Двухфакторная аутентификация с Индид

Двухфакторная аутентификация при установлении защищенного VPN-соединения между ФПСУ и рабочими станциями, оснащенными комплексами «ФПСУ-IP/Клиент», может реализовываться посредством интеграции с платформой Indeed Access Manager.

ФПСУ — семейство криптомаршрутизаторов, которые базируются на отечественных разработках и стандартах (см. подробнее в документе «Семейство средств защиты информации «ФПСУ-IP». Описание применения. ПЕРС.26.20.40.140.001ОП» раздел Программно-аппаратный комплекс «ФПСУ-IP»). Комплекс ФПСУ предназначен для межсетевого экранирования и разграничения доступа в Intranet/Extranet на сетевом и транспортном уровнях, а также для построения виртуальных частных сетей на базе общедоступных (VPN), оптимизации и повышения пропускной способности каналов связи. Решение включено в реестр российского ПО под номерами: 19484, 10012.

 ФПСУ-IP/Клиент предназначен для построения защищенных каналов связи между рабочей станцией и ФПСУ (см. подробнее в документе «Семейство средств защиты информации «ФПСУ-IP». Описание применения. ПЕРС.26.20.40.140.001ОП» раздел Программные и программно-аппаратные комплексы «ФПСУ IP/Клиент»).

Индид — российский разработчик комплекса решений в области Identity Security (https://indeed-company.ru). Система многофакторной аутентификации Indeed Access Manager усиливает стандартную парольную аутентификацию, что помогает уменьшить угрозы в сфере защиты корпоративной информации, связанные с несанкционированным доступом. Применение Indeed Access Manager обеспечивает централизованный доступ к информационным ресурсам из внутренней сети компании и через VPN. Продукт поддерживает множество методов аутентификации, в том числе использование одноразовых паролей и push-уведомлений.

Система аутентификации

В процессе двухфакторной аутентификации взаимодействуют следующие компоненты системы:

• ФПСУ является центральным элементом инфраструктуры организации для доступа к сетевым ресурсам, должен быть предварительно установлен и сконфигурирован в локальной сети организации;

• платформа Indeed Access Manager (Indeed AM) позволяет построить систему централизованного управления доступом к информационным ресурсам компании. Indeed AM включает в себя различные модули для интеграции с целевыми системами;

•VPN-сервер принимает входящие подключения, перенаправляет RADIUS-запросы от ФПСУ на NPS-сервер. VPN-сервер должен быть настроен в качестве RADIUS-клиента;

•NPS-сервер – это серверная роль Windows, предназначенная для проверки RADIUS-запросов и применения политик доступа;

•Indeed NPS RADIUS Extension (RADIUS Extension) представляет собой модуль расширения Microsoft Network Policy Server (NPS входит в состав Windows Server) и позволяет реализовать технологию двухфакторной аутентификации для RADIUS-совместимых сервисов и приложений, перенаправляет аутентификацию в Indeed AM;

•Indeed AM Core центральная система, которая выполняет дополнительную проверку (MFA, политики и т.д.) и возвращает результат в NPS;

• ФПСУ-IP/Клиент, установленный на рабочую станцию или мобильное устройство пользователя, предоставляет доступ к ресурсам внутренней сети организации через удалённое соединение;

• мобильное устройство пользователя, на котором настроен второй фактор аутентификации - одноразовый OTP-код, для реализации второго фактора могут использоваться приложения, совместимые с Indeed АМ, приведены на сайте компании Indeed в разделе документации Установка и настройка провайдеров аутентификации.

Общая схема работы приведена на рисунке:

Общая процедура подключения к защищаемой сети на стороне пользователя выглядит следующим образом:

Пользователь запускает программу для VPN-подключения, ФПСУ-IP/Клиент , инструкция по установке ФПСУ-IP/Клиента приведена на портале документации АМИКОН https://wiki.amicon.ru .

Ниже приведены скриншоты процесса двухфакторной аутентификации в программе ФПСУ-IP/Клиент.

Пользователь выполняет команду «Соединиться»:

Инициируется подключение к VPN-шлюзу ФПСУ. Пользователь вводит PIN-код доступа для соединения с ФПСУ и нажимает кнопку «ОК».

Пользователь вводит в интерфейсе ФПСУ-IP/Клиента логин и пароль, например, OTP-код, являющийся вторым фактором для авторизации.

