A jelszó önmagában már nem elég – így teheti biztonságossá MikroTik VPN kapcsolatát kétfaktoros hitelesítéssel (MFA)
A jelszó önmagában már nem elég – így teheti biztonságossá MikroTik VPN kapcsolatát kétfaktoros hitelesítéssel (MFA)
A biztonságos távoli elérés ma már üzleti kérdés
A távoli munkavégzés, a hibrid irodai működés és a felhőalapú szolgáltatások elterjedésével a vállalati hálózatok biztonságos elérése fontosabbá vált, mint valaha. Egyre több munkatárs dolgozik otthonról, ügyfélnél vagy útközben, miközben ugyanazokhoz az üzleti rendszerekhez kell hozzáférnie, mint az irodából.
A legtöbb vállalkozás ezt VPN (Virtual Private Network) kapcsolaton keresztül biztosítja. A VPN titkosított kapcsolatot hoz létre a felhasználó és a vállalati hálózat között, így az adatforgalom biztonságosan továbbítható az interneten keresztül.
Ez azonban önmagában még nem jelenti azt, hogy a vállalati rendszer megfelelően védett.
A VPN titkosít, de nem feltétlenül védi meg a vállalkozást
Sok vállalkozás úgy gondolja, hogy ha VPN-t használ, akkor informatikai szempontból már biztonságban van.
Ez sajnos csak részben igaz.
A VPN elsődleges feladata az adatforgalom titkosítása. A legtöbb VPN-kapcsolat azonban továbbra is kizárólag felhasználónévvel és jelszóval történő hitelesítést alkalmaz.
Ez azt jelenti, hogy ha egy támadó megszerzi egy munkatárs VPN-jelszavát – például adathalász támadás, jelszószivárgás vagy egy korábban feltört szolgáltatás miatt –, ugyanazzal a jogosultsággal jelentkezhet be, mint a valódi felhasználó.
A VPN-kapcsolat ilyenkor teljesen szabályosnak tűnik.
A rendszer nem feltétlenül érzékeli, hogy valójában illetéktelen személy csatlakozott.
Milyen kockázatokat jelent ez a vállalkozások számára?
Egy sikeres VPN-bejelentkezés után a támadó ugyanazokat az erőforrásokat érheti el, mint az adott munkatárs.
Ez többek között jelentheti:
- fájlszerverek elérését,
- SQL adatbázisokhoz való hozzáférést,
- könyvelési rendszerek használatát,
- Microsoft 365 szolgáltatások elérését,
- belső webes alkalmazások használatát,
- bizalmas üzleti dokumentumok letöltését,
- hálózati megosztások elérését.
A legtöbb vállalkozás számára ez már nem csupán informatikai probléma, hanem komoly üzleti és adatvédelmi kockázat is.
Miért nem elegendő ma már a jelszó?
A Microsoft, a Google és számos kiberbiztonsági szervezet évek óta azt hangsúlyozza, hogy a kizárólag jelszóra épülő hitelesítés már nem tekinthető megfelelő védelemnek.
Ennek oka egyszerű.
A jelszavak:
- kiszivároghatnak,
- újrahasznosíthatók,
- ellophatók,
- kitalálhatók,
- vagy adathalász támadások során megszerezhetők.
Hiába használ valaki erős jelszót, ha azt egy hamis bejelentkezési oldalon önként megadja.
A kétfaktoros hitelesítés (MFA) jelentősen csökkenti a kockázatot
A Multi-Factor Authentication (MFA) egy második azonosítási lépést vezet be a bejelentkezési folyamatba.
A felhasználónak nem elegendő megadnia a felhasználónevét és jelszavát, hanem egy időalapú egyszer használatos kódot (TOTP) is meg kell adnia, amelyet egy hitelesítő alkalmazás generál.
Ilyen alkalmazások például:
- Google Authenticator
- Microsoft Authenticator
- Aegis Authenticator
- FreeOTP
Ennek köszönhetően még akkor sem lehet egyszerűen bejelentkezni a VPN-re, ha valaki megszerezte a felhasználó jelszavát.
A támadónak a felhasználó hitelesítő alkalmazásához vagy mobiltelefonjához is hozzá kellene férnie.
Ez nagyságrendekkel növeli a vállalati VPN biztonságát.
Mi a helyzet MikroTik OpenVPN esetén?
A MikroTik RouterOS kiváló választás vállalati VPN-kiszolgálóként, azonban natív módon jelenleg nem biztosít teljes körű TOTP-alapú kétfaktoros hitelesítést (MFA) OpenVPN felhasználók számára.
Ez azt jelenti, hogy a legtöbb vállalkozás:
- kizárólag felhasználónév és jelszó használatára támaszkodik,
- kompromisszumos megoldásokat alkalmaz,
- vagy más VPN-megoldásra vált.
Pedig létezik egy olyan nyílt forráskódú architektúra, amely lehetővé teszi a vállalati szintű kétfaktoros hitelesítést MikroTik OpenVPN környezetben is.
Egy nyílt forráskódú, reprodukálható vállalati megoldás
Egy ügyféligény során olyan rendszert terveztünk, amely:
- nyílt forráskódú,
- Docker Compose segítségével egyszerűen telepíthető,
- licencköltség nélkül használható,
- vállalati környezetben is stabilan működik,
- és integrálható meglévő MikroTik OpenVPN infrastruktúrába.
A megoldás négy fő komponensből áll:
- PrivacyIDEA
- FreeRADIUS
- MariaDB
- Docker Compose
Ezek együtt biztosítják, hogy a MikroTik VPN-kapcsolatok kétfaktoros hitelesítéssel működjenek anélkül, hogy a meglévő hálózati infrastruktúrát teljesen át kellene alakítani.
A teljes projekt nyilvánosan is elérhető
A teljes telepítési útmutató, Docker-környezet, konfigurációs példák, biztonsági ajánlások és hibaelhárítási dokumentáció nyílt forráskódú GitHub projektként is elérhető:
GitHub projekt:
https://github.com/sarabelinformatika/privacyidea-freeradius-mikrotik-openvpn
A repository tartalmazza többek között:
- Docker Compose környezetet
- FreeRADIUS konfigurációt
- MikroTik konfigurációs példákat
- telepítési útmutatót
- biztonsági ajánlásokat
- hibaelhárítási útmutatót
- rendszerarchitektúrát
Ez lehetővé teszi, hogy a megoldás könnyen reprodukálható és szakmailag ellenőrizhető legyen.
Hogyan működik a kétfaktoros hitelesítés MikroTik OpenVPN környezetben?
A legtöbb vállalkozás első kérdése ilyenkor általában az, hogy mennyire bonyolult egy ilyen rendszer bevezetése.
A jó hír, hogy nem szükséges lecserélni a meglévő MikroTik routert vagy teljesen új VPN infrastruktúrát kialakítani.
A meglévő OpenVPN környezet kibővíthető egy olyan hitelesítési réteggel, amely minden bejelentkezést több lépcsőben ellenőriz.
Ennek eredményeként a felhasználók ugyanúgy a megszokott VPN-kapcsolatot használják, azonban a háttérben már egy lényegesen biztonságosabb hitelesítési folyamat zajlik.
A rendszer felépítése
A megoldás négy fő komponensből épül fel.
MikroTik RouterOS
A MikroTik továbbra is VPN-kiszolgálóként működik.
Feladata:
- az OpenVPN kapcsolat kezelése;
- a felhasználó hitelesítési kérelmének fogadása;
- a hitelesítési kérés továbbítása a RADIUS szerver felé.
A MikroTik tehát nem végzi el a kétfaktoros hitelesítést, hanem átadja azt egy erre specializált rendszernek.
FreeRADIUS
A FreeRADIUS az egyik legismertebb nyílt forráskódú RADIUS szerver.
Ebben a megoldásban ő tölti be az összekötő szerepet.
