Ukraine flag

We stand with our friends and colleagues in Ukraine. To support Ukraine in their time of need visit this page

Aruba ClearPass 2FA

В этом руководстве показано, как настроить двухфакторную аутентификацию для защиты доступа к свитчам Aruba.

Для этого необходимо провести интеграцию Aruba Networks ClearPass с решением многофакторной аутентификации (MFA) Protectimus. Вы можете использовать облачный сервис двухфакторной аутентификации Protectimus или локальную MFA платформу Protectimus, которая устанавливается в собственном окружении или в частном облаке клиента.

Сервер двухфакторной аутентификации Protectimus коммуницирует с сетевым оборудованием Aruba по протоколу аутентификации RADIUS. Компонент Protectimus RADIUS Server выступает в роли RADIUS-сервера:
  1. Protectimus RADIUS Server принимает входящий запрос на аутентификацию по протоколу RADIUS.
  2. Далее он обращается к хранилищу пользователей (Active Directory и т. д.), чтобы подтвердить логин и пароль пользователя.
  3. Следующий шаг — проверка одноразового пароля, для этого Protectimus RADIUS Server обращается к серверу двухфакторной аутентификации Protectimus.
  4. Если оба фактора аутентификации верны, Protectimus RADIUS Server разрешает пользователю подключиться к свитчу Aruba.

Схема работы решения двухфакторной аутентификации Protectimus для сетевой техники Aruba представлена на рисунке ниже.

Схема настройки двухфакторной аутентификации для Aruba ClearPass через RADIUS

1. Как работает двухфакторная аутентификация для сетевой техники Aruba

Двухфакторная аутентификация (2FA / MFA) защищает учетные записи пользователей от таких атак как брутфорс, фишинг, кейлоггеры, атаки человек-посередине, социальная инженерия, подмена данных и т. д.

После того, как вы настроите двухфакторную аутентификацию для свитчей Aruba, чтобы подключиться к сетевой технике Aruba, пользователи будут использовать два разных фактора аутентификации.
  1. Первый фактор — логин и пароль (то, что пользователь знает);
  2. Второй фактор — одноразовый пароль, который генерируется с помощью аппаратного OTP токена или смартфона (того, что принадлежит пользователю).

Чтобы хакнуть аккаунт пользователя, злоумышленнику нужно получить доступ сразу к двум паролям, что практически невозможно. При этом на взлом и использование одного из этих паролей у злоумышленника есть только 30 секунд.

2. Как настроить двухфакторную аутентификацию (2FA) для Aruba ClearPass

Интеграция двухфакторной аутентификации Protectimus с Aruba ClearPass возможна по протоколу RADIUS:
  1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
  2. Установите и настройте компонент Protectimus RADIUS Server.
  3. Настройте политики аутентификации в Aruba ClearPass.

2.1. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Добавьте Protectimus в качестве RADIUS сервера в Aruba ClearPass

Существует два варианта настройки двухфакторной аутентификации для свитчей Aruba через RADIUS:
  • Настройка через веб-интерфейс. Доступна для более старых версий Aruba ClearPass.
  • Настройка через командную строку. Двухфакторную аутентификацию для более новых версий свитчей Aruba можно настроить только через командную строку.

Настройка двухфакторной аутентификации для свитчей Aruba через WebUI
  1. В веб-интерфейсе консоли Aruba Networks ClearPass выберите Configuration —> Security —> Authentication —> Servers.
  2. Выберите RADIUS Server, чтобы отобразился список RADIUS серверов.
  3. Задайте имя сервера в поле Name, например, Protectimus, и нажмите Add.
  4. Нажмите на имя сервера, который вы только что создали, и задайте необходимые параметры, включая IP-адрес; затем установите галочку напротив значения Mode, чтобы активировать сервер.
  5. Нажмите Apply.
  6. Выберите Server Group, чтобы отобразился список групп серверов.
  7. Задайте имя новой группы сервера в поле Name, например, corp_radius, и нажмите Add.
  8. Нажмите на имя группы серверов, которую вы только что создали, и настройте необходимые параметры.
  9. В разделе Servers, выберите New чтобы добавить сервер в группу.
  10. Выберите сервер (например, Protectimus) из выпадающего меню и нажмите Add Server.
  11. Нажмите Apply.
  12. Перейдите в Configuration —> Management —> Administration.
  13. В разделе Management Authentication Servers, задайте роль сервера, например, root, в секции Default Role.
  14. Установите галочку напротив значения Mode, чтобы активировать настройки.
  15. В разделе Server Group, выберите только что созданную группу серверов, то есть corp_radius.
  16. Нажмите Apply.

Настройка двухфакторной аутентификации для свитчей Aruba через CLI

Как добавить новый RADIUS сервер
aaa authentication-server radius Protectimus
  host <ipaddr>
  enable

Как добавить новую группу серверов
aaa server-group corp_radius
  auth-server Protectimus

Как задать роль для группы серверов
aaa authentication mgmt
  default-role root
  enable
  server-group corp_radius

Интеграция двухфакторной аутентификации в Palo Alto Networks VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.

Barracuda SSL VPN 2FA

В этом руководстве показано, как настроить двухфакторную аутентификацию для Barracuda SSL VPN с помощью Облачного сервиса двухфакторной аутентифиции Protectimus или локальной 2FA платформы Protectimus.

Система двухфакторной аутентификации Protectimus взаимодействует с Barracuda SSL VPN по протоколу RADIUS. Компонент Protectimus RADIUS Server выступает в роли RADIUS-сервера. Он принимает входящие запросы на аутентификацию по протоколу RADIUS, обращается к хранилищу пользователей (Active Directory и т. д.) для проверки логина и пароля, а затем обращается к серверу двухфакторной аутентификации Protectimus для проверки одноразового пароля. Если оба фактора аутентификации верны, RADIUS-сервер Protectimus разрешает пользователю подключиться к Barracuda SSL VPN.

Схема работы решения Protectimus для двухфакторной аутентификации при подключении к Barracuda SSL VPN представлена на рисунке.

Двухфакторная аутентификация для Barracuda SSL VPN 2FA

1. Как работает двухфакторная аутентификация Barracuda SSL VPN

После настройки двухфакторной аутентификации для Barracuda SSL VPN, чтобы подключиться к Barracuda SSL VPN, пользователи будут вводить два разных фактора аутентификации.

