+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

[ЗАПРОС НА ФУНКЦИЮ] Двухфакторная аутентификация

[ЗАПРОС НА ФУНКЦИЮ] Двухфакторная аутентификация, RouterOS

artie11

Guest

03.10.2012 00:28:00

Пытаюсь внедрить двухфакторную аутентификацию везде и нашел наименьший общий знаменатель, который безопасен – Google Authenticator. Он безопасен, надёжен и полностью оффлайн. Не использует никаких проприетарных решений и идеально бы подошёл… Нужно только добавить модуль для входа и возможность нам задавать секрет, а не использовать случайный. Тогда все нужные мне серверы смогут использовать один и тот же секрет, и мне не придётся запоминать 50 разных кодов. Прикрепляю кучу реализаций. Если это можно сделать на JS, я уверен, мы сможем получить модуль для Mikrotik. Вот код для приложений - https://code.google.com/p/google-authenticator/ JS реализация - http://blog.tinisles.com/2011/10/google-authenticator-one-time-password-algorithm-in-javascript/ Установка Linux PAM модуля - http://www.howtogeek.com/121650/how-to-secure-ssh-with-google-authenticators-two-factor-authentication/

Zorro Guest	#2 0 27.01.2016 23:29:00 Да, отсутствие поддержки EAPOL и 802.1x-2010 на проводных интерфейсах — это серьезная проблема. Похоже, это связано с устаревшим ядром, которое использовали в прошлые дни, верно?

jsmelley Guest	#3 0 25.05.2013 09:03:00 Как обстоят дела с этим запросом? Реализовано ли это или кто-нибудь разобрался, как это можно использовать для SSL-соединений? Я тоже ищу хорошее двухфакторное решение с одноразовым паролем. Джеймс.

brotherdust

Guest

04.06.2013 00:14:00

Прости, если это кажется каким-то бредом, но я хотел поделиться опытом работы с OATH (этот стандарт используют в GAuth). Я давным-давно реализовал OATH TOTP и HOTP на Ruby просто так, для себя, но код так и не опубликовал. В общем, у меня появилась гипотеза, что встроенные возможности скриптинга в RouterOS могут позволить реализовать OATH. Я пока ничего об этом не изучал. Но если бы это было возможно, то ты бы был уже на полпути к решению. Не знаю, возможно ли вообще зацепиться за процесс аутентификации на роутере. Просто какие-то поток сознания… #RouterOS #OATH #TOTP #HOTP

Netguy Guest	#5 0 30.09.2013 09:17:00 Я просто не могу представить, чтобы Mikrotik этого не внедрили. Это хорошо, просто и бесплатно. С нетерпением жду поддержки Google Authenticator в следующем обновлении.

vdm

Guest

08.02.2014 09:09:00

Я бы очень хотел это увидеть, чтобы использовать в дополнение к сертификатам для SSH-клиента. Gmail научил людей, как этим пользоваться. Duo — ещё один вариант с открытым исходным кодом. Отлично работает с Cisco ASAs и Active Directory. https://www.duosecurity.com/docs/duounix

shiny Guest	#7 0 10.02.2014 14:15:00 Я использую http://www.yubico.com/ для двухфакторной аутентификации в нескольких местах, включая некоторые Linux-машины. Работает хорошо.

hvdhelm Guest	#8 0 15.02.2014 20:14:00 MultiOTP — очень неплохое бесплатное решение. Работает на основе RADIUS, полностью поддерживает Google Authenticator, OATH TOTP и HOTP. Недавно выпустили образ для Raspberri Pi.

michaeleino Guest	#9 0 08.10.2014 22:20:00 Привет всем! Есть ли надежда реализовать эту функцию??? Это вообще возможно?

ericholtzclaw

Guest

#10

25.01.2016 20:53:00

Двухфакторную аутентификацию (2FA) можно настроить довольно просто с помощью https://duo.com/support/documentation/radius Proxy to Radius (понадобится сервер). MikroTik стоит добавить поддержку Duo и стать прокси + Radius, уменьшив количество компонентов. У Duo много мобильных приложений, интегрированных с разными менеджерами паролей. Эрик.

jaykay2342

Guest

#11

12.10.2014 09:04:00

Двухфакторная аутентификация была бы неплоха. Мы используем YubiKey во многих системах. Даже для VPN (ovpn) с аутентификацией по RADIUS. К сожалению, для входов по HTTP(S) запрос аутентификации по RADIUS не включает в себя открытый текст пароля, поэтому RADIUS-сервер может разделить пароль на фактическую часть пароля и часть токена YubiKey. В противном случае у нас уже была бы двухфакторная аутентификация для наших роутеров. Если MikroTik изменит такое поведение, я предлагаю написать руководство по настройке двухфакторной аутентификации с freeradius+yubikey.

TheLittleDuke

Guest

#12

20.01.2015 23:55:00

Что нужно сделать, чтобы это появилось в планах "скоро"? Особенно, хотелось бы увидеть поддержку Google Auth для интерфейса WebFig Login. Есть ли какая-то "премия" (bounty), которую можно поднять? Дайте знать, я готов скинуться, чтобы это реализовали как можно скорее. -dvd

hedele

Guest

#13

21.01.2015 09:49:00

Я вижу небольшую проблему с Google Authenticator… поскольку одноразовые коды генерируются на основе текущего времени, возникнут проблемы, когда твой Routerboard перезагрузится и не сможет синхронизировать время с NTP, ведь ни в одном RB нет батарейного RTC, и тогда ты не сможешь войти, потому что время на устройствах не совпадает.

awacenter

Guest

#14

22.01.2015 10:48:00

Прямо сейчас у тебя проблемы из-за политик безопасности Mikrotik? Вариантов много, подумай о том, чтобы использовать SSL-сертификаты для пользователей. Ещё вопрос: почему 802.1x не реализован на проводных интерфейсах Mikrotik?

jkarras

Guest

#15

24.01.2015 00:29:00

Как уже упоминалось ранее, любой сайт с крупными масштабированиями, скорее всего, уже использует RADIUS для централизованной аутентификации и администрирования. Добавить Google Auth к FreeRADIUS – довольно простой способ это сделать сегодня. Не могу вспомнить ни одного конкурента, который предлагал бы OTP прямо на коммутаторе или роутере – всё это делается через дополнения к серверам TACACS+ или RADIUS.

TheLittleDuke

Guest

#16

24.01.2015 00:53:00

Защита по принципу "глубина обороны". Я не собираюсь подключать Radius-сервер для удаленного управления моим домашним роутером. Даже SSHD должен иметь опцию 2FA. Проблема с часами, упомянутая выше, очевидно, неприятная, хотя интересно, какие NTP/USB/Battery варианты доступны? Быстрый поиск выявил вот это: http://www.keylok.com/product/fortress-real-time-clock. Возможно, умное решение — просто обнаруживать отключение питания и предоставлять опцию отключения Google Auth в качестве режима fail-safe. Кстати, Google Auth предоставляет набор "резервных" кодов аутентификации, которые можно использовать в случае расхождения времени. К тому же, его можно развернуть в "режиме обратного отсчета", который не зависит от времени. Ну и что? Почему гоняться за самым дешевым решением, когда это может стать интересным преимуществом!

jkarras

Guest

#17

24.01.2015 01:41:00

Я просто указал на других поставщиков, чтобы ответить тем, кто выше написал, что другие поставщики поддерживают двухфакторную аутентификацию. Ты прав насчет одного домашнего роутера. Если устройств будет больше одного, администрирование станет значительно сложнее, ведь для каждого роутера нужно будет отдельная запись в приложении. Централизованное управление – это всего одна запись для обновления.

artie11 Guest	#18 0 23.06.2016 00:30:00 Ну конечно, после почти 4 лет с момента моей первой просьбы… Должно быть, это хотя бы обсудили в Mikrotik… Можем ли мы получить официальный ответ на это? 6,5k просмотров в этой теме — явно не потому, что это плохая идея. На данном этапе… отсутствие 2FA логина в Tiks стало серьезной проблемой… Особенно учитывая количество CCR, которые находятся в публичной сети. Я не хочу настраивать RADIUS только для логинов, потому что это потребует огромных административных затрат… не говоря уже о том, что у нас есть сотни CPE tiks по всей Австралии. Я никогда не был поклонником удаленного RADIUS через интернет…

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры