Налаштування двофакторної автентифікації для WatchGuard Mobile VPN

Ця інструкція описує, як налаштувати багатофакторну автентифікацію (2FA/MFA) для WatchGuard Mobile VPN за допомогою рішення двофакторної автентифікації Protectimus.

Система багатофакторної автентифікації Protectimus інтегрується з WatchGuard Mobile VPN через протокол автентифікації RADIUS.

У цьому сценарії хмарний сервіс 2FA Protectimus або локальна платформа 2FA Protectimus виконує роль RADIUS-сервера, а WatchGuard Mobile VPN виступає в ролі RADIUS-клієнта.

Схема роботи рішення Protectimus для двофакторної автентифікації у WatchGuard Mobile VPN представлена нижче.

1. Як працює двофакторна автентифікація (2FA) для WatchGuard Mobile VPN

Рішення двофакторної автентифікації (2FA) Protectimus для WatchGuard Mobile VPN дозволяє додати додатковий рівень безпеки до входу в ваш WatchGuard VPN.

Рішення Protectimus для WatchGuard Mobile VPN 2FA забезпечує двофакторну автентифікацію під час підключень до WatchGuard через IPSec та SSL.

Коли ви додаєте двофакторну автентифікацію (2FA/MFA) для WatchGuard Mobile VPN, ваші користувачі використовуватимуть два різні фактори автентифікації для доступу до своїх акаунтів.

1. Першим етапом автентифікації є логін і пароль (те, що користувач знає).
2. Другим етапом автентифікації є одноразовий пароль, згенерований за допомогою апаратного OTP-токена або застосунку на смартфоні (за допомогою чогось, чим володіє користувач).

Щоб зламати WatchGuard Mobile VPN, захищений двофакторною автентифікацією, хакер повинен отримати стандартний пароль і одноразовий пароль одночасно. І в нього буде лише 30 секунд, щоб перехопити одноразовий пароль. Це майже неможливо, що робить двофакторну автентифікацію такою ефективною проти атак типу brute force, спуфінгу даних, кейлогерів, фішингу, атаки “людина посередині”, соціальної інженерії та інших подібних хакерських атак.

2. Як налаштувати двофакторну автентифікацію (2FA) для WatchGuard Mobile VPN

Ви можете налаштувати багатофакторну автентифікацію (2FA) для WatchGuard Mobile VPN за допомогою Protectimus через протокол RADIUS:

1. Зареєструйтесь у SAAS сервісі Protectimus або встановіть локальну платформу Protectimus та налаштуйте основні параметри.
2. Встановіть та налаштуйте Protectimus RADIUS Server.
3. Додайте Protectimus як RADIUS-сервер у WatchGuard Mobile VPN
4. Налаштуйте політики автентифікації для WatchGuard Mobile VPN.

2.1. Зареєструйтеся та налаштуйте основні параметри Protectimus

1. Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus (якщо ви встановлюєте платформу Protectimus на Windows, не забудьте позначити опцію Radius).
2. Додайте ресурс.
3. Додайте користувачів.
4. Додайте Токени або активуйте Портал самообслуговування користувачів.
5. Призначте токени користувачам.
6. Призначте токени з користувачами на ресурс.

2.2. Встановіть та налаштуйте Protectimus RADIUS Server

Докладні інструкції щодо встановлення та налаштування Protectimus RADIUS Server доступні в нашому Посібнику з налаштування Protectimus RADIUS Server для WatchGuard Mobile VPN 2FA.

2.3. Додайте Protectimus як RADIUS-сервер для багатофакторної автентифікації (MFA) у WatchGuard Mobile VPN

1. Увійдіть до панелі адміністратора WatchGuard Firebox (Fireware Web UI).
2. Перейдіть до Authentication –> Servers –> RADIUS.

3. Натисніть Add.

4. Заповніть необхідні поля на вкладці Primary Server Settings. Ознайомтесь з таблицею та зображенням нижче.

5. Натисніть Save, щоб зберегти налаштування.

2.4. Налаштувайте WatchGuard Mobile VPN із SSL або IPSec

1. У лівій панелі адміністративної консолі WatchGuard Firebox перейдіть до VPN → Mobile VPN.
2. Далі перейдіть до розділу SSL або IPSec, залежно від обраного методу, і виконайте наступні кроки.

2.4.1. Налаштування WatchGuard Mobile VPN із SSL

ЗВЕРНІТЬ УВАГУ! Щоб налаштувати двофакторну аутентифікацію (2FA) для SSL Mobile VPN, потрібно вручну додати всіх користувачів до WatchGuard VPN і надати їм доступ до SSL VPN.

1. Перейдіть до Authentication → Users and Groups. Потім натисніть ADD, щоб додати нового користувача.

2. У вікні Add User or Group введіть ім’я користувача та виберіть Authentication Server. Ознайомтесь з наступною таблицею та зображенням.

3. Інші параметри є необов’язковими. Натисніть OK, а потім натисніть Save в основному списку всіх груп і користувачів, щоб підтвердити додавання нового користувача.

ЗВЕРНІТЬ УВАГУ! Вам потрібно виконати вищезазначені три кроки для кожного користувача, якому ви хочете дозволити використовувати Mobile VPN із SSL.

4. Після того як ви додасте всіх користувачів, перейдіть до VPN → Mobile VPN. Далі перейдіть до розділу SSL і натисніть CONFIGURE.

5. Виберіть вкладку Authentication.
6. У розділі AUTHENTICATION SERVERS виберіть сервер, який ви створили раніше (Protectimus RADIUS Server), і натисніть ADD.
7. Потім виберіть його у списку серверів аутентифікації і натисніть MOVE UP, щоб зробити його за замовчуванням.

8. У розділі Users and Groups виберіть групи та користувачів, яким ви хочете дозволити використовувати SSL VPN.
9. Натисніть SAVE, щоб підтвердити та зберегти ваші налаштування.

2.4.2. Налаштування WatchGuard Mobile VPN з IPSec

1. Перейдіть до VPN → Mobile VPN. Далі перейдіть до розділу IPSec і натисніть CONFIGURE.

2. У розділі Groups виберіть свій профіль і натисніть EDIT.

3. Виберіть вкладку General.
4. У випадаючому списку Authentication Server виберіть сервер, який ви створили раніше (Protectimus RADIUS Server). Він матиме назву домену, яку ви встановили під час налаштування Protectimus як RADIUS Server.

5. Натисніть SAVE, щоб підтвердити та зберегти ваші налаштування.

Інтеграція двофакторної автентифікації (2FA/MFA) для вашого WatchGuard Mobile VPN завершена.

Якщо у вас є запитання, зверніться до служби підтримки клієнтів Protectimus.