F5 BIG-IP APM VPN 2FA

В этом руководстве показано, как настроить двухфакторную аутентификацию (2FA/MFA) для F5 BIG-IP APM VPN с помощью решения многофакторной аутентификации Protectimus.

Система двухфакторной аутентификации Protectimus интегрируется с F5 BIG-IP APM через протокол аутентификации RADIUS. Облачный сервис двухфакторной аутентификации или Локальная MFA платформа Protectimus выступает в качестве RADIUS-сервера, а F5 BIG-IP APM берет на себя роль RADIUS-клиента.

Схема работы решения Protectimus для двухфакторной аутентификации в F5 BIG-IP APM VPN представлена ниже.

Двухфакторная аутентификация (2FA / MFA) для F5 BIG-IP APM VPN

1. Как работает двухфакторная аутентификация (2FA) для F5 BIG-IP APM VPN

Решение двухфакторной аутентификации Protectimus позволяет добавить дополнительный уровень безопасности при входе в F5 BIG-IP APM.

Когда вы настроите двухфакторную аутентификацию для F5 BIG-IP APM VPN, ваши пользователи будут использовать два разных фактора аутентификации для входа в свои учетные записи.

Первый фактор — это логин и пароль (то, что знает пользователь);
Второй фактор — это одноразовый пароль, сгенерированный с помощью аппаратного OTP-токена или приложения на телефоне (с помощью того, что есть у пользователя).

Чтобы взломать доступ к F5 BIG-IP APM, защищенный двухфакторной аутентификацией, хакеру необходимо получить стандартный пароль и одноразовый пароль одновременно. При этому у него есть всего 30 секунд, чтобы взломать одноразовый пароль. Это почти невозможно, что делает двухфакторную аутентификацию настолько эффективной против брутфорса, подмены данных, клавиатурных шпионов, фишинга, атак «человек посередине», социальной инженерии и подобных хакерских атак.

2. Как настроить двухфакторную аутентификацию (2FA) для F5 BIG-IP APM VPN

Интеграция двухфакторной аутентификации Protectimus с F5 BIG-IP APM возможна по протоколу RADIUS:

Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.

Установите и настройте компонент Protectimus RADIUS Server.

Добавьте Protectimus в качестве RADIUS сервера для F5 BIG-IP APM.

2.1. Зарегистрируйтесь и задайте базовые настройки

Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
Создайте ресурс.
Добавьте пользователей.
Добавьте токены или активируйте Портал самообслуживания пользователей.
Назначите токены пользователям.
Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Добавьте Protectimus в качестве RADIUS сервера для F5 BIG-IP APM

Войдите в панель администратора F5 BIG-IP.
Перейдите к Access —> Authentication —> RADIUS.

How to add two-factor authentication to F5 BIG-IP APM

Нажмите кнопку Create… чтобы добавить новый RADIUS-сервер.
Затем заполните форму, ссылаясь на таблицу и изображение представленные ниже, и нажмите Finished, чтобы сохранить настройки.

Name	Выберите любое имя для вашего RADIUS-сервера, например, Protectimus_RADIUS_Server или любое другое имя по вашему желанию.
Mode	Выберите Authentication.
Server Connection	Выберите Direct.
Server Address	Введите IP-адрес сервера, на котором установлен компонент Protectimus RADIUS Server.
Authentication Service Port	Укажите 1812 (или тот порт, который вы указали в файле Protectimus radius.yml при настройке Protectimus RADIUS Server).
Secret	Укажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Confirm Secret	Подтвердите секретный ключ.
Timeout	Установите значение 180 секунд.
Retries	Установите значение 3.
Character Set	Установите значение UTF-8.
Service Type	Выберите Default.

How to add multi-factor authentication to F5 BIG-IP APM - step 2

2.4. Редактируйте политики доступа F5 BIG-IP APM

Перейдите к Access —> Profiles/Policies —> Access Profiles (Per-Session Policies).

How to set up F5 BIG-IP APM 2FA - step 3

Нажмите Edit…, чтобы внести изменения в политики доступа F5 BIG-IP APM.

How to set up F5 BIG-IP APM MFA - step 4

Вы увидите редактор политик доступа. Нажмите на знак + (плюс) на стрелке справа от страницы входа.

How to set up F5 BIG-IP APM two-factor auth - step 5

Откроется новое окно. Выберите вкладку Authentication. Затем выберите RADIUS Auth и нажмите на кнопкуAdd Item.

How to set up F5 BIG-IP APM two-factor authentication - step 6

В раскрывающемся списке AAA Server выберите Protectimus_RADIUS_Server — сервер, который вы создали ранее. Затем нажмите Save, чтобы сохранить изменения.

How to set up F5 BIG-IP APM 2FA - step 7

ВНИМАНИЕ!
Если вы уже использовуете какой-то метод аутентификации (например, Active Directory), вы можете удалить его или сохранить.
Вы можете оставить прежний метод аутентификации и использовать Protectimus после или до этого метода аутентификации.
Чтобы удалить прежний метод аутентификации, нажмите X, выберите Connect previous node to Successful branch и нажмите Delete.

Нажмите Close, чтобы вернуться на страницу Access Profiles. Проверьте настройки своего профиля и нажмите Apply. Значок статуса рядом с вашим профилем должен стать зеленым./li>

Интеграция двухфакторной аутентификации (2FA) в F5 BIG-IP APM VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.

Last updated on 2023-01-20

← Cisco Switches 2FA Forcepoint VPN 2FA →