Настройка двухфакторной аутентификации по VPN. Континент 4 — MultiFactor23.02.2024 08:30

Аутентификация является одной из базисных мер информационной безопасности.

Эта процедура является доказательством того, что вы на самом деле и есть тот, от чьего имени идентифицируетесь в системе. Наиболее распространены два вида аутентификации пользователей: аутентификация по паролю и аутентификация по сертификату.

Но будем честны, на сегодняшний день аутентификация лишь по одному фактору (логин/пароль, сертификат) не является безопасной.

На это есть ряд причин:
1. Человеческий фактор
Люди редко используют сложные пароли и, как правило, редко из меняют.

2. Возможности злоумышленников
Возможности злоумышленников растут и украсть пароль не предоставляет сложности.

Одним из вариантов решения проблемы безопасности паролей может служить система многофакторной аутентификации.

В этой статье мы покажем, как организовать двухфакторную аутентификацию при организации удаленного доступа с помощью Континент 4 и Multifactor.

f2c7005aa533c65b4b6f4a1cb29600f6.png

2. Добавить ресурс с произвольным типом привязки

31ae685e75b3a451aff64442c0401744.png

3. На стороне Multifactor получить и настроить LDAP Adapter. MultiFactor LDAP Adapter — программный компонент, LDAP proxy сервер для Windows.

Компонент доступен вместе с исходным кодом и распространяется бесплатно. Актуальная версия находится на GitHub:  код и сборка.

Данный компонент устанавливается на любой Windows Server начиная с версии 2008 R2. Для одновременной работы 1500 пользователей минимальными требованиями к серверу являются: 2 CPU, 4 GB RAM, 40 GB HDD.

Сервер, на который устанавливается компонент, должен прослушивать TCP/389 (LDAP), TCP/636 (LDAPS) соединения. Для взаимодействия с Active Directory, компоненту нужен доступ к серверу домена по протоколам TCP/389 (LDAP), TCP/636. Для подключения к системе Multifactor на сервере с установленным компонентом, должен быть доступ к api.multifactor.ru по протоколу TCP/443 (TLS).

После скачивания компонента LDAP Adapter его необходимо настроить. Общие параметры находятся в файле MultiFactor.Ldap.Adapter.exe.config:

Важными для взаимодействия Континент 4 и Multifactor являются следующие настройки:

183260f89f0a894dacb131113b1c7205.png

4. Запустите MultiFactor.Ldap.Adapter.exe от имени администратора:

2f29e9f6f6bf10ae74f9fec09717d2d4.png

LDAP Adapter запущен и готов к работе

Далее на стороне Континент 4 необходимо настроить подключение к серверу с установленным компонентом LDAP Adapter:

1. В разделе «Администрирование» — «LDAP» указать данные для подключения к серверу

LDAP-профиль в Континент 4 может функционировать ТОЛЬКО по протоколу LDAPS.

9df8e6e17580712e95b33fef77e6d029.png

2. Далее необходимо импортировать группы пользователей:

c3da920f407298487b8ab98f7dfde426.png

Обратите внимание, что компонент LDAP Adapter видит обращения на импорт пользователей:

099654397fba0904ddd05d4259ee2e4b.png

3. В списках объектов ЦУС во вкладке «Пользователи» появятся импортированные группы:

f257cf4c105ccc8f91a0b575c42d26a1.png

Далее можно приступить к формированию правил подключения по VPN и настройке ACL для VPN пользователей. Подробнее об этом смотрите здесь.

Получение второго фактора

Удаленным пользователям необходимо выслать ссылку для настройки аутентификации. Ссылку можно оправить на почту через систему MultiFactor:

02692fef18b4119c281a572d4035233f.png

В результате в момент подключения удаленным пользователям потребуется подтвердить подключение через приложение/Telegram.

Таким образом получается настроить двухфакторную аутентификацию для VPN пользователей, используя Континент 4 и Multifactor

Автор статьи:  Дмитрий Лебедев,  инженер ИБ.

Все знаковые новости мира кибербеза, практические кейсы внедрения и настройки решений, а также приглашения на полезные обучения уже ждут вас на наших каналах:

© Habrahabr.ru