Інструкції

2FA для клієнтів VPN

Налаштування двофакторної автентифікації для WatchGuard Mobile VPN

Ця інструкція описує, як налаштувати багатофакторну автентифікацію (2FA/MFA) для WatchGuard Mobile VPN за допомогою рішення двофакторної автентифікації Protectimus.

Система багатофакторної автентифікації Protectimus інтегрується з WatchGuard Mobile VPN через протокол автентифікації RADIUS.

У цьому сценарії хмарний сервіс 2FA Protectimus або локальна платформа 2FA Protectimus виконує роль RADIUS-сервера, а WatchGuard Mobile VPN виступає в ролі RADIUS-клієнта.

Схема роботи рішення Protectimus для двофакторної автентифікації у WatchGuard Mobile VPN представлена нижче.

Налаштування двофакторної автентифікації (2FA) для WatchGuard Mobile VPN через RADIUS

1. Як працює двофакторна автентифікація (2FA) для WatchGuard Mobile VPN

Рішення двофакторної автентифікації (2FA) Protectimus для WatchGuard Mobile VPN дозволяє додати додатковий рівень безпеки до входу в ваш WatchGuard VPN.

Рішення Protectimus для WatchGuard Mobile VPN 2FA забезпечує двофакторну автентифікацію під час підключень до WatchGuard через IPSec та SSL.

Коли ви додаєте двофакторну автентифікацію (2FA/MFA) для WatchGuard Mobile VPN, ваші користувачі використовуватимуть два різні фактори автентифікації для доступу до своїх акаунтів.

  1. Першим етапом автентифікації є логін і пароль (те, що користувач знає).
  2. Другим етапом автентифікації є одноразовий пароль, згенерований за допомогою апаратного OTP-токена або застосунку на смартфоні (за допомогою чогось, чим володіє користувач).

Щоб зламати WatchGuard Mobile VPN, захищений двофакторною автентифікацією, хакер повинен отримати стандартний пароль і одноразовий пароль одночасно. І в нього буде лише 30 секунд, щоб перехопити одноразовий пароль. Це майже неможливо, що робить двофакторну автентифікацію такою ефективною проти атак типу brute force, спуфінгу даних, кейлогерів, фішингу, атаки “людина посередині”, соціальної інженерії та інших подібних хакерських атак.

2. Як налаштувати двофакторну автентифікацію (2FA) для WatchGuard Mobile VPN

Ви можете налаштувати багатофакторну автентифікацію (2FA) для WatchGuard Mobile VPN за допомогою Protectimus через протокол RADIUS:
  1. Зареєструйтесь у SAAS сервісі Protectimus або встановіть локальну платформу Protectimus та налаштуйте основні параметри.
  2. Встановіть та налаштуйте Protectimus RADIUS Server.
  3. Додайте Protectimus як RADIUS-сервер у WatchGuard Mobile VPN
  4. Налаштуйте політики автентифікації для WatchGuard Mobile VPN.

2.1. Зареєструйтеся та налаштуйте основні параметри Protectimus

  1. Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus (якщо ви встановлюєте платформу Protectimus на Windows, не забудьте позначити опцію Radius).
  2. Додайте ресурс.
  3. Додайте користувачів.
  4. Додайте Токени або активуйте Портал самообслуговування користувачів.
  5. Призначте токени користувачам.
  6. Призначте токени з користувачами на ресурс.

2.2. Встановіть та налаштуйте Protectimus RADIUS Server

Докладні інструкції щодо встановлення та налаштування Protectimus RADIUS Server доступні в нашому Посібнику з налаштування Protectimus RADIUS Server для WatchGuard Mobile VPN 2FA.

2.3. Додайте Protectimus як RADIUS-сервер для багатофакторної автентифікації (MFA) у WatchGuard Mobile VPN

  1. Увійдіть до панелі адміністратора WatchGuard Firebox (Fireware Web UI).
  2. Перейдіть до Authentication –> Servers –> RADIUS.
Налаштування двофакторної автентифікації (2FA) для WatchGuard Mobile VPN через RADIUS - крок 1
  1. Натисніть Add.
Налаштування двофакторної автентифікації (2FA) для WatchGuard Mobile VPN через RADIUS - крок 2
  1. Заповніть необхідні поля на вкладці Primary Server Settings. Ознайомтесь з таблицею та зображенням нижче.
Domain Name Придумайте назву для вашого RADIUS-домену, наприклад, Protectimus RADIUS Server. Зверніть увагу, що після збереження налаштувань змінити назву домену буде неможливо.
Enable RADIUS Server Увімкніть цю опцію.
IP Address Введіть IP-адресу сервера, на якому встановлено компонент Protectimus RADIUS Server.
Port Вкажіть порт 1812 (або той, який ви налаштували у файлі radius.yml під час конфігурації Protectimus RADIUS Server).
Shared Secret Вкажіть секрет ний ключ, який ви створили у файлі radius.yml (параметр radius.secret) під час налаштування Protectimus RADIUS Server.
Confirm Secret Повторно введіть спільний секретний ключ.
Timeout Встановіть значення на 60 секунд.
Retries Встановіть значення 3.
Dead Time Встановіть значення 10 хвилин.
Group Attribute Встановіть значення 11.
Налаштування двофакторної автентифікації (2FA) для WatchGuard Mobile VPN через RADIUS - крок 3
  1. Натисніть Save, щоб зберегти налаштування.

2.4. Налаштувайте WatchGuard Mobile VPN із SSL або IPSec

  1. У лівій панелі адміністративної консолі WatchGuard Firebox перейдіть до VPN → Mobile VPN.
  2. Далі перейдіть до розділу SSL або IPSec, залежно від обраного методу, і виконайте наступні кроки.
Налаштування багатофакторної автентифікації (2FA) для WatchGuard Mobile VPN через RADIUS - крок 4

2.4.1. Налаштування WatchGuard Mobile VPN із SSL

ЗВЕРНІТЬ УВАГУ! Щоб налаштувати двофакторну аутентифікацію (2FA) для SSL Mobile VPN, потрібно вручну додати всіх користувачів до WatchGuard VPN і надати їм доступ до SSL VPN.
  1. Перейдіть до Authentication → Users and Groups. Потім натисніть ADD, щоб додати нового користувача.
Як налаштувати WatchGuard Mobile VPN із SSL - Крок 1
  1. У вікні Add User or Group введіть ім’я користувача та виберіть Authentication Server. Ознайомтесь з наступною таблицею та зображенням.
Type User
Name Введіть ім’я користувача.
Description За бажанням, ви можете ввести опис користувача.
Authentication Server Виберіть сервер, який ви створили раніше (Protectimus RADIUS Server).
Як налаштувати WatchGuard Mobile VPN із SSL - Крок 2
  1. Інші параметри є необов’язковими. Натисніть OK, а потім натисніть Save в основному списку всіх груп і користувачів, щоб підтвердити додавання нового користувача.
ЗВЕРНІТЬ УВАГУ! Вам потрібно виконати вищезазначені три кроки для кожного користувача, якому ви хочете дозволити використовувати Mobile VPN із SSL.

  1. Після того як ви додасте всіх користувачів, перейдіть до VPN → Mobile VPN. Далі перейдіть до розділу SSL і натисніть CONFIGURE.
Як налаштувати WatchGuard Mobile VPN із SSL - Крок 4
  1. Виберіть вкладку Authentication.
  2. У розділі AUTHENTICATION SERVERS виберіть сервер, який ви створили раніше (Protectimus RADIUS Server), і натисніть ADD.
  3. Потім виберіть його у списку серверів аутентифікації і натисніть MOVE UP, щоб зробити його за замовчуванням.
Як налаштувати WatchGuard Mobile VPN із SSL - Крок 5
  1. У розділі Users and Groups виберіть групи та користувачів, яким ви хочете дозволити використовувати SSL VPN.
  2. Натисніть SAVE, щоб підтвердити та зберегти ваші налаштування.

2.4.2. Налаштування WatchGuard Mobile VPN з IPSec

  1. Перейдіть до VPN → Mobile VPN. Далі перейдіть до розділу IPSec і натисніть CONFIGURE.
Як налаштувати WatchGuard Mobile VPN з IPSec - крок 1
  1. У розділі Groups виберіть свій профіль і натисніть EDIT.
Як налаштувати WatchGuard Mobile VPN з IPSec - крок 2
  1. Виберіть вкладку General.
  2. У випадаючому списку Authentication Server виберіть сервер, який ви створили раніше (Protectimus RADIUS Server). Він матиме назву домену, яку ви встановили під час налаштування Protectimus як RADIUS Server.
Як налаштувати WatchGuard Mobile VPN з IPSec - крок 3
  1. Натисніть SAVE, щоб підтвердити та зберегти ваші налаштування.

Інтеграція двофакторної автентифікації (2FA/MFA) для вашого WatchGuard Mobile VPN завершена.

Якщо у вас є запитання, зверніться до служби підтримки клієнтів Protectimus.

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.
Table of Contents