Налаштування двофакторної автентифікації для FortiGate VPN

Ця інструкція показує, як налаштувати двофакторну автентифікацію (2FA) для Fortinet FortiGate VPN за допомогою протоколу автентифікації RADIUS з використанням системи багатофакторної автентифікації Protectimus.

Двофакторна автентифікація — це необхідний захід для забезпечення кібербезпеки, особливо коли мова йде про захист VPN-з’єднань. Налаштуйте 2FA для Forticlient VPN, щоб захистити облікові записи користувачів та важливі корпоративні дані від несанкціонованого доступу. 2FA для Fortinet FortiGate VPN ефективно бореться з такими загрозами, як брутфорс, підробка даних, фішинг, кейлогери, атаки “людина посередині” та інші.

1. Як працює двофакторна автентифікація (2FA) для Fortinet FortiGate VPN

Коли ви налаштовуєте 2FA для FortiGate VPN, користувачі повинні підтвердити вхід двома різними способами, щоб отримати доступ до своїх облікових записів.

1. Перший фактор автентифікації — це стандартний логін і пароль (те, що знає користувач).
2. Другий фактор автентифікації — це одноразовий код, згенерований за допомогою OTP-токена або смартфона (того, що належить користувачу).

Коли ввімкнено 2FA для Fortinet FortiGate VPN, отримати несанкціонований доступ до облікового запису стає майже неможливо, адже зламати обидва фактори автентифікації одночасно вкрай складно. А ще більше ускладнює задачу те, що одноразовий код дійсний лише 30 секунд.

Нижче ви знайдете детальну інструкцію з налаштування 2FA для Fortinet FortiGate VPN через RADIUS за допомогою хмарного сервісу двофакторної автентифікації Protectimus Cloud або локальної платформи Protectimus On-Premise.

2. Як налаштувати 2FA для Fortinet FortiGate VPN

Ви можете налаштувати двофакторну автентифікацію (2FA) для FortiGate VPN за допомогою Protectimus через протокол RADIUS:

1. Зареєструйтесь у SAAS сервісі Protectimus або встановіть локальну платформу Protectimus та налаштуйте основні параметри.
2. Встановіть та налаштуйте Protectimus RADIUS Server.
3. Налаштуйте політики автентифікації для FortiGate VPN.

2.1. Зареєструйтеся та налаштуйте основні параметри Protectimus

1. Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus (якщо ви встановлюєте платформу Protectimus на Windows, не забудьте позначити опцію Radius).
2. Додайте ресурс.
3. Додайте користувачів.
4. Додайте Токени або активуйте Портал самообслуговування користувачів.
5. Призначте токени користувачам.
6. Призначте токени з користувачами на ресурс.

2.2. Встановіть та налаштуйте Protectimus RADIUS Server

Докладні інструкції щодо встановлення та налаштування Protectimus RADIUS Server доступні в нашому Посібнику з налаштування Protectimus RADIUS Server для FortiGate VPN 2FA.

2.3. Додайте Protectimus як RADIUS-сервер на Fortinet FortiGate

1. Увійдіть у свій обліковий запис Fortinet FortiGate та перейдіть до консолі адміністратора.
2. Перейдіть до розділу User & Device –> RADIUS Servers, а потім виберіть Create New, щоб почати додавати новий RADIUS-сервер.

3. Ви побачите меню, яке дозволяє додати новий RADIUS-сервер.

4. Налаштуйте наступні параметри RADIUS, щоб додати RADIUS-сервер.

5. Натисніть Test Connectivity, щоб переконатися, що вказана IP-адреса RADIUS-сервера та секретний ключ працюють, і що з’єднання між FortiGate VPN та RADIUS-сервером встановлено.

6. Якщо все виглядає добре, натисніть OK, щоб зберегти налаштування.

2.4. Створіть групу користувачів

1. Перейдіть до User & Device –> User Groups.
2. Щоб додати нову групу, натисніть Create New.

3. Виберіть Firewall в секції Type. Потім знайдіть розділ Remote Groups, натисніть Add та виберіть Protectimus RADIUS Server як віддалений сервер.

4. Збережіть налаштування, натиснувши OK.

2.5. Зв’яжіть групу користувачів з FortiGate VPN

УВАГА! Використовуйте майстра IPsec (IPsec Wizard) для створення нового тунелю IPSec (IPSec Tunnel), якщо він ще не налаштований.

1. Перейдіть до VPN –> IPSec Tunnels і виберіть налаштований вами тунель IPSec.

2. Якщо цей IPSec тунель ще не є кастомним, натисніть Convert To Custom Tunnel.

3. Перейдіть до розділу XAuth і натисніть Edit.
4. Виберіть PAP Server у випадаючому меню Type.

5. У випадаючому меню User Group виберіть групу користувачів, яку ви створили на кроці 2.4.
6. Натисніть OK, щоб зберегти налаштування.

2.6. Синхронізуйте час очікування Fortinet FortiGate з Protectimus RADIUS Server

1. За замовчуванням час очікування (timeout) для FortiGate VPN становить 5 секунд, що є недостатнім при налаштуванні 2FA для FortiGate VPN. Необхідно змінити час очікування на 30 секунд.
2. Для цього підключіться до CLI пристрою.
3. І виконайте команди, які наведені нижче:

2.7. Перевірте налаштування Protectimus 2FA для входу в Fortinet VPN

1. Увійдіть у FortiClient і введіть свій логін та пароль.

2. Вас попросять ввести одноразовий пароль, якщо ви успішно налаштували двофакторну автентифікацію для FortiGate VPN.

3. Введіть одноразовий код з токена двофакторної автентифікації, і ви отримаєте доступ до FortiGate VPN.

УВАГА! Коли ви налаштовуєте з’єднання IPSec VPN у FortiClient, використовуйте попередньо заданий ключ для ОСТАННЬОГО створеного тунелю IPSec. У Fortinet можуть виникнути проблеми, якщо на сервері FortiGate налаштовано кілька тунелів IPSec.

Інтеграція двофакторної автентифікації для Fortinet FortiGate VPN завершена.

Якщо у вас є запитання, зверніться до служби підтримки клієнтів Protectimus.