Налаштування двофакторної автентифікації для pfSense OpenVPN

Налаштуйте двофакторну автентифікацію (2FA) для pfSense OpenVPN за допомогою системи багатофакторної автентифікації Protectimus.

Багатофакторна автентифікація (MFA) є важливою складовою кібербезпеки, яка захищає облікові записи користувачів, інфраструктуру та конфіденційну інформацію від несанкціонованого доступу. Інтегруючи 2FA в pfSense OpenVPN, зменшується ймовірність таких загроз, як атаки методом перебору паролів, кейлогери, підміна даних, фішинг, атаки типу MITM та соціальна інженерія.

Protectimus забезпечує безпечний доступ до pfSense OpenVPN, підключаючи багатофакторну автентифікацію (MFA) через Protectimus RADIUS Server.

Наступна схема ілюструє процес роботи рішення Protectimus, розробленого для впровадження двофакторної автентифікації на pfSense OpenVPN.

1. Як працює двофакторна автентифікація для pfSense OpenVPN

Двофакторна автентифікація від Protectimus підвищує безпеку pfSense OpenVPN, додаючи додатковий рівень захисту, який ефективно запобігає будь-яким несанкціонованим спробам доступу до вашого VPN.

Після активації двофакторної автентифікації (2FA) для pfSense OpenVPN користувачі будуть змушені проходити два етапи автентифікації для доступу до своїх облікових записів.

При спробі доступу до своїх облікових записів pfSense OpenVPN, захищених 2FA/MFA, користувачі повинні будуть вказати:

1. Свій логін та пароль (щось, що користувач знає).
2. Унікальний одноразовий пароль, згенерований через апаратний OTP токен, 2FA чат-бота або мобільний додаток (щось, що користувач має).

Щоб зламати pfSense OpenVPN, захищений двофакторною автентифікацією (2FA/MFA), зловмисник має одночасно отримати як звичайний пароль, так і одноразовий пароль протягом лише 30 секунд, поки той ще активний. Ця складна задача підкреслює виняткову ефективність двофакторної автентифікації проти більшості спроб злому.

2. Як налаштувати двофакторну автентифікацію для pfSense OpenVPN

Ви можете налаштувати двофакторну автентифікацію (2FA) для pfSense OpenVPN за допомогою Protectimus, використовуючи протокол RADIUS:

1. Зареєструйтесь у SAAS сервісі Protectimus або встановіть локальну платформу Protectimus та налаштуйте основні параметри.
2. Встановіть та налаштуйте Protectimus RADIUS Server.
3. Додайте Protectimus як RADIUS сервер для pfSense OpenVPN.

2.1. Зареєструйтеся та налаштуйте основні параметри Protectimus

1. Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus (якщо ви встановлюєте платформу Protectimus на Windows, не забудьте позначити опцію Radius).
2. Додайте ресурс.
3. Додайте користувачів.
4. Додайте Токени або активуйте Портал самообслуговування користувачів.
5. Призначте токени користувачам.
6. Призначте токени з користувачами на ресурс.

2.2. Встановіть та налаштуйте Protectimus RADIUS Server

Докладні інструкції щодо встановлення та налаштування Protectimus RADIUS Server доступні в нашому Посібнику з налаштування Protectimus RADIUS Server для OpenVPN pfSense 2FA.

2.3. Додайте Protectimus як RADIUS сервер для pfSense OpenVPN MFA

По-перше, переконайтеся, що ваше джерело аутентифікації налаштоване правильно, що включає використання зовнішнього постачальника ідентифікації (IdP), такого як OpenLDAP, Microsoft Active Directory, FreeIPA або окремий FreeRADIUS.

Важлива примітка:
Вбудований FreeRADIUS у pfSense має обмежений набір налаштувань і не дозволяє вказувати атрибут електронної пошти користувача. Через це обмеження ви не можете використовувати внутрішній FreeRADIUS для цієї інтеграції. Натомість, скористайтеся окремою інсталяцією FreeRADIUS або оберіть будь-який інший постачальник ідентифікації, згаданий у попередньому розділі.

