Инструкции

2FA для клиентов VPN

Настройка двухфакторной аутентификации для WatchGuard Mobile VPN

Это руководство по настройке двухфакторной аутентификации (2FA/MFA) для WatchGuard Mobile VPN с помощью решения мультифакторной аутентификации Protectimus.

Система двухфакторной аутентификации Protectimus интегрируется с WatchGuard Mobile VPN по протоколу RADIUS.

Облачный сервис или локальная платформа двухфакторной аутентификации Protectimus выступает в качестве RADIUS-сервера, а WatchGuard Mobile VPN берет на себя роль RADIUS-клиента.

Схема работы решения двухфакторной аутентификации Protectimus для WatchGuard Mobile VPN представлена ниже.

Настройка двухфакторной аутентификации для WatchGuard Mobile VPN через RADIUS

1. Как работает двухфакторная аутентификация (2FA) для WatchGuard Mobile VPN

Решение двухфакторной аутентификации Protectimus для WatchGuard Mobile VPN позволяет добавить дополнительный уровень безопасности при входе в WatchGuard VPN.

Есть возможность настройки двухфакторной аутентификации для WatchGuard Mobile VPN при подключении через IPSec или через SSL.

После того как вы настроите двухфакторную аутентификацию для WatchGuard Mobile VPN, ваши пользователи будут использовать два разных фактора аутентификации для получения доступа к своим учетным записям.

  1. Первый фактор — это логин и пароль (то, что знает пользователь);
  2. Второй фактор — это одноразовый пароль, сгенерированный с помощью аппаратного OTP-токена или приложения на телефоне (с помощью того, что есть у пользователя).

Чтобы получить доступ к WatchGuard Mobile VPN, защищенный двухфакторной аутентификацией, злоумышленнику необходимо иметь и стандартный пароль и одноразовый пароль одновременно. При этом у него есть всего 30 секунд, чтобы перехватить одноразовый пароль. Это почти невозможно, что делает двухфакторную аутентификацию эффективным средством защиты от брутфорса, подмены данных, клавиатурных шпионов, фишинга, атак «человек посередине», социальной инженерии и подобных хакерских техник.

2. Как настроить двухфакторную аутентификацию (2FA) для WatchGuard Mobile VPN

Интеграция двухфакторной аутентификации Protectimus с WatchGuard Mobile VPN возможна по протоколу RADIUS:
  1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
  2. Установите и настройте компонент Protectimus RADIUS Server.
  3. Добавьте Protectimus в качестве RADIUS сервера для WatchGuard Mobile VPN
  4. Настройте политики аутентификации в WatchGuard Mobile VPN.

2.1. Зарегистрируйтесь и настройте основные параметры Protectimus

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, не забудьте пометить опцию Radius).
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробные инструкции по установке и настройке Protectimus RADIUS Server доступны в Руководстве по установке и настройке Protectimus RADIUS Server.

2.3. Добавьте Protectimus в качестве RADIUS сервера для WatchGuard Mobile VPN

  1. Войдите в учетную запись администратора WatchGuard Firebox (Fireware Web UI).
  2. Перейдите к Authentication —> Servers —> RADIUS.
Настройка двухфакторной аутентификации для WatchGuard Mobile VPN через RADIUS - шаг 1
  1. Нажмите Add.
Настройка двухфакторной аутентификации для WatchGuard Mobile VPN через RADIUS - шаг 2
  1. Заполните необходимые поля на вкладке Primary Server Settings. См. таблицу и изображение ниже.
Domain Name Придумайте имя для своего RADIUS-сервера, например, Protectimus RADIUS Server. Обратите внимание, что вы не можете изменить доменное имя после сохранения настроек.
Enable RADIUS Server Поставьте галочку напротив этого поля.
IP Address IP сервера, на котором установлен компонент Protectimus RADIUS Server.
Port Укажите 1812 (или тот порт, который вы указали в файле Protectimus radius.yml при настройке Protectimus RADIUS Server).
Shared Secret Укажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Confirm Secret Введите секретный ключ еще раз.
Timeout 60 секунд.
Retries Установите значение 3.
Dead Time Установите значение 10 минут.
Group Attribute Установите значение 11.
Настройка двухфакторной аутентификации для WatchGuard Mobile VPN через RADIUS - шаг 3
  1. Нажмите Save, чтобы сохранить настройки.

