Блог

Как да конфигурирате 2FA за достъп до GUI в pfSense

конфигурирайте 2FA GUI достъп в pfSense



pfSense е много мощен, базиран на отворен код рутер/защитна стена и е насочен към сигурността веднага. Но това не означава, че не може да се втвърди малко. Тъй като е рутер/защитна стена, pfSense е в привилегирована позиция да „вижда“ трафика на вашата мрежа. Така че осигуряването на достъп до вашата кутия pfSense ще бъде критично. Тук, разбира се, ще се прилагат обичайните съвети:

  • Създайте не-root потребител за достъп до GUI на pfSense
  • Използвайте силна парола, за да защитите този акаунт

Но това е само началото. Можете допълнително да защитите достъпа до вашата кутия pfSense с двуфакторно удостоверяване за достъп до GUI. В тази статия обясняваме как да настроитеpfSense двуфакторно удостоверяванеза достъп до GUI.



Забележка: Netgate, компанията зад разработката на pfSense, наскоро започна да произвежда две разклонения на проекта:

  • pfSense CE
  • pfSense Plus

pfSense CE, което означава Community Edition, е версията на pfSense с напълно отворен код. pfSense Plus е базиран на отворен код, но с допълнителни функции, добавени с помощта на патентован код. Въпреки че и двете са безплатни за отделни потребители, ние ще използваме pfSense CE в това ръководство.



Това ръководство предполага, че имате работеща конфигурация на pfSense с вече настроен WAN и LAN интерфейс.

pfSense - CP - Табло за управление

Какво е 2FA?

2FA, или двуфакторна автентификация , е схема за удостоверяване, която използва вашата парола, като същевременно изисква втори фактор за удостоверяване. Вторият фактор обикновено е еднократна парола, която се генерира динамично. Може да ви бъде изпратено чрез текстово съобщение, но по-добър (и по-сигурен) начин е да използвате приложение за удостоверяване, което динамично генерира еднократни пароли за вас. Основната мантра на 2FA за удостоверяване е да използвате нещо, което знаете (вашата парола), с нещо, което имате (вашият телефон, вашето приложение за удостоверяване).

Много, ако не и повечето, доставчици на услуги днес поддържат 2FA и вероятно вече го използвате в някои от вашите акаунти. Има смисъл да блокирате достъпа до GUI на pfSense с 2FA – особено в корпоративна среда.

Да започваме. Първото нещо, което трябва да направим, е да инсталираме пакета FreeRADIUS от софтуерното хранилище на pfSense.

Инсталиране на FreeRADIUS

FreeRADIUS е имплементация с отворен код на протокола за отдалечена автентификация Dial-In User Service (RADIUS), който осигурява удостоверяване, оторизация и отчитане на потребителите, свързващи се към мрежа.

Внедряването на 2FA на pfSense разчита на FreeRADIUS за удостоверяване, така че първата ни стъпка ще бъде да инсталираме пакета.

  1. От горните менюта изберете Система > Мениджър на пакети . The Инсталиран Пакети страницата се показва.
  2. Отидете на На разположение Пакети страница.
  3. Превъртете страницата надолу, докато видите freeradius3 и щракнете Инсталирай . The Инсталатор на пакети се показва прозорец.
  4. Кликнете Потвърдете за да започнете инсталацията.
  5. След като инсталацията приключи, трябва да видите Успех показан в долната част на Пакет Инсталация прозорец. Успешно инсталирахме FreeRADIUS.

Конфигуриране на FreeRADIUS

Сега ще конфигурираме FreeRADIUS за двуфакторно удостоверяване.

Активиране на поддръжка за еднократна парола

  1. От горните менюта изберете Услуги > FreeRADIUS . Ще бъдете отведени до главната страница за конфигурация на FreeRADIUS.
  2. Кликнете върху Настройки и превъртете страницата надолу, докато видите Конфигурация на мобилна еднократна парола раздел.
  3. Отбележете Активиране Мобилна поддръжка за еднократна парола кутия.
  4. Нагласи Хеш алгоритъм да се SHA256 .

Създаване на порт за слушател

Сега, след като активирахме поддръжка за еднократна парола във FreeRADIUS, трябва да го конфигурираме да слуша заявки за удостоверяване.

  1. Изберете Интерфейси от горните менюта на FreeRADIUS. The Интерфейси страницата се показва.
  2. Кликнете Добавете . The Интерфейси Общ Конфигурация страницата се показва.
  3. Оставете всички настройки на стойностите по подразбиране, добавете описание, ако желаете, и щракнете Запазване . Тази конфигурация ще има FreeRADIUS слушане на всички интерфейси на вашата система.
  4. Вие сте върнати обратно към Интерфейси главна страница, която трябва да изглежда така:

Добавяне на NAS/клиент

FreeRADIUS ще приема само заявки за удостоверяване от клиенти, които „познава“. Така че трябва да дефинираме самата кутия pfSense като FreeRADIUS клиент.

