Двухфакторная аутентификация для VPN mikrotik
ฝัง
- เผยแพร่เมื่อ 6 ก.พ. 2025
- Подробнее mum-russia.ru/2fa
Описание:
На вебинаре обсудим, как легко внедрить двухфакторную аутентификацию в VPN с использованием Asterisk и MikroTik. На практическом примере покажем, как это реализовано в нашей компании, и предоставим готовые скрипты для самостоятельной настройки.
Основные темы:
-- Введение в двухфакторную аутентификацию:
Обзор концепции двухфакторной аутентификации (2FA), почему она важна для обеспечения безопасности и как она может улучшить защиту VPN-соединений.
-- Обзор используемых технологий - Asterisk и MikroTik:
Краткий обзор платформы Asterisk как инструмента для реализации голосовой связи и MikroTik как решения для настройки VPN. Рассмотрим их особенности и преимущества для интеграции 2FA.
-- Практическое применение 2FA в VPN:
Детальное обсуждение того, как двухфакторная аутентификация интегрируется в VPN на примере MikroTik. Объяснение шагов и компонентов необходимых для настройки.
-- Демонстрация реализации 2FA в компании:
Представление реального кейса из практики компании: как была реализована двухфакторная аутентификация с использованием Asterisk для генерации и передачи кодов подтверждения через голосовые вызовы.
-- Предоставление скриптов для настройки:
Разбор и предоставление готовых скриптов, которые участники смогут использовать для настройки собственных систем 2FA. Пояснения по каждому элементу скрипта для понимания его функциональности и адаптации под свои нужды.
-- Заключение и рекомендации по дальнейшим шагам:
Подведение итогов вебинара с акцентом на ключевые моменты и лучшие практики для внедрения двухфакторной аутентификации в VPN. Предоставление рекомендаций по дальнейшему изучению темы и шагов, которые участники могут предпринять для улучшения безопасности своих сетевых систем. - วิทยาศาสตร์และเทคโนโลยี
Спасибо. Благодоря твоим видосам я полюбил микротик и активно его внедряю -)
Вариант с астериском с точки зрения безопасности имеет несколько изъянов:
1. Не усложняет подбор пароля, если в варианте с multifactor злоумышленник не пойдет, что основной пароль правильный если пользователь не подтвердит. С Астериском он поймет, что все ок и начнет изучать сеть на предмет варианта обхода фаервола.
2. Multifactor активирует конкреное подключение, OTP аналогично работает в конкретный момент времени. При звонке злоумышленник может подключиться и ждать пока подключится пользователь и своим звонком активирует оба подключения (не смотрел скрипт, может и не 2, а одно, но в любом случае это не точечное разрешение)
3. В логах понять, что подключился злоумышленник, максимум, если есть 2 подключения. то одно может быть "плохим", но это и не точно
я делал 2FA для впнщиков с отправкой кода в телеграмм, также на микротик с обвязкой по апи
а как это делать, есть статья инструкция
Попробовал новый WINBOX 4.0 linux. при попытке войти по MAC адресу вываливается ошибка Could not connect MacConnection syn timeout
Эта ошибка появляется при попытке доступа с хост системы на виртуальный роутер под Virtualbox
Спасает только возможность зайти по Link-Local адресу IPv6. Подобной фигни нет при доступе с виндовой виртуалки
Здравствуйте Дмитрий нет у вас видеоролика как настроить Macwlani?
Кстати отп на пк можно добавить в keypassxc, тот умеет даже подставлять на тех сайтах к аккаунтам которых забит, но можно хранить и отдельные для впн в том числе
Третье видео с использованием связки ssh и asterisk, третий раз не понятно, как это сделать и с каждым видео описание всё пространнее. Были ж времена, когда по твоим видео можно было протыкать и сделать, понятно, что лежат скрипты, для 16 астера, ты сам им пользуешься или 21 стоит, 22? 7 лет как поменялся драйвер sip. Железяку за 12к... мини пк можно купить за эти деньги с 2гб оперативки и диском, взрослыми возможностями линукса и под задачки как-то больше подойдёт, нежели wi-fi роутер. Последний же 4000 сдох через неделю, с 5009 экспериментировать опасаюсь уже. Мини пк по 3нм техпроцессу сделан, в отличии от микротиков, которые вечно любят процы 2013 года использовать. В 2017 ещё можно было это понять как-то, но в 2024 совсем сложно становится.
Когда 16 астериск был в 2015? Посвежее ничего не пробовали?
25:04 )). Параллельно чёт навеело "бородатый" анекдот про прапорщика и ломы.
с астериском наверное лучше было инициировать звонок клиенту и там просить нажать цифру к примеру и потом активировать его. Ну опять таки это доп затраты
WG+2FA ?
с рутокена даже винда умеет брать ключ ....
про линупс уж полчу ....
макось насколько помню тоже умеет прекрасно )
Вдохновившись рассказом Романа, полез пробовать RADIUS.
Столкнулся с проблемой которую не смог нагуглить, может кто прояснит!
Настроил User Manager на CHR ROS 7.16. Пока пробую просто логинится. Сам на себя захожу. С еще одного микрота на ROS 7.16 тоже захожу! С других микротов на ROS 6.49 получаю ошибку timeout ! Но вроде нигде не написано, что есть какая-то проблема совместимости....
Куда копать?
Включите логи usermanager и radius - timeout нет связи с radius.
Схема с астериск подойдёт для ovpn? Или только pptp, l2tp?
Любой ppp
Пора бы уже про ключи RSA забыть. ED25519 намного компактнее при той же надёжности и нет таких тормозов как при использовании RSA
Вводить просто отп ключ без пароля это плохая идея....
Нужно пользовать пароль все равно... просто пароль будет - и да, это становится мультифактором .. потому что таки пароль тоже надо знать )
И знак равно очень даже прекрасно прожевывается и микротом и любым генератором ...
Нам схема не подошла из-за сложности для пользователей - даже просто с otp
@@MikrotikTraining странно, но у нас внедрили это даже для обычных бухов.
Наверняка слышал про систему RSA SecureID
Все освоили ... ))
чтобы не украли впн - нужно на токене держать серт и по нему авторизоваться....
удаленно его не утащишь ... а вы как то поленились ....
Для массы пользователей становится очень дорого
мало того что пользователю нужн купить этот токен, Но проблема даже не в этом, а в том что как удаленщикам эти токены доставлять и забирать
@@Dmitriy_Zima либо безопасность, либо удобство.
Токен может быть виртуальный на ТПМ модуле пк локального.
Установка сертификата или ключа так же не составляет проблемы.
В общем, два момента.
Повышение безопасности обратно пропорционально удобству.
Кто хочет решить вопрос - ищет способы решения. Кто не хочет - ищет оправдания почему этого сделать нельзя и это неудобно.
@@MikrotikTraining ну есть еще вариант вирт смарт карта на тпм. сейчас уже несколько лет все компы с ТПМ поставляются насколько я понимаю .. потому что тупо винда 11 требует его ... но ОТП как вариант решает вопрос дороговизны, и в общем то не сказал бы что повышает требование к грамотности технической.... в общем безопасно и дешево - в одном предложении я бы не стал пользоваться.. )
@@KonstantinovAG да тут не про удобство вовсе речь. В видео конкретный пример - операторы колцентра, и таких примеров много очень бывает, когда удаленщики меняются намного быстрее, чем токен доедет к ним. Страна большая очень
Лютый рассинхрон звука и видео :(
Только в самом начале
А на х2 вообще незаметно 😂
Пару минут в начале