Настройка двухфакторной аутентификации для SonicWall VPN

Это руководство по настройке двухфакторной аутентификации (2FA) для SonicWall VPN посредством интеграции SonicWall с решением многофакторной аутентификации Protectimus. Решение MFA Protectimus доступно в воде облачного сервиса или локальной платформы, которая устанавливается в инфраструктуре клиента.

Система двухфакторной аутентификации Protectimus интегрируется с SonicWall SSL VPN по протоколу аутентификации RADIUS. Для этого вам необходимо установить локальный компонент Protectimus RADIUS Server и настроить SonicWall Network Security Appliance для обращения к Protectimus RADIUS Server для аутентификации пользователей.

Ниже представлена схема работы решения двухфакторной аутентификации Protectimus для SonicWall VPN 2FA.

1. Как работает двухфакторная аутентификация для SonicWall VPN

Protectimus добавляет второй фактор аутентификации к логину пользователей в SonicWall VPN. Это значит, что после настройки двухфакторной аутентификации в SonicWall VPN ваши пользователи будут вводить два разных фактора аутентификации при входе в свои учетные записи:

1. Имя пользователя и пароль (то, что пользователь знает и помнит).
2. Одноразовый пароль, сгенерированный с помощью токена двухфакторной аутентификации (то, что принадлежит пользователю).

Protectimus предлагает разные типы токенов двухфакторной аутентификации для SonicWall:

• Классические и программируемые аппаратные OTP-токены в виде брелоков и пластиковых карт;
• Приложение для двухфакторной аутентификации Protectimus SMART OTP, доступное на iOS и Android;
• Любые другие приложения для двухфакторной аутентификации, включая Google Authenticator, кторые поддерживают стандарт аутентификации TOTP;
• Доставка одноразовых паролей с помощью чат-ботов в Telegram, Messenger и Viber;
• SMS-аутентификация;
• Доставка одноразовых паролей по электронной почте.

Вы можете нестроить двухфакторную аутентификацию SonicWall VPN 2FA так, чтобы вашим пользователям был доступен только один из перечисленных способов доставки одноразовых паролей, или же можно предоставить пользователям возможность самостоятельно выбирать и подключить один из нескольких видов токенов, для удобно использовать Портал самообслуживания пользователей Protectimus.

Двухфакторная аутентификация защищает SonicWall VPN от множества угроз, связанных с кражей учетных данных пользователей, включая фишинг, социальную инженерию, брктфорс, кейлоггеры, подмену данных и т. д.

Задача взломать два разных по своей природе фактора аутентификации (то, что пользователь знает и чем владеет) и использовать их одновременно в течение 30 секунд (время, когда одноразовый пароль остается активным) почти не выполнима для любого злоумышленника. Вот почему двухфакторная аутентификация по-прежнему остается одной из лучших мер безопасности для SonicWall VPN.

2. Как нстроить двухфакторную аутентификацию (2FA) для SonicWall VPN

Интеграция двухфакторной аутентификации Protectimus с SonicWall VPN возможна по протоколу RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Настройте политики аутентификации в SonicWall VPN.

2.1. Зарегистрируйтесь и настройте основные параметры Protectimus

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, не забудьте пометить опцию Radius).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробные инструкции по установке и настройке Protectimus RADIUS Server доступны в Руководстве по установке и настройке Protectimus RADIUS Server.

2.3. Добавьте Protectimus в качестве RADIUS сервера для SonicWall VPN

Ниже вы найдете две инструкции по добавлению Protectimus в качестве RADIUS-сервера в SonicWall Network Security Appliance:

• Для SonicOS 6.2 и более ранних версий.
• Для SonicOS 6.5 и более поздних версий.

2.3.1. SonicOS 6.2 и более ранние версии

1. Войдите в интерфейс администратора SonicWall.
2. Перейдите в Users —> Settings —> Authentication method for login и выберите RADIUS. Затем нажмите Configure.

3. Задайте следующие настройки RADIUS, чтобы создать RADIUS сервер.

4. Перейдите во вкладку RADIUS Users. Выберите подходящий механизм для создания группы пользователей, для которой будет применяться двухфакторная аутентификация, нажмите Apply, чтобы сохранить настройки и протестируйте конфигурацию.

2.3.2. SonicOS 6.5 и более поздние версии

1. Войдите в интерфейс администратора SonicWall.
2. Нажмите MANAGE, перейдите к Users —> Settings —> User authentication method и выберите RADIUS. Затем нажмите на кнопку CONFIGURE RADIUS.

3. Нажмите Add а затем задайте следующие параметры RADIUS, чтобы добавить RADIUS-сервер.

4. Находясь в настройках серверов RADIUS (RADIUS Servers Settings), переключитесь на General Settings и установите время ожидания сервера RADIUS от 30 секунд или выше.

5. Перейдите во вкладку RADIUS Users. Выберите подходящий механизм для создания группы пользователей, для которой будет применяться двухфакторная аутентификация, нажмите OK, чтобы сохранить настройки и протестируйте конфигурацию.

Интеграция двухфакторной аутентификации для SonicWall VPN завершена.

Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.