Ja esat iestatījis VPN 2FA ar RADIUS pēc mūsu ceļveža, jums jau ir viss nepieciešamais, lai aizsargātu vēl vienu lietu: pieteikšanos pašā maršrutētājā. Gan WinBox, gan WebFig, gan SSH un API prot autentificēties caur RADIUS. Notakey auth-proxy ir caurspīdīgs RADIUS starpniekserveris, tāpēc pietiek novirzīt maršrutētāja pieteikšanās pakalpojumu caur to, un katra administratora pieteikšanās papildus parolei prasīs arī tālruņa apstiprinājumu.
Shēma ir tā pati, kas VPN gadījumā:
Router login ──RADIUS──▶ Notakey auth-proxy ──RADIUS──▶ your RADIUS server
│
└──▶ push notification ──▶ admin's phone
Maršrutētāja pusē jāmaina tikai trīs lietas, tās aprakstītas tālāk.
Prasības
- Auth-proxy, kas jau darbojas jūsu RADIUS servera priekšā un ir iestatīts tāpat kā VPN ceļveža 1.–3. solī. Der jebkurš RADIUS serveris aiz tā: FreeRADIUS, Microsoft NPS, paša MikroTik User Manager vai Notakey RADIUS spraudnis.
- Administratora lietotājvārds, kas ir viens un tas pats gan RADIUS serverī, gan Notakey servisā ar reģistrētu tālruni; paziņojumu starpniekserveris adresē pēc lietotājvārda.
1. solis: izlemiet, kādu paziņojumu redzēs administratori
Paziņojuma saturu nosaka starpniekservera konfigurācija: tie paši
message_title / message_description, kas tiek rādīti VPN pieteikšanās
brīdī. Iespējas ir divas:
- Izmantojiet to pašu VPN starpniekserveri. Tas ir ātrākais ceļš: administratora pieteikšanās brīdī tālrunī parādīsies VPN teksts (piemēram, “VPN authentication — allow john login?”). Nelielā vidē ar to pilnīgi pietiek.
- Palaidiet otru starpniekservera instanci ar savu Notakey lietotni un
savu ziņojumu, piemēram, “Router admin login as {0}?”. Konteinerizētā
vidē tas nozīmē vienkārši vēl vienu konteineru, kas klausās citā portā
(teiksim,
18120) un izmanto cituNOTAKEY_ACCESS_ID; iekārtas (appliance) iebūvētais starpniekserveris ir tikai viena instance, tāpēc otro palaiž kā konteineru tai blakus.
Atsevišķs ziņojums ir piecu minūšu darbs, kas atmaksājas: administrators, kurš saņem “Router admin login”, lai gan pats maršrutētājā nepiesakās, uzreiz saprot, ka kaut kas nav kārtībā, un pieprasījumu noraida.
2. solis: pievienojiet starpniekserveri kā RADIUS serveri pieteikšanās pakalpojumam
Maršrutētājā reģistrējiet starpniekserveri kā RADIUS serveri login pakalpojumam:
/radius
add service=login address=<proxy-address> secret=secret_to_radius_server timeout=30s
Tā ir tā pati /radius rinda no VPN ceļveža, tikai service=ppp vietā ir
service=login, un spēkā paliek tas pats brīdinājums: MikroTik
noklusējuma RADIUS noildze ir 300 milisekundes. Cilvēkam paziņojuma
apstiprināšanai vajag vismaz 30 sekundes, tāpēc timeout=30s ir obligāts.
Bez tā ikviena pieteikšanās cietīs neveiksmi, pirms tālrunis vispār paspēs
nopīkstēt.
3. solis: iespējojiet RADIUS maršrutētāja lietotājiem
/user aaa
set use-radius=yes default-group=full
Tas arī viss. Turpmāk RouterOS par katru pieteikšanos, kuras lietotājvārda
nav lokālajā /user datubāzē, vaicās RADIUS serverim (caur
starpniekserveri).
Šeit svarīgas divas lietas.
Izvēlieties default-group apzināti. Ar RADIUS autentificētie lietotāji
saņem šīs grupas tiesības (read, write vai full), ja vien RADIUS
serveris konkrētam lietotājam nenorāda ražotāja atribūtu Mikrotik-Group
(vendor ID 14988). Ja visi, kas nāk caur RADIUS, ir pilntiesīgi
administratori, der default-group=full; ja ne, izvēlieties mazāko tiesību
līmeni, ar ko pietiek ikdienas darbam, un izņēmumiem tiesības piešķiriet ar
Mikrotik-Group no RADIUS.
Saglabājiet lokālu administratora kontu. RouterOS vispirms pārbauda
lokālo lietotāju datubāzi un RADIUS vaicā tikai par lietotājvārdiem, kurus
pats nepazīst. Šis lokālais administrators ir jūsu rezerves izeja gadījumam,
ja starpniekserveris, RADIUS serveris vai Notakey serviss kādreiz nav
sasniedzams. Bez tā šāda dīkstāve nozīmētu, ka savā maršrutētājā vairs
netiekat iekšā. Piešķiriet kontam spēcīgu, unikālu paroli un, ja iespējams,
atļaujiet tam pieslēgties tikai no pārvaldības tīkla:
/user set <name> address=<mgmt-subnet>.
Pārbaudiet piesardzīgi
Pagaidām neaizveriet sesiju, kurā strādājat. Atveriet otru WinBox vai SSH sesiju un piesakieties ar RADIUS lietotājvārdu:
- Pieteikšanās logs brīdi gaida; starpniekserveris RADIUS apmaiņu tur atvērtu, kamēr gaida jūsu atbildi.
- Tālrunī pienāk paziņojums. Apstiprināt → esat pieteicies ar grupas tiesībām. Noraidīt vai ignorēt → pieteikšanās pēc noildzes tiek noraidīta.
- Pārliecinieties, ka lokālais administrators joprojām var pieteikties kā ierasts.
Sākotnējo sesiju aizveriet tikai tad, kad abas pārbaudes izdevušās.
Ja paziņojums pienāk, bet pieteikšanās tik un tā neizdodas, vēlreiz
pārbaudiet timeout=30s sadaļā /radius; 300 ms noklusējuma vērtība ir
visbiežākā kļūda. Ja paziņojums nepienāk vispār, lietotājvārds RADIUS
serverī un Notakey servisā gandrīz noteikti atšķiras.
Kā tas iekļaujas kopainā
Viens starpniekserveris, viens RADIUS serveris, un tālruņa apstiprinājums tagad sargā gan VPN, gan maršrutētāja administrēšanu. Pēc tā paša parauga var aizsargāt jebko citu, kas prot sazināties ar RADIUS.
Saistītie ceļveži
- VPN 2FA ar RADIUS — pilna auth-proxy uzstādīšana, starpniekservera konfigurācija, uz kuras balstās šis ceļvedis
- Linux SSH 2FA ar pam_radius: tas pats starpniekserveris aizsargā SSH, sudo un su
- MikroTik VPN 2FA tikai ar RouterOS skriptiem, alternatīva pašam VPN bez RADIUS servera