Identity Cloud : CheckPoint VPN: настройка 2FA

Identity Cloud : CheckPoint VPN: настройка 2FA

[ Общие сведения ] [ Настройка на стороне CheckPoint VPN ] [ Настройка на стороне Avanpost Identity Cloud ] [ Проверка настройки ] [ Сценарии использования ]

Общие сведения

Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение к CheckPoint VPN. В инструкции описывается настройка 2FA для CheckPoint VPN с использованием RADIUS-сервера Avanpost FAM и различные сценарии использования 2FA для CheckPoint VPN.

Сценарий взаимодействия CheckPoint VPN с Avanpost FAM для аутентификации:

  1. Пользователь подключается к VPN, вводит логин и пароль в VPN-клиент. VPN-клиент подключается к VPN-серверу CheckPoint VPN.
  2. Сервер CheckPoint VPN по протоколу RADIUS подключается к службе RADIUS Avanpost FAM, выполняет проверку логина и пароля по одному из настроенных методов аутентификации RADIUS-протокола.
  3. Если для приложения CheckPoint VPN на стороне Avanpost FAM настроена проверка дополнительных факторов аутентификации, то VPN-клиент запрашивает у пользователя проверку этих факторов.
  4. После успешной проверки аутентификаторов в соответствии с настроенным сценарием аутентификации пользователь успешно подключен к VPN.

Для CheckPoint VPN в качестве второго фактора (2FA) возможно использование в качестве метода аутентификации мобильного приложения Avanpost Authenticator.

Для выполнения настройки 2FA в CheckPoint VPN в соответствии с инструкцией необходимо выполнить следующие предварительные условия:

  1. Установить в сети CheckPoint VPN, выполнить настройку VPN-сервера.
  2. Установить АРМ с клиентом VPN, который может выполнить подключение по VPN через CheckPoint VPN.
  3. Создать и настроить тенант Avanpost Identity Cloud.

Настройка на стороне CheckPoint VPN

Настройка предполагает первичную настройку RADIUS-сервера на стороне CheckPoint VPN или замену ранее используемого RADIUS сервера на RADIUS-сервер Avanpost Identity Cloud. 

Для выполнения настройки необходимо знание следующих параметров:

  • IP-адрес и порт RADIUS-интерфейса компонента Avanpost Identity Cloud;
  • IP-адрес сервера CheckPoint VPN, с которого CheckPoint VPN будет осуществлять отправку RADIUS-запросов.

На стороне CheckPoint VPN необходимо выполнить следующие настройки:

  1. Создать в CheckPoint VPN RADIUS-сервер, задав во вкладке General следующие параметры:
    ПараметрЗначение
    HostНеобходимый хост, для которого будет действовать данный метод аутентификации.
    ServiceУказать RADIUS-сервис
    Shared SecretОбщий секрет, который затем потребуется указать в разделе настройки разделяемых секретов RADIUS через административную консоль Avanpost Identity Cloud
    VersionRADIUS Ver. 2.0
    ProtocolPAP
    Priority1
  2. Настроить в разделе Multiple Login Options:
    ПараметрЗначение
    NameУказать необходимое наименование метода аутентификации (например, «radius»).
    CommentДопускается не заполнять данное поле.
    Display NameУказать необходимое наименование, которое будет отображаться пользователям.
    Authenticator Methods

    Добавить запись, указав в качестве фактора аутентификации добавленный ранее:

    1. Authentication Factors – выбрать вариант RADIUS;
    2. Authenticator Servers – выбрать ранее созданный RADIUS-сервер;
    3. Флаг Ask user for password – включить.

Настройка на стороне Avanpost Identity Cloud

На стороне административной консоли Avanpost Identity Cloud необходимо выполнить следующие настройки:

  1. Открыть административную консоль на своем тенанте Identity Cloud и зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" режима "Приложения".
  2. На этапе "Основные настройки" требуется ввести наименование и выбрать тип "RADIUS" (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление RADIUS-приложениями).
  3. На этапе "Настройки интеграции" заполнить указанные поля в соответствии с таблицей.
    ПараметрЗначение
    IP-адрес как идентификаторВключить флаг.
    NAS IPIP-адрес сервера CheckPoint VPN.

    Протокол аутентификации 

    		PAP
    Разрешить Access-Challenge

    В зависимости от типа используемого OpenVPN:

    • Выключен – для OpenVPN Community Edition (OpenVPN с открытым исходным кодом не поддерживает Access-Challenge);
    • Включен – для OpenVPN Access Server.
  4. На этапе "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов.
  5. На этапе "Завершение" следует сохранить приложение, делая его активным сразу после создания.
  6. Настроить Разделяемые секреты RADIUS:
    1. Перейти в профиль приложения, найдя созданное RADIUS-приложение в реестре режима "Приложения".
    2. Войти в раздел "Настройки" профиля приложения и установить адрес сервера сетевого доступа (NAS IP), если он не определен.
    3. Перейти в раздел "Разделяемые секреты RADIUS".
    4. Создать новый разделяемый секрет клиента RADIUS:
      1. Нажать "Добавить" в реестре секретов;
      2. Ввести название созданного клиентского приложения.
      3. Ввести IP-адрес с маской подсети сервера CheckPoint VPN либо подсеть (диапазон IP-адресов), из которой обращается CheckPoint VPN.
      4. Ввести секрет в соответствии с требованиями к RADIUS-секретам и нажать "Сохранить".
  7. Создать группу (если таковая отсутствует), пользователи которой будут в приложении OpenVPN. Для этого необходимо нажать кнопку "Добавить группу" в режиме "Группы" и в открывшейся вкладке ввести запрашиваемые параметры (более подробно о настройке группы описано в разделе Управление доступом).
  8. Добавить в группу пользователей, которые будут аутентифицироваться при помощи OpenVPN (более подробно о добавлении пользователей в разделе Управление пользователями).
  9. Предоставить группе доступ к созданному приложению: в профиле группы зайти во вкладку "Приложения", найти созданное RADIUS-приложение и перевести переключать напротив него во включенное положение.

Проверка настройки

Проверку корректности настройки необходимо выполнить следующим образом:

  1. Запустить клиент CheckPoint VPN.
  2. Указать логин и пароль.

  3. Выполнить дополнительную аутентификацию в соответствии с настроенным сценарием аутентификации .

  4. Убедиться, что в результате выполненных действий пользователь успешно подключен к VPN.

Информация

При аутентификации пользователя в RADIUS-приложение (CheckPoint VPN), где в качестве метода проверки используется пароль, для которого выбран протокол MSCHAPv2, возникает ошибка в логе: "error":"password is stored as a hash".

Причина ошибки в том, что пароль пользователя согласно параметру «Шифрование пароля» в настроенной парольной политике, сохранён в виде хеша и не может быть восстановлен.

Протоколы CHAP и MSCHAPv2 могут использоваться только с зашифрованным паролем.

Решение:

  1. Поменять настройки парольной политики, изменив параметр «Шифрование пароля» на значение «Шифровать пароль».
  2. Сменить пароль проблемному пользователю либо выбрать всех проблемных пользователей, используя интерфейс массовых операций (Массовые операции - Avanpost FAM/MFA+ 1), и применить к ним массовую операцию сброса пароля, сделав для них обязательной последующую смену пароля.
  3. После внесения изменений в парольную политику и смены пароля для всех указанных пользователей аутентификация по MSCHAPv2 будет работать корректно.

Сценарии использования

Загрузка пользователей CheckPoint VPN из домена (LDAP)

Чтобы пользователи из домена смогли проходить 2FA при подключении к CheckPoint VPN, необходимо использовать встроенную в Identity Cloud функциональность интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, OpenLDAP и т.д.). В рамках этой функции можно настроить LDAP-фильтры, которые позволят обеспечить загрузку в Avanpost Identity Cloud только тех пользователей, которые будут использовать CheckPoint VPN. Таким образом можно подключить несколько доменов.

Контроль попыток аутентификации пользователей к CheckPoint VPN через Avanpost Identity Cloud

Для контроля попыток аутентификации необходимо использовать журнал событий безопасности. Журнал событий безопасности доступен в разделе "Отчеты"

Управление доступом пользователей к CheckPoint VPN через Avanpost Identity Cloud

Для предоставления доступа пользователю его необходимо включить в группу, которая имеет доступ к созданному приложению. Также можно реализовать автоматическое включение/исключение пользователя из группы в рамках синхронизации с LDAP-каталогом.

Для отзыва доступа у пользователя необходимо исключить его из группы, которая имеет доступ к созданному приложению.

Управление доступом пользователей к CheckPoint VPN через домен (LDAP)

Avanpost Identity Cloud в рамках интеграции с LDAP-каталогом (Microsoft Active Directory, FreeIPA, openldap и т.д.) обеспечивает автоматизацию управления членством пользователей в группах Avanpost Identity Cloud путём синхронизации членства пользователей в группах Identity Cloud на основе членства пользователей домена в доменных группах.

Управление вторым фактором (2FA) для CheckPoint VPN через Avanpost FAM

Для настройки второго фактора, который будет использоваться для приложения CheckPoint VPN, необходимо перейти в административной консоли в карточку приложения на вкладку «MFA». В качестве первого шага аутентификации необходимо указать метод – Password. В качестве второго шага можно выбрать мобильное приложение Avanpost Authenticator;

Управление вторым фактором (2FA) для отдельных групп сотрудников, подключающихся к CheckPoint VPN, через Avanpost Identity Cloud

Необходимо в административной консоли Avanpost FAM перейти в карточку группы на вкладку «MFA» и настроить дополнительный сценарий аутентификации. Пользователи, входящие в указанную группу, будут проходить аутентификацию с использованием второго фактора, заданного на указанной вкладке. Таким образом можно определить специфический сценарий 2FA для администраторов и других привилегированных пользователей, подключающихся к CheckPoint VPN.

Изменение метода проверки пароля в рамках RADIUS для CheckPoint VPN

Для CheckPoint VPN доступны следующие RADIUS-методы проверки пароля RADIUS-сервера Avanpost Identity Cloud:

  • PAP.


Обсуждение