  1. Отидете на NAS/Клиенти раздел на настройките на FreeRADIUS. The NAS/Клиенти показва се основната страница с настройки.
  2. Кликнете Добавете . The Обща конфигурация на NAS/клиенти страницата се показва.
  3. Въведете 127.0.0.1 в IP адрес на клиента поле.
  4. Изберете IPv4 от IP версия на клиента падащо меню.
  5. Въведи а Споделена тайна от клиента . Споделената тайна на клиента се използва за защитена комуникация между сървъра FreeRADIUS и NAS/клиента. Трябва да е дълъг, сложен низ от букви, цифри и символи. FreeRADIUS поддържа споделени тайни с дължина до 31 знака.
  6. Кликнете Запазване .
  7. Вие се връщате към основната част NAS/Клиенти страница с настройки, която трябва да изглежда така:

Създаване на 2FA потребител

Следващата стъпка е да създадете FreeRADIUS потребител, който може да се удостоверява с помощта на 2FA с FreeRADIUS.

  1. От основната страница с настройки на FreeRADIUS изберете Потребители раздел. Основното Потребители се показва страницата с настройки.
  2. Кликнете Добавете . The Потребители показва се основната страница с настройки.
  3. В Обща конфигурация въведете име за новия потребител. Ние използваме 2FAUser в нашия пример.
  4. Превъртете надолу страницата, за да намерите Конфигурация на еднократна парола раздел.
  5. Отбележете Активирайте еднократната парола (OTP) за този потребител кутия.
  6. От OTP метод за удостоверяване падащо меню, изберете Google Authenticator . Ще използваме приложението Google Authenticator, за да генерираме нашите еднократни пароли. Други клиенти са налични както за iOS, така и за Android, но за по-голяма простота ще използваме Google Authenticator в нашия пример. Приложението не изисква да имате Google акаунт, нито интернет връзка. Използването на приложението не дава на Google никаква видимост за вашите дейности или еднократни пароли. Но при всички положения не се колебайте да използвате една от многото алтернативи.
  7. Щракнете върху Генериране на OTP Secret бутон за генериране на OTP тайна, показан в Init-Secret поле отгоре.
  8. Щракнете върху Показване на OTP PIN бутон, за да можете да видите OTP ПИН кода, който въвеждате в ПИН поле отгоре. OTP PIN се счита за вашата потребителска парола. И ще се използва заедно с OTP за удостоверяване и влизане в GUI на pfSense. Вашият OTP PIN трябва да се състои от 4 до 6 цифри. В нашия пример използваме 123456, което не препоръчвам да използвате в сценарий от реалния свят.
  9. Щракнете върху Генериране на QR код бутон за генериране на QR код, който ще можем да сканираме с нашата камера, когато конфигурираме Google Authenticator в следващата стъпка, и щракнете върху Запазване в долната част на страницата.

Конфигуриране на Google Authenticator

След като изтеглите Google Authenticator на телефона си, конфигурирането му е лесно.

  1. Стартирайте приложението.
  2. Щракнете върху Добавете бутон за код или + знак в долния десен ъгъл на потребителския интерфейс. Ще бъдете подканени да сканирате QR код с камерата си или да въведете ръчно ключа за настройка.
  3. Изберете Сканиране на QR код. Показва се камерата на телефона ви. Сканирайте QR кода, който създадохме в предишната стъпка.
  4. Това е. Google Authenticator вече е конфигуриран и динамично ще генерира еднократни пароли на всеки 30 секунди.

Добавяне на FreeRADIUS като източник за удостоверяване на pfSense

По подразбиране pfSense има локална база данни, която използва за удостоверяване. За да използваме 2FA за достъп до GUI на pfSense, трябва да зададем нашия FreeRADIUS сървър като източник за удостоверяване.

  1. От горните менюта изберете Система > Потребителски мениджър . Вие сте отведени до Потребители страница на Потребителски мениджър настройки.
  2. Изберете Сървъри за удостоверяване раздел. Вие сте отведени до Сървъри за удостоверяване главна страница с настройки.
  3. Кликнете Добавете . The Сървъри за удостоверяване се показва конфигурационната страница.
  4. Въведете име за вашия FreeRADIUS сървър за удостоверяване в Описателен име поле.
  5. От Тип падащо меню, изберете РАДИУС .
  6. Под Настройки на RADIUS сървъра , изберете PAP от протокол падащо меню.
  7. Въведете 127.0.0.1 в Име на хост или IP адрес поле.
  8. Въведете споделената тайна, която сте създали по-рано в Споделено Тайна поле.
  9. Изберете Удостоверяване от Услуги предлагани падащо меню.
  10. Изберете И - от RADIUS NAS IP атрибут падащо меню.
  11. Кликнете Запазване .

