Настройка двухфакторной аутентификации (2FA) для MikroTik VPN

Это руководство по настройке двухфакторной аутентификации (2FA) для MikroTik VPN посредством интеграции MikroTik VPN с решением многофакторной аутентификации Protectimus. Решение MFA Protectimus доступно в воде облачного сервиса или локальной платформы, которая устанавливается в инфраструктуре клиента.

Система двухфакторной аутентификации Protectimus интегрируется с MikroTik VPN по протоколу аутентификации RADIUS. Для этого вам необходимо установить локальный компонент Protectimus RADIUS Server и настроить MikroTik VPN для обращения к Protectimus RADIUS Server для аутентификации пользователей.

Ниже представлена схема работы решения двухфакторной аутентификации Protectimus для MikroTik VPN 2FA.

1. Как работает двухфакторная аутентификация для MikroTik VPN

Protectimus добавляет второй фактор аутентификации к логину пользователей в MikroTik VPN. Это значит, что после настройки двухфакторной аутентификации в MikroTik VPN ваши пользователи будут вводить два разных фактора аутентификации при входе в свои учетные записи:

1. Имя пользователя и пароль (то, что пользователь знает).
2. Одноразовый пароль, сгенерированный с помощью токена двухфакторной аутентификации (то, что принадлежит пользователю).

Protectimus предлагает разные типы токенов двухфакторной аутентификации для MikroTik VPN:

• Классические и программируемые аппаратные OTP-токены в виде брелоков и пластиковых карт;
• Приложение для двухфакторной аутентификации Protectimus SMART OTP, доступное на iOS и Android;
• Любые другие приложения для двухфакторной аутентификации, включая Google Authenticator, кторые поддерживают стандарт аутентификации TOTP;
• Доставка одноразовых паролей с помощью чат-ботов в Telegram, Messenger и Viber;
• SMS-аутентификация;
• Доставка одноразовых паролей по электронной почте.

Задача взломать два разных по своей природе фактора аутентификации (то, что пользователь знает и чем владеет) и использовать их одновременно в течение 30 секунд (время, когда одноразовый пароль остается активным) почти не выполнима для любого злоумышленника. Вот почему двухфакторная аутентификация по-прежнему остается одной из лучших мер безопасности для MikroTik VPN.

2. Как настроить двухфакторную аутентификацию (2FA) для MikroTik VPN

Интеграция двухфакторной аутентификации Protectimus с MikroTik VPN возможна по протоколу RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Настройте клиент MikroTik VPN.
4. Настройте Windows VPN.

2.1. Зарегистрируйтесь и настройте основные параметры Protectimus

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, не забудьте пометить опцию Radius).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробные инструкции по установке и настройке Protectimus RADIUS Server доступны в Руководстве по установке и настройке Protectimus RADIUS Server.

2.3. Настройте клиент MikroTik VPN

1. Откройте Webfig.
2. Перейдите к меню слева и выберите вкладку RADIUS.
3. Нажмите Add New чтобы добавить Protectimus RADIUS Server как RADIUS радиус.
4. Выберите ppp и ipsec в разделе Service.
5. Выберите login в разделе Service.
6. Укажите IP сервера, на котором установлен компонент Protectimus RADIUS Server.
7. Выберите udp в разделе Protocol.
8. Укажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
9. Измените Timeout по умолчанию на 30000 ms или выше.
10. Нажмите OK и сохраните настройки.

11. Перейдите в меню слева и выберите вкладку PPP.
12. Выберите вкладку Interface и нажмите на PPTP Server, SSTP Server, L2TP Server, или OVPN Server в зависимости от того, какой вы используете.
13. Выберите pap и снимите все остальные флажки в разделе Authentication. Нажмите OK.
14. Выберите вкладку Secrets и нажмите кнопку PPP Authentication & Accounting.

15. Отметьте Use Radius и нажмите OK чтобы завершить настройку и подключить двухфакторную аутентификацию Protectimus к MikroTik VPN.

2.4. Настройте Windows VPN

1. В операционной системе Windows перейдите к Settings —> Network & Internet —> VPN и выберите Add a VPN connection.
2. Заполните форму в соответствии с изображением и таблицей и нажмите Save.

3. Перейдите в Control Panel → Network and Sharing Center и выберите Change adapter.
4. Щелкните правой кнопкой мыши только что созданное соединение MikroTik и выберите Properties.
5. Выберите вкладку Security.
6. Выберите Allow these protocols и потом Unencrypted password (PAP).
7. Нажмите OK чтобы сохранить настройки.

Интеграция двухфакторной аутентификации для MikroTik VPN 2FA завершена.

Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.