Настройка двухфакторной аутентификации для F5 BIG-IP APM VPN

В этом руководстве показано, как настроить двухфакторную аутентификацию (2FA/MFA) для F5 BIG-IP APM VPN с помощью решения многофакторной аутентификации Protectimus.

Система двухфакторной аутентификации Protectimus интегрируется с F5 BIG-IP APM через протокол аутентификации RADIUS. Облачный сервис двухфакторной аутентификации или Локальная MFA платформа Protectimus выступает в качестве RADIUS-сервера, а F5 BIG-IP APM берет на себя роль RADIUS-клиента.

Схема работы решения Protectimus для двухфакторной аутентификации в F5 BIG-IP APM VPN представлена ниже.

1. Как работает двухфакторная аутентификация (2FA) для F5 BIG-IP APM VPN

Решение двухфакторной аутентификации Protectimus позволяет добавить дополнительный уровень безопасности при входе в F5 BIG-IP APM.

Когда вы настроите двухфакторную аутентификацию для F5 BIG-IP APM VPN, ваши пользователи будут использовать два разных фактора аутентификации для входа в свои учетные записи.

1. Первый фактор — это логин и пароль (то, что знает пользователь);
2. Второй фактор — это одноразовый пароль, сгенерированный с помощью аппаратного OTP-токена или приложения на телефоне (с помощью того, что есть у пользователя).

Чтобы взломать доступ к F5 BIG-IP APM, защищенный двухфакторной аутентификацией, хакеру необходимо получить стандартный пароль и одноразовый пароль одновременно. При этому у него есть всего 30 секунд, чтобы взломать одноразовый пароль. Это почти невозможно, что делает двухфакторную аутентификацию настолько эффективной против брутфорса, подмены данных, клавиатурных шпионов, фишинга, атак «человек посередине», социальной инженерии и подобных хакерских атак.

2. Как настроить двухфакторную аутентификацию (2FA) для F5 BIG-IP APM VPN

Интеграция двухфакторной аутентификации Protectimus с F5 BIG-IP APM возможна по протоколу RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Добавьте Protectimus в качестве RADIUS сервера для F5 BIG-IP APM.

2.1. Зарегистрируйтесь и настройте основные параметры Protectimus

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, не забудьте пометить опцию Radius).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробные инструкции по установке и настройке Protectimus RADIUS Server доступны в Руководстве по установке и настройке Protectimus RADIUS Server.

2.3. Добавьте Protectimus в качестве RADIUS сервера для F5 BIG-IP APM

1. Войдите в панель администратора F5 BIG-IP.
2. Перейдите к Access —> Authentication —> RADIUS.

3. Нажмите кнопку Create… чтобы добавить новый RADIUS-сервер.
4. Затем заполните форму, ссылаясь на таблицу и изображение представленные ниже, и нажмите Finished, чтобы сохранить настройки.

2.4. Отредактируйте политики доступа F5 BIG-IP APM

1. Перейдите к Access —> Profiles/Policies —> Access Profiles (Per-Session Policies).

2. Нажмите Edit…, чтобы внести изменения в политики доступа F5 BIG-IP APM.

3. Вы увидите редактор политик доступа. Нажмите на знак + (плюс) на стрелке справа от страницы входа.

4. Откроется новое окно. Выберите вкладку Authentication. Затем выберите RADIUS Auth и нажмите на кнопку Add Item.

5. В раскрывающемся списке AAA Server выберите Protectimus_RADIUS_Server — сервер, который вы создали ранее. Затем нажмите Save, чтобы сохранить изменения.

ВНИМАНИЕ! Если вы уже использовуете какой-то метод аутентификации (например, Active Directory), вы можете удалить его или сохранить
Вы можете оставить прежний метод аутентификации и использовать Protectimus после или до этого метода аутентификации

Чтобы удалить прежний метод аутентификации, нажмите X, выберите Connect previous node to Successful branch и нажмите Delete.

6. Нажмите Close, чтобы вернуться на страницу Access Profiles. Проверьте настройки своего профиля и нажмите Apply. Значок статуса рядом с вашим профилем должен стать зеленым.

Интеграция двухфакторной аутентификации (2FA) в F5 BIG-IP APM VPN завершена.

Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.