Комментарии 16
Спасибо!
Недавно думал как бы прикрутить Микротик к Мелкомягкому радиусу.
Недавно думал как бы прикрутить Микротик к Мелкомягкому радиусу.
НЛО прилетело и опубликовало эту надпись здесь
В статье минимум три вредных совета(антипаттерна) связанных с безопасностью и из-за них я бы не рекомендовал использовать её как руководство в промышленной эксплуатации чего-то важного.
1. Использование небезопасных методов аутентификации (PAP) (нет шифрования)
2. Store passwords using reversible encryption
(Storing passwords using reversible encryption is essentially the same as storing clear-text versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information.) (в примере это сделано для учётной записи администратора(!!!))
3. Всё это происходит с использованием группы Domain Admins (следует выделять отдельные группы и учётки для администрирования в разных «зонах»)
Т.е. уровень безопасности до применения этой статьи был выше, чем после.
Буду признателен автору, если он найдёт способ достигнуть поставленной задачи не понижая уровня безопасности и обновит эту статью пока кто нибудь не использовал её как руководство.
1. Использование небезопасных методов аутентификации (PAP) (нет шифрования)
2. Store passwords using reversible encryption
(Storing passwords using reversible encryption is essentially the same as storing clear-text versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information.) (в примере это сделано для учётной записи администратора(!!!))
3. Всё это происходит с использованием группы Domain Admins (следует выделять отдельные группы и учётки для администрирования в разных «зонах»)
Т.е. уровень безопасности до применения этой статьи был выше, чем после.
Буду признателен автору, если он найдёт способ достигнуть поставленной задачи не понижая уровня безопасности и обновит эту статью пока кто нибудь не использовал её как руководство.
Эта статья не про безопасность, не best practices. Можно и нужно подстраивать под себя любое описание, не копировать слепо. Я осознаю, что с точки зрения безопасности там есть жуткие минусы. Если описать все способы защиты, то получится статья о совсем другом.
Очень хотелось бы видеть и про безопасность. Можно было бы посвятить этому вторую статью в цикле, это бы отлично дополнило представленный материал! Так же могу подсказать идею для статьи, разделить средствами NPS политик Login, VPN Access, а так же Login и Wi-Fi auth. Это бы вписалось в концепцию безопасности.
Безопасность очень важный аспект, но ее слишком часто опускают для упрощения. В итоге получается интересная статья, но не применимая в боевых условиях.
Безопасность очень важный аспект, но ее слишком часто опускают для упрощения. В итоге получается интересная статья, но не применимая в боевых условиях.
Зануда mode on.
В заголовке статьи есть «авторизация».
Authorization is the function of specifying access rights/privileges to resources related to information security and computer security in general and to access control in particular.
Как бы вы не хотели, но эта статья про безопасность. Даже если это слово из заголовка убрать.
В заголовке статьи есть «авторизация».
Authorization is the function of specifying access rights/privileges to resources related to information security and computer security in general and to access control in particular.
Как бы вы не хотели, но эта статья про безопасность. Даже если это слово из заголовка убрать.
Хочет читающий того или нет, но он должен понимать что делает. Нельзя написать универсальную инструкцию для любой архитектуры и топологии. У многих разный баланс безопасность/удобство, поэтому я не затрагиваю эту тему. Мне интересно написать статью со своими идеями и опытом касательно этой сложной области и узнать мнение других людей. Просто не вижу целесообразным тут обсуждать то, что я нарочно не учел чтобы описание выглядело проще.
Я согласен с вашими замечаниями белее чем и то, как я настроил не должно быть в продакшене, нужно подстроить под свою контору. В следующей статье я постараюсь описать свои взгляды и некоторые практики как это можно сделать безопаснее.
Я согласен с вашими замечаниями белее чем и то, как я настроил не должно быть в продакшене, нужно подстроить под свою контору. В следующей статье я постараюсь описать свои взгляды и некоторые практики как это можно сделать безопаснее.
К первому пункту стоит отметить, что всё же передаваемый пароль шифруется средствами радиуса. Т.е. не так уж все плохо.
а есть ли решение для второго пункта?
Но надо быть очень аккуратным.
RADIUS Protocol Security and Best Practices.
…
The only acceptable usage of PAP for secure connections is with OTP and Token Card authentication, where the password has high entropy and changes for each use. However, enabling PAP allows misconfigured access clients to negotiate PAP with their access servers and send unprotected user account passwords.
Да и не всё спокойно в датском королевстве.
How secure is the radius encryption
RADIUS Protocol Security and Best Practices.
…
The only acceptable usage of PAP for secure connections is with OTP and Token Card authentication, where the password has high entropy and changes for each use. However, enabling PAP allows misconfigured access clients to negotiate PAP with their access servers and send unprotected user account passwords.
Да и не всё спокойно в датском королевстве.
How secure is the radius encryption
В 2021 году кто-нибудь знает, как заставить Mikrotik аутентифицироваться через ms-chapv2 для ppp (openvpn)?
Аутентификация не работает, пока на NPS не разрешишь pap…
Аутентификация не работает, пока на NPS не разрешишь pap…
Почему бы не использовать в качестве RADIUS-сервера сам микротик (User Manager)?
Чтобы учетная запись проверялась через NPS в AD у этого пользователя на вкладке Dial-in в разделе Network Access Permission должен быть отмечен пункт Control access through NPS Network Policy.
А если он установлен в значение FALSE , то используется следующий скрипт
$allusers = Get-ADUser -filter * -SearchBase ‘OU=Users,DC=tomsk,DC=ru’ -Properties msNPAllowDialin | select name,SamAccountName,msNPAllowDialin | where {$_.msNPAllowDialin -eq $false}
$user = $allusers | foreach {
Set-ADUser ($_.SamAccountName) -replace @{msnpallowdialin=$true}
Write-Host "$($_.name) Dial-In Setting Changed" -ForegroundColor cyan
}где ‘OU=Users,DC=tomsk,DC=ru’ ваш домен (это для Примера)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Авторизация через Network Policy Server (NPS) для MikroTik