Тестваме нашата основна FreeRADIUS конфигурация

След като основната ни конфигурация е завършена, нека тестваме FreeRADIUS, за да се уверим, че всичко работи.

  1. От горните менюта изберете Диагностика > Удостоверяване . Това води до Тест за удостоверяване страница.
  2. Изберете FreeRADIUS от Сървър за удостоверяване падащо меню.
  3. Въведете потребителското име на вашия FreeRADUIS потребител в Потребителско име поле. Това е 2FAUser в нашия пример.
  4. Въведете своя OTP PIN и твоят Google Authenticator OTP като парола. Зададох моя ПИН на 123456 , а Google Authenticator ми дава 942 244 като OTP, така че бих влязъл 123456942244 в полето за парола.
  5. Кликнете Тест .
  6. Ако тестът е бил успешен, трябва да видите Потребителудостоверени успешно в горната част на страницата.

Конфигуриране на pfSense да използва FreeRADIUS за удостоверяване на потребителите за достъп до GUI

Сега, когато нашият FreeRADIUS сървър е конфигуриран и работи с нашето приложение Google Authenticator, трябва да кажем на pfSense да използва FreeRADIUS за удостоверяване на потребителите за достъп до GUI.

  1. От горните менюта изберете Система > Потребителски мениджър . The Потребител Управител показва се основната страница с настройки.
  2. Изберете Настройки раздел. The Удостоверяване Настройки страницата се показва.
  3. От Удостоверяване сървър падащо меню, изберете FreeRADIUS и щракнете Запазване .
  4. Изберете Потребители tab.The Потребители показва се основната страница с настройки.
  5. Кликнете Добавете . The Нов Потребител Настройки страницата се показва. Показва се страницата с нови потребителски настройки. Трябва да уведомим pfSense, че искаме нашият FreeRADIUS потребител да има достъп до GUI на pfSense.
  6. Въведете потребителското име на вашия FreeRADIUS потребител в Потребителско име поле.
  7. Въведете ПИН кода на своя потребител на FreeRADIUS (конфигуриран на страницата за потребители на FreeRADIUS) в Парола поле – без OTP от Google Authenticator .
  8. Кликнете Запазване .
  9. Вие сте върнати обратно към Потребители главна страница с настройки. Щракнете върху иконата на молив до нашия потребител на FreeRADIUS. Връщаме се обратно към страницата за конфигурация на този потребител.
  10. Щракнете върху бутона Добавяне в Ефективен Привилегии раздел. The Потребителски права страницата се показва.
  11. Изберете WebCfg – Всички страници от Възложено привилегии кутия. Ние предоставяме на нашия FreeRADIUS потребителски достъп до всички раздели на pfSense GUI. Можете да изберете да предоставите достъп само до определени страници за по-рестриктивна настройка, ако желаете.
  12. Кликнете Запазване .
  13. The Потребител Конфигурация се показва страницата и можем да видим присвоените привилегии на нашия потребител. Кликнете Запазване отново в долната част на страницата.
  14. Вие сте върнати обратно къмПотребителиглавна страница с настройки.

Тестваме нашата настройка за достъп до GUI на pfSense

За да тестваме нашата настройка, ще излезем от pfSense и ще влезем отново, като използваме нашия нов FreeRADIUS 2FA потребител.

  1. Щракнете върху иконата със стрелка в горния десен ъгъл на потребителския интерфейс, за да излезете от GUI на pfSense. Ще тестваме нашата 2FA настройка за удостоверяване и GUI достъп.
  2. След като излезете, въведете вашите потребителски идентификационни данни за 2FA: вашето потребителско име и вашия ПИН + OTP като парола. Щракнете върху ЗНАК IN и трябва да се върнете на страницата на таблото за управление на pfSense и да сте влезли като вашия FreeRADIUS 2FA потребител.

Имайте предвид, че ако имате някакви проблеми с еднократната си парола (т.е. нямате телефона си, приложението не работи и т.н.), pfSense се връща към администраторския потребител, така че да не бъдете заключени (така че не изтрийте този потребител).

Увийте

Конфигурирахме pfSense да използва 2FA за достъп до GUI с помощта на FreeRADIUS. Достъпът до сърцето на вашата мрежа вече е заключен с двуфакторно удостоверяване. От този момент нататък, за да влезете в pfSense, ще ви трябва нещо, което знаете (вашата парола/PIN) и нещо, което имате (телефона ви за генериране на OTP).

2FA може да бъде конфигуриран в други области на pfSense, като OpenVPN връзки, например. Това е извън обхвата на настоящия урок, но може би бихме могли да посетим тази тема в бъдеща публикация. Дотогава бих препоръчал да настроите 2FA на всички услуги, които използвате и които го поддържат. 2FA допринася много за защитата на вашите акаунти.

Както винаги, пазете се (онлайн).

Свързани:

^