Avanpost FAM/MFA+ : Настройка 2FA/MFA для Fortinet FortiGate VPN

Общие сведения

Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение к Fortinet FortiGate VPN. В инструкции описывается настройка 2FA для FortiGate VPN с использованием RADIUS-сервера Avanpost FAM и различные сценарии использования 2FA для FortiGate VPN.

Сценарий взаимодействия FortiGate VPN с Avanpost FAM для аутентификации:

  1. Пользователь подключается к VPN, вводит логин и пароль в VPN-клиент. VPN-клиент подключается к VPN-серверу FortiGate VPN.
  2. Сервер FortiGate VPN по протоколу RADIUS подключается к службе RADIUS Avanpost FAM, выполняет проверку логина и пароля по одному из настроенных методов аутентификации RADIUS-протокола.
  3. Если для приложения FortiGate VPN на стороне Avanpost FAM настроена проверка дополнительных факторов аутентификации, то VPN-клиент запрашивает у пользователя проверку этих факторов.
  4. После успешной проверки аутентификаторов в соответствии с настроенным сценарием аутентификации пользователь успешно подключен к VPN.

Для FortiGate VPN в качестве второго фактора (2FA) возможно использование следующих методов аутентификации:

Для выполнения настройки 2FA в FortiGate VPN в соответствии с инструкцией необходимо выполнить следующие предварительные условия:

  1. Установить в сети FortiGate VPN, выполнить настройку VPN-сервера.
  2. Установить АРМ с клиентом VPN, который может выполнить подключение по VPN через FortiGate VPN.
  3. Установить в сети компонент Avanpost FAM Server.

Если необходима аутентификация через:

  1. Мобильное приложение Avanpost Authenticator, то установить компонент Avanpost FAM Mobile Services.
  2. Мобильное приложение SafeTech PayControl, то установить сервер SafeTech PayControl.
  3. Telegram, то настроить подключение к Telegram Bot API.

Настройка

Настройка предполагает первичную настройку RADIUS-сервера на стороне FortiGate VPN или замену ранее используемого RADIUS сервера на RADIUS-сервер Avanpost FAM. 

Для выполнения настройки необходимо знание следующих параметров:

  • IP-адрес и порт RADIUS-интерфейса компонента Avanpost FAM Server;
  • IP-адрес сервера FortiGate VPN, с которого FortiGate VPN будет осуществлять отправку RADIUS-запросов.

Настройка Avanpost FAM

На стороне Avanpost FAM необходимо выполнить следующие настройки:

  1. Создать и настроить приложение с типом RADIUS, указав для него в карточке приложения на вкладке «Настройки»:
    1. Флаг IP-адрес как идентификатор - включен.
    2. NAS IP (Source IP) – IP-адрес сервера.
    3. Протокол аутентификации – PAP, CHAP или MSCHAPv2 (в соответствии с требованиями безопасности организации).
    4. Флаг Поддержка Access-Challenge – активен.
  2. В разделе «Разделяемые секреты RADIUS» создать RADIUS-секрет, указав для него в IP-адрес с маской подсети сервера либо подсеть (диапазон IP-адресов), из которой обращается сервер.
  3. Создать и настроить группу доступа, добавив в неё созданное приложение и пользователей, которые должны иметь доступ к приложению.

Настройки приложения типа RADIUS

Настройка FortiGate VPN

На стороне FortiGate VPN необходимо выполнить следующие настройки:

Войдите в свою учетную запись Fortinet FortiGate и перейдите в консоль администратора Admin console.

  1. Перейдите к User & Device —> RADIUS Servers, затем выберите Create New, чтобы начать добавление нового сервера RADIUS.
  2. Вы увидите меню, позволяющее добавить новый RADIUS сервер.
  3. Задайте следующие параметры, чтобы добавить новый RADIUS сервер.
NameИмя RADIUS-сервера.
Authentication MethodВыбрать метод аутентификации из выпадающего списка.
Primary Server IP / NameIP RADIUS Server.
Primary Server SecretУкажите созданный вами секретный ключ.
Secondary Server IP / NameОпционально
Secondary Server SecretОпционально

4. Нажмите Test Connectivity, чтобы убедиться, что IP-адрес RADIUS-сервера и секрет указаны правильно, и что соединение между FortiGate VPN и RADIUS установлено. Если все в порядке, нажмите OK, чтобы сохранить настройки.

Проверка настройки

  1. Запустить клиент FortiGate VPN.

  1. Указать логин и пароль.
  2. Выполнить дополнительную аутентификацию в соответствии с настроенным сценарием аутентификации.

В результате пользователь должен быть успешно подключен к VPN.

Сценарии использования

Загрузка пользователей FortiGate VPN из домена (LDAP)

Чтобы пользователи из домена смогли проходить 2FA при подключении к FortiGate VPN, необходимо использовать встроенную в Avanpost FAM функциональность интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, openldap и т. д.). В рамках этой функции происходит настройка LDAP-фильтров для обеспечения загрузки в Avanpost FAM только тех пользователей, которые будут использовать FortiGate VPN. Таким образом работает подключение несколько доменов.

Контроль попыток аутентификации пользователей к FortiGate VPN через Avanpost FAM

Для контроля попыток аутентификации необходимо использовать журнал событий безопасности, доступный в административном интерфейсе системы и посредством syslog.

Управление доступом пользователей к FortiGate VPN через Avanpost FAM

Для предоставления доступа пользователю его необходимо включить в группу, которая имеет доступ к созданному приложению. Реализуется автоматическое включение/исключение пользователя из группы в рамках синхронизации с LDAP-каталогом.

Для отзыва доступа у пользователя необходимо исключить его из группы, которая имеет доступ к созданному приложению.

Управление доступом пользователей к FortiGate VPN через домен (LDAP)

Avanpost FAM в рамках интеграции с LDAP-каталогом (Microsoft Active Directory, FreeIPA, openldap и т.д.) обеспечивает автоматизацию управления членством пользователей в группах Avanpost FAM путём синхронизации членства пользователей в группах Avanpost FAM на основе членства пользователей домена в доменных группах.

Управление вторым фактором (2FA) для FortiGate VPN через Avanpost FAM

Для настройки второго фактора, который будет использоваться для приложения FortiGate VPN, необходимо перейти в административной консоли в карточку приложения на вкладку «MFA». В качестве первого шага аутентификации необходимо указать метод – Password. В качестве второго шага следует выбрать один из следующих факторов:

  • Мобильное приложение Avanpost Authenticator;
  • Мобильное приложение SafeTech PayControl;
  • Мессенджер Telegram.

Управление вторым фактором (2FA) для отдельных групп сотрудников, подключающихся к FortiGate VPN, через Avanpost FAM

Необходимо в административной консоли Avanpost FAM перейти в карточку группы на вкладку «MFA» и настроить дополнительный сценарий аутентификации. Пользователи, входящие в указанную группу, будут проходить аутентификацию с использованием второго фактора, заданного на указанной вкладке. Таким образом определяют специфический сценарий 2FA для администраторов и других привилегированных пользователей, подключающихся к FortiGate VPN.

Изменение метода проверки пароля в рамках Access-Challenge RADIUS для FortiGate VPN

Для FortiGate VPN доступны следующие RADIUS-методы проверки пароля RADIUS-сервера Avanpost FAM:

  • PAP.

Обсуждение