Общие сведения
Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение к CheckPoint VPN. В инструкции описывается настройка 2FA для CheckPoint VPN с использованием RADIUS-сервера Avanpost FAM и различные сценарии использования 2FA для CheckPoint VPN.
Сценарий взаимодействия CheckPoint VPN с Avanpost FAM для аутентификации:
- Пользователь подключается к VPN, вводит логин и пароль в VPN-клиент. VPN-клиент подключается к VPN-серверу CheckPoint VPN.
- Сервер CheckPoint VPN по протоколу RADIUS подключается к службе RADIUS Avanpost FAM, выполняет проверку логина и пароля по одному из настроенных методов аутентификации RADIUS-протокола.
- Если для приложения CheckPoint VPN на стороне Avanpost FAM настроена проверка дополнительных факторов аутентификации, то VPN-клиент запрашивает у пользователя проверку этих факторов.
- После успешной проверки аутентификаторов в соответствии с настроенным сценарием аутентификации пользователь успешно подключен к VPN.
Для CheckPoint VPN в качестве второго фактора (2FA) возможно использование следующих методов аутентификации:
Для выполнения настройки 2FA в CheckPoint VPN в соответствии с инструкцией необходимо выполнить следующие предварительные условия:
- Установить в сети CheckPoint VPN, выполнить настройку VPN-сервера.
- Установить АРМ с клиентом VPN, который может выполнить подключение по VPN через CheckPoint VPN.
- Установить в сети компонент Avanpost FAM Server.
Если необходима аутентификация через:
- Мобильное приложение Avanpost Authenticator, то установить компонент Avanpost FAM Mobile Services.
- Мобильное приложение SafeTech PayControl, то установить сервер SafeTech PayControl.
- Telegram, то настроить подключение к Telegram Bot API.
Настройка
Настройка предполагает первичную настройку RADIUS-сервера на стороне CheckPoint VPN или замену ранее используемого RADIUS сервера на RADIUS-сервер Avanpost FAM.
Для выполнения настройки необходимо знание следующих параметров:
- IP-адрес и порт RADIUS-интерфейса компонента Avanpost FAM Server;
- IP-адрес сервера CheckPoint VPN, с которого CheckPoint VPN будет осуществлять отправку RADIUS-запросов.
На стороне CheckPoint VPN необходимо выполнить следующие настройки:
- Создать в CheckPoint VPN RADIUS-сервер, указав на вкладке
General
:Host
– необходимый хост, для которого будет действовать данный метод аутентификации;Service
– указать RADIUS-сервис;Shared Secret
– общий секрет, который затем потребуется указать в разделе настройки разделяемых секретов RADIUS через административную консоль Avanpost FAM;Version
–RADIUS Ver. 2.0
;Protocol
–PAP
;Priority
–1
.
- Настроить в разделе Multiple Login Options:
Name
– указать необходимое наименование метода аутентификации, например, «radius»;Comment
– оставить пустым;Display Name
– указать необходимое наименование, которое будет отображаться пользователям;Authenticator Methods
– добавить запись, указав в качестве фактора аутентификации добавленный ранее:Authentication Factors
– выбрать вариант RADIUS;Authenticator Servers
– выбрать ранее созданный RADIUS-сервер;- Флаг
Ask user for password
– включить.
На стороне административной консоли Avanpost FAM необходимо выполнить следующие настройки:
- Создать и настроить приложение с типом RADIUS, указав для него в карточке приложения на вкладке «Настройки»:
- Флаг
IP-адрес как идентификатор
- включен. NAS IP (Source IP) –
IP-адрес сервера CheckPoint VPN.Протокол аутентификации
–PAP
(
в соответствии с требованиями безопасности организации).- Флаг
Поддержка Access-Challenge
– выключен.
- Флаг
- В разделе «Разделяемые секреты RADIUS» создать RADIUS-секрет, указав для него в IP-адрес с маской подсети сервера CheckPoint VPN либо подсеть (диапазон IP-адресов), из которой обращается CheckPoint VPN.
- Создать и настроить группу доступа, добавив в неё созданное приложение и пользователей, которые должны иметь доступ к приложению.
Проверка настройки
- Запустить клиент CheckPoint VPN.
- Указать логин и пароль.
Выполнить дополнительную аутентификацию в соответствии с настроенным сценарием аутентификации.
В результате пользователь должен быть успешно подключен к VPN.
Информация
При аутентификации пользователя в RADIUS-приложение (CheckPoint VPN), где в качестве метода проверки используется пароль, для которого выбран протокол MSCHAPv2, возникает ошибка в логе: "error":"password is stored as a hash".
Причина ошибки в том, что пароль пользователя согласно параметру «Шифрование пароля» в настроенной парольной политике, сохранён в виде хеша и не может быть восстановлен.
Протоколы CHAP и MSCHAPv2 могут использоваться только с зашифрованным паролем.
Решение:
- Поменять настройки парольной политики, изменив параметр «Шифрование пароля» на значение «Шифровать пароль».
- Сменить пароль проблемному пользователю либо выбрать всех проблемных пользователей, используя интерфейс массовых операций (Массовые операции - Avanpost FAM/MFA+ 1), и применить к ним массовую операцию сброса пароля, сделав для них обязательной последующую смену пароля.
- После внесения изменений в парольную политику и смены пароля для всех указанных пользователей аутентификация по MSCHAPv2 будет работать корректно.
Сценарии использования
Загрузка пользователей CheckPoint VPN из домена (LDAP)
Чтобы пользователи из домена смогли проходить 2FA при подключении к CheckPoint VPN, необходимо использовать встроенную в Avanpost FAM функциональность интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, openldap и т. д.). В рамках этой функции можно настроить LDAP-фильтры, которые позволят обеспечить загрузку в Avanpost FAM только тех пользователей, которые будут использовать CheckPoint VPN. Таким образом можно подключить несколько доменов.
Контроль попыток аутентификации пользователей к CheckPoint VPN через Avanpost FAM
Для контроля попыток аутентификации необходимо использовать журнал событий безопасности, доступный в административном интерфейсе системы и посредством syslog.
Управление доступом пользователей к CheckPoint VPN через Avanpost FAM
Для предоставления доступа пользователю его необходимо включить в группу, которая имеет доступ к созданному приложению. Также можно реализовать автоматическое включение/исключение пользователя из группы в рамках синхронизации с LDAP-каталогом.
Для отзыва доступа у пользователя необходимо исключить его из группы, которая имеет доступ к созданному приложению.
Управление доступом пользователей к CheckPoint VPN через домен (LDAP)
Avanpost FAM в рамках интеграции с LDAP-каталогом (Microsoft Active Directory, FreeIPA, openldap и т.д.) обеспечивает автоматизацию управления членством пользователей в группах Avanpost FAM путём синхронизации членства пользователей в группах Avanpost FAM на основе членства пользователей домена в доменных группах.
Управление вторым фактором (2FA) для CheckPoint VPN через Avanpost FAM
Для настройки второго фактора, который будет использоваться для приложения CheckPoint VPN, необходимо перейти в административной консоли в карточку приложения на вкладку «MFA». В качестве первого шага аутентификации необходимо указать метод – Password
. В качестве второго шага можно выбрать один из следующих факторов:
- Мобильное приложение Avanpost Authenticator;
- Мобильное приложение SafeTech PayControl;
- Мессенджер Telegram.
Управление вторым фактором (2FA) для отдельных групп сотрудников, подключающихся к CheckPoint VPN, через Avanpost FAM
Необходимо в административной консоли Avanpost FAM перейти в карточку группы на вкладку «MFA» и настроить дополнительный сценарий аутентификации. Пользователи, входящие в указанную группу, будут проходить аутентификацию с использованием второго фактора, заданного на указанной вкладке. Таким образом можно определить специфический сценарий 2FA для администраторов и других привилегированных пользователей, подключающихся к CheckPoint VPN.
Изменение метода проверки пароля в рамках RADIUS для CheckPoint VPN
Для CheckPoint VPN доступны следующие RADIUS-методы проверки пароля RADIUS-сервера Avanpost FAM:
- PAP.
Приложение А. Пример выполненной настройки на стороне CheckPoint VPN
Создание RADIUS-сервера в CheckPoint VPN:
Настройка Multiple Login Options:
Настройка Authentication Factor в разделе Multiple Login Options: