Налаштування двофакторної автентифікації для Juniper VPN

Ця інструкція з налаштування багатофакторної автентифікації в Juniper VPN показує, як підключити двофакторну автентифікацію (2FA / MFA) для Juniper Secure Access SSL VPN за допомогою хмарного сервісу або локальної платформи 2FA Protectimus

Protectimus інтегрується з Juniper Secure Access SSL VPN через протокол RADIUS, щоб забезпечити двофакторну автентифікацію (2FA) при вході в VPN.

У цьому випадку рішення двофакторної автентифікації Protectimus для Juniper VPN виконує роль RADIUS-сервера, а Juniper Secure Access SSL VPN — роль RADIUS-клієнта. Нижче ви знайдете схему роботи рішення Protectimus для двофакторної автентифікації в Juniper VPN.

1. Як працює двофакторна автентифікація (2FA) для Juniper VPN

Двофакторна автентифікація (2FA), або багатофакторна автентифікація (MFA), є обов’язковим елементом безпеки для Juniper Secure Access SSL VPN. 2FA захищає входи в Juniper VPN від таких загроз, як фішинг, брутфорс, підміна даних, соціальна інженерія, кейлогери, атаки типу “людина посередині” тощо.

Ось як працює двофакторна автентифікація для Juniper Secure Access SSL VPN:

1. Коли користувач ініціює вхід до Juniper VPN, захищеного двофакторною автентифікацією, спочатку він вводить перший фактор автентифікації — стандартний пароль і логін (щось, що він знає).


2. Потім користувач повинен ввести другий фактор автентифікації — одноразовий пароль з токена двофакторної автентифікації (це може бути смартфон або фізичний OTP токен, схожий на брелок, тобто щось, що є власністю користувача).

Таким чином, щоб отримати доступ до облікового запису Juniper Secure Access SSL VPN, захищеного двофакторною автентифікацією, зловмисник повинен отримати доступ до двох факторів автентифікації, які відрізняються за своєю природою. Це досить складне завдання. Крім того, одноразовий пароль, що генерується на основі часу, залишається активним лише протягом 30 секунд, що робить хакерство набагато складнішим і майже неможливим.

2. Як налаштувати двофакторну автентифікацію (2FA) для Juniper VPN

Ви можете налаштувати двофакторну автентифікацію (2FA) для Juniper VPN за допомогою протоколу RADIUS і рішення багатофакторної автентифікації Protectimus:

1. Зареєструйтесь у SAAS сервісі Protectimus або встановіть локальну платформу Protectimus та налаштуйте основні параметри.
2. Встановіть та налаштуйте Protectimus RADIUS Server.
3. Налаштуйте політики автентифікації для Juniper Secure Access SSL VPN.

2.1. Зареєструйтеся та налаштуйте основні параметри Protectimus

1. Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus (якщо ви встановлюєте платформу Protectimus на Windows, не забудьте позначити опцію Radius).
2. Додайте ресурс.
3. Додайте користувачів.
4. Додайте Токени або активуйте Портал самообслуговування користувачів.
5. Призначте токени користувачам.
6. Призначте токени з користувачами на ресурс.

2.2. Встановіть та налаштуйте Protectimus RADIUS Server

Докладні інструкції щодо встановлення та налаштування Protectimus RADIUS Server доступні в нашому Посібнику з налаштування Protectimus RADIUS Server для Juniper VPN 2FA.

2.3. Налаштуйте профіль RADIUS-сервера в Juniper VPN

1. Увійдіть в адміністративну панель Juniper.
2. У лівому меню перейдіть до Authentication –> Auth Servers.
3. Виберіть Radius Server з випадаючого меню, а потім натисніть New Server.
4. У полі Name введіть Protectimus RADIUS.
5. У розділі Primary Server введіть наступну інформацію:

Radius Server	IP-адреса сервера, на якому встановлений компонент Protectimus RADIUS Server.
Secret	Вкажіть секретний ключ, який ви створили у файлі radius.yml (властивість radius.secret) під час налаштування Protectimus RADIUS Server.
Authentication Port	Вкажіть порт 1812 (або інший порт, який ви задали у файлі radius.yml під час налаштування Protectimus RADIUS Server).
Timeout	Встановіть значення на 60 секунд.

6. Натисніть Save Changes, щоб зберегти профіль RADIUS-сервера.

2.4. Задайте спеціальні правила RADIUS для Juniper VPN

2.4.1. Створіть правило для пакету Access Challenge

1. Прокрутіть вниз до розділу Custom Radius Rules.
2. Натисніть на New Radius Rule.
3. У полі Name введіть Protectimus Radius Rule 1.
4. Для Response Packet Type, виберіть Access Challenge.
5. У розділі Then take action виберіть сторінку Show Generic Login.

6. Натисніть на Save Changes.

2.4.1. Створіть інше правило для пакета Access Reject

1. Натисніть на New Radius Rule.
2. У полі Name введіть Protectimus Radius Rule 2.
3. Для Response Packet Type виберіть Access Reject.
4. У розділі Then take action виберіть сторінку Show Generic Login.
5. Натисніть на Save Changes.

2.5. Налаштуйте User Realm

Щоб налаштувати користувацьку область (User Realm) для Protectimus RADIUS Server, ви можете виконати один або кілька з наведених нижче кроків:

• Створіть нову область (realm) для тестування.
• Створіть область (realm) для поступової міграції користувачів до нової системи (наприклад, шляхом дублювання існуючої області).
• Використайте область за замовчуванням (default Users realm).

Щоб додати 2FA до області користувачів:

1. У лівому меню перейдіть до Users –> User Realms та натисніть на посилання для тієї області користувачів, до якої ви хочете додати багатофакторну автентифікацію.
2. У полі Authentication виберіть Protectimus RADIUS та натисніть Save Changes.

3. Додайте новостворену область Protectimus RADIUS до області автентифікації.

• Натисніть Authentication –> Signing In –> the relevant User URL.
• Перемістіть новостворену область з зони Available realms в зону Selected realms.
• Натисніть на Save Changes.

Інтеграція двофакторної автентифікації (2FA/MFA) для вашого Juniper Secure Access SSL VPN завершена.

Якщо у вас є запитання, зверніться до служби підтримки клієнтів Protectimus.