  1. Первый 2FA фактор это имя пользователя и пароль (то, что пользователь знает);
  2. Второй 2FA фактор это одноразовый пароль с ограничением по времени, который генерируется с помощью OTP-токена или приложения на телефоне (то, чем владеет пользователь). Одноразовые пароли остаются действительными только в течение 30 секунд.

Получить несанкционированный доступ к учетной записи Barracuda SSL VPN, защищенной многофакторной аутентификацией, почти невозможно. Злоумышленнику нужно взломать или перехватить два пароля разной природы и использовать их одновременно. Более того, у него есть всего 30 секунд, чтобы получить и использовать одноразовый пароль, что еще больше усложняет задачу и делает ее практически невыполнимой.

Двухфакторная аутентификация (2FA/MFA) — эффективная мера защиты от таких угроз кибербезопасности, как фишинг, кейлоггинг, социальная инженерия, брутфорс, MITM-атаки, подмена данных и т.д.

2. Как настроить двухфакторную аутентификацию (2FA) для Barracuda SSL VPN

Интеграция двухфакторной аутентификации Protectimus с Barracuda SSL VPN возможна по протоколу RADIUS:
  1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
  2. Установите и настройте компонент Protectimus RADIUS Server.
  3. Настройте политики аутентификации для Barracuda SSL VPN.

2.1. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Добавьте Protectimus в качестве RADIUS сервера для Barracuda SSL VPN

  1. Войдите в интерфейс Barracuda VPN.
  2. Нажмите Users —> External Authentication.
How to set up Barracuda SSL VPN 2FA via RADIUS - step 1
  1. Выберите RADIUS и задайте следующие параметры, чтобы добавить новый RADIUS сервер. После этого нажмите Save, чтобы сохранить изменения.
Server AddressIP сервера, на котором установлен компонент Protectimus RADIUS Server.
Server PortУкажите 1812 (или тот порт, который вы указали в файле Protectimus radius.yml при настройке Protectimus RADIUS Server).
Server KeyУкажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Group AttributeОставьте значение по умолчанию.
Group Attribute DelimiterОставьте значение по умолчанию.
NAS IDЕсли ваш сервер RADIUS требует установки учетных данных NAS, укажите идентификатор NAS.
NAS IP AddressЕсли ваш сервер RADIUS требует установки учетных данных NAS, укажите IP адрес NAS.
NAS IP PortЕсли ваш сервер RADIUS требует установки учетных данных NAS, укажите IP-порт NAS.
Group Information FromОставьте пустым.
How to set up Barracuda SSL VPN MFA via RADIUS - step 2
  1. Перейдите во вкладку VPN —> SSL VPN.
How to set up Barracuda SSL VPN two-factor authentication via RADIUS - step 3
  1. Перейдите к разделу Authentication. Выберите RADIUS в User Authentication. Нажмите Save.
How to set up Barracuda SSL VPN multi-factor authentication via RADIUS - step 4
Интеграция двухфакторной аутентификации в Palo Alto Networks VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.

MikroTik VPN 2FA

Это руководство по настройке двухфакторной аутентификации (2FA) для MikroTik VPN посредством интеграции MikroTik VPN с решением многофакторной аутентификации Protectimus. Решение MFA Protectimus доступно в воде облачного сервиса или локальной платформы, которая устанавливается в инфраструктуре клиента.

Система двухфакторной аутентификации Protectimus интегрируется с MikroTik VPN по протоколу аутентификации RADIUS. Для этого вам необходимо установить локальный компонент Protectimus RADIUS Server и настроить MikroTik VPN для обращения к Protectimus RADIUS Server для аутентификации пользователей.

Ниже представлена схема работы решения двухфакторной аутентификации Protectimus для MikroTik VPN 2FA. Схема настройки двухфакторной аутентификации в MikroTik через RADIUS

1. Как работает двухфакторная аутентификация для MikroTik VPN

Protectimus добавляет второй фактор аутентификации к логину пользователей в MikroTik VPN. Это значит, что после настройки двухфакторной аутентификации в MikroTik VPN ваши пользователи будут вводить два разных фактора аутентификации при входе в свои учетные записи:
  1. Имя пользователя и пароль (то, что пользователь знает).
  2. Одноразовый пароль, сгенерированный с помощью токена двухфакторной аутентификации (то, что принадлежит пользователю).

Protectimus предлагает разные типы токенов двухфакторной аутентификации для MikroTik VPN:
  1. Классические и программируемые аппаратные OTP-токены в виде брелоков и пластиковых карт;
  2. Приложение для двухфакторной аутентификации Protectimus SMART OTP, доступное на iOS и Android;
  3. Любые другие приложения для двухфакторной аутентификации, включая Google Authenticator, кторые поддерживают стандарт аутентификации TOTP;
  4. Доставка одноразовых паролей с помощью чат-ботов в Telegram, Messenger и Viber;
  5. SMS аутентификация;
  6. Доставка одноразовых паролей по электронной почте.

Задача взломать два разных по своей природе фактора аутентификации (то, что пользователь знает и чем владеет) и использовать их одновременно в течение 30 секунд (время, когда одноразовый пароль остается активным) почти не выполнима для любого злоумышленника. Вот почему двухфакторная аутентификация по-прежнему остается одной из лучших мер безопасности для MikroTik VPN.

2. Как нстроить двухфакторную аутентификацию (2FA) для MikroTik VPN

Интеграция двухфакторной аутентификации Protectimus с MikroTik VPN возможна по протоколу RADIUS:
  1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
  2. Установите и настройте компонент Protectimus RADIUS Server.
  3. Настройте клиент MikroTik VPN.
  4. Настройте Windows VPN.

2.1. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Настройте клиент MikroTik VPN

  1. Откройте Webfig.
  2. Перейдите к меню слева и выберите вкладку RADIUS.
  3. Нажмите Add New чтобы добавить Protectimus RADIUS Server как RADIUS радиус.
  4. Выберите ppp и ipsec в разделе Service.
  5. Выберите login в разделе Service.
  6. Укажите IP сервера, на котором установлен компонент Protectimus RADIUS Server.
  7. Выберите udp в разделе Protocol.
  8. Укажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
  9. Измените Timeout по умолчанию на 30000 ms или выше.
  10. Нажмите OK чтобы сохранить настройки.
Настройка двухфакторной аутентификации в MikroTik VPN - шаг 1
  1. Перейдите в меню слева и выберите вкладкуPPP.
  2. Выберите вкладку Interface и нажмите на PPTP Server, SSTP Server, L2TP Server, или OVPN Server в зависимости от того, какой вы используете.
  3. Выберите pap и снимите все остальные флажки в разделе Authentication. Нажмите OK.
  4. Выберите вкладку Secrets и нажмите кнопку PPP Authentication & Accounting.
Настройка MikroTik VPN 2FA - шаг 2
  1. Отметьте Use Radius и нажмите OK чтобы завершить настройку и подключить двухфакторную аутентификацию Protectimus к MikroTik VPN.

2.4. Настройте Windows VPN

  1. В операционной системе Windows перейдите к Settings —> Network & Internet —> VPN и выберите Add a VPN connection.
  2. Заполните форму в соответствии с изображением и таблицей и нажмите Save.
VPN ProviderWindows (in-built)
Connection nameMikroTik
Server name or addressВведите IP-адрес вашего сервера
VPN typeВыберите тип VPN. Мы выбрали 2TP/IPsec with pre-shared key, но вам нужно выбрать тот, который вы используете в MikroTik.
Pre-shared keyУкажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Type of sign-in infoUser name and password
User name (необязательно)Ваше имя пользователя
Password (необязательно)Ваш пароль

Windows VPN  setup - step 1
  1. Перейдите в Control Panel → Network and Sharing Center и выберите Change adapter.
  2. Щелкните правой кнопкой мыши только что созданное соединение MikroTik и выберите Properties.
  3. Выберите вкладку Security.
  4. Выберите Allow these protocols и потом Unencrypted password (PAP).
  5. Нажмите OK чтобы сохранить настройки.
Windows VPN  setup - step 2
Интеграция двухфакторной аутентификации для MikroTik VPN 2FA завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.

Juniper VPN 2FA

В этом руководстве показано, как настроить двухфакторную аутентификацию (2FA/MFA) для Juniper Secure Access SSL VPN с помощью Облачного решения двухфакторной аутентификации Protectimus или Локальной 2FA платформы Protectimus.

Protectimus интегрируется с Juniper Secure Access SSL VPN через протокол аутентификации RADIUS.

В этом сценарии решение двухфакторной аутентификации Protectimus для Juniper Secure Access SSL VPN выступает в роли RADIUS-сервера, а Juniper VPN берет на себя роль RADIUS-клиента. Схему работы решения Protectimus для двухфакторной аутентификации в Juniper Secure Access SSL VPN вы увидите ниже.

Двухфакторная аутентификация для Juniper VPN - схема настройки через RADIUS

1. Как работает двухфакторная аутентификация (2FA) для Juniper VPN

Двухфакторная аутентификация (2FA), также известная как многофакторная аутентификация (MFA), является важной мерой безопасности для Juniper Secure Access SSL VPNN. 2FA защитит аккаунты пользователей, которые подключаются к корпоративным ресурсам через Juniper VPN, от таких угроз, как фишинг, брутфорс, подмена данных, социальная инженерия, кейлоггеры, атаки типа «человек посередине» и тому подобных угроз.

Вот как работает двухфакторная аутентификация для Juniper Secure Access SSL VPN:

  1. Когда пользователь инициирует вход в Juniper VPN, защищенный двухфакторной аутентификацией, в первую очередь он вводит первый фактор аутентификации — свой стандартный пароль и логин (то, что он знает).

  2. Затем пользователю будет предложено ввести второй фактор аутентификации — одноразовый пароль, для генерации которого потребуется OTP токен (то, что есть у пользователя — обычно это смартфон или физический OTP-токен в виде брелка).

Таким образом, чтобы получить доступ к учетной записи Juniper VPN, защищенной двухфакторной аутентификацией, мошенник должен получить доступ к двум факторам аутентификации, различающимся по своей природе. Это довольно сложная задача. Более того, одноразовый пароль на основе времени остается активным только в течение 30 секунд, что делает взлом более сложным и практически невозможным.

2. Как настроить двухфакторную аутентификацию (2FA) в Juniper VPN

Интеграция двухфакторной аутентификации Protectimus с Juniper VPN возможна по протоколу RADIUS:
  1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
  2. Установите и настройте компонент Protectimus RADIUS Server.
  3. Настройте политики аутентификации Juniper VPN.

2.1. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Добавьте Protectimus в качестве RADIUS сервера для Juniper VPN

  1. Войдите в интерфейс администратора Juniper VPN.
  2. В левом меню перейдите к Authentication —> Auth Servers.
  3. Выберите Radius Server из выпадающего меню, затем нажмите New Server.
  4. В поле Name введите Protectimus RADIUS.
  5. В секции Primary Server задайте следующие данные:
Radius ServerIP сервера, на котором установлен компонент Protectimus RADIUS Server.
SecretУкажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Authentication PortУкажите 1812 (или тот порт, который вы указали в файле Protectimus radius.yml при настройке Protectimus RADIUS Server).
Timeout60 секунд.

Juniper VPN 2FA setup via RADIUS - Step 1
  1. Нажмите Save Changes.

2.4. Добавьте Custom Radius Rules в Juniper VPN

2.4.1. Создайте правило для пакета Access Challenge

  1. Прокрутите вниз до раздела Custom Radius Rules .
  2. Нажмите на New Radius Rule.
  3. В поле Name, введите Protectimus Radius Rule 1.
  4. Для Response Packet Type, выберите Access Challenge.
  5. В разделе Then take action section, выберите Show Generic Login.

Juniper VPN 2FA setup via RADIUS - Step 2

  1. Нажмите Save Changes.

2.4.1. Создайте правило для пакета Access Reject

  1. Нажмите на New Radius Rule.
  2. In the Name field, enter Protectimus Radius Rule 2.
  3. В поле Response Packet Type выберите Access Reject.
  4. В разделе Then take action section, выберите Show Generic Login.
  5. Нажмите Save Changes.

2.5. Настройте User Realm

Чтобы настроить пользовательскую область (User Realm) для сервера Protectimus Radius, вы можете выполнить одно или несколько из следующих действий:
  • Создайте новую область для тестирования;
  • Создайте область для постепенного переноса пользователей в новую систему (например, путем дублирования существующей области);
  • Использовать область пользователей по умолчанию.
Чтобы добавить 2FA в пользовательскую область:
  1. В меню слева перейдите в раздел Users —> User Realms щелкните ссылку пользовательской области, для которой вы хотите добавить двухфакторную аутентификацию..
  2. В поле Authentication выберите Protectimus RADIUS и нажмите Save Changes.
Juniper VPN 2FA setup via RADIUS - Step 3
  1. Добавьте только что созданную область Protectimus RADIUS в authentication realm.
  • Нажмите Authentication —> Signing In —> соответствующий URL-адрес.
  • Переместите только что созданную область из области Available realms в Selected realms.
  • Нажмите Save Changes.

