Настройка двухфакторной аутентификации для WatchGuard Mobile VPN

Это руководство по настройке двухфакторной аутентификации (2FA/MFA) для WatchGuard Mobile VPN с помощью решения мультифакторной аутентификации Protectimus.

Система двухфакторной аутентификации Protectimus интегрируется с WatchGuard Mobile VPN по протоколу RADIUS.

Облачный сервис или локальная платформа двухфакторной аутентификации Protectimus выступает в качестве RADIUS-сервера, а WatchGuard Mobile VPN берет на себя роль RADIUS-клиента.

Схема работы решения двухфакторной аутентификации Protectimus для WatchGuard Mobile VPN представлена ниже.

1. Как работает двухфакторная аутентификация (2FA) для WatchGuard Mobile VPN

Решение двухфакторной аутентификации Protectimus для WatchGuard Mobile VPN позволяет добавить дополнительный уровень безопасности при входе в WatchGuard VPN.

Есть возможность настройки двухфакторной аутентификации для WatchGuard Mobile VPN при подключении через IPSec или через SSL.

После того как вы настроите двухфакторную аутентификацию для WatchGuard Mobile VPN, ваши пользователи будут использовать два разных фактора аутентификации для получения доступа к своим учетным записям.

1. Первый фактор — это логин и пароль (то, что знает пользователь);
2. Второй фактор — это одноразовый пароль, сгенерированный с помощью аппаратного OTP-токена или приложения на телефоне (с помощью того, что есть у пользователя).

Чтобы получить доступ к WatchGuard Mobile VPN, защищенный двухфакторной аутентификацией, злоумышленнику необходимо иметь и стандартный пароль и одноразовый пароль одновременно. При этом у него есть всего 30 секунд, чтобы перехватить одноразовый пароль. Это почти невозможно, что делает двухфакторную аутентификацию эффективным средством защиты от брутфорса, подмены данных, клавиатурных шпионов, фишинга, атак «человек посередине», социальной инженерии и подобных хакерских техник.

2. Как настроить двухфакторную аутентификацию (2FA) для WatchGuard Mobile VPN

Интеграция двухфакторной аутентификации Protectimus с WatchGuard Mobile VPN возможна по протоколу RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Добавьте Protectimus в качестве RADIUS сервера для WatchGuard Mobile VPN
4. Настройте политики аутентификации в WatchGuard Mobile VPN.

2.1. Зарегистрируйтесь и настройте основные параметры Protectimus

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, не забудьте пометить опцию Radius).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробные инструкции по установке и настройке Protectimus RADIUS Server доступны в Руководстве по установке и настройке Protectimus RADIUS Server.

2.3. Добавьте Protectimus в качестве RADIUS сервера для WatchGuard Mobile VPN

1. Войдите в учетную запись администратора WatchGuard Firebox (Fireware Web UI).
2. Перейдите к Authentication —> Servers —> RADIUS.

3. Нажмите Add.

4. Заполните необходимые поля на вкладке Primary Server Settings. См. таблицу и изображение ниже.

5. Нажмите Save, чтобы сохранить настройки.

2.4. Настройте подключение к WatchGuard Mobile VPN через SSL или IPSec

1. На левой панели выберите VPN —> Mobile VPN.
2. Затем перейдите в раздел SSL или IPSec в зависимости от того, какой метод вам больше подходит, и следуйте приведенным ниже инструкциям.

2.4.1. Настройте подключение к WatchGuard Mobile VPN через SSL

ВНИМАНИЕ! Чтобы настроить двухфакторную аутентификацию для SSL Mobile VPN, вам необходимо вручную добавить всех своих пользователей в WatchGuard VPN, а затем разрешить им использовать SSL VPN.

1. Выберите Authentication —> Users and Groups. Потом нажмите на кнопку ADD, чтобы добавить нового пользователя.

2. Во вкладке Add User or Group, введите имя пользователя и выберите сервер аутентификации. См. таблицу и изображение ниже.

3. Другие параметры являются необязательными. Нажмите ОК, а затем нажмите Save в основном списке всех групп и пользователей, чтобы подтвердить создание нового пользователя.

ВНИМАНИЕ! Вам необходимо выполнить три вышеуказанных шага для каждого пользователя, которому вы хотите разрешить использовать Mobile VPN с SSL.

4. После добавления всех пользователей нажмите VPN —> Mobile VPN. Затем перейдите в раздел SSL и нажмите CONFIGURE.

5. Выберите вкладку Authentication.
6. В поле AUTHENTICATION SERVERS выберите созданный ранее сервер (Protectimus RADIUS Server) и нажмите ADD.
7. Затем выберите этот сервер в списке серверов аутентификации и нажмите MOVE UP, чтобы выбрать этот сервер по умолчанию.

8. В разделе Users and Groups, выберите группы и пользователей, которым вы хотите разрешить использовать SSL VPN.
9. Нажмите SAVE, чтобы сохранить настройки.

2.4.2. Настройте подключение к WatchGuard Mobile VPN через IPSec

1. Выберите VPN —> Mobile VPN. Затем перейдите в раздел IPSec и нажмите CONFIGURE.

2. В разделе Groups выберите свой профиль и нажмите EDIT.

3. Выберите вкладку General.
4. В раскрывающемся списке Authentication Server укажите сервер, который вы создали ранее (Protectimus RADIUS Server). У него будет доменное имя, которое вы указали при настройке Protectimus в качестве RADIUS-сервера.

5. Нажмите SAVE, чтобы сохранить настройки.

Интеграция двухфакторной аутентификации в WatchGuard Mobile VPN завершена.

Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.