Программируемый TOTP-токен в формате карты, совместимый с любой системой аутентификации
Классический аппаратный TOTP токен с поддержкой SHA-1
Программируемый TOTP-токен в формате брелока, совместимый с любой системой аутентификации
Классический аппаратный TOTP токен с поддержкой алгоритма SHA-256
Программируемый TOTP-токен в формате карты, совместимый с любой системой аутентификации
Классический аппаратный TOTP токен с поддержкой SHA-1
Программируемый TOTP-токен в формате брелока, совместимый с любой системой аутентификации
Классический аппаратный TOTP токен с поддержкой алгоритма SHA-256
Бесплатное 2FA-приложение с облачным бэкапом, удобным переносом токенов на новый телефон, PIN-кодом и биометрической защитой
Бесплатная доставка OTP с помощью чат-ботов в мессенджерах
Доставка одноразовых паролей через SMS
Бесплатная доставка OTP на email
Бесплатная доставка одноразовых паролей через push-уведомления
Бесплатное 2FA-приложение с облачным бэкапом, удобным переносом токенов на новый телефон, PIN-кодом и биометрической защитой
Бесплатная доставка OTP с помощью чат-ботов в мессенджерах
Доставка одноразовых паролей через SMS
Бесплатная доставка OTP на email
Бесплатная доставка одноразовых паролей через push-уведомления
Инструкции
В этом руководстве показано, как настроить двухфакторную аутентификацию (2FA/MFA) для Palo Alto Networks VPN с помощью Облачного решения двухфакторной аутентификации Protectimus или Локальной 2FA платформы Protectimus.
Protectimus интегрируется с Palo Alto GlobalProtect VPN через протокол аутентификации RADIUS.
В этом сценарии решение двухфакторной аутентификации Protectimus для Palo Alto GlobalProtect VPN выступает в роли RADIUS-сервера, а Palo Alto Networks VPN берет на себя роль RADIUS-клиента. Схему работы решения Protectimus для двухфакторной аутентификации в Palo Alto Networks VPN вы увидите ниже.
Двухфакторная аутентификация (2FA), также известная как многофакторная аутентификация (MFA), является важной мерой безопасности для Palo Alto GlobalProtect VPN. 2FA защитит аккаунты пользователей, которые подключаются к корпоративным ресурсам через Palo Alto GlobalProtect VPN, от таких угроз, как фишинг, брутфорс, подмена данных, социальная инженерия, кейлоггеры, атаки типа «человек посередине» и тому подобных угроз.
Вот как работает двухфакторная аутентификация для Palo Alto GlobalProtect VPN:
Таким образом, чтобы получить доступ к учетной записи Palo Alto GlobalProtect VPN, защищенной двухфакторной аутентификацией, мошенник должен получить доступ к двум факторам аутентификации, различающимся по своей природе. Это довольно сложная задача. Более того, одноразовый пароль на основе времени остается активным только в течение 30 секунд, что делает взлом более сложным и практически невозможным.
Интеграция двухфакторной аутентификации Protectimus с Palo Alto Networks VPN возможна по протоколу RADIUS:
- Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
- Установите и настройте компонент Protectimus RADIUS Server.
- Настройте политики аутентификации в Palo Alto Networks VPN.
Подробные инструкции по установке и настройке Protectimus RADIUS Server доступны в Руководстве по установке и настройке Protectimus RADIUS Server.
ВНИМАНИЕ! Пользователям PAN-OS 7.x нужно установить протокол в CLI с помощью этой команды:
set authentication radius-auth-type pap
Server | Укажите любое имя для своего RADIUS-сервера — Protectimus RADIUS или любое другое имя по вашему желанию. |
RADIUS Server | IP сервера, на котором установлен компонент Protectimus RADIUS Server. |
Secret | Укажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret). |
Port | Укажите 1812 (или тот порт, который вы указали в файле Protectimus radius.yml при настройке Protectimus RADIUS Server). |
Name | Введите PROTECTIMUS или выберите любое другое имя. |
Type | Выберите RADIUS из выпадающего списка. |
Server Profile | Выберите Protectimus RADIUS из раскрывающегося списка (или другое имя, которое вы указали при создании профиля сервера RADIUS на шаге 2.3). |
Вы можете настроить несколько конфигураций проверки подлинности клиентов (client authentication configurations) для портала и шлюзов Palo Alto GlobalProtect. Для каждой конфигурации проверки подлинности клиента можно указать профиль аутентификации (Authentication Profile), который будет применяться к конечным точкам конкретной ОС.
В этом пункте мы описали, как привязать ваш профиль аутентификации (Authentication Profile) к нужному порталу или шлюзу Palo Alto GlobalProtect VPN. Дополнительные сведения о настройке порталов (Portals) и шлюзов (Gateways) см. в документации PaloAlto Networks GlobalProtect Portals и GlobalProtect Gateways.
Name | Введите любое имя. |
OS | Any |
Authentication Profile | Выберите профиль аутентификации (Authentication Profile), который вы создали ранее на Шаге 2.4. |
Интеграция двухфакторной аутентификации в Palo Alto Networks VPN завершена.
Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.
Protectimus Ltd
Carrick house, 49 Fitzwilliam Square,
Dublin D02 N578, Ireland
Ирландия: +353 19 014 565
США: +1 786 796 66 64
Protectimus Ltd
Carrick house, 49 Fitzwilliam Square,
Dublin D02 N578, Ireland
Ирландия: +353 19 014 565
США: +1 786 796 66 64