Аутентификация является одной из базисных мер информационной безопасности.
Эта процедура является доказательством того, что вы на самом деле и есть тот, от чьего имени идентифицируетесь в системе. Наиболее распространены два вида аутентификации пользователей: аутентификация по паролю и аутентификация по сертификату.
Но будем честны, на сегодняшний день аутентификация лишь по одному фактору (логин/пароль, сертификат) не является безопасной.
На это есть ряд причин:
1. Человеческий фактор
Люди редко используют сложные пароли и, как правило, редко из меняют.
2. Возможности злоумышленников
Возможности злоумышленников растут и украсть пароль не предоставляет сложности.
Одним из вариантов решения проблемы безопасности паролей может служить система многофакторной аутентификации.
В этой статье мы покажем, как организовать двухфакторную аутентификацию при организации удаленного доступа с помощью Континент 4 и Multifactor.
Удаленный доступ для доменных пользователей в Континент 4
Настройка многофакторной аутентификации
Для настройки многофакторной аутентификации средствами Континент 4 и Multifactor требуется:
1. Создать проект в системе MultiFactor
2. Добавить ресурс с произвольным типом привязки
3. На стороне Multifactor получить и настроить LDAP Adapter. MultiFactor LDAP Adapter – программный компонент, LDAP proxy сервер для Windows.
Компонент доступен вместе с исходным кодом и распространяется бесплатно. Актуальная версия находится на GitHub: код и сборка.
Данный компонент устанавливается на любой Windows Server начиная с версии 2008 R2. Для одновременной работы 1500 пользователей минимальными требованиями к серверу являются: 2 CPU, 4 GB RAM, 40 GB HDD.
Сервер, на который устанавливается компонент, должен прослушивать TCP/389 (LDAP), TCP/636 (LDAPS) соединения. Для взаимодействия с Active Directory, компоненту нужен доступ к серверу домена по протоколам TCP/389 (LDAP), TCP/636. Для подключения к системе Multifactor на сервере с установленным компонентом, должен быть доступ к api.multifactor.ru по протоколу TCP/443 (TLS).
После скачивания компонента LDAP Adapter его необходимо настроить. Общие параметры находятся в файле MultiFactor.Ldap.Adapter.exe.config:
<!-- Адрес и порт (TCP), по которому адаптер будет принимать запросы по протоколу LDAP -->
<!-- Если указать адрес 0.0.0.0, то адаптер будет слушать все сетевые интерфейсы -->
<add key="adapter-ldap-endpoint" value="0.0.0.0:389"/>
<!-- Адрес и порт (TCP), по которому адаптер будет принимать запросы по зашифрованному протоколу LDAPS -->
<!-- Если указать адрес 0.0.0.0, то адаптер будет слушать все сетевые интерфейсы -->
<add key="adapter-ldaps-endpoint" value="0.0.0.0:636"/>
<!-- Адрес или название домена Active Directory, а также схема подключения ldap или ldaps -->
<add key="ldap-server" value="ldaps://domain.local"/>
<!-- Список сервисных учетных записей (bind dn), которым не требуется второй фактор, перечисленные через точку с запятой -->
<add key="ldap-service-accounts" value="CN=Service Acc,OU=Users,DC=domain,DC=local"/>
<!-- Или OU сервисных учетных записей, которым не требуется второй фактор -->
<add key="ldap-service-accounts-ou" value="OU=Service Accounts"/>
<!-- Разрешать доступ только пользователям из указанной группы (не проверяется, если удалить настройку) -->
<add key="active-directory-group" value="MyApp Users"/>
<!-- Запрашивать второй фактор только у пользователей из указанной группы (второй фактор требуется всем, если удалить настройку) -->
<add key="active-directory-2fa-group" value="MyApp 2FA Users"/>
<!-- Не запрашивать второй фактор у пользователей из указанной группы (в том числе, если пользователь одновременно находится в группе, заданной в active-directory-2fa-group) -->
<add key="active-directory-2fa-bypass-group" value="Bypass 2FA Users"/>
<!-- Адрес API Мультифактора -->
<add key="multifactor-api-url" value="https://api.multifactor.ru"/>
<!-- Параметр NAS-Identifier для подключения к API Мультифактора - из личного кабинета -->
<add key="multifactor-nas-identifier" value=""/>
<!-- Параметр Shared Secret для подключения к API Мультифактора - из личного кабинета -->
<add key="multifactor-shared-secret" value=""/>
<!--Доступ к API Мультифактора через HTTP прокси (опционально)-->
<!-- <add key="multifactor-api-proxy" value="http://proxy:3128"/> -->
<!-- Уровень логирования: 'Debug', 'Info', 'Warn', 'Error' -->
<add key="logging-level" value="Debug"/>Важными для взаимодействия Континент 4 и Multifactor являются следующие настройки:
4. Запустите MultiFactor.Ldap.Adapter.exe от имени администратора:
LDAP Adapter запущен и готов к работе
Далее на стороне Континент 4 необходимо настроить подключение к серверу с установленным компонентом LDAP Adapter:
1. В разделе «Администрирование» - «LDAP» указать данные для подключения к серверу
LDAP-профиль в Континент 4 может функционировать ТОЛЬКО по протоколу LDAPS.
2. Далее необходимо импортировать группы пользователей:
Обратите внимание, что компонент LDAP Adapter видит обращения на импорт пользователей:
3. В списках объектов ЦУС во вкладке «Пользователи» появятся импортированные группы:
Далее можно приступить к формированию правил подключения по VPN и настройке ACL для VPN пользователей. Подробнее об этом смотрите здесь.
Получение второго фактора
Удаленным пользователям необходимо выслать ссылку для настройки аутентификации. Ссылку можно оправить на почту через систему MultiFactor:
В результате в момент подключения удаленным пользователям потребуется подтвердить подключение через приложение/Telegram.
Таким образом получается настроить двухфакторную аутентификацию для VPN пользователей, используя Континент 4 и Multifactor
Автор статьи: Дмитрий Лебедев, инженер ИБ.
Все знаковые новости мира кибербеза, практические кейсы внедрения и настройки решений, а также приглашения на полезные обучения уже ждут вас на наших каналах:
