2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi)

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi)

[Discussion] 2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi)	24/03/2012 21:20:55 (+0700) \| #1 \| 259767

tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline

Bên Gmail có phần 2-step verification mình thấy rất hay nên mình xuống áp dụng nó dành cho router của công ty mình nhưng mình chưa suy nghĩ ra giải pháp nào dành cho Cisco, *nix .

Áp dụng thực tế của nó như sau, khi người dùng đăng nhập vào bất cứ router nào đó mà người dùng có thẩm quyền quyết định thì sẽ gởi 1 code đến điện thoại của người có quyền hạn của router này, code này là bước xác nhận thứ 2 sau mật khẩu của người dùng. Nhằm bảo vệ router, máy chủ an toàn hơn, mình có thấy giải pháp Google Authenticator nhưng vẫn chưa ưng ý cho lắm.

Anh em nào từng triển khai 2-step verification này áp dụng cho máy chủ dùng *nix, router cisco xin cho thông tin, ý kiến.

[Discussion] 2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi)	24/03/2012 22:30:12 (+0700) \| #2 \| 259775

Ikut3
Elite Member

Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline

Em chưa áp dụng cái này bao giờ

Tuy nhiên em nghĩ có thể áp dụng vụ server console (management). Cấu hình router chỉ accept việc login từ 1 client với địa chỉ IP + Mac Address nhất định. Tức là ngoài server management đó ra thì tất cả việc connect từ phía các client hay từ các IP khác đều bị router hoặc *nix deny. smilie

Lợi điểm của dùng server console : là mình có thể take care được nhiều hơn, như việc quay màn hình, ghi log connection v.v...

Nhược điểm là sẽ tốn thêm 1 tài nguyên phần cứng để làm việc này

Có gì mọi người góp ý thêm :-D

[Discussion] 2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi)	25/03/2012 14:52:12 (+0700) \| #3 \| 259798

angel_of_devil
Member

Joined: 23/10/2004 14:57:09
Messages: 154
Offline

Em nghĩ là có đơn vị triển khai rồi, nhưng phải là đơn vị cực lớn, tài chính dồi dào. Giờ mà có thể logon với token thì cũng phê đấy smilie

Bác nào triển khai rồi cho anh em mở mang tầm mắt cái nhỉ smilie

Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không

[Discussion] 2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi)	26/03/2012 12:47:56 (+0700) \| #4 \| 259878

tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline

Ikut3 wrote:

Em chưa áp dụng cái này bao giờ

Tuy nhiên em nghĩ có thể áp dụng vụ server console (management). Cấu hình router chỉ accept việc login từ 1 client với địa chỉ IP + Mac Address nhất định. Tức là ngoài server management đó ra thì tất cả việc connect từ phía các client hay từ các IP khác đều bị router hoặc *nix deny.

Lợi điểm của dùng server console : là mình có thể take care được nhiều hơn, như việc quay màn hình, ghi log connection v.v...

Nhược điểm là sẽ tốn thêm 1 tài nguyên phần cứng để làm việc này

Có gì mọi người góp ý thêm :-D

Mấy cái chứng thực kiểu như SSH, VPN , ...cho phép, ngăn chặn MAC, Access-List với các router thì dễ dàng và bình thường em, tuy nhiên anh muốn thêm kiểu chứng thực bước 2 này để bảo mật cho router quan trọng như ISP chẳng hạn, anh tìm nhiều trên Google xem có anh em nào triển khai phần này chưa thì học hỏi thêm kinh nghiệm nhưng tìm chưa ra được .

Mong nhận được ý kiến của tất cả bà con đối với giải pháp này dù trên Router hay trên *nix đều được smilie

[Discussion] 2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi)	26/03/2012 13:34:55 (+0700) \| #5 \| 259883

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Cái vụ này có hình thức giống như chuyện áp dụng Radius lên cổng của thiết bị Switch.
http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a0080094ea4.shtml
Anh Vàng xem cái link này để lấy ý tưởng. Chuyện xác thực hai bước thông qua :
1. ROuter(thông tin user,pass,Privilleges)
2. Thông tin xác thực từ chủ thể thứ 2. Chổ này anh Vàng muốn nó thành một dịch vụ xác thực như ngân hàng dùng xác thực một chiều khi khách hàng thanh toán hoá đơn qua mạng (i-banking).

Chổ này theo em hình như phải có một vài thủ tục qua lại giữa 2 chủ thể xác thực.

a. Chủ thể thứ 2 và Router dùng biện pháp gì để trao đổi thông tin. Router được tiếp nhận việc tạo một user có quyền,Privilleges,password qua một script trực tiếp từ chủ thể thứ 2.

b. Chủ thể thứ 2 hoạt động gần như một trung tâm quản lý các cá thể có quyền truy cập Router(thiết bị mạng khác) đã được khai báo trước. Ở đây anh Vàng nói về tên của nhân viên có quyền, và số điện thoại liên hệ. Vậy anh phải tạo một cái giống như tổng đài điện thoại.
Cái tổng đài này do người quản lý, sinh code để xác thực bước 2( giống radius) và nó sẽ làm luôn công việc gửi thông tin password cho người cần đăng nhập.

