Áp dụng mOTP vào SSL trên router Draytek

I. OTP và mobile-OTP là gì?

OTP (One-Time Password) Mật khẩu dùng một lần hay còn được gọi là mật khẩu động với đặc điểm không lặp lại (mật khẩu dùng lần này sẽ không giống lần sau) và chỉ có giá trị 1 lần. Phương pháp này an toàn hơn để chứng thực dữ liệu, gọi là Two-factors. Mục đích làm cho mật khẩu lúc nào cũng thay đổi, tránh việc Hacker hoặc ai đó đánh cắp tài khoản và mật khẩu nhằm đáp ứng cho việc bảo mật thông tin. Mỗi người dùng sẽ mang theo thiết bị “Token” để sinh ra mật khẩu có giá trị 1 lần.

Mobile-OTP là một giải pháp chứng thực mạnh mẽ miễn phí. Nó có thể tạo ra mật khẩu dùng dùng 1 lần bằng cách dùng 1 thiết bị di động (ví dụ điện thoại, PDA …), Ổ USB, Thẻ hoặc Token (phần cứng tạo mật khẩu chứng thực thay đổi liên tục theo thời gian) kết nối đến router, firewall, máy chủ mạng hoặc tạo kênh VPN dựa trên việc đồng bộ thời gian để tạo mật khẩu dùng một lần mà không cần dùng thiết bị Token.

Tìm hiều về SSL VPN

http://www.draytek.com.vn/marketnewsdetail.aspx?id=80

Các ứng dụng SSL VPN trên router DrayTek

http://www.draytek.com.vn/documentdetails.aspx?id=129

DrayTek đã tích hợp cơ chế mật khẩu sử dụng 1 lần trong xác thực kết nối SSL và VPN (hỗ trợ cho các giao thức PPTP, L2TP, SSL). Tham khảo sơ đồ sau:

II. Trình tự các bước cài đặt mOTP cho xác thực SSL VPN

1. Đầu tiên, cài đặt chương trình vào thiết bị di động để nó trở thành mOTP token. Lấy iPhone làm 1 ví dụ. Dùng iPhone để truy cập vào kho ứng dụng iTune APP để download phần mềm mOTP miễn phí. Những loại điện thoại khác – Có hỗ trợJavaApplet- vui lòng truy cập vào website (http://motp.sourceforge.net/) để tải file MobileOTP.jar và fileMobileOTP.jad sau đó cài vào thiết bị (điện thoại hoặc PDA).

Tham khảo sơ đồ sau:

2. VPN client phải điền username và mật khẩu dùng 1 lần để chứng thực với thiết bị định tuyến Vigor.

3. Truy cập vào màn hình quay số SSL VPN và chọn Active-X/JavaApplet ( Được xác định bởi trình duyệt của người dùng) để tiến hành SSL VPN.

4. Bộ định tuyết Vigor sẽ tiến hành chứng thực cho SSL VPN. Khi đã hoàn tất quá trình chứng thực, có nghĩa là lúc đó SSL VPN đã được thiết lập thành công.

III. Ví dụ:

Theo đúng phương pháp trên, dưới đây là 1 ví dụ với Vigor2950. Người dùng tiến hành kết nối SSL VPN bằng cách dùng iPhone như là 1 thiết bị mOTP token.

A. Cấu hình trên bộ định tuyến Vigor

1. Đăng nhập vào giao diện cấu hình của Vigor2950 và chọn System Maintenance >> Time and Date.

2. Chọn Time Zone và hãy chắc rằng thời gian đã đúng với ngày giờ của hệ thống. Click OK để lưu lại.

Lưu ý: Thời gian chay trên Vigort và IPhone phải chính xác vì nếu sai sẽ sinh ra mật khầu sai

3. Mở mục System Maintenance >> Managerment.

4. Đánh dấu mục Allow managerment from the internet và HTTPS server sau đó click OK.

B. Cấu hình SSL VPN trên bộ định tuyến Vigor.

1.Mở mục SSL VPN >> General Setup.

2.Kiểm tra xem port của SSL VPN đã đúng chưa và chọn Encryption Key Algorithm. Sau đó click OK.

3. Mở mục SSL VPN >> User Account. Click vào 1 Index để tạo 1 tài khoản SSL VPN.

4. Đánh dấu mục Enable this account và mục SSL Tunnel.

5. Gõ Username (trong trường hợp này là “Test”).

6. Đánh dấu mục Enable Mobile One-Time Password (mOTP).

7. Gõ mã PIN (trong trường hợp này là “1234”).

8. Dùng 32 số bí mật được tạo bởi mOTP trong iPhone (trong trường hợp này là “e759bb6f0e94c7ab4fe689ebf00c5202”, Xem ở phần C bước 1-3)

9. Điền dãy kí tự “e759bb6f0e94c7ab4fe689ebf00c5202” vào trường Secret. Click OK để lưu cấu hình.

C. Quá trình hoạt động mOTP trên iPhone

Phát sinh số Secret (Tham khảo sơ đồ sau từ trái sang phải).

1. Chọn mOTP trên iphone sau đó chọn Setting. 1 cửa sổ xác nhận sẽ hiện lên. Vui lòng click OK.

2. Click Generate Secret.

3. iPhone sẽ phát sinh ngẫu nhiên 32 ký tự secret.Bạn có thể điền số kí tự trên vào trường Secret trong mục SSL VPN >> User Account trên vigor2950.

Phát sinh mật khẩu dùng 1 lần.

1. Gõ mã PIN. Dùng mã PIN đã khai báo trong phần B, bước 7 (trong trường hợp này là “1234” )

2.iPhone sẽ tạo 1 mật khẩu dùng 1 lần bao gồm 6 chữ số. Mật khẩu này chỉ có giá trị cho 1 lần sử dụng.

D. Thiết lập kết nối SSL VPN từ xa.

1. Truy cập vào giao diện cấu hình web của Vigor2950 từ xa thông qua HTTPS.

2. Gõ username (trong trường hợp này là Test) và gõ Password (6 chữ số mật khẩu dùng 1 lần được tạo bởi iPhone).Click login.

3. Click vào liên kết SSL VPN.

4. Chọn phương pháp kết nối SSL Tunnel. Active-X có thể được dùng cho trình duyệt Microsoft IE 6/7/8. Sau khi chọn Run as ActiveX, click Connect.

JavaApplet có thể được dùng cho người dùng trình duyệt IE 6/7/8 và Firefox / Google Chrome.Sau khi chọn Run as JavaApplet, Click Connect.

Ghi chú: Nếu bạn chọn JavaApplet để tạo kết nối SSL VPN, Bạn phải đóng TSL 1.0 trong Advanced \ Security of JRE control panel for the JRE6.0 hoặc phiên bản mới hơn.

5. Sau khi ấn connect, 1 cửa sổ khác sẽ bật lên và ban sẽ biết kết nối SSL VPN có thành công hay là không.

Khi ngắt kết nối bạn phải sinh mật khẩu mới để kết nối lại.

Tóm tắt:

Người dùng cuối sinh ra 1 mã key từ thiết bị Token hay mOPT và cung cấp cho nguời quản trị.
Người quản trị nhập mã key này vào profile VPN.
Người quản trị cài đặt username và mã PIN. Và cung cấp cho người dùng cuối.
Người dùng cuối sử dụng mã PIN để sinh ra mật khẩu 1 lần sau đó đăng nhập username và mật khẩu 1 lần vào kết nối SSL hay VPN.

Các câu hỏi thường gặp:

1. Tại sao mật khẩu phải luôn thay đổi?
Giải pháp này căn cứ vào thời gian đồng mật khẩu 1 lần. Mật khẩu một lần sẽ thay đổi theo thời gian, mật khẩu sẽ được sinh ra dựa trên 3 yếu tố: mã key, mã PIN và thời gian.

2. Bạn có cần thay đổi thời gian của điện thoại di động cho đúng với khu vực không ?
Nếu thời gian sai bạn sẽ nhận được mật khẩu sai. Nên tuyệt đối phải đúng.

3. Mật khẩu sẽ có giá trị trong bao lâu?
Mật khẩu sẽ có giá trị trong 1 phút, vì vậy nên sử dụng ngay khi bạn nhận được mật khẩu.

Mọi vướng mắc trong quá trình cài đặt thiết bị, vui lòng liên lạc với chúng tôi qua:
Website : http://www.draytek.com.vn
Email: support@draytek.com.vn
Số VoIP: 8122263, 8122264
Số điện thoại: (08) 925.3789
Hotline: 01666 332 018