Двухфакторная аутентификация с МУЛЬТИФАКТОР

Двухфакторная аутентификация при установлении защищенного VPN-соединения между ФПСУ и рабочими станциями, оснащенными комплексами «ФПСУ-IP/Клиент», может реализовываться посредством интеграции с внешним сервисом удаленной аутентификации MULTIFACTOR.

ФПСУ — семейство криптомаршрутизаторов, которые базируются на отечественных разработках и стандартах (см. подробнее в документе «Семейство средств защиты информации «ФПСУ-IP». Описание применения. ПЕРС.26.20.40.140.001ОП» раздел Программно-аппаратный комплекс «ФПСУ-IP»). Комплекс ФПСУ предназначен для межсетевого экранирования и разграничения доступа в Intranet/Extranet на сетевом и транспортном уровнях, а также для построения виртуальных частных сетей на базе общедоступных (VPN), оптимизации и повышения пропускной способности каналов связи. Решение включено в реестр российского ПО под номерами: 19484, 10012.

 ФПСУ-IP/Клиент предназначен для построения защищенных каналов связи между рабочей станцией и ФПСУ (см. подробнее в документе «Семейство средств защиты информации «ФПСУ-IP». Описание применения. ПЕРС.26.20.40.140.001ОП» раздел Программные и программно-аппаратные комплексы «ФПСУ IP/Клиент»).

MULTIFACTOR — система двухфакторной аутентификации и контроля доступа для любого удалённого подключения: RDP, VPN, VDI, SSH и других. Решение включено в реестр российского ПО под № 7046.

Система аутентификации

В процессе двухфакторной аутентификации взаимодействуют следующие компоненты системы:

• ФПСУ является центральным элементом инфраструктуры организации для доступа к сетевым ресурсам, должен быть предварительно установлен и сконфигурирован в локальной сети организации;

• MULTIFACTOR Radius Adapter - RADIUS сервер, разработанный и поддерживаемый компанией МУЛЬТИФАКТОР для двухфакторной аутентификации пользователей при использовании удалённого доступа, взаимодействует с сетевыми службами для верификации личности пользователя через его мобильное устройство, должен быть предварительно установлен и настроен;

• ФПСУ-IP/Клиент, установленный на рабочую станцию или мобильное устройство пользователя, предоставляет доступ к ресурсам внутренней сети организации через удалённое защищенное соединение;

• мобильное устройство пользователя, на котором настроен второй фактор аутентификации, для реализации второго фактора могут использоваться:

- официальное мобильное приложение MULTIFACTOR;

- прочие варианты, поддерживаемые решением MULTIFACTOR Radius Adapter (подробнее о способах аутентификации с MULTIFACTOR).

Общая схема работы приведена на рисунке:

Общая процедура подключения к защищаемой сети на стороне пользователя выглядит следующим образом:

Пользователь запускает программу для VPN-подключения, ФПСУ-IP/Клиент , инструкция по установке ФПСУ-IP/Клиента приведена на портале документации АМИКОН https://wiki.amicon.ru .

Ниже приведены скриншоты процесса двухфакторной аутентификации в программе ФПСУ-IP/Клиент.

Пользователь выполняет команду «Соединиться»:

Инициируется подключение к VPN-шлюзу ФПСУ. Пользователь вводит PIN-код доступа для соединения с ФПСУ и нажимает кнопку «ОК».

Пользователь вводит в интерфейсе ФПСУ-IP/Клиента логин и пароль, например, OTP-код, являющийся вторым фактором для авторизации.

После подтверждения ввода указанные данные отправляются на ФПСУ для передачи в систему проверки второго фактора.

Общая процедура на стороне серверов, принимающих запрос пользователя на подключение, выглядит следующим образом:

ФПСУ по протоколу RADIUS подключается к компоненту MULTIFACTOR Radius Adapter.

