WatchGuard Mobile VPN 2FA

Это руководство по настройке двухфакторной аутентификации (2FA/MFA) для WatchGuard Mobile VPN с помощью решения мультифакторной аутентификации Protectimus.

Система двухфакторной аутентификации Protectimus интегрируется с WatchGuard Mobile VPN по протоколу RADIUS. Облачный сервис или локальная платформа двухфакторной аутентификации Protectimus выступает в качестве RADIUS-сервера, а WatchGuard Mobile VPN берет на себя роль RADIUS-клиента.

Схема работы решения двухфакторной аутентификации Protectimus для WatchGuard Mobile VPN представлена ниже.

1. Как работает двухфакторная аутентификация (2FA) для WatchGuard Mobile VPN

Решение двухфакторной аутентификации Protectimus для WatchGuard Mobile VPN позволяет добавить дополнительный уровень безопасности при входе в WatchGuard VPN.

Есть возможность настройки двухфакторной аутентификации для WatchGuard Mobile VPN при подключении через IPSec или через SSL.

После того как вы настроите двухфакторную аутентификацию для WatchGuard Mobile VPN, ваши пользователи будут использовать два разных фактора аутентификации для получения доступа к своим учетным записям.

1. Первый фактор — это логин и пароль (то, что знает пользователь);
2. Второй фактор — это одноразовый пароль, сгенерированный с помощью аппаратного OTP-токена или приложения на телефоне (с помощью того, что есть у пользователя).

Чтобы получить доступ к WatchGuard Mobile VPN, защищенный двухфакторной аутентификацией, злоумышленнику необходимо иметь и стандартный пароль и одноразовый пароль одновременно. При этом у него есть всего 30 секунд, чтобы перехватить одноразовый пароль. Это почти невозможно, что делает двухфакторную аутентификацию эффективным средством защиты от брутфорса, подмены данных, клавиатурных шпионов, фишинга, атак «человек посередине», социальной инженерии и подобных хакерских техник.

2. Как настроить двухфакторную аутентификацию (2FA) для WatchGuard Mobile VPN

Интеграция двухфакторной аутентификации Protectimus с WatchGuard Mobile VPN возможна по протоколу RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Добавьте Protectimus в качестве RADIUS сервера для WatchGuard Mobile VPN
4. Настройте политики аутентификации в WatchGuard Mobile VPN.

2.1. Зарегистрируйтесь и задайте базовые настройки

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.3. Добавьте Protectimus в качестве RADIUS сервера для WatchGuard Mobile VPN

1. Войдите в учетную запись администратора WatchGuard Firebox (Fireware Web UI).
2. Перейдите к Authentication —> Servers —> RADIUS.

3. Нажмите Add.

4. Заполните необходимые поля на вкладке Primary Server Settings. См. таблицу и изображение ниже.

Domain Name	Придумайте имя для своего RADIUS-сервера, например, Protectimus RADIUS Server. Обратите внимание, что вы не можете изменить доменное имя после сохранения настроек.
Enable RADIUS Server	Поставьте галочку напротив этого поля.
IP Address	Введите IP-адрес сервера, на котором установлен компонент Protectimus RADIUS Server.
Port	Укажите 1812 (или тот порт, который вы указали в файле Protectimus radius.yml при настройке Protectimus RADIUS Server).
Shared Secret	Укажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Confirm Secret	Введите секретный ключ еще раз.
Timeout	Установите значение 60 секунд.
Retries	Установите значение 3.
Dead Time	Установите значение 10 минут.
Group Attribute	Установите значение 11.

5. Нажмите Save, чтобы сохранить настройки.

2.4. Настройте подключение к WatchGuard Mobile VPN через SSL или IPSec

1. На левой панели выберите VPN —> Mobile VPN.
2. Затем перейдите в раздел SSL или IPSec в зависимости от того, какой метод вам больше подходит, и следуйте приведенным ниже инструкциям.

2.4.1. Настройте подключение к WatchGuard Mobile VPN через SSL

ВНИМАНИЕ! Чтобы настроить двухфакторную аутентификацию для SSL Mobile VPN, вам необходимо вручную добавить всех своих пользователей в WatchGuard VPN, а затем разрешить им использовать SSL VPN.

1. Выберите Authentication —> Users and Groups. Потом нажмите на кнопку ADD, чтобы добавить нового пользователя.

2. Во вкладке Add User or Group, введите имя пользователя и выберите сервер аутентификации. См. таблицу и изображение ниже.

Type	Выберите значение User
Name	Введите имя пользователя.
Description	Необязательно, вы можете ввести описание пользователя, если хотите.
Authentication Server	Выберите созданный ранее сервер (Protectimus RADIUS Server).

3. Другие параметры являются необязательными. Нажмите ОК, а затем нажмите Save в основном списке всех групп и пользователей, чтобы подтвердить создание нового пользователя.

ВНИМАНИЕ! Вам необходимо выполнить три вышеуказанных шага для каждого пользователя, которому вы хотите разрешить использовать Mobile VPN с SSL.

4. После добавления всех пользователей нажмите VPN —> Mobile VPN. Затем перейдите в раздел SSL и нажмите CONFIGURE.

5. Выберите вкладку Authentication.
6. В поле AUTHENTICATION SERVERS выберите созданный ранее сервер (Protectimus RADIUS Server) и нажмите ADD.
7. Затем выберите этот сервер в списке серверов аутентификации и нажмите MOVE UP, чтобы выбрать этот сервер по умолчанию.

8. В рвзделе Users and Groups, выберите группы и пользователей, которым вы хотите разрешить использовать SSL VPN.
9. Нажмите SAVE, чтобы сохранить настройки.

2.4.2. Настройте подключение к WatchGuard Mobile VPN через IPSec

1. Выберите VPN —> Mobile VPN. Затем перейдите в раздел IPSec и нажмите CONFIGURE.

2. В разделе Groups выберите свой профиль и нажмите EDIT.

3. Выберите вкладку General.
4. В раскрывающемся списке Authentication Server укажите сервер, который вы создали ранее (Protectimus RADIUS Server). У него будет доменное имя, которое вы указали при настройке Protectimus в качестве RADIUS-сервера.

5. Нажмите SAVE, чтобы сохранить настройки.

Интеграция двухфакторной аутентификации в WatchGuard Mobile VPN завершена. Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.