Feladata:
- fogadja a MikroTik hitelesítési kérelmét;
- továbbítja azt a PrivacyIDEA felé;
- visszaküldi a MikroTik számára az Access-Accept vagy Access-Reject választ.
A FreeRADIUS nem tárol felhasználókat és nem ő dönti el, hogy a felhasználó jogosult-e a belépésre.
PrivacyIDEA
A PrivacyIDEA végzi a tényleges hitelesítést.
Itt történik:
- a felhasználó ellenőrzése;
- a jelszó ellenőrzése;
- a TOTP kód ellenőrzése;
- a szabályok (Policy) alkalmazása;
- az auditnapló készítése.
A rendszer támogatja többek között:
- TOTP
- HOTP
- WebAuthn
- FIDO2
- YubiKey
- LDAP
- Microsoft Active Directory
Ennek köszönhetően később akár Active Directory környezethez is egyszerűen integrálható.
MariaDB
A MariaDB biztosítja a háttéradatbázist.
Itt tárolódnak:
- felhasználók;
- tokenek;
- házirendek;
- auditnaplók;
- konfigurációs adatok.
A hitelesítés folyamata
A háttérben minden VPN kapcsolat esetén az alábbi folyamat történik.
VPN kliens
│
▼
MikroTik OpenVPN
│
▼
FreeRADIUS
│
▼
PrivacyIDEA
│
▼
MariaDB
│
▼
Access-Accept / Access-Reject
A felhasználó ebből gyakorlatilag semmit sem érzékel.
Mindössze annyit tapasztal, hogy a megszokott felhasználónév és jelszó mellett egy egyszer használatos hitelesítő kódot is meg kell adnia.
Miért Docker Compose?
A teljes rendszer Docker Compose környezetben fut.
Ez számos előnyt jelent.
- gyors telepítés;
- egyszerű frissítés;
- könnyű mentés;
- könnyű költöztetés;
- reprodukálható infrastruktúra;
- jól dokumentálható konfiguráció.
Ha egy új szerveren kell újraépíteni a rendszert, elegendő a Docker Compose konfigurációt és az adatokat visszaállítani.
Ez jelentősen csökkenti az üzemeltetési kockázatot.
Egy valódi, reprodukálható megoldás
A projekt elkészítése során fontos szempont volt, hogy ne csupán egy működő konfiguráció készüljön el, hanem egy olyan dokumentált megoldás, amelyet más rendszergazdák is reprodukálhatnak.
Ezért a teljes projekt nyilvánosan is elérhető GitHubon.
A repository tartalmazza többek között:
- Docker Compose konfigurációt;
- FreeRADIUS konfigurációs példákat;
- MikroTik konfigurációkat;
- telepítési útmutatót;
- biztonsági ajánlásokat;
- hibaelhárítási útmutatót;
- rendszerarchitektúrát;
- gyakran ismételt kérdéseket.
A teljes projekt itt érhető el:
https://github.com/sarabelinformatika/privacyidea-freeradius-mikrotik-openvpn
A repository célja nem csupán a forráskód megosztása, hanem egy olyan szakmai tudásbázis létrehozása, amely hosszú távon is segítséget nyújthat MikroTik alapú VPN rendszerek biztonságos kialakításához.
Mikor érdemes kétfaktoros hitelesítést bevezetni?
A kétfaktoros hitelesítés nem kizárólag nagyvállalatok számára ajánlott.
Különösen indokolt, ha:
- munkatársai otthonról dolgoznak;
- VPN-en keresztül érik el a céges hálózatot;
- Microsoft 365 szolgáltatásokat használnak;
- SQL adatbázisok érhetők el távolról;
- könyvelési vagy ügyviteli rendszereket használnak;
- érzékeny ügyféladatokat kezelnek;
- GDPR hatálya alá tartozó adatokat tárolnak.
Egy sikeres jelszólopás következménye sok esetben jóval nagyobb költséget jelenthet, mint egy megfelelően kialakított MFA rendszer bevezetése.