Một số ý kiến sét đanh nhân lúc phá mạng , anh Vàng xem qua chơi.

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...

[Discussion] 2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi)	26/03/2012 14:24:16 (+0700) \| #6 \| 259886

tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline

Mình đang hỏi, thao luận liên quan đến vấn đề 2-step verification cho router, *nix để tìm tòi kiến thức chân trời mới chứ đâu hỏi tư vấn, triển khai giải pháp nào khác cho router, *nix đâu anh em.

Mấy cái Radius hay gì đó dẹp sang chổ khác đi anh em vì router này thuộc ISP mà không triển khai mấy vụ anh em nói thì có mà ...phá sản mất anh em ah smilie

[Discussion] 2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi)	26/03/2012 14:33:27 (+0700) \| #7 \| 259887

miyumi2
Member

Joined: 11/03/2012 15:33:55
Messages: 57
Offline

Gắn cái 3G vô router *nix, mỗi lần user login thì send 1 sms verify code vào số đt của user đó (ý tưởng thôi chứ em chưa làm bao giờ) smilie

[Discussion] 2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi)	26/03/2012 14:47:45 (+0700) \| #8 \| 259888

tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline

Thật tình mà nói Google Authenticator là giải quyết đầy đủ câu hỏi của mình, không thiếu, không thừa trong câu hỏi, thảo luận của mình tí nào cả tuy nhiên nó hỗ trợ cho Blackberry, iOS, Android nếu như người dùng sử dụng máy điện thoại "cùi" thì cài đặt Google Authenticator là chuyện khó khăn do vậy mình cần tìm 1 giải pháp nào đó tương tự như Google Authenticator , hỗ trợ nhiều loại điện thoại chẳng hạn.

[Discussion] 2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi)	26/03/2012 14:59:32 (+0700) \| #9 \| 259890

m3onh0x84
Member

Joined: 29/11/2007 15:22:21
Messages: 467
Location: lang thang 4 biển
Offline

E đọc cái này do a Vàng post trên fb của vietlug. E vừa google thấy mỗi khả năng cắm thêm vpn vào máy chủ xác thực router, có thể cái đặt thông báo xác thực về cho gmail như ý a.
Còn mấy cái như lọc mac, lọc arp nữa. Mà lọc, xác thực nhiều quá thì chạy lâu lắm a.
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gt_ioscs.html
Hay là lại giống trò : Cấu hình VPN IPSec Site to Site Xác thực bằng Certificate này ????

1/ LÀM ƠN "Đọc kĩ hướng dẫn sử dụng trước khi dùng".
2/homepage: trước khi hỏi thì LÀM ƠN tìm kiếm. Vì để biết nhiều hơn thì ai cũng phải đọc "VỪNG ƠI MỞ RA"
Hỏi FAQ thì lên asking.vn mà hỏi

[Discussion] 2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi)	26/03/2012 15:05:31 (+0700) \| #10 \| 259892

m3onh0x84
Member

Joined: 29/11/2007 15:22:21
Messages: 467
Location: lang thang 4 biển
Offline

Nếu thế thì chắc câu hỏi a ở đây nè:
http://groups.google.com/a/googleproductforums.com/forum/#!category-topic/apps/enterprise-mobile/DQwGsp2jN3o
cụ tỉ trê projec google authenticator:
http://code.google.com/p/google-authenticator/

[Discussion] 2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi)	28/03/2012 08:12:53 (+0700) \| #11 \| 260030

tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline

Đang tìm hiểu thêm cuteauthenticator
http://code.google.com/p/cuteauthenticator/

Google Authentification in Java Mobile, j2me
http://code.google.com/p/gauthj2me/downloads/detail?name=gauthj2me.rar&can=2&q=

Symbian
http://sites.google.com/site/symbianaddictsite/Home/FreeTimeBox_v1.05_freeware.sisx

Cám ơn tất cả bà con cô bác đang theo dỏi chủ đề này.

[Discussion] 2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi)	28/03/2012 08:36:26 (+0700) \| #12 \| 260034

angel_of_devil
Member

Joined: 23/10/2004 14:57:09
Messages: 154
Offline

Hy vọng có 1 tut hay như của bác LVH smilie

Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không

[Discussion] 2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi)	29/03/2012 12:58:51 (+0700) \| #13 \| 260261

angel_of_devil
Member

Joined: 23/10/2004 14:57:09
Messages: 154
Offline

Bác Phước nghiên cứu vụ này xem: http://en.wikipedia.org/wiki/HOTP smilie

Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không

[Discussion] 2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi)	30/03/2012 08:54:40 (+0700) \| #14 \| 260351

Destiny3986
Member

Joined: 22/11/2007 23:54:52
Messages: 21
Offline

Mình nghĩ vấn đề này có thể dùng radius + OTP để giải quyêt.

Go to:

Users currently in here
1 Anonymous