Pulse Connect Secure SSL VPN 2FA

В этом руководстве показано, как настроить двухфакторную аутентификацию (2FA/MFA) для Pulse Connect Secure SSL VPN с помощью решения многофакторной аутентификации Protectimus.

Система двухфакторной аутентификации Protectimus интегрируется с Pulse Connect Secure SSL VPN через протокол аутентификации RADIUS.

В этом сценарии Облачный сервис двухфакторной аутентификации или Локальная платформа Protectimus выступает в качестве RADIUS-сервера, а Pulse Connect Secure SSL VPN берет на себя роль RADIUS-клиента.

Схема работы решения Protectimus для двухфакторной аутентификации в Pulse Connect Secure SSL VPN представлена ниже.

1. Как работает двухфакторная аутентификация (2FA) для Pulse Connect Secure SSL VPN

Двухфакторная аутентификация (2FA/MFA) защищает учетные записи пользователей Pulse Connect Secure SSL VPN от фишинга, брутфорса, кейлоггеров, атак «человек посередине», подмены данных, социальной инженерии и других подобных хакерских приемов.

После того как вы подключите двухфакторную аутентификацию, чтобы войти в свои учетные записи, пользователи Pulse Secure VPN будут использовать два разных фактора аутентификации.

1. Первый фактор — это логин и пароль (то, что знает пользователь);
2. Второй фактор — это одноразовый пароль, сгенерированный с помощью аппаратного OTP-токена или приложения 2FA (того, что есть у пользователя).

Чтобы взломать учетную запись Pulse Connect Secure SSL VPN, защищенную двухфакторной аутентификацией, хакеру нужны оба фактора одновременно. Более того, у хакера есть всего 30 секунд, чтобы взломать и использовать одноразовый пароль на основе времени. Выполнить эти условия практически невозможно, что и делает двухфакторную аутентификацию такой эффективной.

2. Как настроить двухфакторную аутентификацию (2FA) для Pulse Connect Secure SSL VPN

Интеграция двухфакторной аутентификации Protectimus с Pulse Connect Secure SSL VPN возможна по протоколу RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Настройте политики аутентификации в Pulse Connect Secure SSL VPN.

2.1. Зарегистрируйтесь и задайте базовые настройки

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Добавьте Protectimus в качестве RADIUS сервера для Pulse Connect Secure SSL VPN

1. Откройте панель администрирования Pulse Secure.
2. Перейдите к Authentication —> Auth. Servers.

3. Выберите RADIUS Server в выпадающем списке и кликните на New Server….

4. Заполните необходимые поля на вкладке Settings. См. таблицу и изображение ниже.

Name	Придумайте имя для своего RADIUS-сервера, например, Protectimus Server.
RADIUS Server	Введите IP-адрес сервера, на котором установлен компонент Protectimus RADIUS Server.
Authentication Port	Укажите 1812 (или тот порт, который вы указали в файле Protectimus radius.yml при настройке Protectimus RADIUS Server).
Shared Secret	Укажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Timeout	Установите значение 180 секунд.
Retries	Установите значение 3.

5. Оставьте значения по умолчанию для всех остальных полей и нажмите Save Changes.
6. Перейдите к Users —> User Realms —> New User Realm….

7. Придумайте название для новой области аутентификации (realm), например, e.g. Protectimus Server.
8. Выберите ранее созданный сервер аутентификации (Protectimus Server) в раскрывающемся списке Authentication.
9. Нажмите Save Changes, чтобы сохранить настройки.

10. Перейдите к Authentication Policy —> Password.
11. Выберите Allow all users (passwords of any length) и нажмите Save Changes.

12. Перейдите во вкладку Role Mapping и нажмите New Rule….

13. Придумайте название для нового правила, например, Protectimus Rule.
14. Для Rule:If username… установите значение is *.
15. Выберите Users в списке Available Roles и нажмите Add —>.
16. Нажмите Save Changes, чтобы сохранить настройки.

17. Перейдите к Authentication —> Signing In —> Sign-in Policies.

18. Кликните на URL-адрес */ в таблице User URLs.
19. Выберите User picks from a list of authentication realms и выберите область аутентификации Protectimus Server, которую вы создали ранее. Для этого выберите Protectimus Server в списке Available realms и нажмите Add —>.
20. Нажмите Save Changes, чтобы сохранить настройки.

Интеграция двухфакторной аутентификации в Palo Alto Networks VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.