База знаний FAM/MFA+ : Настройка 2FA/MFA для Fortinet FortiGate VPN

Общие сведения

Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение к Fortinet FortiGate VPN. В инструкции описывается настройка 2FA для FortiGate VPN с использованием RADIUS-сервера Avanpost FAM и различные сценарии использования 2FA для FortiGate VPN.

Сценарий взаимодействия FortiGate VPN с Avanpost FAM для аутентификации:

  1. Пользователь подключается к VPN, вводит логин и пароль в VPN-клиент. VPN-клиент подключается к VPN-серверу FortiGate VPN.
  2. Сервер FortiGate VPN по протоколу RADIUS подключается к службе RADIUS Avanpost FAM, выполняет проверку логина и пароля по одному из настроенных методов аутентификации RADIUS-протокола.
  3. Если для приложения FortiGate VPN на стороне Avanpost FAM настроена проверка дополнительных факторов аутентификации, то VPN-клиент запрашивает у пользователя проверку этих факторов.
  4. После успешной проверки аутентификаторов в соответствии с настроенным сценарием аутентификации пользователь успешно подключен к VPN.

Для FortiGate VPN в качестве второго фактора (2FA) возможно использование следующих методов аутентификации:

Для выполнения настройки 2FA в FortiGate VPN в соответствии с инструкцией необходимо выполнить следующие предварительные условия:

  1. Установить в сети FortiGate VPN, выполнить настройку VPN-сервера.
  2. Установить АРМ с клиентом VPN, который может выполнить подключение по VPN через FortiGate VPN.
  3. Установить в сети компонент Avanpost FAM Server .

Если необходима аутентификация через:

  1. Мобильное приложение Avanpost Authenticator, то установить компонент Avanpost FAM Mobile Services .
  2. Мобильное приложение SafeTech PayControl, то установить сервер SafeTech PayControl.
  3. Telegram, то настроить подключение к Telegram Bot API.

Настройка

Настройка предполагает первичную настройку RADIUS-сервера на стороне FortiGate VPN или замену ранее используемого RADIUS сервера на RADIUS-сервер Avanpost FAM.

Для выполнения настройки необходимо знание следующих параметров:

  • IP-адрес и порт RADIUS-интерфейса компонента Avanpost FAM Server;
  • IP-адрес сервера FortiGate VPN, с которого FortiGate VPN будет осуществлять отправку RADIUS-запросов.

На стороне FortiGate VPN необходимо выполнить следующие настройки:

Белушкин Денис

  1. Создать в CheckPoint VPN RADIUS-сервер, указав на вкладке General :
    1. Host – необходимый хост, для которого будет действовать данный метод аутентификации;
    2. Service – указать RADIUS-сервис;
    3. Shared Secret – общий секрет, который затем потребуется указать в разделе настройки разделяемых секретов RADIUS через административную консоль Avanpost FAM;
    4. Version RADIUS Ver. 2.0 ;
    5. Protocol PAP ;
    6. Priority 1 .
  2. Настроить в разделе Multiple Login Options:
    1. Name – указать необходимое наименование метода аутентификации, например, «radius»;
    2. Comment – оставить пустым;
    3. Display Name – указать необходимое наименование, которое будет отображаться пользователям;
    4. Authenticator Methods – добавить запись, указав в качестве фактора аутентификации добавленный ранее:
      1. Authentication Factors – выбрать вариант RADIUS;
      2. Authenticator Servers – выбрать ранее созданный RADIUS-сервер;
      3. Флаг Ask user for password – включить.

На стороне административной консоли Avanpost FAM необходимо выполнить следующие настройки:

Белушкин Денис

  1. Создать и настроить приложение с типом RADIUS, указав для него в карточке приложения на вкладке «Настройки»:
    1. Флаг IP-адрес как идентификатор - включен.
    2. NAS IP (Source IP) – IP-адрес сервера FortiGate VPN.
    3. Протокол аутентификации PAP ( в соответствии с требованиями безопасности организации).
    4. Флаг Поддержка Access-Challenge – выключен.
  2. В разделе «Разделяемые секреты RADIUS» создать RADIUS-секрет, указав для него в IP-адрес с маской подсети сервера CheckPoint VPN либо подсеть (диапазон IP-адресов), из которой обращается CheckPoint VPN.
  3. Создать и настроить группу доступа, добавив в неё созданное приложение и пользователей, которые должны иметь доступ к приложению.

Проверка настройки

  1. Запустить клиент FortiGate VPN.
  2. Указать логин и пароль.
  3. Выполнить дополнительную аутентификацию в соответствии с настроенным сценарием аутентификации.

В результате пользователь должен быть успешно подключен к VPN.

Сценарии использования

Загрузка пользователей FortiGate VPN из домена (LDAP)

Чтобы пользователи из домена смогли проходить 2FA при подключении к FortiGate VPN, необходимо использовать встроенную в Avanpost FAM функциональность интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, openldap и т. д.). В рамках этой функции можно настроить LDAP-фильтры, которые позволят обеспечить загрузку в Avanpost FAM только тех пользователей, которые будут использовать FortiGate VPN. Таким образом можно подключить несколько доменов.

Контроль попыток аутентификации пользователей к FortiGate VPN через Avanpost FAM

Для контроля попыток аутентификации необходимо использовать журнал событий безопасности, доступный в административном интерфейсе системы и посредством syslog.

Управление доступом пользователей к FortiGate VPN через Avanpost FAM

Для предоставления доступа пользователю его необходимо включить в группу, которая имеет доступ к созданному приложению. Также можно реализовать автоматическое включение/исключение пользователя из группы в рамках синхронизации с LDAP-каталогом.

Для отзыва доступа у пользователя необходимо исключить его из группы, которая имеет доступ к созданному приложению.

Управление доступом пользователей к FortiGate VPN через домен (LDAP)

Avanpost FAM в рамках интеграции с LDAP-каталогом (Microsoft Active Directory, FreeIPA, openldap и т.д.) обеспечивает автоматизацию управления членством пользователей в группах Avanpost FAM путём синхронизации членства пользователей в группах Avanpost FAM на основе членства пользователей домена в доменных группах.

Управление вторым фактором (2FA) для FortiGate VPN через Avanpost FAM

Для настройки второго фактора, который будет использоваться для приложения FortiGate VPN, необходимо перейти в административной консоли в карточку приложения на вкладку «MFA». В качестве первого шага аутентификации необходимо указать метод – Password . В качестве второго шага можно выбрать один из следующих факторов:

  • Мобильное приложение Avanpost Authenticator;
  • Мобильное приложение SafeTech PayControl;
  • Мессенджер Telegram.

Управление вторым фактором (2FA) для отдельных групп сотрудников, подключающихся к FortiGate VPN, через Avanpost FAM

Необходимо в административной консоли Avanpost FAM перейти в карточку группы на вкладку «MFA» и настроить дополнительный сценарий аутентификации. Пользователи, входящие в указанную группу, будут проходить аутентификацию с использованием второго фактора, заданного на указанной вкладке. Таким образом можно определить специфический сценарий 2FA для администраторов и других привилегированных пользователей, подключающихся к CheckPoint VPN.

Изменение метода проверки пароля в рамках RADIUS для FortiGate VPN

Для CheckPoint VPN доступны следующие RADIUS-методы проверки пароля RADIUS-сервера Avanpost FAM:

  • PAP.