Важливо мати правильно налаштовану систему pfSense. Ми припускаємо, що ви вже додали сервер OpenVPN до pfSense через VPN → OpenVPN. Перед тим як розпочати впровадження багатофакторної аутентифікації через Protectimus, ви повинні мати налаштоване основне рішення аутентифікації для ваших користувачів OpenVPN. Якщо ви ще не встановили та налаштували pfSense, зверніться до документації на pfsense.org.

1. Запустіть веб-браузер і зайдіть у WebGUI pfSense.
2. Перейдіть до System –> Package Manager. Перейдіть на вкладку Available Packages.
3. Знайдіть openvpn-client-export і виберіть Install. Підтвердіть свою дію, натиснувши кнопку Confirm. Через короткий час ви отримаєте підтвердження успішної інсталяції. Пакет тепер має бути видимим у вкладці Installed Packages.

4. Перейдіть до розділу System –> User Manager.
5. Перейдіть на вкладку Authentication Servers і натисніть Add.

6. Заповніть форму, використовуючи таблицю нижче для додаткових вказівок щодо налаштувань. Після завершення натисніть Save, щоб додати сервер автентифікації.

7. Виберіть опцію Save.
8. Перейдіть до VPN –> OpenVPN. Знайдіть ваш інтерфейс у списку OpenVPN Servers. Натисніть на іконку олівця, що розташована праворуч.

9. Перейдіть на вкладку Servers. Переконайтеся, що Server mode налаштовано як Remote Access (User Auth).
10. Переконайтеся, що для Backend for authentication налаштовано сервер автентифікації, створений на кроці 6.

11. Інші налаштування слід відкоригувати відповідно до ваших конкретних вимог. Натисніть Save, щоб зберегти зміни.
12. Перейдіть на вкладку Client Export. Далі перейдіть до Advanced –> Additional configuration options.
13. Інтегруйте опцію reneg-sec 0 в поле Additional configuration options.
    
    Параметр reneg-sec n дозволяє змінювати тривалість (у секундах) перед переузгодженням ключа каналу передачі даних. Встановіть його значення на 0, щоб уникнути повторної автентифікації, доки ви залишаєтеся підключеними без перерв.

Ми радимо налаштувати reneg-sec на 0. Якщо буде обрано інше значення, є ймовірність, що ваші користувачі зіткнуться з запитами на повторну 2FA автентифікацію після того, як вичерпається час, визначений цим значенням.

За замовчуванням це значення становить 3600 секунд. Тому, якщо не використовувати опцію reneg-sec 0 і залишити додаткові параметри конфігурації порожніми, ваші користувачі будуть проходити повторну автентифікацію кожну годину.

14. У розділі Additional configuration options додайте опцію hand-window 120. Цей параметр гарантує коректний тайм-аут процесу автентифікації в ситуаціях, коли користувач не може завершити 2FA в межах встановленого часу.
15. Використовуйте кнопку Save as default, щоб зберегти цю зміну як налаштування за замовчуванням.

16. Прогортайте вниз до розділу OpenVPN Clients та виберіть відповідну кнопку завантаження згідно з вашими вимогами. Хоча Windows Installer є найбільш популярним варіантом, ви маєте можливість вибрати будь-який з наданих варіантів.

17. На цьому етапі у вас є відповідний файл або пакет установки для ваших користувачів OpenVPN. Ваш процес конфігурації завершено. Після встановлення пакета ваші користувачі будуть мати можливість використовувати двофакторну автентифікацію Protectimus під час процесу входу до VPN.

Інтеграція двофакторної автентифікації (2FA/MFA) для вашого pfSense OpenVPN завершена.

Якщо у вас є запитання, зверніться до служби підтримки клієнтів Protectimus.