Компонент MULTIFACTOR Radius Adapter проводит проверку учетных данных пользователя – логина и пароля, в Active Directory или через Network Policy Server, а затем подтверждает корректность второго фактора аутентификации.

Компонент MULTIFACTOR Radius Adapter отвечает ФПСУ результатом проверки. ФПСУ принимает решение о предоставлении доступа ФПСУ-IP/Клиенту к сетевым ресурсам, при успешной аутентификации устанавливается защищенное VPN-соединение.

Настройка двухфакторной аутентификации

В системе MULTIFACTOR

Краткая инструкция приведена в базе знаний MULTIFACTOR.

Для развертывания RADIUS сервера необходимо выполнить следующие действия:

•Зарегистрироваться в системе управления MULTIFACTOR.

•Установить и сконфигурировать MULTIFACTOR Radius Adapter, инструкция приведена в документации к серверу.

•Добавить VSA атрибуты АМИКОН в конфигурацию MULTIFACTOR для получения расширенной информации о ФПСУ-IP/Клиентах.

Список VSA атрибутов АМИКОН приведен в спецификации протокола RADIUS.

Для поддержки VSA необходимо добавить определение атрибутов в словарь MULTIFACTOR Radius Adapter - в файл Content/radius.dictonary:

На мобильном устройстве пользователя

Для привязки учетной записи пользователя к серверу аутентификации на мобильном устройстве пользователя требуется установить приложение, совместимое с MULTIFACTOR, генерирующее одноразовый OTP-код.

на стороне ФПСУ-IP/Клиента

Дополнительная настройка на стороне ФПСУ-IP/Клиента не требуется. Актуальная информация по использованию ФПСУ-IP/Клиента доступна на портале документации АМИКОН https://wiki.amicon.ru.

на стороне ФПСУ

Поддержка взаимодействия ФПСУ с RADIUS сервером реализована в версии 3.30.2 и выше. Перед настройкой необходимо убедиться, что на платформе установлены последние актуальные обновления для используемой версии.

Работа с MULTIFACTOR подтверждена в ФПСУ версии 4.0. Для корректной работы необходимо обновить ФПСУ до последней актуальной версии 4.

Подробная документация по настройке ФПСУ находится на портале документации АМИКОН https://wiki.amicon.ru.

Взаимодействие ФПСУ с RADIUS сервером настраивается в конфигураторе ФПСУ средствами программы централизованного управления «Удалённый администратор ФПСУ», либо при локальном подключении к ФПСУ.

На ФПСУ необходимо добавить описание следующих объектов в конфигурацию ФПСУ:

1. RADIUS-сервер;

2. ФПСУ-IP/Клиент.

Для описания RADIUS-сервера выбрать в меню последовательно команды Конфигурация ФПСУ → Сетевые сервисы → RADIUS-серверы. В открывшемся окне добавить сервер аутентификации. Также  это окно открывается по цепочке команд  Конфигурация ФПСУ → Клиенты → ФПСУ-Клиенты → выбрать группу клиентов → выбрать диапазон клиентов или конкретного клиента → Абоненты (Всего) → Настройки RADIUS → Редактор серверов, подробная инструкция приведена в руководстве администратора «Криптомаршрутизатор и межсетевой экран "ФПСУ Amigo" версии 4» в пункте Настройка RADIUS-серверов на ФПСУ.

Для описания ФПСУ-IP/Клиента выбрать в меню последовательно команды Конфигурация ФПСУ → Клиенты → ФПСУ-Клиенты → выбрать группу клиентов → выбрать диапазон клиентов или конкретного клиента → Абоненты (Всего) → Настройки RADIUS. В открывшемся окне добавить имя ранее описанного сервера аутентификации в поле «Аутентификация», настроить дополнительные параметры, подробная инструкция приведена в руководстве администратора «Криптомаршрутизатор и межсетевой экран "ФПСУ Amigo" версии 4 (версия 4.0.1)» в пункте Настройка диапазона клиентов на работу с Radius.