2.4. Настройте подключение к WatchGuard Mobile VPN через SSL или IPSec

  1. На левой панели выберите VPN —> Mobile VPN.
  2. Затем перейдите в раздел SSL или IPSec в зависимости от того, какой метод вам больше подходит, и следуйте приведенным ниже инструкциям.
Настройка двухфакторной аутентификации для WatchGuard Mobile VPN через RADIUS - шаг 4

2.4.1. Настройте подключение к WatchGuard Mobile VPN через SSL

ВНИМАНИЕ! Чтобы настроить двухфакторную аутентификацию для SSL Mobile VPN, вам необходимо вручную добавить всех своих пользователей в WatchGuard VPN, а затем разрешить им использовать SSL VPN.
  1. Выберите Authentication —> Users and Groups. Потом нажмите на кнопку ADD, чтобы добавить нового пользователя.
Как настроить 2FA в WatchGuard Mobile VPN с SSL — шаг 1
  1. Во вкладке Add User or Group, введите имя пользователя и выберите сервер аутентификации. См. таблицу и изображение ниже.
Type Выберите значение User
Name Введите имя пользователя.
Description Необязательно, вы можете ввести описание пользователя, если хотите.
Authentication Server Выберите созданный ранее сервер (Protectimus RADIUS Server).
Как настроить 2FA в WatchGuard Mobile VPN с SSL — шаг 2
  1. Другие параметры являются необязательными. Нажмите ОК, а затем нажмите Save в основном списке всех групп и пользователей, чтобы подтвердить создание нового пользователя.
ВНИМАНИЕ! Вам необходимо выполнить три вышеуказанных шага для каждого пользователя, которому вы хотите разрешить использовать Mobile VPN с SSL.

  1. После добавления всех пользователей нажмите VPN —> Mobile VPN. Затем перейдите в раздел SSL и нажмите CONFIGURE.
Как настроить 2FA в WatchGuard Mobile VPN с SSL — шаг 4
  1. Выберите вкладку Authentication.
  2. В поле AUTHENTICATION SERVERS выберите созданный ранее сервер (Protectimus RADIUS Server) и нажмите ADD.
  3. Затем выберите этот сервер в списке серверов аутентификации и нажмите MOVE UP, чтобы выбрать этот сервер по умолчанию.
Как настроить 2FA в WatchGuard Mobile VPN с SSL — шаг 5
  1. В разделе Users and Groups, выберите группы и пользователей, которым вы хотите разрешить использовать SSL VPN.
  2. Нажмите SAVE, чтобы сохранить настройки.

2.4.2. Настройте подключение к WatchGuard Mobile VPN через IPSec

  1. Выберите VPN —> Mobile VPN. Затем перейдите в раздел IPSec и нажмите CONFIGURE.
Как настроить WatchGuard Mobile VPN с IPSec — шаг 1
  1. В разделе Groups выберите свой профиль и нажмите EDIT.
Как настроить WatchGuard Mobile VPN с IPSec — шаг 2
  1. Выберите вкладку General.
  2. В раскрывающемся списке Authentication Server укажите сервер, который вы создали ранее (Protectimus RADIUS Server). У него будет доменное имя, которое вы указали при настройке Protectimus в качестве RADIUS-сервера.
Как настроить WatchGuard Mobile VPN с IPSec — шаг 3
  1. Нажмите SAVE, чтобы сохранить настройки.

Интеграция двухфакторной аутентификации в WatchGuard Mobile VPN завершена.

Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.

Этот сайт зарегистрирован на wpml.org как сайт разработки. Переключитесь на рабочий сайт по ключу remove this banner.
Table of Contents