Двухфакторная авторизация для VPN-соединений



    Чтобы еще больше повысить безопасность внешних соединений к внутренним ресурсам корпоративной сети, рекомендуется «усилить» VPN-соединения процедурой двухфакторной авторизации. Это можно легко сделать с помощью Panda GateDefender.

    VPN позволяет двум раздельным локальным сетям напрямую безопасно подключаться друг к другу, используя потенциально небезопасные сети, такие как Интернет. Весь сетевой трафик в рамках VPN-соединения безопасно передается внутри зашифрованного туннеля, скрытого от любопытных глаз. Такая конфигурация называется Gateway-to-Gateway VPN (Gw2Gw VPN). Аналогичным образом и один-единственный удаленный компьютер, расположенный где-то в Интернете, может использовать VPN-туннель для подключения к требуемой локальной сети. В этом случае, удаленный компьютер, иногда называемый Road Warrior, выглядит так, словно он физически присутствует в этой локальной сети до тех пор, пока активен VPN-туннель.

    Такие возможности VPN очень удобны: в эпоху BYOD и распределенных информационных систем безопасные VPN-соединения являются достаточно простым и эффективным решением, которое позволяет обеспечить безопасный доступ удаленных и мобильных сотрудников предприятия к внутренним корпоративным ИТ-ресурсам (внутренняя локальная сеть, БД, файловые серверы и пр.).

    UTM-решение Panda GateDefender для защиты периметра корпоративной сети позволяет решать данный вопрос. Решение поддерживает создание VPN, основанного либо на протоколе IPsec, который поддерживается большинством операционных систем и сетевых устройств, либо на сервисе OpenVPN.

    Решение Panda GateDefender может быть настроено в качестве сервера или клиента OpenVPN (или может играть обе эти роли одновременно), чтобы создать сеть устройств, подключенных через OpenVPN. Вкратце, возможности решения позволяют:

    • настраивать сервер OpenVPN таким образом, чтобы клиенты могли подключаться к одной из локальных зон
    • настраивать клиентскую часть схемы Gateway-to-Gateway между двумя или более решениями Panda GateDefender
    • настраивать основанные на IPsec VPN-туннели и L2TP-соединения
    • управлять пользователями VPN-соединений
    • настраивать сертификаты, которые будут использоваться для VPN-соединений.

    Сами по себе VPN-соединения достаточно безопасны, чтобы их можно было перехватить и расшифровать. Но что делать в том случае, если злоумышленник каким-либо способом (а их достаточно много…) узнал логин и пароль для VPN-соединения и/или даже получил удаленный (физический) доступ к компьютеру вашего мобильного или удаленного сотрудника, чтобы от его лица подключаться к корпоративной VPN-сети? Каким образом можно повысить уровень безопасности VPN-соединений?

    Двухфакторная авторизация

    В этом случае поможет двухфакторная авторизация (2FA) — это процесс безопасности, в рамках которого пользователи должны предоставлять дополнительный временный одноразовый пароль (TOTP) для более безопасной собственной идентификации. Этот дополнительный пароль генерируется токеном или устройством генерации кодов, или, в качестве альтернативного варианта, специальным приложением, установленным на смартфоне пользователя.

    Двухфакторная авторизация повышает безопасность VPN-подключения, т.к. в данном случае требуется не только имя пользователя и пароль, но также и дополнительный временный одноразовый код (TOTP), генерируемый токеном. Поэтому процесс проверки подлинности пользователя представляет собой комбинацию тех данных, которые пользователь уже знает (имя пользователя и пароль), и тех данных, которые пользователь получает отдельно (код, генерируемый токеном или совместимым с TOTP приложением, установленным на смартфоне пользователя).

    На рынке существует большое разнообразие токен-устройств и их производителей. Каждый из них внедряет свой собственный алгоритм, но все они требуют интеграции своих технологий на сервере. Многие из таких производителей предоставляют как аппаратные решения (физические токены, генерирующие коды), так и программные решения, такие как приложения для смартфонов, генерирующие TOTP.

    Для достижения совместимости между производителями, существует открытый стандарт, который может быть использован без необходимости в лицензировании стороннего ПО. Этот стандарт был опубликован в RFC 6238.

    Установка токена на устройство пользователя

    Пользователи могут использовать любое TOTP-совместимое устройство или приложение для смартфона. Существует огромное количество бесплатных приложений, которые поддерживают этот стандарт, например:



    Чтобы генерировать TOTP-коды, пользователь должен в приложении настроить аккаунт. Существует два способа настройки аккаунта применительно к решению Panda GateDefender:

    • Вручную создать аккаунт, копируя текстовый код одноразового пароля, сгенерированный в консоли управления Panda GateDefender
    • Сфотографировать с помощью камеры смартфона QR-код, сгенерированный в консоли GateDefender.

