Двухфакторная аутентификация с FreeRADIUS

Двухфакторная аутентификация при установлении защищенного VPN-соединения между ФПСУ и рабочими станциями, оснащенными комплексами «ФПСУ-IP/Клиент», может реализовываться посредством интеграции с внешним сервисом удаленной аутентификации FreeRADIUS.

ФПСУ — семейство криптомаршрутизаторов, которые базируются на отечественных разработках и стандартах (см. подробнее в документе «Семейство средств защиты информации «ФПСУ-IP». Описание применения. ПЕРС.26.20.40.140.001ОП» раздел Программно-аппаратный комплекс «ФПСУ-IP»). Комплекс ФПСУ предназначен для межсетевого экранирования и разграничения доступа в Intranet/Extranet на сетевом и транспортном уровнях, а также для построения виртуальных частных сетей на базе общедоступных (VPN), оптимизации и повышения пропускной способности каналов связи. Решение включено в реестр российского ПО под номерами: 19484, 10012.

 ФПСУ-IP/Клиент предназначен для построения защищенных каналов связи между рабочей станцией и ФПСУ (см. подробнее в документе «Семейство средств защиты информации «ФПСУ-IP». Описание применения. ПЕРС.26.20.40.140.001ОП» раздел Программные и программно-аппаратные комплексы «ФПСУ IP/Клиент»).

FreeRADIUS — это сервер с открытым исходным кодом (https://www.freeradius.org), реализующий протокол RADIUS для комплексного управления доступом, включая аутентификацию, авторизацию и учёт (AAA).

Система аутентификации

В процессе двухфакторной аутентификации взаимодействуют следующие компоненты системы:

•ФПСУ является центральным элементом инфраструктуры организации для доступа к сетевым ресурсам, должен быть предварительно установлен и сконфигурирован в локальной сети организации;

•FreeRADIUS - RADIUS сервер для двухфакторной аутентификации пользователей при использовании удалённого доступа, взаимодействует с сетевыми службами для верификации личности пользователя через его мобильное устройство, должен быть предварительно установлен в сети организации и настроен на работу с ФПСУ и запросами клиентов;

•OTP-сервер отвечает за верификацию одноразовых кодов. Если код, сгенерированный сервером, в точности совпадает с кодом, предоставленным пользователем — верификация считается успешной. В противном случае OTP-сервер возвращает ошибку, и доступ пользователя блокируется на стороне ФПСУ;

•система управления доступа к каталогам на основе LDAP, реализующая централизованное управление учётными записями (например, OpenLDAP или Active Directory);

•ФПСУ-IP/Клиент, установленный на рабочую станцию или мобильное устройство пользователя, предоставляет доступ к ресурсам внутренней сети организации через удалённое соединение;

•мобильное устройство пользователя, на котором настроен второй фактор аутентификации, для реализации второго фактора могут использоваться приложения-аутентификаторы, совместимые с FreeRADIUS, такие как FreeOTP, Я.Ключ, Google Authenticator и т.п.

Общая схема работы приведена на рисунке:

Общая процедура подключения к защищаемой сети на стороне пользователя выглядит следующим образом:

Пользователь запускает программу для VPN-подключения, ФПСУ-IP/Клиент , инструкция по установке ФПСУ-IP/Клиента приведена на портале документации АМИКОН https://wiki.amicon.ru .

Ниже приведены скриншоты процесса двухфакторной аутентификации в программе ФПСУ-IP/Клиент.

Пользователь выполняет команду «Соединиться»:

Инициируется подключение к VPN-шлюзу ФПСУ. Пользователь вводит PIN-код доступа для соединения с ФПСУ и нажимает кнопку «ОК».

Пользователь вводит в интерфейсе ФПСУ-IP/Клиента логин и пароль, например, OTP-код, являющийся вторым фактором для авторизации.

После подтверждения ввода указанные данные отправляются на ФПСУ для передачи в систему проверки второго фактора.

Общая процедура на стороне серверов, принимающих запрос пользователя на подключение, выглядит следующим образом:

ФПСУ по протоколу RADIUS подключается к FreeRADIUS и направляет запрос клиента на авторизацию.

FreeRADIUS проводит проверку имени пользователя (логин) в системе управления доступом к каталогам через LDAP, проверяет корректность второго фактора аутентификации, обращаясь к OTP-серверу.

