Налаштування двофакторної автентифікації (2FA) для Palo Alto GlobalProtect VPN

Цей посібник показує, як налаштувати двофакторну автентифікацію (2FA / MFA) для Palo Alto Networks VPN за допомогою хмарного сервісу або локальної платформи багатофакторної автентифікації Protectimus

Protectimus інтегрується з Palo Alto GlobalProtect VPN через протокол автентифікації RADIUS, додаючи двофакторну автентифікацію (2FA) до входу у VPN.

У цьому випадку рішення Protectimus для двофакторної автентифікації (2FA) в Palo Alto GlobalProtect VPN працює як сервер RADIUS, а Palo Alto Networks VPN виступає в ролі клієнта RADIUS. Нижче наведено схему роботи рішення Protectimus для двофакторної автентифікації в Palo Alto Networks VPN.

Як працює двофакторна автентифікація (2FA) для Palo Alto Networks VPN

Двофакторна автентифікація (2FA), також відома як багатофакторна автентифікація (MFA), є необхідним заходом безпеки для Palo Alto GlobalProtect VPN. 2FA захистить вхід в Palo Alto GlobalProtect VPN від таких загроз, як фішинг, атаки перебором, підміна даних, соціальна інженерія, кейлогери, атаки «людина посередині» тощо.

Ось як працює двофакторна автентифікація для Palo Alto GlobalProtect VPN:

1. Коли користувач ініціює вхід до Palo Alto GlobalProtect VPN, захищеного двофакторною автентифікацією, спочатку він вводить перший фактор автентифікації — свій стандартний логін та пароль (щось, що він знає).


2. Потім користувач повинен ввести другий фактор автентифікації — одноразовий пароль з токена двофакторної автентифікації (це може бути смартфон або фізичний OTP токен, схожий на брелок, тобто щось, що є власністю користувача).

Таким чином, щоб отримати доступ до облікового запису Palo Alto GlobalProtect VPN, захищеного двофакторною автентифікацією, шахрай має отримати доступ до двох факторів автентифікації, які різняться за своєю природою. Це досить складне завдання. Крім того, одноразовий пароль, що діє за часом, залишається активним лише протягом 30 секунд, що ускладнює хакерські спроби та робить їх майже неможливими.

2. Як налаштувати двофакторну автентифікацію (2FA) для Palo Alto Networks VPN

Ви можете налаштувати двофакторну автентифікацію (2FA) для Palo Alto Networks VPN за допомогою Protectimus, використовуючи протокол RADIUS:

1. Зареєструйтесь у SAAS сервісі Protectimus або встановіть локальну платформу Protectimus та налаштуйте основні параметри.
2. Встановіть та налаштуйте Protectimus RADIUS Server.
3. Налаштуйте політики автентифікації для Palo Alto Networks VPN.

2.1. Зареєструйтеся та налаштуйте основні параметри Protectimus

1. Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus (якщо ви встановлюєте платформу Protectimus на Windows, не забудьте позначити опцію Radius).
2. Додайте ресурс.
3. Додайте користувачів.
4. Додайте Токени або активуйте Портал самообслуговування користувачів.
5. Призначте токени користувачам.
6. Призначте токени з користувачами на ресурс.

2.2. Встановіть та налаштуйте Protectimus RADIUS Server

Докладні інструкції щодо встановлення та налаштування Protectimus RADIUS Server доступні в нашому Посібнику з налаштування Protectimus RADIUS Server для Palo Alto Networks VPN 2FA.

2.3. Налаштуйте профіль RADIUS сервера для Palo Alto Networks

1. Увійдіть в інтерфейс адміністратора Palo Alto Networks.
2. На вкладці Device перейдіть до Server Profiles, потім виберіть RADIUS.
3. Натисніть кнопку Add, щоб додати новий профіль сервера RADIUS. Ви побачите таке вікно:

4. У полі Profile Name введіть назву для вашого сервера RADIUS, наприклад, Protectimus RADIUS або будь-яке інше ім’я за вашим вибором.
5. Timeout потрібно збільшити щонайменше до 30 секунд.
6. Змініть Authentication Protocol на PAP.

ЗВЕРНІТЬ УВАГУ! Користувачі PAN-OS 7.x повинні налаштувати протокол через CLI, використовуючи таку команду:

set authentication radius-auth-type pap

7. Натисніть на Servers → кнопку Add, щоб додати RADIUS сервер. Потім введіть наступну інформацію:

8. Натисніть OK, щоб зберегти новий профіль RADIUS сервера.

2.4. Створіть профіль автентифікації в Palo Alto Networks

1. Перейдіть до вкладки Device та виберіть Authentication Profile.
2. Натисніть Add, щоб створити новий профіль автентифікації. Відкриється наступне вікно:

3. Введіть такі дані:

4. Залиште інші параметри на цьому екрані за замовчуванням.
5. Після цього натисніть вкладку Advanced та оберіть групу all або конкретну групу, до якої буде застосовуватися цей профіль автентифікації.
6. Натисніть OK і збережіть створений профіль автентифікації.

2.5. Призначте профіль автентифікації на GlobalProtect Portal та/або Gateway.

Ви можете налаштувати кілька варіантів автентифікації клієнтів для порталу та шлюзів Palo Alto GlobalProtect. Для кожного варіанту можна вказати профіль автентифікації, який буде застосовуватися до пристроїв з певною операційною системою.

Цей крок описує, як додати профіль автентифікації до конфігурації порталу або шлюзу Palo Alto GlobalProtect VPN. Для додаткової інформації про налаштування цих компонентів зверніться до документації PaloAlto Networks щодо GlobalProtect Portals та GlobalProtect Gateways.

1. Перейдіть до Network –> GlobalProtect –> Gateways або Portals.
2. Натисніть на налаштований GlobalProtect Gateway, щоб відкрити вікно властивостей.
3. У вікні, що відкрилося, перейдіть на вкладку Authentication.

4. Виберіть SSL/TLS Service Profile або створіть новий.
5. Залежно від вашої конфігурації, натисніть на поточний запис у розділі Client Authentication, щоб змінити його, або створіть новий, натиснувши Add.
6. Заповніть форму Client Authentication наступними даними.

7. Натисніть OK, щоб зберегти конфігурацію.

Інтеграцію двофакторної автентифікації (2FA/MFA) для вашого VPN Palo Alto Networks завершено.

Якщо у вас є запитання, зверніться до служби підтримки клієнтів Protectimus.