    Текстовый код и QR-код содержат всю информацию, необходимую для настройки аккаунта.
    После того как аккаунт был настроен, приложение токена начнет генерировать одноразовые пароли каждые 30 секунд. Т.к. алгоритм генерации паролей основан на часах устройства, то Интернет-подключение не требуется. Однако не должно быть большой разницы между временем, настроенным в решении GateDefender и на устройстве пользователя. На рисунке ниже показаны интерфейсы некоторых приложений для смартфонов по генерации паролей.



    Настройка двухфакторной авторизации в GateDefender


    Выполните действия ниже для включения двухфакторной авторизации в решении GateDefender:

    • Добавьте сервер авторизации одноразовых паролей.
    • Определите новый мэппинг к данному серверу.

    Добавление нового сервера авторизации одноразовых паролей

    Перейдите в раздел VPN -> Авторизация -> Настройки и нажмите ссылку Добавить новый сервер авторизации.



    У опции Тип выберите Одноразовый пароль. Затем выберите Local (local) в полях Провайдер информации о пользователе и Провайдер пароля. Укажите название нового сервера авторизации в поле Имя и нажмите кнопку Добавить.



    В этом примере мы использовали локального провайдера паролей для проверки имени пользователя и пароля, введенного пользователем. Тем не менее, двухфакторная авторизация поддерживает и другие типы провайдеров паролей.

    Определение нового мэппинга к серверу авторизации

    После создания сервера авторизации Вам необходимо настроить новый мэппинг для одного из типов VPN, поддерживаемых GateDefender.
    Чтобы добавить новый мэппинг к серверу авторизации, нажмите на иконку , соответствующую тому типу VPN, который Вы хотите настроить.



    В новом окне нажмите иконку для добавления нового мэппинга к серверу авторизации. Новый сервер появится в правой панели. Чтобы удалить мэппинг, нажмите иконку . Чтобы добавить или удалить все мэппинги, нажмите ссылки Добавить все и Удалить все, соответственно.



    Настройка сервиса 2FA на устройстве пользователя


    Рисунок ниже показывает процедуру конфигурации:



    • Создайте нового пользователя в GateDefender и сгенерируйте QR-код или ключ.
    • Отправьте пользователю по почте QR-код или распечатайте его и передайте вручную. Если у пользователя нет камеры на смартфоне, то передайте ему текстовый код.
    • Пользователь должен просканировать QR-код (ввести текстовый код) с помощью TOPT-совместимого приложения, установленного на своем смартфоне.
    • Приложение сможет генерировать коды доступа.

    Создание нового пользователя в GateDefender и генерация QR-кода или текстового кода

    Перейдите в VPN-> Авторизация-> Пользователи и нажмите Добавить нового локального пользователя.



    При добавлении нового пользователя нажмите затем Показать QR-код. Отправьте код в текстовой форме тем пользователям, у кого нет на своих смартфонах приложения для считывания QR-кодов, чтобы его можно было просканировать.



    Чтобы скачать QR-код из консоли GateDefender, просто нажмите правой кнопкой мыши на нем и выберите в контекстном меню опцию Read QR code from image.



    Отправка QR-кода (текстового кода) пользователю по почте или его печать и передача вручную

    После того как Вы скачали QR-код (скопировали текстовый код), Вы можете отправить его пользователю по электронной почте или распечатать его и передать ему вручную.

    Сканирование пользователем QR-кода (ввод текстового кода) с помощью TOPT-совместимого приложения, установленного на его смартфоне

    После получения QR-кода или текстового кода, пользователь должен импортировать его в TOPT-совместимое приложение.
    Можно отменить ранее настроенный аккаунт на смартфоне пользователя, сгенерировав новый текстовый код или QR-код и просканировав его с помощью приложения.

    Подключение пользователя

    После того как двухфакторная авторизация была включена, процесс подключения пользователя изменится: пользователь обязан будет предоставить действующий код, сгенерированный токеном при подключении со своим VPN-аккаунтом. Процесс показан на рисунке ниже.



    Заключение


    В нашей статье мы рассмотрели случай, когда было необходимо повысить уровень безопасности VPN-соединений для удаленных и мобильных сотрудников предприятия. В качестве решения поставленной задачи мы использовали функцию двухфакторной авторизации, реализованной с помощью UTM-решения Panda GateDefender для защиты периметра сети.

    Более подробная информация о Panda GateDefender:

    Описание продукта Panda GateDefender
    Техническое описание
    Спецификация и требования к серверам

    Также Вы можете заказать бесплатную версию Panda GateDefender сроком на 1 месяц, отправив заявку на адрес sales@rus.pandasecurity.com.
    Метки:
    Panda Security в России 74,42
    Облачные решения безопасности, антивирусы
    Поделиться публикацией
    Комментарии 9
    • 0
      Есть ли жизнь на жизнь на Марсе, нет ли жизни на Марсе — никто не знает. А VPN в России, как известно, запретили.
      • +1
        Не запретили, а запретят с 1 ноября.
        Не VPN, а сервисы которые предоставляют доступ к запрещенным сайтам.

