Настройка двухфакторной аутентификации (2FA) для Palo Alto GlobalProtect VPN

В этом руководстве показано, как настроить двухфакторную аутентификацию (2FA/MFA) для Palo Alto Networks VPN с помощью Облачного решения двухфакторной аутентификации Protectimus или Локальной 2FA платформы Protectimus.

Protectimus интегрируется с Palo Alto GlobalProtect VPN через протокол аутентификации RADIUS.

В этом сценарии решение двухфакторной аутентификации Protectimus для Palo Alto GlobalProtect VPN выступает в роли RADIUS-сервера, а Palo Alto Networks VPN берет на себя роль RADIUS-клиента. Схему работы решения Protectimus для двухфакторной аутентификации в Palo Alto Networks VPN вы увидите ниже.

1. Как работает двухфакторная аутентификация (2FA) для Palo Alto Networks VPN

Двухфакторная аутентификация (2FA), также известная как многофакторная аутентификация (MFA), является важной мерой безопасности для Palo Alto GlobalProtect VPN. 2FA защитит аккаунты пользователей, которые подключаются к корпоративным ресурсам через Palo Alto GlobalProtect VPN, от таких угроз, как фишинг, брутфорс, подмена данных, социальная инженерия, кейлоггеры, атаки типа «человек посередине» и тому подобных угроз.

Вот как работает двухфакторная аутентификация для Palo Alto GlobalProtect VPN:

1. Когда пользователь инициирует вход в Palo Alto GlobalProtect VPN, защищенный двухфакторной аутентификацией, в первую очередь он вводит первый фактор аутентификации — свой стандартный пароль и логин (то, что он знает).


2. Затем пользователю будет предложено ввести второй фактор аутентификации — одноразовый пароль, для генерации которого потребуется OTP токен (то, что есть у пользователя — обычно это смартфон или физический OTP-токен в виде брелка).

Таким образом, чтобы получить доступ к учетной записи Palo Alto GlobalProtect VPN, защищенной двухфакторной аутентификацией, мошенник должен получить доступ к двум факторам аутентификации, различающимся по своей природе. Это довольно сложная задача. Более того, одноразовый пароль на основе времени остается активным только в течение 30 секунд, что делает взлом более сложным и практически невозможным.

2. Как настроить двухфакторную аутентификацию (2FA) в Palo Alto Networks VPN

Интеграция двухфакторной аутентификации Protectimus с Palo Alto Networks VPN возможна по протоколу RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Настройте политики аутентификации в Palo Alto Networks VPN.

2.1. Зарегистрируйтесь и настройте основные параметры Protectimus

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, не забудьте пометить опцию Radius).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробные инструкции по установке и настройке Protectimus RADIUS Server доступны в Руководстве по установке и настройке Protectimus RADIUS Server.

2.3. Добавьте Protectimus в качестве RADIUS сервера для Palo Alto Networks VPN

1. Войдите в интерфейс администратора Palo Alto Networks.
2. На вкладке Device, перейдите в Server Profiles, а потом нажмите RADIUS.
3. Нажмите кнопку Add, чтобы добавить новый профиль RADIUS сервера. Вы увидите следующее окно:

4. В поле Profile Name укажите имя вашего RADIUS сервера, например, Protectimus RADIUS, или придумайте любое другое название.
5. В поле Timeout укажите хотя бы 30 секунд.
6. В поле Authentication Protocol укажите PAP.

ВНИМАНИЕ! Пользователям PAN-OS 7.x нужно установить протокол в CLI с помощью этой команды:

set authentication radius-auth-type pap

7. Нажмите на кнопку Servers —> Add, чтобы добавить RADIUS сервер. Затем введите следующие данные:

8. Нажмите OK и сохраните новый профиль RADIUS сервера.

2.4. Создайте Authentication Profile в Palo Alto Networks

1. Перейдите во вкладку Device и выберите Authentication Profile.
2. Нажмите Add, чтобы создать новый профиль аутентификации (Authentication Profile), вы увидите следующее окно:

3. Введите следующие данные:

4. Оставьте остальные параметры как они указаны по умолчанию.
5. Затем перейдите во вкладку Advanced и выберите группу all, или же выберите конкретную группу, к которой будет применяться этот профиль аутентификации.
6. Нажмите OK и сохраните профиль аутентификации (Authentication profile), который вы создали.

2.5. Привяжите Authentication Profile к порталу или шлюзу Palo Alto GlobalProtect

Вы можете настроить несколько конфигураций проверки подлинности клиентов (client authentication configurations) для портала и шлюзов Palo Alto GlobalProtect. Для каждой конфигурации проверки подлинности клиента можно указать профиль аутентификации (Authentication Profile), который будет применяться к конечным точкам конкретной ОС.

В этом пункте мы описали, как привязать ваш профиль аутентификации (Authentication Profile) к нужному порталу или шлюзу Palo Alto GlobalProtect VPN. Дополнительные сведения о настройке порталов (Portals) и шлюзов (Gateways) см. в документации PaloAlto Networks GlobalProtect Portals и GlobalProtect Gateways.

1. Перейдите в Network —> GlobalProtect —> Gateways или Portals.
2. Нажмите на название настроенного вами шлюза или портала GlobalProtect, чтобы открыть окно свойств.
3. В открывшемся окне выберите вкладку Authentication.

4. Выберите SSL/TLS Service Profile или создайте новый (для этого нажмите Add).
5. Нажмите на название текущей записи в разделе Client Authentication, чтобы изменить ее, или создайте новую, нажав кнопку Add.
6. В открывшемся окне укажите следующую информацию.

7. Нажмите ОК, чтобы сохранить настройки.

Интеграция двухфакторной аутентификации в Palo Alto Networks VPN завершена.

Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.