Инструкции

2FA для клиентов VPN

Настройка двухфакторной аутентификации для F5 BIG-IP APM VPN

В этом руководстве показано, как настроить двухфакторную аутентификацию (2FA/MFA) для F5 BIG-IP APM VPN с помощью решения многофакторной аутентификации Protectimus.

Система двухфакторной аутентификации Protectimus интегрируется с F5 BIG-IP APM через протокол аутентификации RADIUS. Облачный сервис двухфакторной аутентификации или Локальная MFA платформа Protectimus выступает в качестве RADIUS-сервера, а F5 BIG-IP APM берет на себя роль RADIUS-клиента.

Схема работы решения Protectimus для двухфакторной аутентификации в F5 BIG-IP APM VPN представлена ниже.

Настройка двухфакторной аутентификации для F5 BIG-IP APM VPN через RADIUS

1. Как работает двухфакторная аутентификация (2FA) для F5 BIG-IP APM VPN

Решение двухфакторной аутентификации Protectimus позволяет добавить дополнительный уровень безопасности при входе в F5 BIG-IP APM.

Когда вы настроите двухфакторную аутентификацию для F5 BIG-IP APM VPN, ваши пользователи будут использовать два разных фактора аутентификации для входа в свои учетные записи.

  1. Первый фактор — это логин и пароль (то, что знает пользователь);
  2. Второй фактор — это одноразовый пароль, сгенерированный с помощью аппаратного OTP-токена или приложения на телефоне (с помощью того, что есть у пользователя).

Чтобы взломать доступ к F5 BIG-IP APM, защищенный двухфакторной аутентификацией, хакеру необходимо получить стандартный пароль и одноразовый пароль одновременно. При этому у него есть всего 30 секунд, чтобы взломать одноразовый пароль. Это почти невозможно, что делает двухфакторную аутентификацию настолько эффективной против брутфорса, подмены данных, клавиатурных шпионов, фишинга, атак «человек посередине», социальной инженерии и подобных хакерских атак.

2. Как настроить двухфакторную аутентификацию (2FA) для F5 BIG-IP APM VPN

Интеграция двухфакторной аутентификации Protectimus с F5 BIG-IP APM возможна по протоколу RADIUS:
  1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
  2. Установите и настройте компонент Protectimus RADIUS Server.
  3. Добавьте Protectimus в качестве RADIUS сервера для F5 BIG-IP APM.

2.1. Зарегистрируйтесь и настройте основные параметры Protectimus

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, не забудьте пометить опцию Radius).
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробные инструкции по установке и настройке Protectimus RADIUS Server доступны в Руководстве по установке и настройке Protectimus RADIUS Server.

2.3. Добавьте Protectimus в качестве RADIUS сервера для F5 BIG-IP APM

  1. Войдите в панель администратора F5 BIG-IP.
  2. Перейдите к Access —> Authentication —> RADIUS.
Как настроить двухфакторную аутентификацию в F5 BIG-IP APM - шаг 1
  1. Нажмите кнопку Create… чтобы добавить новый RADIUS-сервер.
  2. Затем заполните форму, ссылаясь на таблицу и изображение представленные ниже, и нажмите Finished, чтобы сохранить настройки.
Name Выберите любое имя для вашего RADIUS-сервера, например, Protectimus_RADIUS_Server или любое другое имя по вашему желанию.
Mode Выберите Authentication
Server Connection Выберите Direct
Server Address Введите IP-адрес сервера, на котором установлен компонент Protectimus RADIUS Server.
Authentication Service Port Укажите 1812 (или тот порт, который вы указали в файле Protectimus radius.yml при настройке Protectimus RADIUS Server).
Secret Укажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Confirm Secret Подтвердите секретный ключ.
Timeout Установите значение 180 секунд.
Retries Установите значение 3.
Character Set Установите значение UTF-8.
Service Type Выберите Default.
Как настроить двухфакторную аутентификацию в F5 BIG-IP APM - шаг 2

2.4. Отредактируйте политики доступа F5 BIG-IP APM

  1. Перейдите к Access —> Profiles/Policies —> Access Profiles (Per-Session Policies).
Как настроить двухфакторную аутентификацию в F5 BIG-IP APM - шаг 3
  1. Нажмите Edit…, чтобы внести изменения в политики доступа F5 BIG-IP APM.
Как настроить двухфакторную аутентификацию в F5 BIG-IP APM - шаг 4
  1. Вы увидите редактор политик доступа. Нажмите на знак + (плюс) на стрелке справа от страницы входа.
Как настроить двухфакторную аутентификацию в F5 BIG-IP APM - шаг 5
  1. Откроется новое окно. Выберите вкладку Authentication. Затем выберите RADIUS Auth и нажмите на кнопку Add Item.
Как настроить двухфакторную аутентификацию в F5 BIG-IP APM - шаг 6
  1. В раскрывающемся списке AAA Server выберите Protectimus_RADIUS_Server — сервер, который вы создали ранее. Затем нажмите Save, чтобы сохранить изменения.
Как настроить двухфакторную аутентификацию в F5 BIG-IP APM - шаг 7
ВНИМАНИЕ! Если вы уже использовуете какой-то метод аутентификации (например, Active Directory), вы можете удалить его или сохранить
Вы можете оставить прежний метод аутентификации и использовать Protectimus после или до этого метода аутентификации

Чтобы удалить прежний метод аутентификации, нажмите X, выберите Connect previous node to Successful branch и нажмите Delete.
  1. Нажмите Close, чтобы вернуться на страницу Access Profiles. Проверьте настройки своего профиля и нажмите Apply. Значок статуса рядом с вашим профилем должен стать зеленым.

Интеграция двухфакторной аутентификации (2FA) в F5 BIG-IP APM VPN завершена.

Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.

Этот сайт зарегистрирован на wpml.org как сайт разработки. Переключитесь на рабочий сайт по ключу remove this banner.
Table of Contents