Ukraine flag

We stand with our friends and colleagues in Ukraine. To support Ukraine in their time of need visit this page

FortiGate VPN 2FA

В этом руководстве показано, как настраивается двухфакторная аутентификация для FortiGate VPN через протокол RADIUS. Для этого мы предлагаем интегрировать Fortinet FortiGate VPN с системой многофакторной аутентификации Protectimus.

Настройте двухфакторную аутентификацию для Forticlient VPN, чтобы защитить учетные записи ваших пользователей и конфиденциальные корпоративные данные от несанкционированного доступа. Сегодня двухфакторная аутентификация это обязательная мера кибербезопасности, особенно если речь идет о безопасности VPN-подключения. Двухфакторная аутентификация для Fortinet FortiGate VPN — эффективный инструмент защиты от брутфорса, подмены данных, социальной инженерии, фишинга, кейлоггеров, атак типа «человек посередине» и т. д.

1. Как работает двухфакторная аутентификация для Fortinet FortiGate VPN

После настройки двухфакторной аутентификации в FortiGate VPN, ваши конечные пользователи будут вводить два разных фактора аутентификации, чтобы получить доступ к своим учетным записям.

  1. Первый фактор аутентификации — стандартный пароль и логин (то, что знает пользователь).
  2. Второй фактор аутентификации — это одноразовый код, сгенерированный с помощью OTP-токена или телефона (того, что есть у пользователя).

Двухфакторная аутентификация (2FA) для Fortinet FortiGate VPN в препятствует получению несанкционированного доступа к учетной записи пользователя, поскольку практически невозможно взломать оба фактора аутентификации одновременно. Еще больше усложняет задачу хакерам то, что одноразовый код действует только в течение 30 секунд.

Ниже вы найдете подробную инструкцию по настройке двухфактоной аутентификации в Fortinet Fortigate VPN через RADIUS с помощью Облачного сервиса двухфакторной аутентификации Protectimus Cloud или Локальной платформы двухфакторной аутентификации Protectimus On-Premise.

Двухфакторная аутентификация для Fortigate VPN через RADIUS

2. Как настроить двухфакторную аутентификацию (2FA) в FortiGate VPN

Интеграция двухфакторной аутентификации Protectimus с Fortinet FortiGate VPN возможна по протоколу RADIUS:
  1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
  2. Установите и настройте компонент Protectimus RADIUS Server.
  3. Настройте политики аутентификации в Fortinet FortiGate VPN.

2.1. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Добавьте Protectimus в качестве RADIUS сервера для Fortinet FortiGate

  1. Войдите в свою учетную запись Fortinet FortiGate и перейдите в консоль администратора Admin console.
  2. Перейдите к User & Device —> RADIUS Servers, затем выберите Create New, чтобы начать добавление нового сервера RADIUS.
Двухфакторная аутентификация для Fortinet Fortigate VPN - шаг 1

  1. Вы увидите меню, позволяющее добавить новый RADIUS сервер.
2-факторная аутентификация для Fortinet Fortigate VPN - шаг 2

  1. Задайте следующие параметры, чтобы добавить новый RADIUS сервер.
NameПридумайте имя для своего RADIUS-сервера.
Authentication MethodНажмите Specify, затем выберите PAP из выпадающего списка.
Primary Server IP / NameIP сервера, на котором установлен компонент Protectimus RADIUS Server.
Primary Server SecretУкажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Secondary Server IP / NameОпционально
Secondary Server SecretОпционально

  1. Нажмите Test Connectivity, чтобы убедиться, что IP-адрес RADIUS-сервера и секрет указаны правильно, и что соединение между FortiGate VPN и Protectimus RADIUS Server установлено.
Нажмите Test Connectivity, чтобы проверить соединение между FortiGate VPN и Protectimus RADIUS Server

  1. Если все в порядке, нажмите OK, чтобы сохранить настройки.

2.4. Создайте группу пользователей

  1. Перейдите в User & Device —> User Groups.
  2. Нажмите Create New.
Создайте группу пользователей для 2FA в Fortinet Fortigate - шаг 1

  1. В поле Type выберите Firewall. Затем найдите секцию Remote Groups, нажмите Add, и выберите Protectimus Radius Server в качестве Remote Server.
Создайте группу пользователей для двухфакторной аутентификации в Fortinet Fortigate - шаг 2
  1. Чтобы сохранить настройки нажмите OK.

2.5. Свяжите созданную группу пользователей с FortiGate VPN


ВНИМАНИЕ! Используйте IPsec Wizard чтобы добавить новый IPSec Tunnel, если вы еще не настроили IPSec Tunnel.

  1. Перейдите в VPN —> IPSec Tunnels и выберите IPSec Tunnel, который вы создали.
Свяжите созданную группу пользователей с FortiGate VPN - шаг 1

  1. Нажмите на Convert To Custom Tunnel если это необходимо.
Свяжите созданную группу пользователей с FortiGate VPN - шаг 2

  1. Перейдите в раздел XAuth и нажмите Edit.
  2. Выберите PAP Server в выпадающем списке.
Свяжите созданную группу пользователей с FortiGate VPN - шаг 3

  1. Выберите группу пользователей, которую вы создали на шаге 2.4.
  2. Нажмите OK и сохраните настройки.

2.6. Синхронизируйте интервал времени, который используют Fortinet FortiGate и Protectimus RADIUS Server

  1. Интервал времени, который FortiGate VPN использует по умолчанию, составляет 5 секунд. Вам нужно увеличить этот интервал времени до 30 секунд.
  2. Для этого подключитесь к интерфейсу командной строки устройства.
  3. И выполните команды, которые показаны ниже:
Синхронизируйте интервал времени, который используют Fortinet FortiGate и Protectimus RADIUS Server

2.7. Протестируйте работает ли двухфакторная аутентификация для Fortigate VPN

  1. Войдите в Forticlient и введите ваши имя пользователя и пароль.
Протестируйте работает ли двухфакторная аутентификация для Fortigate VPN - шаг 1

  1. Вам будет предложено ввести одноразовый пароль, если вы успешно настроили двухфакторную аутентификацию для Fortigate VPN.
Протестируйте работает ли двухфакторная аутентификация для Fortigate VPN - шаг 2

  1. Введите свой одноразовый код из токена двухфакторной аутентификации, и вы получите доступ к Fortigate VPN.

ВНИМАНИЕ! При настройке подключения IPSec VPN в FortiClient используйте Pre-Shared key туннеля IPSec, который был создан ПОСЛЕДНИМ. В работе Fortinet могут возникнуть проблемы, если на сервере FortiGate добавлено несколько туннелей IPSec.

Интеграция двухфакторной аутентификации в Fortinet FortiGate VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.