Чтобы еще больше повысить безопасность внешних соединений к внутренним ресурсам корпоративной сети, рекомендуется «усилить» VPN-соединения процедурой двухфакторной авторизации. Это можно легко сделать с помощью Panda GateDefender.

VPN позволяет двум раздельным локальным сетям напрямую безопасно подключаться друг к другу, используя потенциально небезопасные сети, такие как Интернет. Весь сетевой трафик в рамках VPN-соединения безопасно передается внутри зашифрованного туннеля, скрытого от любопытных глаз. Такая конфигурация называется Gateway-to-Gateway VPN (Gw2Gw VPN). Аналогичным образом и один-единственный удаленный компьютер, расположенный где-то в Интернете, может использовать VPN-туннель для подключения к требуемой локальной сети. В этом случае, удаленный компьютер, иногда называемый Road Warrior, выглядит так, словно он физически присутствует в этой локальной сети до тех пор, пока активен VPN-туннель.

Такие возможности VPN очень удобны: в эпоху BYOD и распределенных информационных систем безопасные VPN-соединения являются достаточно простым и эффективным решением, которое позволяет обеспечить безопасный доступ удаленных и мобильных сотрудников предприятия к внутренним корпоративным ИТ-ресурсам (внутренняя локальная сеть, БД, файловые серверы и пр.).

UTM-решение Panda GateDefender для защиты периметра корпоративной сети позволяет решать данный вопрос. Решение поддерживает создание VPN, основанного либо на протоколе IPsec, который поддерживается большинством операционных систем и сетевых устройств, либо на сервисе OpenVPN.

Решение Panda GateDefender может быть настроено в качестве сервера или клиента OpenVPN (или может играть обе эти роли одновременно), чтобы создать сеть устройств, подключенных через OpenVPN. Вкратце, возможности решения позволяют:

• настраивать сервер OpenVPN таким образом, чтобы клиенты могли подключаться к одной из локальных зон
• настраивать клиентскую часть схемы Gateway-to-Gateway между двумя или более решениями Panda GateDefender
• настраивать основанные на IPsec VPN-туннели и L2TP-соединения
• управлять пользователями VPN-соединений
• настраивать сертификаты, которые будут использоваться для VPN-соединений.

Сами по себе VPN-соединения достаточно безопасны, чтобы их можно было перехватить и расшифровать. Но что делать в том случае, если злоумышленник каким-либо способом (а их достаточно много…) узнал логин и пароль для VPN-соединения и/или даже получил удаленный (физический) доступ к компьютеру вашего мобильного или удаленного сотрудника, чтобы от его лица подключаться к корпоративной VPN-сети? Каким образом можно повысить уровень безопасности VPN-соединений?

Двухфакторная авторизация

В этом случае поможет двухфакторная авторизация (2FA) — это процесс безопасности, в рамках которого пользователи должны предоставлять дополнительный временный одноразовый пароль (TOTP) для более безопасной собственной идентификации. Этот дополнительный пароль генерируется токеном или устройством генерации кодов, или, в качестве альтернативного варианта, специальным приложением, установленным на смартфоне пользователя.

Двухфакторная авторизация повышает безопасность VPN-подключения, т.к. в данном случае требуется не только имя пользователя и пароль, но также и дополнительный временный одноразовый код (TOTP), генерируемый токеном. Поэтому процесс проверки подлинности пользователя представляет собой комбинацию тех данных, которые пользователь уже знает (имя пользователя и пароль), и тех данных, которые пользователь получает отдельно (код, генерируемый токеном или совместимым с TOTP приложением, установленным на смартфоне пользователя).

На рынке существует большое разнообразие токен-устройств и их производителей. Каждый из них внедряет свой собственный алгоритм, но все они требуют интеграции своих технологий на сервере. Многие из таких производителей предоставляют как аппаратные решения (физические токены, генерирующие коды), так и программные решения, такие как приложения для смартфонов, генерирующие TOTP.

Для достижения совместимости между производителями, существует открытый стандарт, который может быть использован без необходимости в лицензировании стороннего ПО. Этот стандарт был опубликован в RFC 6238.

Установка токена на устройство пользователя

Пользователи могут использовать любое TOTP-совместимое устройство или приложение для смартфона. Существует огромное количество бесплатных приложений, которые поддерживают этот стандарт, например:



Чтобы генерировать TOTP-коды, пользователь должен в приложении настроить аккаунт. Существует два способа настройки аккаунта применительно к решению Panda GateDefender:

• Вручную создать аккаунт, копируя текстовый код одноразового пароля, сгенерированный в консоли управления Panda GateDefender
• Сфотографировать с помощью камеры смартфона QR-код, сгенерированный в консоли GateDefender.

Текстовый код и QR-код содержат всю информацию, необходимую для настройки аккаунта.
После того как аккаунт был настроен, приложение токена начнет генерировать одноразовые пароли каждые 30 секунд. Т.к. алгоритм генерации паролей основан на часах устройства, то Интернет-подключение не требуется. Однако не должно быть большой разницы между временем, настроенным в решении GateDefender и на устройстве пользователя. На рисунке ниже показаны интерфейсы некоторых приложений для смартфонов по генерации паролей.

Настройка двухфакторной авторизации в GateDefender

Выполните действия ниже для включения двухфакторной авторизации в решении GateDefender:

• Добавьте сервер авторизации одноразовых паролей.
• Определите новый мэппинг к данному серверу.

Добавление нового сервера авторизации одноразовых паролей

Перейдите в раздел VPN -> Авторизация -> Настройки и нажмите ссылку Добавить новый сервер авторизации.



У опции Тип выберите Одноразовый пароль. Затем выберите Local (local) в полях Провайдер информации о пользователе и Провайдер пароля. Укажите название нового сервера авторизации в поле Имя и нажмите кнопку Добавить.



В этом примере мы использовали локального провайдера паролей для проверки имени пользователя и пароля, введенного пользователем. Тем не менее, двухфакторная авторизация поддерживает и другие типы провайдеров паролей.

Определение нового мэппинга к серверу авторизации

После создания сервера авторизации Вам необходимо настроить новый мэппинг для одного из типов VPN, поддерживаемых GateDefender.
Чтобы добавить новый мэппинг к серверу авторизации, нажмите на иконку , соответствующую тому типу VPN, который Вы хотите настроить.



В новом окне нажмите иконку для добавления нового мэппинга к серверу авторизации. Новый сервер появится в правой панели. Чтобы удалить мэппинг, нажмите иконку . Чтобы добавить или удалить все мэппинги, нажмите ссылки Добавить все и Удалить все, соответственно.

Настройка сервиса 2FA на устройстве пользователя

Рисунок ниже показывает процедуру конфигурации:



• Создайте нового пользователя в GateDefender и сгенерируйте QR-код или ключ.
• Отправьте пользователю по почте QR-код или распечатайте его и передайте вручную. Если у пользователя нет камеры на смартфоне, то передайте ему текстовый код.
• Пользователь должен просканировать QR-код (ввести текстовый код) с помощью TOPT-совместимого приложения, установленного на своем смартфоне.
• Приложение сможет генерировать коды доступа.

Создание нового пользователя в GateDefender и генерация QR-кода или текстового кода

Перейдите в VPN-> Авторизация-> Пользователи и нажмите Добавить нового локального пользователя.



При добавлении нового пользователя нажмите затем Показать QR-код. Отправьте код в текстовой форме тем пользователям, у кого нет на своих смартфонах приложения для считывания QR-кодов, чтобы его можно было просканировать.



Чтобы скачать QR-код из консоли GateDefender, просто нажмите правой кнопкой мыши на нем и выберите в контекстном меню опцию Read QR code from image.



Отправка QR-кода (текстового кода) пользователю по почте или его печать и передача вручную

После того как Вы скачали QR-код (скопировали текстовый код), Вы можете отправить его пользователю по электронной почте или распечатать его и передать ему вручную.

Сканирование пользователем QR-кода (ввод текстового кода) с помощью TOPT-совместимого приложения, установленного на его смартфоне

После получения QR-кода или текстового кода, пользователь должен импортировать его в TOPT-совместимое приложение.
Можно отменить ранее настроенный аккаунт на смартфоне пользователя, сгенерировав новый текстовый код или QR-код и просканировав его с помощью приложения.

Подключение пользователя

После того как двухфакторная авторизация была включена, процесс подключения пользователя изменится: пользователь обязан будет предоставить действующий код, сгенерированный токеном при подключении со своим VPN-аккаунтом. Процесс показан на рисунке ниже.

Заключение

В нашей статье мы рассмотрели случай, когда было необходимо повысить уровень безопасности VPN-соединений для удаленных и мобильных сотрудников предприятия. В качестве решения поставленной задачи мы использовали функцию двухфакторной авторизации, реализованной с помощью UTM-решения Panda GateDefender для защиты периметра сети.

Более подробная информация о Panda GateDefender:

• Описание продукта Panda GateDefender
• Техническое описание
• Спецификация и требования к серверам

Также Вы можете заказать бесплатную версию Panda GateDefender сроком на 1 месяц, отправив заявку на адрес sales@rus.pandasecurity.com.