Kapcsolódó VPN témájú szakmai cikkeink
Ha szeretne többet megtudni a VPN-ek működéséről és biztonságos használatáról, ajánljuk az alábbi cikkeinket is:
- MikroTik VPN beállítás lépései – WireGuard, L2TP és OpenVPN útmutató (2026)
- VPN kapcsolódási hibák – gyors megoldások és hibaelhárítás
- Biztonságos távoli elérés – a VPN, WireGuard, OpenVPN és IPsec szerepe az informatikában
Ezek a cikkek részletesen bemutatják a VPN-technológiák működését, a leggyakoribb hibákat, valamint azt is, hogy milyen szempontok alapján érdemes kiválasztani a megfelelő távoli elérési megoldást vállalkozása számára.
Milyen támadások ellen nyújt valódi védelmet a kétfaktoros hitelesítés?
A kibertámadások jelentős része ma már nem a tűzfal vagy a VPN titkosításának feltörésére irányul. A támadók sokkal egyszerűbb módszereket alkalmaznak: a felhasználói hitelesítő adatok megszerzésére törekednek.
Ha egy vállalkozás VPN-hozzáférése kizárólag felhasználónévre és jelszóra épül, egy sikeres adathalász támadás vagy egy kiszivárgott jelszó már elegendő lehet ahhoz, hogy illetéktelen személy belépjen a vállalati hálózatba.
A kétfaktoros hitelesítés pontosan ezt a kockázatot csökkenti.
1. Adathalász (Phishing) támadások
Az egyik leggyakoribb támadási forma, amikor a felhasználót egy hamis weboldalra irányítják, amely megtévesztően hasonlít a valódi VPN vagy Microsoft 365 bejelentkezési felületre.
A felhasználó megadja:
- felhasználónevét;
- jelszavát.
A támadó ezek birtokában már képes lenne bejelentkezni.
Ha azonban MFA védi a VPN-et, a megszerzett jelszó önmagában már nem elegendő.
2. Kiszivárgott jelszavak
Az interneten rendszeresen jelennek meg adatbázisok korábban feltört szolgáltatásokból.
Sok felhasználó ugyanazt a jelszót több különböző helyen is használja.
Ha egy külső szolgáltatásból kiszivárog egy jelszó, előfordulhat, hogy ugyanazzal próbálnak meg belépni a vállalati VPN-be is.
Ez az úgynevezett Credential Stuffing támadás.
A kétfaktoros hitelesítés ezt is jelentősen megnehezíti.
3. Brute Force támadások
Automatizált rendszerek folyamatosan próbálkoznak:
- ismert felhasználónevekkel;
- gyakori jelszavakkal;
- szótár alapú támadásokkal.
Erős jelszavak használata ugyan csökkenti a kockázatot, de MFA nélkül önmagában nem jelent teljes védelmet.
4. Ellopott notebook vagy mobiltelefon
Előfordulhat, hogy egy munkatárs notebookját ellopják.
Ha a VPN-kliens el van mentve, vagy a támadó megszerzi a hitelesítő adatokat, komoly kockázat alakulhat ki.
Kétfaktoros hitelesítés esetén azonban még mindig szükség van az egyszer használatos hitelesítő kódra is.
Ez jelentősen csökkenti az illetéktelen hozzáférés esélyét.
5. Belső fenyegetések
Nem minden biztonsági incidens kívülről érkezik.
Előfordulhat:
- jogosulatlan belső hozzáférés;
- volt munkavállaló visszaélése;
- megosztott jelszavak használata.
A kétfaktoros hitelesítés ebben az esetben is további védelmi réteget biztosít.
Miért nem elegendő kizárólag egy erős jelszó?
Sok vállalkozás továbbra is úgy gondolja, hogy egy hosszú és bonyolult jelszó elegendő.
Valójában azonban a jelszó csak egyetlen hitelesítési tényező.
Ha ezt valaki megszerzi, a rendszer nem tud különbséget tenni a valódi felhasználó és a támadó között.
A kétfaktoros hitelesítés ezt a problémát oldja meg.
