Настройка двухфакторной аутентификации для pfSense OpenVPN

Настройте двухфакторную аутентификацию (2FA) для pfSense OpenVPN с помощью системы многофакторной аутентификации Protectimus.

Многофакторная аутентификация (MFA, 2FA) является важной составляющей кибербезопасности, которая защищает аккаунты пользователей, инфраструктуру и конфиденциальную информацию от несанкционированного доступа. Интегрируя 2FA в pfSense OpenVPN, уменьшается вероятность таких угроз как атаки методом перебора паролей, кейлогеры, подмена данных, фишинг, атаки типа MITM и социальная инженерия.

Protectimus обеспечивает безопасный доступ к pfSense OpenVPN, подключая многофакторную аутентификацию (MFA) через Protectimus RADIUS Server.

Ниже представлена схема, иллюстрирующая процесс работы решения Protectimus, предназначенного для внедрения двухфакторной аутентификации в pfSense OpenVPN.

1. Как работает двухфакторная аутентификация для pfSense OpenVPN

Двухфакторная аутентификация от Protectimus повышает безопасность pfSense OpenVPN, добавляя дополнительный уровень защиты, который эффективно предотвращает любые несанкционированные попытки доступа к вашему VPN.

После активации двухфакторной аутентификации (2FA) для pfSense OpenVPN пользователи будут вынуждены проходить два этапа аутентификации для доступа к своим аккаунтам.

При попытке получить доступ к своим учетным записям pfSense OpenVPN, защищенным с помощью 2FA/MFA, пользователям необходимо будет предоставить:

1. Имя пользователя и пароль (то, что известно пользователю).
2. Уникальный одноразовый пароль, сгенерированный через аппаратный OTP токен, 2FA чат-бота или мобильное приложение на смартфоне (что-то, что пренадлежит пользователю).

Чтобы взломать pfSense OpenVPN, защищенный двухфакторной аутентификацией (2FA/MFA), злоумышленник должен одновременно получить как обычный пароль, так и одноразовый пароль в течение всего 30 секунд, пока тот еще активен. Эта сложная задача подчеркивает исключительную эффективность двухфакторной аутентификации против большинства попыток взлома.

2. Как настроить двухфакторную аутентификацию для pfSense OpenVPN

Вы можете настроить двухфакторную аутентификацию (2FA) для pfSense OpenVPN с помощью Protectimus, используя протокол RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Добавьте Protectimus в качестве RADIUS сервера для pfSense OpenVPN.

2.1. Зарегистрируйтесь и настройте основные параметры Protectimus

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, не забудьте пометить опцию Radius).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробные инструкции по установке и настройке Protectimus RADIUS Server доступны в Руководстве по установке и настройке Protectimus RADIUS Server.

2.3. Добавьте Protectimus в качестве RADIUS сервера для pfSense OpenVPN MFA

Прежде всего убедитесь, что источник аутентификации настроен корректно. Для этого необходимо использовать внешний провайдер идентификации (IdP), такой как OpenLDAP, Microsoft Active Directory, FreeIPA или отдельный сервер FreeRADIUS.

Важно:
Встроенный в pfSense FreeRADIUS имеет ограниченные возможности настройки и не позволяет указать атрибут электронной почты пользователя. По этой причине встроенный FreeRADIUS не подходит для данной интеграции. Вместо него используйте отдельную установку FreeRADIUS или выберите другой провайдер идентификации из перечисленных выше.

Крайне важно, чтобы ваша система pfSense была правильно настроена. Предполагается, что вы уже добавили OpenVPN-сервер в pfSense через раздел VPN → OpenVPN. Прежде чем приступать к внедрению многофакторной аутентификации с использованием Protectimus, необходимо настроить основное решение для аутентификации пользователей OpenVPN. Если pfSense ещё не установлен и не настроен, обратитесь к официальной документации на сайте pfsense.org.

1. Откройте веб-браузер и перейдите в веб-интерфейс pfSense (WebGUI).
2. Перейдите в раздел System → Package Manager. Откройте вкладку Available Packages (Доступные пакеты).
3. Найдите пакет openvpn-client-export и нажмите Install (Установить). Подтвердите действие, нажав кнопку Confirm (Подтвердить). Через несколько секунд появится сообщение об успешной установке. Установленный пакет теперь отобразится на вкладке Installed Packages (Установленные пакеты).

4. Перейдите в раздел System → User Manager (Система → Управление пользователями).
5. Перейдите на вкладку Authentication Servers (Серверы аутентификации) и нажмите Add (Добавить).

6. Заполните форму, используя таблицу ниже для дополнительной информации о настройках. После завершения нажмите Save (Сохранить), чтобы добавить сервер аутентификации.

7. Выберите опцию Save (Сохранить).
8. Перейдите в раздел VPN → OpenVPN. Найдите ваш интерфейс в списке OpenVPN серверов. Нажмите на иконку карандаша, расположенную справа.

9. Перейдите на вкладку Servers. Убедитесь, что режим сервера (Server mode) настроен как Remote Access (User Auth) — Удаленный доступ (Аутентификация пользователей).
10. Убедитесь, что в качестве бекенда для аутентификации (Backend for authentication) настроен сервер аутентификации, созданный на шаге 6.

11. Оставшиеся настройки должны быть настроены в соответствии с вашими конкретными требованиями. Нажмите Save (Сохранить), чтобы сохранить изменения.
12. Перейдите на вкладку Client Export (Экспорт клиента). Затем перейдите в раздел Advanced → Additional configuration options (Дополнительно → Дополнительные параметры конфигурации).
13. Интегрируйте опцию reneg-sec 0 в раздел Additional configuration options (Дополнительные параметры конфигурации).
    
    Параметр reneg-sec n позволяет задать длительность (в секундах) до пересогласования ключа канала передачи данных. Установите его значение на 0, чтобы избежать повторной аутентификации, пока ваше соединение остаётся активным без перерывов.

Мы настоятельно рекомендуем настроить reneg-sec на 0. Если выбрать другое значение, существует вероятность, что пользователи будут сталкиваться с запросами на повторную аутентификацию 2FA по истечении времени, заданного этим параметром.

По умолчанию это значение составляет 3600 секунд. Следовательно, если не добавить параметр reneg-sec 0 и оставить поле Additional configuration options (Дополнительные параметры конфигурации) пустым, ваши пользователи будут вынуждены проходить повторную аутентификацию каждый час.

14. В разделе Additional configuration options (Дополнительные параметры конфигурации) добавьте параметр hand-window 120. Это обеспечит правильный тайм-аут процесса аутентификации в случаях, когда пользователь не успевает завершить двухфакторную аутентификацию в установленное время.
15. Используйте кнопку Save as default, чтобы сохранить это изменение как настройку по умолчанию.

16. Прокрутите страницу вниз до раздела OpenVPN Clients и выберите нужную кнопку для скачивания в зависимости от ваших предпочтений. Обычно выбирают установщик для Windows, но вы можете выбрать любой другой вариант.

17. Теперь у вас есть подходящий установочный файл или пакет для ваших пользователей OpenVPN. Конфигурация завершена. После установки пакета ваши пользователи будут пройти двухфакторную аутентификацию Protectimus при входе в VPN.

Интеграция двухфакторной аутентификации (2FA/MFA) для вашего pfSense OpenVPN завершена.

Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.