        VPN не запретят как минимум по тому, что он нужен компаниям как инструмент.
        • 0
          Как отличить какой VPN используется для предоставления таких услуг, а какой нет? Ведь поток не расшифровать. Проще запретить всё, чем и закончится, если началось.
          • 0
            Тогда и запретить pppoe, pptp, https, sftp, ssh, ipsec, и вообще все протоколы, любое шифрование и интернет.
            Ведь VPN, а конкретнее туннель можно сделать практически из всего, хоть IP over DNS, хоть IP over ICMP, можно сделать радио-маршрутизаторы, которые будут морзянкой общаться друг с другом, сделать одну большую сеть и те, которые будут за пределами РФ и будут точкой выхода/входа(как ТОР) и таких примеров можно сделать бесконечное множество. Никто не отменял туннель в туннеле, и еще раз все обернуть в туннель. Отслеживать таких будет невозможно.
            Да и вы не задумывались, что гос. учреждения тоже пользуются для защиты своей информации туннелированием?
            • 0
              Это не ко мне вопросы, а сами знаете к кому :) Не факт, что VPN'ом всё закончится.
        • 0
          А VPN в России, как известно, запретили.

          Насколько я понимаю данный закон о запрете анонимайзеров и VPN, то в данном случае не совсем понятно его применение.
          В частности, решение Panda GD позволяет предприятиям и организациям устанавливать VPN-соединения между своей локальной сетью и удаленным/мобильным сотрудником данного предприятия (или другого предприятия, например, поставщик, продавец, партнер и т.д., кому решили предоставить доступ к локальным ресурсам). Поэтому получается, что такой roadwarrior выглядит так, словно он находится в этой локальной корпоративной сети. Далее он ходит в Интернет уже как из локальной сети предприятия с его внешним IP. А тут уже провайдер предприятия должен блокировать доступ к запрещенным сайтам.

          Т.е. с помощью нашего VPN не обеспечивается доступ к запрещенным сайтам.
          Насколько я понимаю, с учетом п.17 (с перечнем изменений ст.15) в №276-ФЗ «О внесении изменений в Федеральный закон „Об информации, информационных технологиях и о защите информации“ использование VPN-сервисов не запрещено предприятиями и организациями для установления VPN-соединений с ограниченным и заранее предопределенным кругом пользователей (удаленные и мобильные сотрудники) в технологических целях обеспечения деятельности этого предприятия или организации (обеспечение безопасного соединения удаленных/мобильных сотрудников к внутрикорпоративным ресурсам).
        • 0
          К слову, в свете последних событий, не удивлюсь, если VoIP телефонию запретят :(
          • 0
            Что насчет автоматизации?
            Замечательно, что администратор может скопировать и отправить ключик, но, если у тебя >1000 пользователей, да еще и текучка есть. Админ помрет раньше.
            Есть возможность автоматически рассылать ключи для вновь создаваемых пользователей? Скажем при добавлении в определенную группу MSAD (и вообще с MSAD дружит или нет?).
            Есть некое подобие личного кабинета или сервиса самообслуживания, для получения нового ключа, в случае смены смартфона?
            Так же не понятно где при наличии стандартного OpenVPN клиента будет выводиться окно ввода OTP.
            Походу как обычно всё однобоко и кустарно или тема не раскрыта.

            Но убила фраза: «Сфотографировать с помощью камеры смартфона QR-код, сгенерированный в консоли GateDefender», т.е. пользователь должен иметь доступ в консоль администрирования?
            • 0
              Есть возможность автоматически рассылать ключи для вновь создаваемых пользователей? Скажем при добавлении в определенную группу MSAD (и вообще с MSAD дружит или нет?).

              Нет, возможности автоматически рассылать ключи на текущий момент пока нет, хотя эта опция стоит в списке ожидаемых. В целом решение Panda GD дружит с Active Directoryдля других функций (мы об этом напишем небольшую статью в ближайшее время), но в данном случае такой возможности пока нет.

              А Вам для какого количества пользователей требуется рассылка ключей? Как правило, не для всех сотрудников предоставляется VPN_подключение для каких-то внутренних корпоративных ресурсов.


              Есть некое подобие личного кабинета или сервиса самообслуживания, для получения нового ключа, в случае смены смартфона?

              Такого личного кабинета сейчас нет.

              Так же не понятно где при наличии стандартного OpenVPN клиента будет выводиться окно ввода OTP.

              Временный одноразовый ключ вводится пользователем в стандартном окне для авторизации VPN-соединения в поле для вода пароля через пробел. Например:
              Yourpassword yourotpkey

              Но убила фраза: «Сфотографировать с помощью камеры смартфона QR-код, сгенерированный в консоли GateDefender», т.е. пользователь должен иметь доступ в консоль администрирования?

              Конечно, нет, конечный пользователь не должен иметь доступа к консоли управления.
              Вы не совсем верно поняли.
              Конечный пользователь получает от администратора текстовый ключ или QR-код (в виде картинки или в печатном виде). После этого конечный пользователь берет свой смартфон и сканирует этот QR-код с помощью камеры, встроенной в смартфоне.

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое