Защита Array AG SSL VPN с помощью двухфакторной аутентификации

В этом руководстве показано, как настроить двухфакторную аутентификацию (2FA/MFA) для Array AG SSL VPN с помощью решения многофакторной аутентификации Protectimus.

Система двухфакторной аутентификации Protectimus интегрируется с Array AG SSL VPN через протокол аутентификации RADIUS. Облачный сервис двухфакторной аутентификации или Локальная MFA платформа Protectimus выступает в качестве RADIUS-сервера, а Array VPN берет на себя роль RADIUS-клиента.

Схема работы решения Protectimus для двухфакторной аутентификации в Array AG SSL VPN представлена ниже.

1. Как работает двухфакторная аутентификация (2FA) для Array VPN

Решение двухфакторной аутентификации Protectimus для Array AG SSL VPN позволяет добавить дополнительный уровень безопасности при входе в Array VPN.

Когда вы настроите двухфакторную аутентификацию для Array VPN, ваши пользователи будут использовать два разных фактора аутентификации для входа в свои учетные записи.

1. Первый фактор — это логин и пароль (то, что знает пользователь);
2. Второй фактор — это одноразовый пароль, сгенерированный с помощью аппаратного OTP-токена или приложения на телефоне (с помощью того, что есть у пользователя).

Чтобы взломать Array VPN, защищенный двухфакторной аутентификацией, хакеру необходимо получить стандартный пароль и одноразовый пароль одновременно. При этому у него есть всего 30 секунд, чтобы взломать одноразовый пароль. Это почти невозможно, что делает двухфакторную аутентификацию настолько эффективной против брутфорса, подмены данных, клавиатурных шпионов, фишинга, атак «человек посередине», социальной инженерии и подобных хакерских атак.

2. Как настроить двухфакторную аутентификацию (2FA) для Array AG SSL VPN

Интеграция двухфакторной аутентификации Protectimus с Array VPN возможна по протоколу RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Добавьте Protectimus в качестве RADIUS сервера для Array AG SSL VPN.

2.1. Зарегистрируйтесь и настройте основные параметры Protectimus

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, не забудьте пометить опцию Radius).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробные инструкции по установке и настройке Protectimus RADIUS Server для Array VPN доступны в Руководстве по установке и настройке Protectimus RADIUS Server.

2.3. Добавьте Protectimus в качестве RADIUS сервера для Array AG SSL VPN

1. Войдите в панель администратора Array VPN.
2. Измените режим на Config.
3. Перейдите к настрокам Virtual Site, используя раскрывающееся меню в верхнем левом углу.
4. Найдите меню Site Configuration слева и нажмите AAA.
5. Откройте вкладку General и установите флажок напротив пункта Enable AAA.

6. Перейдите на вкладку Server и нажмите RADIUS.
7. Введите название сервера Server Name (например, Protectimus RADIUS Server). Вы также можете добавить описание в поле Description. Затем нажмите Add.

8. Новый сервер появится в списке серверов. Откройте Расширенные настройки сервера RADIUS Advanced RADIUS Server Configuration, дважды щелкнув на название сервера, который вы только что создали.
9. Нажмите Add RADIUS Server на вкладке Advanced RADIUS Server Configuration. Заполните форму, ориентируясь на таблицу и изображение ниже, затем нажмите Save.

Server IP	Введите IP-адрес сервера, на котором установлен компонент Protectimus RADIUS Server.
Server Port	Укажите 1812 (или тот порт, который вы указали в файле Protectimus radius.yml при настройке Protectimus RADIUS Server).
Secret Password	Укажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Timeout	Установите значение 180 секунд.
Redundancy Order	Установите значение 1, если это ваш первый сервер RADIUS.
Retries	Установите значение 3.
Accounting Port	Укажите 1813.

10. Перейдите во вкладку Method и нажмите Add Method.
11. Введите название метода Method Name (например, Protectimus) и описание метода Method Description (например, Protectimus RADIUS Server). Затем выберите AAA server в разделе Authentication. Сервер AAA (AAA server) — это сервер, который вы создали ранее (Protectimus RADIUS Server).
12. Нажмите Сохранить. Только что созданный метод появится в таблице во вкладке Method.

13. Найдите раскрывающийся список AAA Method for Mobile VPN Clients и выберите созданный вами метод (Protectimus).

14. В правом верхнем углу панели администратора Array VPN нажмите Save Configuration.

Интеграция двухфакторной аутентификации в Array AG SSL VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.