не специально.

если где сильно грубо -- то прошу меня простить.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Вопрос по VPN. Как сделать двухфакторную аутентификацию?"  +/
Сообщение от White_Shark (ok) on 24-Янв-14, 15:54 

> если где сильно грубо -- то прошу меня простить.

Ок, ещё раз благодарю за помощь. Пойду ещё погуглю, почитаю побольше про WF'ы, туннели и Radius'ы. И если не выйдет найти ответы, то вернусь в форум.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor