Інструкції

2FA для клієнтів VPN

Налаштування двофакторної автентифікації для FortiGate VPN

Ця інструкція показує, як налаштувати двофакторну автентифікацію (2FA) для Fortinet FortiGate VPN за допомогою протоколу автентифікації RADIUS з використанням системи багатофакторної автентифікації Protectimus.

Двофакторна автентифікація — це необхідний захід для забезпечення кібербезпеки, особливо коли мова йде про захист VPN-з’єднань. Налаштуйте 2FA для Forticlient VPN, щоб захистити облікові записи користувачів та важливі корпоративні дані від несанкціонованого доступу. 2FA для Fortinet FortiGate VPN ефективно бореться з такими загрозами, як брутфорс, підробка даних, фішинг, кейлогери, атаки “людина посередині” та інші.

1. Як працює двофакторна автентифікація (2FA) для Fortinet FortiGate VPN

Коли ви налаштовуєте 2FA для FortiGate VPN, користувачі повинні підтвердити вхід двома різними способами, щоб отримати доступ до своїх облікових записів.

  1. Перший фактор автентифікації — це стандартний логін і пароль (те, що знає користувач).
  2. Другий фактор автентифікації — це одноразовий код, згенерований за допомогою OTP-токена або смартфона (того, що належить користувачу).

Коли ввімкнено 2FA для Fortinet FortiGate VPN, отримати несанкціонований доступ до облікового запису стає майже неможливо, адже зламати обидва фактори автентифікації одночасно вкрай складно. А ще більше ускладнює задачу те, що одноразовий код дійсний лише 30 секунд.

Нижче ви знайдете детальну інструкцію з налаштування 2FA для Fortinet FortiGate VPN через RADIUS за допомогою хмарного сервісу двофакторної автентифікації Protectimus Cloud або локальної платформи Protectimus On-Premise.

Схема налаштування 2FA (двофакторної автентифікації) для FortiGate VPN

2. Як налаштувати 2FA для Fortinet FortiGate VPN

Ви можете налаштувати двофакторну автентифікацію (2FA) для FortiGate VPN за допомогою Protectimus через протокол RADIUS:
  1. Зареєструйтесь у SAAS сервісі Protectimus або встановіть локальну платформу Protectimus та налаштуйте основні параметри.
  2. Встановіть та налаштуйте Protectimus RADIUS Server.
  3. Налаштуйте політики автентифікації для FortiGate VPN.

2.1. Зареєструйтеся та налаштуйте основні параметри Protectimus

  1. Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus (якщо ви встановлюєте платформу Protectimus на Windows, не забудьте позначити опцію Radius).
  2. Додайте ресурс.
  3. Додайте користувачів.
  4. Додайте Токени або активуйте Портал самообслуговування користувачів.
  5. Призначте токени користувачам.
  6. Призначте токени з користувачами на ресурс.

2.2. Встановіть та налаштуйте Protectimus RADIUS Server

Докладні інструкції щодо встановлення та налаштування Protectimus RADIUS Server доступні в нашому Посібнику з налаштування Protectimus RADIUS Server для FortiGate VPN 2FA.