После подтверждения ввода указанные данные отправляются на ФПСУ для передачи в систему проверки второго фактора.

Общая процедура на стороне серверов, принимающих запрос пользователя на подключение, выглядит следующим образом:

ФПСУ по протоколу RADIUS подключается к NPS-серверу через VPN-сервер и направляет запрос клиента на аутентификацию. Модуль RADIUS Extension обрабатывает этот запрос, перенаправляя на сервер управления доступом Indeed AM для верификации второго фактора.

Центральная система Indeed AM Core проводит проверку учетных данных пользователя в Active Directory, проверяет корректность второго фактора аутентификации, результат проверки отправляет NPS-серверу.

NPS-сервер отвечает ФПСУ результатом проверки. ФПСУ принимает решение о предоставлении доступа ФПСУ-IP/Клиенту к сетевым ресурсам и при успешной аутентификации устанавливается защищенное соединение между рабочей станцией пользователя и сетью организации.

Настройка системы двухфакторной аутентификации

В системе Indeed AM

В рассматриваемой схеме взаимодействия применялся сценарий VPN - NPS - RADIUS Extension.

Реализация данного сценария включает ключевые этапы развертывания и настройки:

Установить и настроить NPS-сервер в Windows Server, включить роль «Сервер политики сети» и создать политики доступа для VPN. Инструкция приведена в документации по установке NPS.

Установить RADIUS Extension, подключить его к Indeed AM и указать параметры взаимодействия. Инструкция приведена в документации по установке RADIUS Extension.

В консоли управления добавить интегрированное RADIUS-приложение, настроить методы входа и при необходимости передать дополнительные атрибуты Radius в политиках NPS. Инструкция приведена в документации по добавлению интегрированного приложения.

На мобильном устройстве пользователя

Для привязки учетной записи пользователя к серверу аутентификации на мобильном устройстве пользователя требуется установить приложение, совместимое с Indeed АМ, генерирующее одноразовый OTP-код.

на стороне ФПСУ-IP/Клиента

Дополнительная настройка на стороне ФПСУ-IP/Клиента не требуется. Актуальная информация по использованию ФПСУ-IP/Клиента доступна на портале документации АМИКОН https://wiki.amicon.ru.

на стороне ФПСУ

Поддержка взаимодействия ФПСУ с RADIUS сервером реализована в версии 3.30.2 и выше. Перед настройкой необходимо убедиться, что на платформе установлены последние актуальные обновления для используемой версии.

Работа с Indeed AM подтверждена в ФПСУ версии 4.0. Для корректной работы необходимо обновить ФПСУ до последней актуальной версии 4.

Подробная документация по настройке ФПСУ находится на портале документации АМИКОН https://wiki.amicon.ru.

Взаимодействие ФПСУ с RADIUS сервером настраивается в конфигураторе ФПСУ средствами программы централизованного управления «Удалённый администратор ФПСУ», либо при локальном подключении к ФПСУ.

На ФПСУ необходимо добавить описание следующих объектов в конфигурацию ФПСУ:

1. RADIUS-сервер;

2. ФПСУ-IP/Клиент.

Для описания RADIUS-сервера выбрать в меню последовательно команды Конфигурация ФПСУ → Сетевые сервисы → RADIUS-серверы. В открывшемся окне добавить сервер аутентификации. Также  это окно открывается по цепочке команд  Конфигурация ФПСУ → Клиенты → ФПСУ-Клиенты → выбрать группу клиентов → выбрать диапазон клиентов или конкретного клиента → Абоненты (Всего) → Настройки RADIUS → Редактор серверов, подробная инструкция приведена в руководстве администратора «Криптомаршрутизатор и межсетевой экран "ФПСУ Amigo" версии 4» в пункте Настройка RADIUS-серверов на ФПСУ.

Для описания ФПСУ-IP/Клиента выбрать в меню последовательно команды Конфигурация ФПСУ → Клиенты → ФПСУ-Клиенты → выбрать группу клиентов → выбрать диапазон клиентов или конкретного клиента → Абоненты (Всего) → Настройки RADIUS. В открывшемся окне добавить имя ранее описанного сервера аутентификации в поле «Аутентификация», настроить дополнительные параметры, подробная инструкция приведена в руководстве администратора «Криптомаршрутизатор и межсетевой экран "ФПСУ Amigo" версии 4 (версия 4.0.1)» в пункте Настройка диапазона клиентов на работу с Radius.