FreeRADIUS отвечает ФПСУ результатом проверки. ФПСУ принимает решение о предоставлении доступа ФПСУ-IP/Клиенту к сетевым ресурсам и при успешной аутентификации устанавливается защищенное соединение между рабочей станцией пользователя и сетью организации. В данной конфигурации FreeRADIUS возвращает в ответе для ФПСУ также параметры группы пользователя (возможна выдача как имени группы, так и GUID группы).

Настройка системы двухфакторной аутентификации

В системе FreeRADIUS

Подтверждена работа FreeRADIUS версии 3.0.26 для использования с ФПСУ.

В рассматриваемой схеме взаимодействия применялся сценарий FreeRadius - Active Directory - Google Authenticator.  В данном сценарии требуются следующие шаги настройки:

•Выполнить установку и настройку сервера FreeRADIUS согласно документации на официальном сайте.

•Настроить LDAP-модуль для проверки имен пользователей в Active Directory.

В приводимом примере при первоначальной привязке устройства двухфакторной аутентификации выполняется однократная проверка учетных данных в Active Directory; в дальнейшем аутентификация осуществляется на основе двух параметров - логина  и OTP-кода, без необходимости дополнительных запросов к контроллеру домена.

•Настроить Samba для работы FreeRADIUS, Samba с программой ntlm_auth функционирует как шлюз протоколов аутентификации, преобразующий запросы RADIUS-сервера в формат, совместимый с контроллером домена. Инструкция по установке и настройке приведена в документации FreeRADIUS в разделах Использование Samba, Использование NTLM.

•Настроить Winbind - компонент Samba, используется для интеграции Linux-систем в доменную среду Windows Active Directory. Инструкция по установке приведена в документации FreeRADIUS в разделе Установить Winbind. Пример настройки приведен в документации к Ubuntu в разделе Samba : Samba Winbind, в разделе wiki Ввод компьютера в домен Windows.

На мобильном устройстве пользователя

Для привязки мобильного устройства пользователя к системе двухфакторной аутентификации требуется на мобильное устройство установить совместимое с FreeRADIUS приложение-аутентификатор, зарегистрировать в нём аккаунт путём передачи хэша, сгенерированного OTP-сервером (конкретные действия зависят от выбранного приложения 2FA).

на стороне ФПСУ-IP/Клиента

Дополнительная настройка на стороне ФПСУ-IP/Клиента не требуется. Актуальная информация по использованию ФПСУ-IP/Клиента доступна на портале документации АМИКОН https://wiki.amicon.ru.

на стороне ФПСУ

Поддержка взаимодействия ФПСУ с RADIUS сервером реализована в версии 3.30.2 и выше. Перед настройкой необходимо убедиться, что на платформе установлены последние актуальные обновления для используемой версии.

Работа с FreeRADIUS подтверждена в ФПСУ версии 4.0. Для корректной работы необходимо обновить ФПСУ до последней актуальной версии 4.

Подробная документация по настройке ФПСУ находится на портале документации АМИКОН https://wiki.amicon.ru.

Взаимодействие ФПСУ с RADIUS сервером настраивается в конфигураторе ФПСУ средствами программы централизованного управления «Удалённый администратор ФПСУ», либо при локальном подключении к ФПСУ.

На ФПСУ необходимо добавить описание следующих объектов в конфигурацию ФПСУ:

1. RADIUS-сервер;

2. ФПСУ-IP/Клиент.

Для описания RADIUS-сервера выбрать в меню последовательно команды Конфигурация ФПСУ → Сетевые сервисы → RADIUS-серверы. В открывшемся окне добавить сервер аутентификации. Также  это окно открывается по цепочке команд  Конфигурация ФПСУ → Клиенты → ФПСУ-Клиенты → выбрать группу клиентов → выбрать диапазон клиентов или конкретного клиента → Абоненты (Всего) → Настройки RADIUS → Редактор серверов, подробная инструкция приведена в руководстве администратора «Криптомаршрутизатор и межсетевой экран "ФПСУ Amigo" версии 4» в пункте Настройка RADIUS-серверов на ФПСУ.

Для описания ФПСУ-IP/Клиента выбрать в меню последовательно команды Конфигурация ФПСУ → Клиенты → ФПСУ-Клиенты → выбрать группу клиентов → выбрать диапазон клиентов или конкретного клиента → Абоненты (Всего) → Настройки RADIUS. В открывшемся окне добавить имя ранее описанного сервера аутентификации в поле «Аутентификация», настроить дополнительные параметры, подробная инструкция приведена в руководстве администратора «Криптомаршрутизатор и межсетевой экран "ФПСУ Amigo" версии 4 (версия 4.0.1)» в пункте Настройка диапазона клиентов на работу с Radius.