Ukraine flag

We stand with our friends and colleagues in Ukraine. To support Ukraine in their time of need visit this page

> Aruba ClearPass 2FA

Aruba ClearPass 2FA

В этом руководстве показано, как настроить двухфакторную аутентификацию для защиты доступа к свитчам Aruba.

Для этого необходимо провести интеграцию Aruba Networks ClearPass с решением многофакторной аутентификации (MFA) Protectimus. Вы можете использовать облачный сервис двухфакторной аутентификации Protectimus или локальную MFA платформу Protectimus, которая устанавливается в собственном окружении или в частном облаке клиента.

Сервер двухфакторной аутентификации Protectimus коммуницирует с сетевым оборудованием Aruba по протоколу аутентификации RADIUS. Компонент Protectimus RADIUS Server выступает в роли RADIUS-сервера:

  1. Protectimus RADIUS Server принимает входящий запрос на аутентификацию по протоколу RADIUS.
  2. Далее он обращается к хранилищу пользователей (Active Directory и т. д.), чтобы подтвердить логин и пароль пользователя.
  3. Следующий шаг — проверка одноразового пароля, для этого Protectimus RADIUS Server обращается к серверу двухфакторной аутентификации Protectimus.
  4. Если оба фактора аутентификации верны, Protectimus RADIUS Server разрешает пользователю подключиться к свитчу Aruba.

Схема работы решения двухфакторной аутентификации Protectimus для сетевой техники Aruba представлена на рисунке ниже.

Схема настройки двухфакторной аутентификации для Aruba ClearPass через RADIUS

1. Как работает двухфакторная аутентификация для сетевой техники Aruba

Двухфакторная аутентификация (2FA / MFA) защищает учетные записи пользователей от таких атак как брутфорс, фишинг, кейлоггеры, атаки человек-посередине, социальная инженерия, подмена данных и т. д.

После того, как вы настроите двухфакторную аутентификацию для свитчей Aruba, чтобы подключиться к сетевой технике Aruba, пользователи будут использовать два разных фактора аутентификации.
  1. Первый фактор — логин и пароль (то, что пользователь знает);
  2. Второй фактор — одноразовый пароль, который генерируется с помощью аппаратного OTP токена или смартфона (того, что принадлежит пользователю).

Чтобы хакнуть аккаунт пользователя, злоумышленнику нужно получить доступ сразу к двум паролям, что практически невозможно. При этом на взлом и использование одного из этих паролей у злоумышленника есть только 30 секунд.

2. Как настроить двухфакторную аутентификацию (2FA) для Aruba ClearPass

Интеграция двухфакторной аутентификации Protectimus с Aruba ClearPass возможна по протоколу RADIUS:
  1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
  2. Установите и настройте компонент Protectimus RADIUS Server.
  3. Настройте политики аутентификации в Aruba ClearPass.

2.1. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Добавьте Protectimus в качестве RADIUS сервера в Aruba ClearPass

Существует два варианта настройки двухфакторной аутентификации для свитчей Aruba через RADIUS:
  • Настройка через веб-интерфейс. Доступна для более старых версий Aruba ClearPass.
  • Настройка через командную строку. Двухфакторную аутентификацию для более новых версий свитчей Aruba можно настроить только через командную строку.

Настройка двухфакторной аутентификации для свитчей Aruba через WebUI
  1. В веб-интерфейсе консоли Aruba Networks ClearPass выберите Configuration —> Security —> Authentication —> Servers.
  2. Выберите RADIUS Server, чтобы отобразился список RADIUS серверов.
  3. Задайте имя сервера в поле Name, например, Protectimus, и нажмите Add.
  4. Нажмите на имя сервера, который вы только что создали, и задайте необходимые параметры, включая IP-адрес; затем установите галочку напротив значения Mode, чтобы активировать сервер.
  5. Нажмите Apply.
  6. Выберите Server Group, чтобы отобразился список групп серверов.
  7. Задайте имя новой группы сервера в поле Name, например, corp_radius, и нажмите Add.
  8. Нажмите на имя группы серверов, которую вы только что создали, и настройте необходимые параметры.
  9. В разделе Servers, выберите New чтобы добавить сервер в группу.
  10. Выберите сервер (например, Protectimus) из выпадающего меню и нажмите Add Server.
  11. Нажмите Apply.
  12. Перейдите в Configuration —> Management —> Administration.
  13. В разделе Management Authentication Servers, задайте роль сервера, например, root, в секции Default Role.
  14. Установите галочку напротив значения Mode, чтобы активировать настройки.
  15. В разделе Server Group, выберите только что созданную группу серверов, то есть corp_radius.
  16. Нажмите Apply.

Настройка двухфакторной аутентификации для свитчей Aruba через CLI

Как добавить новый RADIUS сервер
aaa authentication-server radius Protectimus
  host <ipaddr>
  enable

Как добавить новую группу серверов
aaa server-group corp_radius
  auth-server Protectimus

Как задать роль для группы серверов
aaa authentication mgmt
  default-role root
  enable
  server-group corp_radius

Интеграция двухфакторной аутентификации в Palo Alto Networks VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.
Last updated on 2023-01-04