Но будем честны, на сегодняшний день аутентификация по одному фактору (логин/пароль, сертификат) не является безопасной. Есть ряд причин:
1. Человеческий фактор
Люди редко используют сложные пароли и, как правило, редко из меняют.
2. Возможности злоумышленников
Возможности злоумышленников растут и украсть пароль не предоставляет сложности.
Уверены ли вы, что ваши пароли уже не украдены? покажет, какие учетные записи ваших пользователей скомпрометированы.
Одним из вариантов решения проблемы безопасности паролей может служить система многофакторной аутентификации.
В этой статье мы покажем, как организовать двухфакторную аутентификацию при организации удаленного доступа с помощью Континент 4 и Multifactor.
Подробнее о данных системах:
Для настройки многофакторной аутентификации средствами Континент 4 и Multifactor требуется:
1. Создать проект в системе MultiFactor
2. Добавить ресурс с произвольным типом привязки
3. На стороне Multifactor получить и настроить LDAP Adapter. MultiFactor LDAP Adapter – программный компонент, LDAP proxy сервер для Windows.
Компонент доступен вместе с исходным кодом и распространяется бесплатно. Актуальная версия находится на GitHub: и .
Данный компонент устанавливается на любой Windows Server начиная с версии 2008 R2. Для одновременной работы 1500 пользователей минимальными требованиями к серверу являются: 2 CPU, 4 GB RAM, 40 GB HDD.
Сервер, на который устанавливается компонент, должен прослушивать TCP/389 (LDAP), TCP/636 (LDAPS) соединения. Для взаимодействия с Active Directory, компоненту нужен доступ к серверу домена по протоколам TCP/389 (LDAP), TCP/636. Для подключения к системе Multifactor на сервере с установленным компонентом, должен быть доступ к api.multifactor.ru по протоколу TCP/443 (TLS).
После скачивания компонента LDAP Adapter его необходимо настроить. Общие параметры находятся в файле MultiFactor.Ldap.Adapter.exe.config:
| <!-- Адрес и порт (TCP), по которому адаптер будет принимать запросы по протоколу LDAP --> <!-- Если указать адрес 0.0.0.0, то адаптер будет слушать все сетевые интерфейсы --> <add key="adapter-ldap-endpoint" value="0.0.0.0:389"/> <!-- Адрес и порт (TCP), по которому адаптер будет принимать запросы по зашифрованному протоколу LDAPS --> <!-- Если указать адрес 0.0.0.0, то адаптер будет слушать все сетевые интерфейсы --> <add key="adapter-ldaps-endpoint" value="0.0.0.0:636"/> <!-- Адрес или название домена Active Directory, а также схема подключения ldap или ldaps --> <add key="ldap-server" value="ldaps://domain.local"/> <!-- Список сервисных учетных записей (bind dn), которым не требуется второй фактор, перечисленные через точку с запятой --> <add key="ldap-service-accounts" value="CN=Service Acc,OU=Users,DC=domain,DC=local"/> <!-- Или OU сервисных учетных записей, которым не требуется второй фактор --> <add key="ldap-service-accounts-ou" value="OU=Service Accounts"/> <!-- Разрешать доступ только пользователям из указанной группы (не проверяется, если удалить настройку) --> <add key="active-directory-group" value="MyApp Users"/> <!-- Запрашивать второй фактор только у пользователей из указанной группы (второй фактор требуется всем, если удалить настройку) --> <add key="active-directory-2fa-group" value="MyApp 2FA Users"/> <!-- Не запрашивать второй фактор у пользователей из указанной группы (в том числе, если пользователь одновременно находится в группе, заданной в active-directory-2fa-group) --> <add key="active-directory-2fa-bypass-group" value="Bypass 2FA Users"/> <!-- Адрес API Мультифактора --> <add key="multifactor-api-url" value="; <!-- Параметр NAS-Identifier для подключения к API Мультифактора - из личного кабинета --> <add key="multifactor-nas-identifier" value=""/> <!-- Параметр Shared Secret для подключения к API Мультифактора - из личного кабинета --> <add key="multifactor-shared-secret" value=""/> <!--Доступ к API Мультифактора через HTTP прокси (опционально)--> <!-- <add key="multifactor-api-proxy" value="; --> <!-- Уровень логирования: 'Debug', 'Info', 'Warn', 'Error' --> <add key="logging-level" value="Debug"/> |
Важными для взаимодействия Континент 4 и Multifactor являются следующие настройки:
4. Запустите MultiFactor.Ldap.Adapter.exe от имени администратора:
LDAP Adapter запущен и готов к работе.
Далее на стороне Континент 4 необходимо настроить подключение к серверу с установленным компонентом LDAP Adapter:
1. В разделе «Администрирование» - «LDAP» указать данные для подключения к серверу
LDAP-профиль в Континент 4 может функционировать ТОЛЬКО по протоколу LDAPS.
2. Далее необходимо импортировать группы пользователей:
Обратите внимание, что компонент LDAP Adapter видит обращения на импорт пользователей:
3. В списках объектов ЦУС во вкладке «Пользователи» появятся импортированные группы:
Далее можно приступить к формированию правил подключения по VPN и настройке ACL для VPN пользователей. Подробнее об этом смотрите .
Получение второго фактора
Удаленным пользователям необходимо выслать ссылку для настройки аутентификации. Ссылку можно оправить на почту через систему MultiFactor:
В результате в момент подключения удаленным пользователям потребуется подтвердить подключение через приложение/Telegram.
Таким образом получается настроить двухфакторную аутентификацию для VPN пользователей, используя Континент 4 и Multifactor.
Автор статьи: Дмитрий Лебедев, инженер TS Solution.
Больше учебных материалов по ИБ и ИТ направлениям вы найдете на учебном портале . После регистрации вам станут доступны статьи, курсы и вебинары о решениях Кода Безопасности, UserGate, Positive Technologies, Check Point и других вендоров.
