Check Point VPN 2FA

В этом руководстве показано, как настроить двухфакторную аутентификацию в Check Point VPN (2FA), интегрировав Check Point VPN с облачным сервисом многофакторной аутентификации или локальной MFA платформой Protectimus через RADIUS.

Двухфакторная аутентификация (2FA) защитит учетные записи ваших пользователей и, соответственно, вашу корпоративную инфраструктуру от несанкционированного доступа. Подключив двухфакторную аутентификацию для Check Point VPN, вы защитите учетные записи своих пользователей от фишинга, брутфорса, подмены данных, кейлоггеров, социальной инженерии и множества других кибератак.

1. Как работает двухфакторная аутентификация для Check Point VPN

Двухфакторная аутентификация (2FA) предполагает, что пользователи будут использовать два разных типа аутентификаторов для входа в свои учетные записи Check Point.

1. Сначала пользователь вводит стандартный пароль и имя пользователя (что-то известное пользователю);
2. Затем он вводят одноразовый пароль, полученный с помощью OTP токена или смартфона (того, что принадлежит пользователю).

Таким образом, когда доступ к Check Point VPN защищен двухфакторной аутентификацией включен, злоумышленнику становится слишком сложно взломать оба пароля двухфакторной аутентификации одновременно, особенно если учесть, что одноразовый пароль действителен только в течение 30 секунд.

Ниже вы найдете схему работы решения двухфакторной аутентификации Protectimus для Fortinet Fortigate VPN.

2. Как настроить двухфакторную аутентификацию (2FA) в Check Point VPN

Интеграция двухфакторной аутентификации Protectimus с Check Point VPN возможна по протоколу RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Настройте политики аутентификации в Check Point VPN.

2.1. Зарегистрируйтесь и задайте базовые настройки

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Добавьте Protectimus в качестве RADIUS сервера для Check Point

1. Войдите в свою учетную запись Check Point Web UI и перейдите на вкладку VPN.

2. В разделе Remote Access выберите Authentications Servers.

3. В раздел RADIUS Servers, нажмите Configure, чтобы добавить новый RADIUS сервер.

4. Задайте следующие параметры, чтобы добавить сервер RADIUS.

IP address	IP сервера, на котором установлен компонент Protectimus RADIUS Server..
Port	Укажите 1812 (или тот порт, который вы указали в файле Protectimus radius.yml при настройке Protectimus RADIUS Server).
Shared Secret	Укажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Timeout (in seconds)	Установите значение 60 секунд.

5. Затем нажмите Apply, чтобы продолжить настройку.

6. Нажмите на ссылку permissions for RADIUS users.

7. Выберите Enable RADIUS authentication for Remote Access Users и нажмите Apply.

Интеграция двухфакторной аутентификации для Check Point VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки Protectimus.