A sikeres bejelentkezéshez egyszerre szükséges:
- valami, amit a felhasználó tud (jelszó),
- és valami, amivel a felhasználó rendelkezik (telefon vagy hitelesítő alkalmazás).
Ez a modern informatikai biztonság egyik alapelve.
Milyen vállalkozások számára ajánlott?
A gyakorlatban szinte minden olyan szervezet számára, ahol VPN-en keresztül történik a távoli munkavégzés.
Különösen ajánlott:
- könyvelőirodák;
- ügyvédi irodák;
- egészségügyi szolgáltatók;
- mérnöki irodák;
- gyártó vállalatok;
- logisztikai cégek;
- szállodák;
- több telephelyes vállalkozások;
- Microsoft 365 környezetet használó cégek.
Ha a VPN-en keresztül üzletileg kritikus rendszerek érhetők el, a kétfaktoros hitelesítés ma már nem extra biztonsági funkció, hanem egyre inkább alapvető elvárás.
Miért választottuk a PrivacyIDEA és a FreeRADIUS kombinációját?
Számos MFA-megoldás érhető el a piacon, azonban ezek közül sok:
- licencköteles;
- felhasználónkénti díjazást alkalmaz;
- kizárólag felhős szolgáltatásként érhető el;
- vagy korlátozottan integrálható MikroTik OpenVPN környezetbe.
A PrivacyIDEA és a FreeRADIUS kombinációja ezzel szemben:
- nyílt forráskódú;
- rugalmasan testreszabható;
- Docker Compose környezetben egyszerűen telepíthető;
- vállalati környezetben is jól skálázható;
- támogatja az Active Directory és LDAP integrációt;
- hosszú távon is fenntartható megoldást kínál.
Gyakori hibák MFA bevezetése során
A technológia önmagában még nem garantálja a megfelelő biztonságot.
A leggyakoribb hibák közé tartozik:
- gyenge RADIUS Shared Secret használata;
- HTTPS nélküli adminisztráció;
- hiányzó NTP szinkronizáció;
- nem megfelelő biztonsági mentések;
- dokumentáció nélküli konfiguráció;
- elmaradó rendszerfrissítések;
- naplózás és monitorozás hiánya.
Éppen ezért a GitHub repository nem csupán a konfigurációs fájlokat tartalmazza, hanem részletes telepítési, biztonsági és hibaelhárítási dokumentációt is.
A projekt teljes dokumentációja itt érhető el:
https://github.com/sarabelinformatika/privacyidea-freeradius-mikrotik-openvpn
A biztonság nem egyetlen eszközön múlik
Egy vállalkozás informatikai biztonságát nem egyetlen termék vagy szoftver határozza meg.
A valódi védelem több egymásra épülő biztonsági rétegből áll.
Ebben a megoldásban ezek a rétegek:
- MikroTik RouterOS;
- OpenVPN;
- FreeRADIUS;
- PrivacyIDEA;
- MariaDB;
- Docker Compose;
- HTTPS;
- rendszeres biztonsági mentések;
- naplózás;
- monitorozás.
Ezek együttesen olyan védelmi szintet biztosítanak, amely jelentősen csökkenti a jogosulatlan VPN-hozzáférés kockázatát.
Gyakran Ismételt Kérdések (GYIK)
Mi az a kétfaktoros hitelesítés (MFA)?
A kétfaktoros hitelesítés (Multi-Factor Authentication – MFA) egy olyan biztonsági megoldás, amely a felhasználónév és jelszó mellett egy második hitelesítési tényezőt is megkövetel. Ez lehet például egy mobiltelefonon generált egyszer használatos TOTP-kód, amely jelentősen csökkenti az illetéktelen hozzáférés kockázatát.
Miért nem elegendő önmagában egy erős jelszó?
Egy erős jelszó fontos, de nem nyújt teljes védelmet. A jelszavak kiszivároghatnak, adathalász támadások során megszerezhetők vagy más szolgáltatásokból kikerülhetnek. Ha a VPN kizárólag jelszóra épül, a támadó ugyanazzal a jogosultsággal jelentkezhet be, mint a valódi felhasználó.
Támogatja a MikroTik natívan a kétfaktoros hitelesítést OpenVPN esetén?
A MikroTik RouterOS jelenleg nem biztosít natív TOTP-alapú kétfaktoros hitelesítést OpenVPN kapcsolatokhoz. Ezért szükség van egy külső hitelesítési rétegre, például PrivacyIDEA és FreeRADIUS használatára.
Miért a PrivacyIDEA és a FreeRADIUS kombinációját választottuk?
A PrivacyIDEA egy vállalati szintű, nyílt forráskódú MFA rendszer, míg a FreeRADIUS biztosítja a RADIUS alapú hitelesítést a MikroTik és a PrivacyIDEA között. A kettő együtt egy stabil, jól dokumentált és licencdíj nélküli megoldást kínál.
Milyen hitelesítő alkalmazások használhatók?
A rendszer támogatja a legtöbb TOTP kompatibilis alkalmazást, például:
- Google Authenticator
- Microsoft Authenticator
- Aegis Authenticator
- FreeOTP
- Authy
Használható Active Directory környezetben?
Igen. A PrivacyIDEA támogatja az LDAP és a Microsoft Active Directory integrációt, így a meglévő felhasználói adatbázis is használható.
Miért fut Docker Compose környezetben?
A Docker Compose gyors telepítést, egyszerű frissítést, könnyű mentést és reprodukálható infrastruktúrát biztosít. Ez jelentősen leegyszerűsíti az üzemeltetést és a későbbi migrációt.
Milyen vállalkozások számára ajánlott ez a megoldás?
Elsősorban olyan vállalkozások számára, ahol:
- VPN-en keresztül történik a távoli munkavégzés;
- érzékeny üzleti adatok érhetők el;
- Microsoft 365 szolgáltatásokat használnak;
- SQL adatbázisok működnek;
- több telephely között VPN kapcsolat üzemel;
- fontos az adatbiztonság és a GDPR megfelelőség.
Mennyi idő alatt vezethető be?
A bevezetés időtartama a meglévő infrastruktúrától függ. Egy megfelelően előkészített környezetben a Docker Compose alapú telepítés viszonylag gyorsan elvégezhető, ezt követően pedig a PrivacyIDEA és a MikroTik integrációja következik.
Összegzés
A VPN továbbra is a biztonságos távoli elérés egyik legfontosabb eszköze, azonban a kizárólag felhasználónévre és jelszóra épülő hitelesítés ma már nem nyújt megfelelő védelmet.
A kétfaktoros hitelesítés jelentősen csökkenti annak esélyét, hogy egy ellopott vagy kiszivárgott jelszó jogosulatlan hozzáférést biztosítson a vállalati hálózathoz.
A PrivacyIDEA, a FreeRADIUS és a Docker Compose együttes alkalmazásával olyan nyílt forráskódú, vállalati szintű megoldás alakítható ki, amely licencköltségek nélkül is magas biztonsági szintet biztosít MikroTik OpenVPN környezetben.
Ha Ön is szeretné biztonságosabbá tenni vállalkozása VPN infrastruktúráját, vagy kérdése van a kétfaktoros hitelesítés bevezetésével kapcsolatban, vegye fel velünk a kapcsolatot.
További kapcsolódó szakmai cikkeink
Ha a VPN-ek biztonságáról és működéséről szeretne többet megtudni, ajánljuk az alábbi cikkeinket is:
-
MikroTik VPN beállítás lépései – WireGuard, L2TP és OpenVPN útmutató (2026)
-
Biztonságos távoli elérés – a VPN, WireGuard, OpenVPN és IPsec szerepe az informatikában
Teljes telepítési útmutató és forráskód
A cikkben bemutatott megoldás teljes dokumentációja, Docker Compose konfigurációja, telepítési útmutatója, valamint a szükséges konfigurációs fájlok nyilvánosan elérhetők az alábbi GitHub repozitóriumban:
privacyIDEA + FreeRADIUS + MikroTik OpenVPN MFA – Teljes dokumentáció