Интеграция двухфакторной аутентификации в Palo Alto Networks VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.

Cisco Switches 2FA

В этом руководстве показано, как настроить двухфакторную аутентификацию для сетевой техники Cisco с помощью Облачного сервиса двухфакторной аутентифиции Protectimus или локальной 2FA платформы Protectimus.

Система двухфакторной аутентификации Protectimus взаимодействует с сетевым оборудованием Cisco по протоколу RADIUS. Компонент Protectimus RADIUS Server выступает в роли RADIUS-сервера. Он принимает входящие запросы на аутентификацию по протоколу RADIUS, обращается к хранилищу пользователей (Active Directory и т. д.) для проверки логина и пароля, а затем обращается к серверу двухфакторной аутентификации Protectimus для проверки одноразового пароля. Если оба фактора аутентификации верны, RADIUS-сервер Protectimus разрешает пользователю подключиться к сетевому коммутатору или свитчу Cisco.

Схема работы решения Protectimus для двухфакторной аутентификации при подключении к сетевой технике Cisco представлена на рисунке.

Схема работы решения вухфакторной аутентификации Protectimus для сетевой техники Cisco

1. Как работает двухфакторная аутентификация для сетевой техники Cisco

После настройки двухфакторной аутентификации для коммутаторов Cisco, чтобы подключиться к сетевой технике Cisco, пользователи будут вводить два разных фактора аутентификации.

  1. Первый фактор аутентификации это логин и пароль (то, что пользователь знает);
  2. Второй фактор аутентификации это одноразовый пароль, который нужно сгенерировать с помощью аппаратного 2FA токена или смартфона (того, что принадлежит пользователю).

После того, как вы активируете двухфакторную аутентификацию (2FA) для коммутаторов Cisco, взломать доступ к сетевой технике Cisco станет осень сложно. Заполучить оба фактора аутентификации одновременно практически невозможно. Более того, время действия одноразового пароля составляет всего 30 секунд, поэтому у злоумышленника будет слишком мало времени, чтобы взломать второй фактор.

Двухфакторная аутентификация (2FA / MFA) — это эффективная мера защиты от таких угроз кибербезопасности, как фишинг, социальная инженерия, брутфорс, кейлоггинг, атаки человек-посередине, подмена данных и т. д.

2.Как настроить двухфакторную аутентификацию (2FA) для сетевой техники Cisco

Интеграция двухфакторной аутентификации Protectimus с сетевой техники Cisco возможна по протоколу RADIUS:
  1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
  2. Установите и настройте компонент Protectimus RADIUS Server.
  3. Настройте политики аутентификации на сетевом устройстве Cisco.

2.1. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Добавьте Protectimus в качестве RADIUS сервера для сетевого устройства Cisco

  1. Добавьте Protectimus в качестве RADIUS сервера.
Switch(config) #radius server [configuration-name]

Switch(config-radius-server) #address ipv4 hostname [auth-port integer] [acct-port integer]

Switch(config-radius-server) #key [shared-secret]

  1. Свяжите только что созданный вами RADIUS-сервер с группой серверов.
Switch(config) #aaa group server radius [group-name]

Switch(config-sg-radius) #server name [configuration-name]

  1. Настройте aaa authentication login, чтобы использовать группу RADIUS с откатом к локальной аутентификации.
Switch(config) #aaa authentication login [default | list-name] group [group-name] local


Интеграция двухфакторной аутентификации в Fortinet FortiGate VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.

Check Point VPN 2FA

В этом руководстве показано, как настроить двухфакторную аутентификацию в Check Point VPN (2FA), интегрировав Check Point VPN с облачным сервисом многофакторной аутентификации или локальной MFA платформой Protectimus через RADIUS.

Двухфакторная аутентификация (2FA) защитит учетные записи ваших пользователей и, соответственно, вашу корпоративную инфраструктуру от несанкционированного доступа. Подключив двухфакторную аутентификацию для Check Point VPN, вы защитите учетные записи своих пользователей от фишинга, брутфорса, подмены данных, кейлоггеров, социальной инженерии и множества других кибератак.

1. Как работает двухфакторная аутентификация для Check Point VPN

Двухфакторная аутентификация (2FA) предполагает, что пользователи будут использовать два разных типа аутентификаторов для входа в свои учетные записи Check Point.

  1. Сначала пользователь вводит стандартный пароль и имя пользователя (что-то известное пользователю);
  2. Затем он вводят одноразовый пароль, полученный с помощью OTP токена или смартфона (того, что принадлежит пользователю).

Таким образом, когда доступ к Check Point VPN защищен двухфакторной аутентификацией включен, злоумышленнику становится слишком сложно взломать оба пароля двухфакторной аутентификации одновременно, особенно если учесть, что одноразовый пароль действителен только в течение 30 секунд.

Ниже вы найдете схему работы решения двухфакторной аутентификации Protectimus для Fortinet Fortigate VPN.

Схема настройки двухфакторной аутентификации для Check Point VPN 2FA

2. Как настроить двухфакторную аутентификацию (2FA) в Check Point VPN

Интеграция двухфакторной аутентификации Protectimus с Check Point VPN возможна по протоколу RADIUS:
  1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
  2. Установите и настройте компонент Protectimus RADIUS Server.
  3. Настройте политики аутентификации в Check Point VPN.