2.3. Додайте Protectimus як RADIUS-сервер на Fortinet FortiGate

  1. Увійдіть у свій обліковий запис Fortinet FortiGate та перейдіть до консолі адміністратора.
  2. Перейдіть до розділу User & Device –> RADIUS Servers, а потім виберіть Create New, щоб почати додавати новий RADIUS-сервер.
Налаштування 2FA для Fortinet FortiGate VPN — крок 1
  1. Ви побачите меню, яке дозволяє додати новий RADIUS-сервер.
Налаштування 2FA для Fortinet FortiGate VPN — крок 2
  1. Налаштуйте наступні параметри RADIUS, щоб додати RADIUS-сервер.
Name Придумайте назву для вашого RADIUS-сервера.
Authentication Method Натисніть на Specify, а потім виберіть PAP з випадаючого меню.
Primary Server IP / Name IP-адреса сервера, на якому встановлено компонент Protectimus RADIUS Server.
Primary Server Secret Вкажіть секретний ключ, який ви створили у файлі radius.yml (властивість radius.secret) під час налаштування Protectimus RADIUS Server.
Secondary Server IP / Name Необов’язково
Secondary Server Secret Необов’язково
  1. Натисніть Test Connectivity, щоб переконатися, що вказана IP-адреса RADIUS-сервера та секретний ключ працюють, і що з’єднання між FortiGate VPN та RADIUS-сервером встановлено.
Тестування з'єднання з Fortinet FortiGate VPN
  1. Якщо все виглядає добре, натисніть OK, щоб зберегти налаштування.

2.4. Створіть групу користувачів

  1. Перейдіть до User & Device –> User Groups.
  2. Щоб додати нову групу, натисніть Create New.
Створення групи користувачів у Fortinet FortiGate — крок 1
  1. Виберіть Firewall в секції Type. Потім знайдіть розділ Remote Groups, натисніть Add та виберіть Protectimus RADIUS Server як віддалений сервер.
Створення групи користувачів у Fortinet FortiGate — крок 2
  1. Збережіть налаштування, натиснувши OK.

2.5. Зв’яжіть групу користувачів з FortiGate VPN

УВАГА! Використовуйте майстра IPsec (IPsec Wizard) для створення нового тунелю IPSec (IPSec Tunnel), якщо він ще не налаштований.
  1. Перейдіть до VPN –> IPSec Tunnels і виберіть налаштований вами тунель IPSec.
Налаштування VPN у консолі адміністратора FortiGate — крок 1
  1. Якщо цей IPSec тунель ще не є кастомним, натисніть Convert To Custom Tunnel.
Налаштування VPN у консолі адміністратора FortiGate — крок 2
  1. Перейдіть до розділу XAuth і натисніть Edit.
  2. Виберіть PAP Server у випадаючому меню Type.
Налаштування VPN у консолі адміністратора FortiGate — крок 3
  1. У випадаючому меню User Group виберіть групу користувачів, яку ви створили на кроці 2.4.
  2. Натисніть OK, щоб зберегти налаштування.

2.6. Синхронізуйте час очікування Fortinet FortiGate з Protectimus RADIUS Server

  1. За замовчуванням час очікування (timeout) для FortiGate VPN становить 5 секунд, що є недостатнім при налаштуванні 2FA для FortiGate VPN. Необхідно змінити час очікування на 30 секунд.
  2. Для цього підключіться до CLI пристрою.
  3. І виконайте команди, які наведені нижче:
Налаштуйте час очікування Fortinet з Protectimus RADIUS server

2.7. Перевірте налаштування Protectimus 2FA для входу в Fortinet VPN

  1. Увійдіть у FortiClient і введіть свій логін та пароль.
Тестування налаштування Protectimus 2FA для входу в Fortinet VPN — крок 1
  1. Вас попросять ввести одноразовий пароль, якщо ви успішно налаштували двофакторну автентифікацію для FortiGate VPN.
Тестування налаштування Protectimus 2FA для входу в Fortinet VPN — крок 2
  1. Введіть одноразовий код з токена двофакторної автентифікації, і ви отримаєте доступ до FortiGate VPN.
УВАГА! Коли ви налаштовуєте з’єднання IPSec VPN у FortiClient, використовуйте попередньо заданий ключ для ОСТАННЬОГО створеного тунелю IPSec. У Fortinet можуть виникнути проблеми, якщо на сервері FortiGate налаштовано кілька тунелів IPSec.

Інтеграція двофакторної автентифікації для Fortinet FortiGate VPN завершена.

Якщо у вас є запитання, зверніться до служби підтримки клієнтів Protectimus.

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.
Table of Contents