Настройка двухфакторной аутентификации (2FA) для Pulse Connect Secure SSL VPN

В этом руководстве показано, как настроить двухфакторную аутентификацию (2FA/MFA) для Pulse Connect Secure SSL VPN с помощью решения многофакторной аутентификации Protectimus.

Система двухфакторной аутентификации Protectimus интегрируется с Pulse Connect Secure SSL VPN через протокол аутентификации RADIUS.

В этом сценарии Облачный сервис двухфакторной аутентификации или Локальная платформа Protectimus выступает в качестве RADIUS-сервера, а Pulse Connect Secure SSL VPN берет на себя роль RADIUS-клиента.

Схема работы решения Protectimus для двухфакторной аутентификации в Pulse Connect Secure SSL VPN представлена ниже.

1. Как работает двухфакторная аутентификация (2FA) для Pulse Connect Secure SSL VPN

Двухфакторная аутентификация (2FA/MFA) защищает учетные записи пользователей Pulse Connect Secure SSL VPN от фишинга, брутфорса, кейлоггеров, атак «человек посередине», подмены данных, социальной инженерии и других подобных хакерских приемов.

После того как вы подключите двухфакторную аутентификацию, чтобы войти в свои учетные записи, пользователи Pulse Secure VPN будут использовать два разных фактора аутентификации.

1. Первый фактор — это логин и пароль (то, что знает пользователь);
2. Второй фактор — это одноразовый пароль, сгенерированный с помощью аппаратного OTP-токена или приложения 2FA (того, что есть у пользователя).

Чтобы взломать учетную запись Pulse Connect Secure SSL VPN, защищенную двухфакторной аутентификацией, хакеру нужны оба фактора одновременно. Более того, у хакера есть всего 30 секунд, чтобы взломать и использовать одноразовый пароль на основе времени. Выполнить эти условия практически невозможно, что и делает двухфакторную аутентификацию такой эффективной.

2. Как настроить двухфакторную аутентификацию (2FA) для Pulse Connect Secure SSL VPN

Интеграция двухфакторной аутентификации Protectimus с Pulse Connect Secure SSL VPN возможна по протоколу RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Настройте политики аутентификации в Pulse Connect Secure SSL VPN.

2.1. Зарегистрируйтесь и настройте основные параметры Protectimus

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, не забудьте пометить опцию Radius).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробные инструкции по установке и настройке Protectimus RADIUS Server доступны в Руководстве по установке и настройке Protectimus RADIUS Server.

2.3. Добавьте Protectimus в качестве RADIUS сервера для Pulse Connect Secure SSL VPN

1. Откройте панель администрирования Pulse Secure.
2. Перейдите к Authentication —> Auth. Servers .

3. Выберите RADIUS Server в выпадающем списке и кликните на New Server….

4. Заполните необходимые поля на вкладке Settings. См. таблицу и изображение ниже.

5. Оставьте значения по умолчанию для всех остальных полей и нажмите Save Changes.
6. Перейдите к Users —> User Realms —> New User Realm….

7. Придумайте название для новой области аутентификации (realm), например, e.g. Protectimus Server.
8. Выберите ранее созданный сервер аутентификации (Protectimus Server) в раскрывающемся списке Authentication.
9. Нажмите Save Changes.

10. Перейдите к Authentication Policy —> Password.
11. Выберите Allow all users (passwords of any length) и нажмите Save Changes.

12. Перейдите во вкладку Role Mapping и нажмите New Rule….

13. Придумайте название для нового правила, например, Protectimus Rule.
14. Для Rule:If username… установите значение is *.
15. Выберите Users в списке Available Roles и нажмите Add —>.
16. Нажмите Save Changes.

17. Перейдите к Authentication —> Signing In —> Sign-in Policies.

18. Кликните на URL-адрес */ в таблице User URLs.
19. Выберите User picks from a list of authentication realms и выберите область аутентификации Protectimus Server, которую вы создали ранее. Для этого выберите Protectimus Server в списке Available realms и нажмите Add —>.
20. Нажмите Save Changes.

Интеграция двухфакторной аутентификации в Pulse Connect Secure SSL VPN завершена.

Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.