2.1. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Добавьте Protectimus в качестве RADIUS сервера для Check Point

  1. Войдите в свою учетную запись Check Point Web UI и перейдите на вкладку VPN.
Настройка 2FA для Check Point VPN  - шаг 1

  1. В разделе Remote Access выберите Authentications Servers.
Настройка двухфакторной аутентификации для Check Point VPN  - шаг 2

  1. В раздел RADIUS Servers, нажмите Configure, чтобы добавить новый RADIUS сервер.
Настройка 2-факторной аутентификации для Check Point VPN  - шаг 3

  1. Задайте следующие параметры, чтобы добавить сервер RADIUS.
IP addressIP сервера, на котором установлен компонент Protectimus RADIUS Server..
PortУкажите 1812 (или тот порт, который вы указали в файле Protectimus radius.yml при настройке Protectimus RADIUS Server).
Shared SecretУкажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Timeout (in seconds)Установите значение 60 секунд.
Настройка 2FA для Check Point VPN - шаг 4

  1. Затем нажмите Apply, чтобы продолжить настройку.
Настройка двухфакторной аутентификации для Check Point VPN - шаг 5

  1. Нажмите на ссылку permissions for RADIUS users.
Настройка двухшаговой аутентификации для Check Point VPN - шаг 6

  1. Выберите Enable RADIUS authentication for Remote Access Users и нажмите Apply.
Настройка многофакторной аутентификации для Check Point VPN - шаг 7

Интеграция двухфакторной аутентификации для Check Point VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки Protectimus.

SonicWall VPN 2FA

Это руководство по настройке двухфакторной аутентификации (2FA) для SonicWall VPN посредством интеграции SonicWall с решением многофакторной аутентификации Protectimus. Решение MFA Protectimus доступно в воде облачного сервиса или локальной платформы, которая устанавливается в инфраструктуре клиента.

Система двухфакторной аутентификации Protectimus интегрируется с SonicWall SSL VPN по протоколу аутентификации RADIUS. Для этого вам необходимо установить локальный компонент Protectimus RADIUS Server и настроить SonicWall Network Security Appliance для обращения к Protectimus RADIUS Server для аутентификации пользователей.

Ниже представлена схема работы решения двухфакторной аутентификации Protectimus для SonicWall VPN 2FA.

Cхема работы решения двухфакторной аутентификации Protectimus для SonicWall VPN 2FA

1. Как работает двухфакторная аутентификация для SonicWall VPN

Protectimus добавляет второй фактор аутентификации к логину пользователей в SonicWall VPN. Это значит, что после настройки двухфакторной аутентификации в SonicWall VPN ваши пользователи будут вводить два разных фактора аутентификации при входе в свои учетные записи:
  1. Имя пользователя и пароль (то, что пользователь знает и помнит).
  2. Одноразовый пароль, сгенерированный с помощью токена двухфакторной аутентификации (то, что принадлежит пользователю).

Protectimus предлагает разные типы токенов двухфакторной аутентификации для SonicWall:
  • Классические и программируемые аппаратные OTP-токены в виде брелоков и пластиковых карт;
  • Приложение для двухфакторной аутентификации Protectimus SMART OTP, доступное на iOS и Android;
  • Любые другие приложения для двухфакторной аутентификации, включая Google Authenticator, кторые поддерживают стандарт аутентификации TOTP;
  • Доставка одноразовых паролей с помощью чат-ботов в Telegram, Messenger и Viber;
  • SMS аутентификация;
  • Доставка одноразовых паролей по электронной почте.

Вы можете нестроить двухфакторную аутентификацию SonicWall VPN 2FA так, чтобы вашим пользователям был доступен только один из перечисленных способов доставки одноразовых паролей, или же можно предоставить пользователям возможность самостоятельно выбирать и подключить один из нескольких видов токенов, для удобно использовать Портал самообслуживания пользователей Protectimus.

Двухфакторная аутентификация защищает SonicWall VPN от множества угроз, связанных с кражей учетных данных пользователей, включая фишинг, социальную инженерию, брктфорс, кейлоггеры, подмену данных и т. д.

Задача взломать два разных по своей природе фактора аутентификации (то, что пользователь знает и чем владеет) и использовать их одновременно в течение 30 секунд (время, когда одноразовый пароль остается активным) почти не выполнима для любого злоумышленника. Вот почему двухфакторная аутентификация по-прежнему остается одной из лучших мер безопасности для SonicWall VPN.

2. Как нстроить двухфакторную аутентификацию (2FA) для SonicWall VPN

Интеграция двухфакторной аутентификации Protectimus с SonicWall VPN возможна по протоколу RADIUS:
  1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
  2. Установите и настройте компонент Protectimus RADIUS Server.
  3. Настройте политики аутентификации в SonicWall VPN.

2.1. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Добавьте Protectimus в качестве RADIUS сервера для SonicWall VPN

Ниже вы найдете две инструкции по добавлению Protectimus в качестве RADIUS-сервера в SonicWall Network Security Appliance:

2.3.1. SonicOS 6.2 и более ранние версии

  1. Войдите в интерфейс администратора SonicWall.
  2. Перейдите в Users —> Settings —> Authentication method for login и выберите RADIUS. Затем нажмите Configure.
SonicWall VPN 2FA setup - SonicOS 6.2 - Step 1

  1. Задайте следующие настройки RADIUS, чтобы создать RADIUS сервер.
RADIUS Server TimeoutУстановите значение 30 секунд или выше. Это необходимо для того, чтобы при логине было достаточно времени для получения OTP и его ввода.
Name or IP AddressIP сервера, на котором установлен компонент Protectimus RADIUS Server.
Shared SecretУкажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Port NumberУкажите 1812 (или тот порт, который вы указали в файле Protectimus radius.yml при настройке Protectimus RADIUS Server).
SonicWall VPN two-factor authentication setup - SonicOS 6.2 - Step 2

  1. Перейдите во вкладку RADIUS Users. Выберите подходящий механизм для создания группы пользователей, для которой будет применяться двухфакторная аутентификация, нажмите Apply, чтобы сохранить настройки и протестируйте конфигурацию.
SonicWall VPN multi-factor authentication setup - SonicOS 6.2 - Step 3

2.3.2. SonicOS 6.5 и более поздние версии

  1. Войдите в интерфейс администратора SonicWall.
  2. Нажмите MANAGE, перейдите к Users —> Settings —> User authentication method и выберите RADIUS. Затем нажмите на кнопку CONFIGURE RADIUS.
SonicWall VPN 2-factor authentication setup - SonicOS 6.5 - Step 1

  1. Нажмите Add а затем задайте следующие параметры RADIUS, чтобы добавить RADIUS-сервер.
Host Name or IP AddressIP сервера, на котором установлен компонент Protectimus RADIUS Server..
Shared SecretУкажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Confirm Shared SecretПодтвердите секретный ключ.
PortУкажите 1812 (или тот порт, который вы указали в файле Protectimus radius.yml при настройке Protectimus RADIUS Server).
SonicWall VPN MFA setup - SonicOS 6.5 - Step 2

  1. Находясь в настройках серверов RADIUS (RADIUS Servers Settings), переключитесь на General Settings и установите время ожидания сервера RADIUS от 30 секунд или выше.
SonicWall VPN two-factor authentication setup - SonicOS 6.5 - Step 3

  1. Перейдите во вкладку RADIUS Users. Выберите подходящий механизм для создания группы пользователей, для которой будет применяться двухфакторная аутентификация, нажмите OK, чтобы сохранить настройки и протестируйте конфигурацию.n.
SonicWall VPN 2-factor authentication setup - SonicOS 6.5 - Step 4

Интеграция двухфакторной аутентификации для SonicWall VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.

Palo Alto Networks VPN 2FA

В этом руководстве показано, как настроить двухфакторную аутентификацию (2FA/MFA) для Palo Alto Networks VPN с помощью Облачного решения двухфакторной аутентификации Protectimus или Локальной 2FA платформы Protectimus.

Protectimus интегрируется с Palo Alto GlobalProtect VPN через протокол аутентификации RADIUS.

В этом сценарии решение двухфакторной аутентификации Protectimus для Palo Alto GlobalProtect VPN выступает в роли RADIUS-сервера, а Palo Alto Networks VPN берет на себя роль RADIUS-клиента. Схему работы решения Protectimus для двухфакторной аутентификации в Palo Alto Networks VPN вы увидите ниже.

Двухфакторная аутентификация для Paloalto - схема настройки через RADIUS

1. Как работает двухфакторная аутентификация (2FA) для Palo Alto Networks VPN

Двухфакторная аутентификация (2FA), также известная как многофакторная аутентификация (MFA), является важной мерой безопасности для Palo Alto GlobalProtect VPN. 2FA защитит аккаунты пользователей, которые подключаются к корпоративным ресурсам через Palo Alto GlobalProtect VPN, от таких угроз, как фишинг, брутфорс, подмена данных, социальная инженерия, кейлоггеры, атаки типа «человек посередине» и тому подобных угроз.

Вот как работает двухфакторная аутентификация для Palo Alto GlobalProtect VPN:

  1. Когда пользователь инициирует вход в Palo Alto GlobalProtect VPN, защищенный двухфакторной аутентификацией, в первую очередь он вводит первый фактор аутентификации — свой стандартный пароль и логин (то, что он знает).

  2. Затем пользователю будет предложено ввести второй фактор аутентификации — одноразовый пароль, для генерации которого потребуется OTP токен (то, что есть у пользователя — обычно это смартфон или физический OTP-токен в виде брелка).

Таким образом, чтобы получить доступ к учетной записи Palo Alto GlobalProtect VPN, защищенной двухфакторной аутентификацией, мошенник должен получить доступ к двум факторам аутентификации, различающимся по своей природе. Это довольно сложная задача. Более того, одноразовый пароль на основе времени остается активным только в течение 30 секунд, что делает взлом более сложным и практически невозможным.

2. Как настроить двухфакторную аутентификацию (2FA) в Palo Alto Networks VPN

Интеграция двухфакторной аутентификации Protectimus с Palo Alto Networks VPN возможна по протоколу RADIUS:
  1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
  2. Установите и настройте компонент Protectimus RADIUS Server.
  3. Настройте политики аутентификации в Palo Alto Networks VPN.

2.1. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Добавьте Protectimus в качестве RADIUS сервера для Palo Alto Networks VPN

  1. Войдите в интерфейс администратора Palo Alto Networks.
  2. На вкладке Device, перейдите в Server Profiles, а потом нажмите RADIUS.
  3. Нажмите кнопкуAdd, чтобы добавить новый профиль RADIUS сервера. Вы увидите следующее окно:
Palo Alto Global Protect VPN 2FA setup - Configure Palo Alto Networks RADIUS Server Profile
  1. В поле Profile Name укажите имя вашего RADIUS сервера, например, Protectimus RADIUS, или придумайте любое другое название.
  2. В поле Timeout укажите хотя бы 30 секунд.
  3. В поле Authentication Protocol укажите PAP.

ОБРАТИТЕ ВНИМАНИЕ! Пользователям PAN-OS 7.x нужно установить протокол в CLI с помощью этой команды:

set authentication radius-auth-type pap
  1. Нажмите на кнопку Servers —> Add, чтобы добавить RADIUS сервер. Затем введите следующие данные:
ServerУкажите любое имя для своего RADIUS-сервера — Protectimus RADIUS или любое другое имя по вашему желанию.
RADIUS ServerIP сервера, на котором установлен компонент Protectimus RADIUS Server.
SecretУкажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
PortУкажите 1812 (или тот порт, который вы указали в файле Protectimus radius.yml при настройке Protectimus RADIUS Server).
  1. Нажмите OK и сохраните новый профиль RADIUS сервера.

2.4. Создайте Authentication Profile в Palo Alto Networks

  1. Перейдите во вкладку Device и выберите Authentication Profile.
  2. Нажмите Add, чтобы создать новый профиль аутентификации (Authentication Profile), вы увидите следующее окно:
Palo Alto Global Protect VPN 2FA setup - Create an Authentication Profile in Palo Alto Networks
  1. Введите следующие данные:
NameВведите PROTECTIMUS или выберите любое другое имя.
TypeВыберите RADIUS из выпадающего списка.
Server ProfileВыберите Protectimus RADIUS из раскрывающегося списка (или другое имя, которое вы указали при создании профиля сервера RADIUS на шаге 2.3).
  1. Оставьте остальные параметры как они указаны по умолчанию.
  2. Затем перейдите во вкладку Advanced и выберите группу all, или же выберите конкретную группу, к которой будет применяться этот профиль аутентификации.
  3. Нажмите OK и сохраните профиль аутентификации (Authentication profile), который вы создали.

2.5. Привяжите Authentication Profile к порталу или шлюзу Palo Alto GlobalProtect.

Вы можете настроить несколько конфигураций проверки подлинности клиентов (client authentication configurations) для портала и шлюзов Palo Alto GlobalProtect. Для каждой конфигурации проверки подлинности клиента можно указать профиль аутентификации (Authentication Profile), который будет применяться к конечным точкам конкретной ОС.

