Настройка двухфакторной аутентификации для Barracuda SSL VPN

В этом руководстве показано, как настроить двухфакторную аутентификацию для Barracuda SSL VPN с помощью Облачного сервиса двухфакторной аутентифиции Protectimus или локальной 2FA платформы Protectimus.

Система двухфакторной аутентификации Protectimus взаимодействует с Barracuda SSL VPN по протоколу RADIUS.

Компонент Protectimus RADIUS Server выступает в роли RADIUS-сервера. Он принимает входящие запросы на аутентификацию по протоколу RADIUS, обращается к хранилищу пользователей (Active Directory и т. д.) для проверки логина и пароля, а затем обращается к серверу двухфакторной аутентификации Protectimus для проверки одноразового пароля. Если оба фактора аутентификации верны, RADIUS-сервер Protectimus разрешает пользователю подключиться к Barracuda SSL VPN.

Схема работы решения Protectimus для двухфакторной аутентификации при подключении к Barracuda SSL VPN представлена на рисунке

1. Как работает двухфакторная аутентификация Barracuda SSL VPN

После настройки двухфакторной аутентификации для Barracuda SSL VPN, чтобы подключиться к Barracuda SSL VPN, пользователи будут вводить два разных фактора аутентификации.

1. Первый 2FA фактор это имя пользователя и пароль (то, что пользователь знает);
2. Второй 2FA фактор это одноразовый пароль с ограничением по времени, который генерируется с помощью OTP-токена или приложения на телефоне (то, чем владеет пользователь). Одноразовые пароли остаются действительными только в течение 30 секунд.

Получить несанкционированный доступ к учетной записи Barracuda SSL VPN, защищенной многофакторной аутентификацией, почти невозможно. Злоумышленнику нужно взломать или перехватить два пароля разной природы и использовать их одновременно. Более того, у него есть всего 30 секунд, чтобы получить и использовать одноразовый пароль, что еще больше усложняет задачу и делает ее практически невыполнимой.

Двухфакторная аутентификация (2FA/MFA) — эффективная мера защиты от таких угроз кибербезопасности, как фишинг, кейлоггинг, социальная инженерия, брутфорс, MITM-атаки, подмена данных и т.д.

2. Как настроить двухфакторную аутентификацию (2FA) для Barracuda SSL VPN

Интеграция двухфакторной аутентификации Protectimus с Barracuda SSL VPN возможна по протоколу RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Настройте политики аутентификации для Barracuda SSL VPN.

2.1. Зарегистрируйтесь и настройте основные параметры Protectimus

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, не забудьте пометить опцию Radius).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробные инструкции по установке и настройке Protectimus RADIUS Server доступны в Руководстве по установке и настройке Protectimus RADIUS Server.

2.3. Добавьте Protectimus в качестве RADIUS сервера для Barracuda SSL VPN

1. Войдите в интерфейс Barracuda VPN.
2. Нажмите Users —> External Authentication.

3. Выберите RADIUS и задайте следующие параметры, чтобы добавить новый RADIUS сервер. После этого нажмите Save, чтобы сохранить изменения.

Server Address	IP сервера, на котором установлен компонент Protectimus RADIUS Server.
Server Port	Укажите 1812 (или тот порт, который вы указали в файле Protectimus radius.yml при настройке Protectimus RADIUS Server).
Server Key	Укажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Group Attribute	Оставьте значение по умолчанию.
Group Attribute Delimiter	Оставьте значение по умолчанию.
NAS ID	Если ваш сервер RADIUS требует установки учетных данных NAS, укажите идентификатор NAS.
NAS IP Address	Если ваш сервер RADIUS требует установки учетных данных NAS, укажите IP адрес NAS.
NAS IP Port	Если ваш сервер RADIUS требует установки учетных данных NAS, укажите IP-порт NAS.
Group Information From	Оставьте пустым.

4. Перейдите во вкладку VPN —> SSL VPN.

5. Перейдите к разделу Authentication. Выберите RADIUS в User Authentication. Нажмите Сохранить.

Интеграция двухфакторной аутентификации в Barracuda SSL VPN завершена.

Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.