Рубрика: Без категории

Это руководство по настройке двухфакторной аутентификации (2FA) для MikroTik VPN посредством интеграции MikroTik VPN с решением многофакторной аутентификации Protectimus. Решение MFA Protectimus доступно в воде облачного сервиса или локальной платформы, которая устанавливается в инфраструктуре клиента.

Система двухфакторной аутентификации Protectimus интегрируется с MikroTik VPN по протоколу аутентификации RADIUS. Для этого вам необходимо установить локальный компонент Protectimus RADIUS Server и настроить MikroTik VPN для обращения к Protectimus RADIUS Server для аутентификации пользователей.

Ниже представлена схема работы решения двухфакторной аутентификации Protectimus для MikroTik VPN 2FA.

1. Как работает двухфакторная аутентификация для MikroTik VPN

Protectimus добавляет второй фактор аутентификации к логину пользователей в MikroTik VPN. Это значит, что после настройки двухфакторной аутентификации в MikroTik VPN ваши пользователи будут вводить два разных фактора аутентификации при входе в свои учетные записи:

1. Имя пользователя и пароль (то, что пользователь знает).
2. Одноразовый пароль, сгенерированный с помощью токена двухфакторной аутентификации (то, что принадлежит пользователю).

Protectimus предлагает разные типы токенов двухфакторной аутентификации для MikroTik VPN:

1. Классические и программируемые аппаратные OTP-токены в виде брелоков и пластиковых карт;
2. Приложение для двухфакторной аутентификации Protectimus SMART OTP, доступное на iOS и Android;
3. Любые другие приложения для двухфакторной аутентификации, включая Google Authenticator, кторые поддерживают стандарт аутентификации TOTP;
4. Доставка одноразовых паролей с помощью чат-ботов в Telegram, Messenger и Viber;
5. SMS аутентификация;
6. Доставка одноразовых паролей по электронной почте.

Задача взломать два разных по своей природе фактора аутентификации (то, что пользователь знает и чем владеет) и использовать их одновременно в течение 30 секунд (время, когда одноразовый пароль остается активным) почти не выполнима для любого злоумышленника. Вот почему двухфакторная аутентификация по-прежнему остается одной из лучших мер безопасности для MikroTik VPN.

2. Как нстроить двухфакторную аутентификацию (2FA) для MikroTik VPN

Интеграция двухфакторной аутентификации Protectimus с MikroTik VPN возможна по протоколу RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Настройте клиент MikroTik VPN.
4. Настройте Windows VPN.

2.1. Зарегистрируйтесь и задайте базовые настройки

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Настройте клиент MikroTik VPN

1. Откройте Webfig.
2. Перейдите к меню слева и выберите вкладку RADIUS.
3. Нажмите Add New чтобы добавить Protectimus RADIUS Server как RADIUS радиус.
4. Выберите ppp и ipsec в разделе Service.
5. Выберите login в разделе Service.
6. Укажите IP сервера, на котором установлен компонент Protectimus RADIUS Server.
7. Выберите udp в разделе Protocol.
8. Укажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
9. Измените Timeout по умолчанию на 30000 ms или выше.
10. Нажмите OK чтобы сохранить настройки.

11. Перейдите в меню слева и выберите вкладкуPPP.
12. Выберите вкладку Interface и нажмите на PPTP Server, SSTP Server, L2TP Server, или OVPN Server в зависимости от того, какой вы используете.
13. Выберите pap и снимите все остальные флажки в разделе Authentication. Нажмите OK.
14. Выберите вкладку Secrets и нажмите кнопку PPP Authentication & Accounting.

15. Отметьте Use Radius и нажмите OK чтобы завершить настройку и подключить двухфакторную аутентификацию Protectimus к MikroTik VPN.

2.4. Настройте Windows VPN

1. В операционной системе Windows перейдите к Settings —> Network & Internet —> VPN и выберите Add a VPN connection.
2. Заполните форму в соответствии с изображением и таблицей и нажмите Save.

VPN Provider	Windows (in-built)
Connection name	MikroTik
Server name or address	Введите IP-адрес вашего сервера
VPN type	Выберите тип VPN. Мы выбрали 2TP/IPsec with pre-shared key, но вам нужно выбрать тот, который вы используете в MikroTik.
Pre-shared key	Укажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Type of sign-in info	User name and password
User name (необязательно)	Ваше имя пользователя
Password (необязательно)	Ваш пароль

3. Перейдите в Control Panel → Network and Sharing Center и выберите Change adapter.
4. Щелкните правой кнопкой мыши только что созданное соединение MikroTik и выберите Properties.
5. Выберите вкладку Security.
6. Выберите Allow these protocols и потом Unencrypted password (PAP).
7. Нажмите OK чтобы сохранить настройки.

Интеграция двухфакторной аутентификации для MikroTik VPN 2FA завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.

В этом руководстве показано, как настроить двухфакторную аутентификацию для сетевой техники Cisco с помощью Облачного сервиса двухфакторной аутентифиции Protectimus или локальной 2FA платформы Protectimus.

Система двухфакторной аутентификации Protectimus взаимодействует с сетевым оборудованием Cisco по протоколу RADIUS. Компонент Protectimus RADIUS Server выступает в роли RADIUS-сервера. Он принимает входящие запросы на аутентификацию по протоколу RADIUS, обращается к хранилищу пользователей (Active Directory и т. д.) для проверки логина и пароля, а затем обращается к серверу двухфакторной аутентификации Protectimus для проверки одноразового пароля. Если оба фактора аутентификации верны, RADIUS-сервер Protectimus разрешает пользователю подключиться к сетевому коммутатору или свитчу Cisco.

Схема работы решения Protectimus для двухфакторной аутентификации при подключении к сетевой технике Cisco представлена на рисунке.

1. Как работает двухфакторная аутентификация для сетевой техники Cisco

После настройки двухфакторной аутентификации для коммутаторов Cisco, чтобы подключиться к сетевой технике Cisco, пользователи будут вводить два разных фактора аутентификации.

1. Первый фактор аутентификации это логин и пароль (то, что пользователь знает);
2. Второй фактор аутентификации это одноразовый пароль, который нужно сгенерировать с помощью аппаратного 2FA токена или смартфона (того, что принадлежит пользователю).

После того, как вы активируете двухфакторную аутентификацию (2FA) для коммутаторов Cisco, взломать доступ к сетевой технике Cisco станет осень сложно. Заполучить оба фактора аутентификации одновременно практически невозможно. Более того, время действия одноразового пароля составляет всего 30 секунд, поэтому у злоумышленника будет слишком мало времени, чтобы взломать второй фактор.

Двухфакторная аутентификация (2FA / MFA) — это эффективная мера защиты от таких угроз кибербезопасности, как фишинг, социальная инженерия, брутфорс, кейлоггинг, атаки человек-посередине, подмена данных и т. д.

2.Как настроить двухфакторную аутентификацию (2FA) для сетевой техники Cisco

Интеграция двухфакторной аутентификации Protectimus с сетевой техники Cisco возможна по протоколу RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Настройте политики аутентификации на сетевом устройстве Cisco.

2.1. Зарегистрируйтесь и задайте базовые настройки

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Добавьте Protectimus в качестве RADIUS сервера для сетевого устройства Cisco

1. Добавьте Protectimus в качестве RADIUS сервера.

Switch(config) #radius server [configuration-name]

Switch(config-radius-server) #address ipv4 hostname [auth-port integer] [acct-port integer]

Switch(config-radius-server) #key [shared-secret]

2. Свяжите только что созданный вами RADIUS-сервер с группой серверов.

Switch(config) #aaa group server radius [group-name]

Switch(config-sg-radius) #server name [configuration-name]

3. Настройте aaa authentication login, чтобы использовать группу RADIUS с откатом к локальной аутентификации.

Switch(config) #aaa authentication login [default | list-name] group [group-name] local

Интеграция двухфакторной аутентификации в Fortinet FortiGate VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.

В этом руководстве показано, как настраивается двухфакторная аутентификация для FortiGate VPN через протокол RADIUS. Для этого мы предлагаем интегрировать Fortinet FortiGate VPN с системой многофакторной аутентификации Protectimus.

Настройте двухфакторную аутентификацию для Forticlient VPN, чтобы защитить учетные записи ваших пользователей и конфиденциальные корпоративные данные от несанкционированного доступа. Сегодня двухфакторная аутентификация это обязательная мера кибербезопасности, особенно если речь идет о безопасности VPN-подключения. Двухфакторная аутентификация для Fortinet FortiGate VPN — эффективный инструмент защиты от брутфорса, подмены данных, социальной инженерии, фишинга, кейлоггеров, атак типа «человек посередине» и т. д.

1. Как работает двухфакторная аутентификация для Fortinet FortiGate VPN

После настройки двухфакторной аутентификации в FortiGate VPN, ваши конечные пользователи будут вводить два разных фактора аутентификации, чтобы получить доступ к своим учетным записям.

1. Первый фактор аутентификации — стандартный пароль и логин (то, что знает пользователь).
2. Второй фактор аутентификации — это одноразовый код, сгенерированный с помощью OTP-токена или телефона (того, что есть у пользователя).

Двухфакторная аутентификация (2FA) для Fortinet FortiGate VPN в препятствует получению несанкционированного доступа к учетной записи пользователя, поскольку практически невозможно взломать оба фактора аутентификации одновременно. Еще больше усложняет задачу хакерам то, что одноразовый код действует только в течение 30 секунд.

Ниже вы найдете подробную инструкцию по настройке двухфактоной аутентификации в Fortinet Fortigate VPN через RADIUS с помощью Облачного сервиса двухфакторной аутентификации Protectimus Cloud или Локальной платформы двухфакторной аутентификации Protectimus On-Premise.

2. Как настроить двухфакторную аутентификацию (2FA) в FortiGate VPN

Интеграция двухфакторной аутентификации Protectimus с Fortinet FortiGate VPN возможна по протоколу RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Настройте политики аутентификации в Fortinet FortiGate VPN.

2.1. Зарегистрируйтесь и задайте базовые настройки

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Добавьте Protectimus в качестве RADIUS сервера для Fortinet FortiGate

1. Войдите в свою учетную запись Fortinet FortiGate и перейдите в консоль администратора Admin console.
2. Перейдите к User & Device —> RADIUS Servers, затем выберите Create New, чтобы начать добавление нового сервера RADIUS.

3. Вы увидите меню, позволяющее добавить новый RADIUS сервер.

4. Задайте следующие параметры, чтобы добавить новый RADIUS сервер.

Name	Придумайте имя для своего RADIUS-сервера.
Authentication Method	Нажмите Specify, затем выберите PAP из выпадающего списка.
Primary Server IP / Name	IP сервера, на котором установлен компонент Protectimus RADIUS Server.
Primary Server Secret	Укажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Secondary Server IP / Name	Опционально
Secondary Server Secret	Опционально

5. Нажмите Test Connectivity, чтобы убедиться, что IP-адрес RADIUS-сервера и секрет указаны правильно, и что соединение между FortiGate VPN и Protectimus RADIUS Server установлено.

6. Если все в порядке, нажмите OK, чтобы сохранить настройки.

2.4. Создайте группу пользователей

1. Перейдите в User & Device —> User Groups.
2. Нажмите Create New.

3. В поле Type выберите Firewall. Затем найдите секцию Remote Groups, нажмите Add, и выберите Protectimus Radius Server в качестве Remote Server.

4. Чтобы сохранить настройки нажмите OK.

2.5. Свяжите созданную группу пользователей с FortiGate VPN

ВНИМАНИЕ! Используйте IPsec Wizard чтобы добавить новый IPSec Tunnel, если вы еще не настроили IPSec Tunnel.

1. Перейдите в VPN —> IPSec Tunnels и выберите IPSec Tunnel, который вы создали.

2. Нажмите на Convert To Custom Tunnel если это необходимо.

3. Перейдите в раздел XAuth и нажмите Edit.
4. Выберите PAP Server в выпадающем списке.

5. Выберите группу пользователей, которую вы создали на шаге 2.4.
6. Нажмите OK и сохраните настройки.

2.6. Синхронизируйте интервал времени, который используют Fortinet FortiGate и Protectimus RADIUS Server

1. Интервал времени, который FortiGate VPN использует по умолчанию, составляет 5 секунд. Вам нужно увеличить этот интервал времени до 30 секунд.
2. Для этого подключитесь к интерфейсу командной строки устройства.
3. И выполните команды, которые показаны ниже:

2.7. Протестируйте работает ли двухфакторная аутентификация для Fortigate VPN

1. Войдите в Forticlient и введите ваши имя пользователя и пароль.

2. Вам будет предложено ввести одноразовый пароль, если вы успешно настроили двухфакторную аутентификацию для Fortigate VPN.

3. Введите свой одноразовый код из токена двухфакторной аутентификации, и вы получите доступ к Fortigate VPN.

ВНИМАНИЕ! При настройке подключения IPSec VPN в FortiClient используйте Pre-Shared key туннеля IPSec, который был создан ПОСЛЕДНИМ. В работе Fortinet могут возникнуть проблемы, если на сервере FortiGate добавлено несколько туннелей IPSec.

Интеграция двухфакторной аутентификации в Fortinet FortiGate VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.