Налаштування двофакторної автентифікації (2FA) для MikroTik VPN

Ця інструкція описує, як налаштувати двофакторну автентифікацію (2FA) Protectimus для користувачів, які підключаються до MikroTik VPN.

Система двофакторної автентифікації Protectimus може бути інтегрована з MikroTik VPN через протокол автентифікації RADIUS. Для цього потрібно встановити компонент Protectimus RADIUS Server на вашому сервері та налаштувати MikroTik VPN так, щоб він використовував Protectimus RADIUS Server для автентифікації користувачів.

Подивіться, як працює рішення двофакторної автентифікації Protectimus для MikroTik VPN на схемі нижче.

1. Як працює двофакторна автентифікація (2FA) для MikroTik VPN

Після інтеграції MikroTik VPN з системою багатофакторної автентифікації (MFA) Protectimus, користувачам потрібно буде пройти два етапи автентифікації для підключення до MikroTik VPN:

1. Ввести свій логін та пароль.
2. Ввести одноразовий пароль, який дійсний лише протягом 30 секунд.

Для генерування одноразових паролів ваші користувачі матимуть доступ до таких типів токенів двофакторної автентифікації:

• Класичні та програмовані апаратні OTP токени, які виглядають як брелоки або пластикові картки;
• Застосунок для двофакторної автентифікації Protectimus SMART OTP на iOS та Android;
• Інші застосунки для двофакторної автентифікації, які підтримують стандарт TOTP, включаючи Google Authenticator;
• Доставка одноразових паролів за допомогою чат-ботів у Telegram, Messenger або Viber;
• SMS-автентифікація;
• Доставка одноразових паролів через електронну пошту.

Зламати два фактори автентифікації, які різняться за своєю природою (щось, що користувач знає, та щось, що він має), і використати їх одночасно протягом 30 секунд (час, коли одноразовий пароль залишається дійсним), – це складне завдання для зловмисника. Ось чому двофакторна автентифікація є однією з найкращих заходів безпеки для MikroTik VPN.

2. Як налаштувати двофакторну автентифікацію (2FA) для MikroTik VPN

Ви можете налаштувати двофакторну автентифікацію (2FA) для MikroTik VPN за допомогою протоколу RADIUS та Protectimus:

1. Зареєструйтесь у SAAS сервісі Protectimus або встановіть локальну платформу Protectimus та налаштуйте основні параметри.
2. Встановіть та налаштуйте Protectimus RADIUS Server.
3. Налаштуйте клієнт MikroTik VPN.
4. Налаштуйте Windows VPN.

2.1. Зареєструйтеся та налаштуйте основні параметри Protectimus

1. Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus (якщо ви встановлюєте платформу Protectimus на Windows, не забудьте позначити опцію Radius).
2. Додайте ресурс.
3. Додайте користувачів.
4. Додайте Токени або активуйте Портал самообслуговування користувачів.
5. Призначте токени користувачам.
6. Призначте токени з користувачами на ресурс.

2.2. Встановіть та налаштуйте Protectimus RADIUS Server

Докладні інструкції щодо встановлення та налаштування Protectimus RADIUS Server доступні в нашому Посібнику з налаштування Protectimus RADIUS Server для MikroTik VPN 2FA.

2.3. Налаштування клієнта MikroTik VPN

1. Відкрийте Webfig.
2. Перейдіть до меню зліва та виберіть вкладку RADIUS.
3. Натисніть Add New, щоб налаштувати ваш Protectimus RADIUS Server як сервер RADIUS.
4. Виберіть ppp та ipsec у розділі Service.
5. Виберіть login у розділі Service.
6. Вкажіть IP-адресу сервера, на якому встановлений Protectimus RADIUS Server.
7. Встановіть Protocol на udp.
8. Вкажіть секретний ключ, який ви створили у файлі radius.yml (властивість radius.secret) при налаштуванні Protectimus RADIUS Server.
9. Змініть стандартний тайм-аут на 30000 мс або більше.
10. Натисніть OK, щоб зберегти налаштування.

11. Перейдіть до меню зліва та виберіть вкладку PPP.
12. Виберіть вкладку Interface, а потім натисніть на PPTP Server, SSTP Server, L2TP Server або OVPN Server в залежності від того, який ви використовуєте.
13. Позначте pap і зніміть позначку з інших чекбоксів у розділі Authentication. Натисніть OK.
14. Виберіть вкладку Secrets і натисніть кнопку PPP Authentication & Accounting.

15. Позначте Use Radius і натисніть OK, щоб завершити налаштування та увімкнути двофакторну аутентифікацію Protectimus у вашому VPN.

2.4. Налаштування Windows VPN

1. У вашій операційній системі Windows перейдіть до Налаштування –> Мережа та Інтернет –> VPN (Settings –> Network & Internet –> VPN) і виберіть Додати з’єднання VPN (Add a VPN connection).
2. Заповніть форму та натисніть Зберегти (Save). Зверніть увагу на наступне зображення та таблицю.

3. Перейдіть у Control Panel → Network and Sharing Center та виберіть Change adapter.
4. Клацніть правою кнопкою миші на щойно створене підключення до MikroTik і виберіть Properties.
5. Виберіть вкладку Security.
6. Виберіть Allow these protocols і поставте галочку біля Unencrypted password (PAP).
7. Потім натисніть OK, щоб зберегти зміни.

Інтеграція двофакторної автентифікації (2FA/MFA) для вашого MikroTik VPN завершена.

Якщо у вас є запитання, зверніться до служби підтримки клієнтів Protectimus.