В этом пункте мы описали, как привязать ваш профиль аутентификации (Authentication Profile) к нужному порталу или шлюзу Palo Alto GlobalProtect VPN. Дополнительные сведения о настройке порталов (Portals) и шлюзов (Gateways) см. в документации PaloAlto Networks GlobalProtect Portals и GlobalProtect Gateways.

  1. Перейдите в Network —> GlobalProtect —> Gateways или Portals.
  2. Нажмите на название настроенного вами шлюза или портала GlobalProtect, чтобы открыть окно свойств.
  3. В открывшемся окне выберите вкладку Authentication.
Palo Alto Global Protect VPN 2FA setup - Assign the Authentication Profile to the GlobalProtect Gateway
  1. Выберите SSL/TLS Service Profile или создайте новый (для этого нажмите Add).
  2. Нажмите на название текущей записи в разделе Client Authentication, чтобы изменить ее, или создайте новую, нажав кнопку Add.
  3. В открывшемся окне укажите следующую информацию.
NameВведите любое имя.
OSAny
Authentication ProfileВыберите профиль аутентификации (Authentication Profile), который вы создали ранее на Шаге 2.4.
Palo Alto Global Protect VPN 2FA setup - Assign the Authentication Profile to the GlobalProtect Gateway step 2

  1. Нажмите ОК, чтобы сохранить настройки.
Интеграция двухфакторной аутентификации в Palo Alto Networks VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.

FortiGate VPN 2FA

В этом руководстве показано, как настраивается двухфакторная аутентификация для FortiGate VPN через протокол RADIUS. Для этого мы предлагаем интегрировать Fortinet FortiGate VPN с системой многофакторной аутентификации Protectimus.

Настройте двухфакторную аутентификацию для Forticlient VPN, чтобы защитить учетные записи ваших пользователей и конфиденциальные корпоративные данные от несанкционированного доступа. Сегодня двухфакторная аутентификация это обязательная мера кибербезопасности, особенно если речь идет о безопасности VPN-подключения. Двухфакторная аутентификация для Fortinet FortiGate VPN — эффективный инструмент защиты от брутфорса, подмены данных, социальной инженерии, фишинга, кейлоггеров, атак типа «человек посередине» и т. д.

1. Как работает двухфакторная аутентификация для Fortinet FortiGate VPN

После настройки двухфакторной аутентификации в FortiGate VPN, ваши конечные пользователи будут вводить два разных фактора аутентификации, чтобы получить доступ к своим учетным записям.

  1. Первый фактор аутентификации — стандартный пароль и логин (то, что знает пользователь).
  2. Второй фактор аутентификации — это одноразовый код, сгенерированный с помощью OTP-токена или телефона (того, что есть у пользователя).

Двухфакторная аутентификация (2FA) для Fortinet FortiGate VPN в препятствует получению несанкционированного доступа к учетной записи пользователя, поскольку практически невозможно взломать оба фактора аутентификации одновременно. Еще больше усложняет задачу хакерам то, что одноразовый код действует только в течение 30 секунд.

Ниже вы найдете подробную инструкцию по настройке двухфактоной аутентификации в Fortinet Fortigate VPN через RADIUS с помощью Облачного сервиса двухфакторной аутентификации Protectimus Cloud или Локальной платформы двухфакторной аутентификации Protectimus On-Premise.

Двухфакторная аутентификация для Fortigate VPN через RADIUS

2. Как настроить двухфакторную аутентификацию (2FA) в FortiGate VPN

Интеграция двухфакторной аутентификации Protectimus с Fortinet FortiGate VPN возможна по протоколу RADIUS:
  1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
  2. Установите и настройте компонент Protectimus RADIUS Server.
  3. Настройте политики аутентификации в Fortinet FortiGate VPN.

2.1. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Добавьте Protectimus в качестве RADIUS сервера для Fortinet FortiGate

  1. Войдите в свою учетную запись Fortinet FortiGate и перейдите в консоль администратора Admin console.
  2. Перейдите к User & Device —> RADIUS Servers, затем выберите Create New, чтобы начать добавление нового сервера RADIUS.
Двухфакторная аутентификация для Fortinet Fortigate VPN - шаг 1

  1. Вы увидите меню, позволяющее добавить новый RADIUS сервер.
2-факторная аутентификация для Fortinet Fortigate VPN - шаг 2

  1. Задайте следующие параметры, чтобы добавить новый RADIUS сервер.
NameПридумайте имя для своего RADIUS-сервера.
Authentication MethodНажмите Specify, затем выберите PAP из выпадающего списка.
Primary Server IP / NameIP сервера, на котором установлен компонент Protectimus RADIUS Server.
Primary Server SecretУкажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Secondary Server IP / NameОпционально
Secondary Server SecretОпционально

  1. Нажмите Test Connectivity, чтобы убедиться, что IP-адрес RADIUS-сервера и секрет указаны правильно, и что соединение между FortiGate VPN и Protectimus RADIUS Server установлено.
Нажмите Test Connectivity, чтобы проверить соединение между FortiGate VPN и Protectimus RADIUS Server

  1. Если все в порядке, нажмите OK, чтобы сохранить настройки.

2.4. Создайте группу пользователей

  1. Перейдите в User & Device —> User Groups.
  2. Нажмите Create New.
Создайте группу пользователей для 2FA в Fortinet Fortigate - шаг 1

  1. В поле Type выберите Firewall. Затем найдите секцию Remote Groups, нажмите Add, и выберите Protectimus Radius Server в качестве Remote Server.
Создайте группу пользователей для двухфакторной аутентификации в Fortinet Fortigate - шаг 2
  1. Чтобы сохранить настройки нажмите OK.

2.5. Свяжите созданную группу пользователей с FortiGate VPN


ВНИМАНИЕ! Используйте IPsec Wizard чтобы добавить новый IPSec Tunnel, если вы еще не настроили IPSec Tunnel.

  1. Перейдите в VPN —> IPSec Tunnels и выберите IPSec Tunnel, который вы создали.
Свяжите созданную группу пользователей с FortiGate VPN - шаг 1

  1. Нажмите на Convert To Custom Tunnel если это необходимо.
Свяжите созданную группу пользователей с FortiGate VPN - шаг 2

  1. Перейдите в раздел XAuth и нажмите Edit.
  2. Выберите PAP Server в выпадающем списке.
Свяжите созданную группу пользователей с FortiGate VPN - шаг 3

  1. Выберите группу пользователей, которую вы создали на шаге 2.4.
  2. Нажмите OK и сохраните настройки.

2.6. Синхронизируйте интервал времени, который используют Fortinet FortiGate и Protectimus RADIUS Server

  1. Интервал времени, который FortiGate VPN использует по умолчанию, составляет 5 секунд. Вам нужно увеличить этот интервал времени до 30 секунд.
  2. Для этого подключитесь к интерфейсу командной строки устройства.
  3. И выполните команды, которые показаны ниже:
Синхронизируйте интервал времени, который используют Fortinet FortiGate и Protectimus RADIUS Server

2.7. Протестируйте работает ли двухфакторная аутентификация для Fortigate VPN

  1. Войдите в Forticlient и введите ваши имя пользователя и пароль.
Протестируйте работает ли двухфакторная аутентификация для Fortigate VPN - шаг 1

  1. Вам будет предложено ввести одноразовый пароль, если вы успешно настроили двухфакторную аутентификацию для Fortigate VPN.
Протестируйте работает ли двухфакторная аутентификация для Fortigate VPN - шаг 2

  1. Введите свой одноразовый код из токена двухфакторной аутентификации, и вы получите доступ к Fortigate VPN.

ВНИМАНИЕ! При настройке подключения IPSec VPN в FortiClient используйте Pre-Shared key туннеля IPSec, который был создан ПОСЛЕДНИМ. В работе Fortinet могут возникнуть проблемы, если на сервере FortiGate добавлено несколько туннелей IPSec.

Интеграция двухфакторной аутентификации в Fortinet FortiGate VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.

Windows VPN 2FA

Это руководство по настройке двухфакторной аутентификации (2FA) в Windows VPN с помощью системы мультифакторной аутентификации Protectimus. После интеграции Windows VPN и Protectimus, чтобы подключиться к Windows VPN, пользователи должны будут пройти два этапа аутентификации:

  1. Ввести свой логин и пароль.
  2. Ввести одноразовый пароль, который действует только 30 секунд.

Для генерации одноразовых паролей, вашим пользователям будут доступны следующие виды токенов: приложение-аутентификатор на смартфоне; доставка одноразовых кодов в Telegram, Viber, Facebook Messenger; физические TOTP токены; доставка одноразовых кодов по электронной почте или SMS.

Получить одновременный доступ и к стандартному паролю, и к одноразовому паролю практически невозможно. Поэтому двухфакторная аутентификация — базовый элемент защиты учетных записей пользователей Windows VPN от несанкционированного доступа и взлома с помощью таких атак как фишинг, брутфорс, кейлоггеры, социальная инженерия и подобных.

1. Двухфакторная аутентификация для Windows VPN — схема работы

В этом руководстве показано, как настроить двухфакторную аутентификация для Windows VPN с помощью Облачного сервиса двухфакторной аутентификации Protectimus или локальной 2FA платформы Protectimus и компонента RRAS. Для этого необходима интеграция RRAS с Protectimus по протоколу аутентификации RADIUS.

Схема работы решения двухфакторной аутентификации Protectimus для Windows VPN представлена ниже.

Windows VPN 2FA

2. Как настроить двухфакторную аутентификацию (2FA) в Windows VPN

Интеграция двухфакторной аутентификации Protectimus с Windows VPN возможна по протоколу RADIUS:
  1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
  2. Установите и настройте компонент Protectimus RADIUS Server.
  3. Установите и настройте RRAS.
  4. Настройте Windows VPN.

2.1. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

В файле конфигурации так же нужно указать “inline-mode”. В разделе “auth” добавьте следующую настройку (сепаратор можно указать любой):

inline-mode: 
  enabled: true
  separator: ‘,’

2.3. Установите и настройте Routing and Remote Access Service (RRAS)

Установка RRAS

  1. Откройте Server Manager, в меню Manage выберите «Add Roles and Features Wizard».
  2. В разделе “Server Roles” выберите «Remote Access».
  3. В разделе “Role Services” выберите «Direct Access and VPN (RAS)».
  4. Завершите установку.

Настройка RRAS

  1. Запустите «Routing and Remote Access».
  2. Выберите “Deploy VPN only”.
  3. Правой кнопкой нажмите на имя сервера, далее выберите «Configure and Enable Routing and Remote Access».
Configure and Enable Routing and Remote Access
  1. Выберите пункт «Custom Configuration».
  2. Далее отметьте пункт «VPN Access».
  3. Завершите установку и запустите сервис.

Настройка аутентификации

  1. Зайдите в в настройки нажав правой кнопкой на имя сервера и выбрав “Properties”, далее переключитесь на вкладку “Security”.
  2. В выпадающем списке “Authentication Provider” выберите “RADIUS Authentication”.
  3. Нажмите на кнопку “Configure” восле этого же выпадающего списка.
  4. Далее добавьте новый сервер:
    • Server name: IP адрес компонета ПК, на котором установлен RADIUS сервер.
    • Shared Secret: общий секрет, который был указан в файле radius.yml при настройке RADIUS.
    • Так же выберите «Always use message authenticator».
    • Остальные настройки оставьте по умолчанию.
  5. Сохраните добавленный сервер.
Сохраните добавленный сервер
  1. Далее нажмите на кнопку “Authentication methods”.
  2. В появившемся окне оставьте выбранным только “Unencrypted password (PAP)».
Unencrypted password (PAP)
  1. Сохраните все настройки.

2.4. Настройте Windows VPN

  1. Зайдите в настройки VPN.
  2. Нажмите “Добавить новое VPN-подключение”.
    • Поставщик услуг VPN: Windows (встроенные).
    • Имя или адрес сервера: адрес вашего сервера.
    • Тип данных для входа: Имя пользователя и пароль.
  3. Сохраните VPN-подключение.
Сохраните VPN-подключение
  1. Далее зайдите в настройки параметров адаптера: Панель управления > Сеть и интернет > Сетевые подключения.
  2. Правой кнопкой нажмите на апаптер созданного VPN-подключения и нажмите “Свойства”.
  3. Во вкладке “Безопастность” выберите “Разрешить следующие протоколы”.
  4. Оставьте только “Незашифрованный пароль (PAP)”.
Оставьте только “Незашифрованный пароль (PAP)”
  1. Сохраните настройку.
  2. Вы завершили настройку Windows VPN, далее можно тестировать подключение.
Интеграция двухфакторной аутентификации в Windows VPN завершена. Если у вас есть вопросы, свяжитесь со службой поддержки Protectimus.