Данные для аутентификации vpn что это

Настройка подключения VPN на Mac

Чтобы подключить Mac к виртуальной частной сети (VPN), необходимо ввести настройки ее конфигурации в разделе настроек «Сеть». Эти настройки включают адрес сервера VPN, имя учетной записи и другие параметры идентификации, такие как пароль или сертификат.

Обратитесь к сетевому администратору организации или поставщику услуг VPN за информацией о настройках, которые Вам необходимо ввести для подключения к VPN.

Если Вы получили файл настроек VPN от администратора сети или поставщика услуг VPN, то для настройки подключения можно просто дважды нажать этот файл. Если Вы не получали файл, необходимые настройки можно ввести вручную.

Введите настройки VPN автоматически

1. На Mac выберите меню Apple

> «Системные настройки», затем нажмите «Сеть» в боковом меню. (Возможно, потребуется прокрутить вниз.) Открыть раздел настроек «VPN»

Справа нажмите всплывающее меню действий , выберите «Добавить конфигурацию VPN», затем выберите тип подключения VPN для настройки.

В поле «Отображаемое имя» введите имя новой службы VPN.

Если Вы настраиваете VPN типа «L2TP через IPSec», нажмите всплывающее меню «Конфигурация», затем выберите конфигурацию. Если Вам не требуются несколько конфигураций, просто используйте конфигурацию «По умолчанию».

Введите настройки новой службы VPN. Список обязательных настроек зависит от типа VPN: он может включать такие настройки, как адрес сервера, имя учетной записи, пароль и метод аутентификации.

При необходимости укажите дополнительные настройки.

• L2TP через IPSec. Можно указать настройки в разделах «Параметры», «TCP/IP», «DNS» и «Прокси».
• Cisco IPSec или IKEv2. Можно указать настройки в разделах «DNS» и «Прокси».

Нажмите «Создать».

Просмотр или изменение конфигурации VPN

1. На Mac выберите меню Apple

> «Системные настройки», затем в боковом меню нажмите «VPN» . (Возможно, потребуется прокрутить вниз.)

Справа рядом со службой VPN, которую нужно изменить, нажмите кнопку информации .

При необходимости измените настройки.

Нажмите «ОК» (или «Отменить», если не хотите вносить изменения).

Удаление конфигурации VPN

1. На Mac выберите меню Apple

> «Системные настройки», затем в боковом меню нажмите «VPN» . (Возможно, потребуется прокрутить вниз.)

Справа рядом со службой VPN, которую нужно удалить, нажмите кнопку информации .

Нажмите «Удалить конфигурацию», затем подтвердите ее удаление.

С помощью значка статуса VPN в строке меню можно подключаться к сети и переключаться между службами VPN.

• Протокол туннелирования второго уровня L2TP (Layer 2 Tunneling Protocol) — это расширенная версия туннельного протокола типа точка-точка PPTP (Point-to-Point Tunneling Protocol), который используется интернет-провайдерами для поддержки VPN через интернет.
• Протокол IPSec (Internet Protocol Security) является набором протоколов безопасности.
• Протокол обмена ключами IKEv2 (Internet Key Exchange) — это протокол, который настраивает сопоставление безопасности в IPSec.

Удаленные клиентские подключения L2TP

Удаленные клиентские подключения реализуют функцию VPN для конечных хостов удаленных и мобильных сотрудников. В качестве протокола подключения используется L2TP, который можно настроить штатными средствами операционной системы или при помощи сторонних VPN-клиентов. VPN-клиент UserGate не поставляется. Настройка VPN-сервера для подключения пользовательских хостов аналогична настройке VPN для передачи трафика между ВМ UserGate.

На этой странице

• Шаг 1. Создать VPN-зону
• Шаг 2. Создать туннельный VPN-интерфейс
• Шаг 3. Создать правило NAT
• Шаг 4. Создать разрешающее правило межсетевого экрана для VPN-трафика
• Шаг 5. Создать локальных VPN-пользователей и профиль авторизации
• Шаг 6. Создать профиль безопасности VPN
• Шаг 7. Создать сети VPN
• Шаг 8. Создать серверное правило VPN
• Шаг 9. Настроить подключение L2TP на клиентском компьютере с ОС Windows 10
• Шаг 10. Внести изменения в реестр ОС Windows
• Шаг 11. Внести изменения в реестр MAC OS
• Шаг 12. Проверить межсетевой доступ

Шаг 1. Создать VPN-зону

Необходимо создать новую зону с выделенной IP-адресацией. Она станет подсетью, через которую будет передаваться зашифрованный трафик от ПК пользователя к серверной ВМ UserGate на центральной площадке.

Для создания VPN-зоны:

1. Перейдите в раздел Сеть → Зоны .
2. Нажмите Добавить .
3. На вкладке Общие введите название и описание новой зоны.
4. На вкладке Контроль доступа выберите пункты ICMP и VPN .
5. Нажмите Сохранить .

Шаг 2. Создать туннельный VPN-интерфейс

VPN-интерфейс — это виртуальный сетевой адаптер, который используется для подключения к VPN-серверу UserGate на центральной площадке. Его IP-адресация назначается из отдельного блока адресов и не должна пересекаться с другими VPN-подсетями. Номер интерфейса может быть любым.

Создание туннельного VPN-интерфейса:

1. В разделе Сеть → Интерфейсы нажмите Добавить и выберите Добавить VPN .
2. На вкладке Общие окна Настройка VPN адаптера активируйте параметр Включено .
3. В разделе Название введите номер интерфейса, начания с 4. Это локальный идентификатор VPN-интерфейса “tunnel4”.
4. В разделе Зона выберите VPN-зону, которая была создана на Шаге 1.
5. На вкладке Сеть установите режим адресации «Статический» для VPN-интерфейса.
6. В разделе IP интерфейс нажмите Добавить и введите IP-адрес из диапазона, который был использован на серверной части для транзитной VPN-подсети.
7. Дважды нажмите Сохранить .

Шаг 3. Создать правило NAT

Конечные хосты подключаются к VPN с использованием протокола Point-to-Point. Чтобы трафик можно быть передавать из VPN-зоны, необходимо создать правило NAT из этой зоны во все другие необходимые зоны.

Создание правила NAT:

1. В разделе Политики сети → NAT и маршрутизация нажмите Добавить .
2. В появившемся окне Свойства правила введите название и описание правила.
3. В графе Тип выберите NAT .
4. На вкладке Источник укажите VPN-зону, созданную на Шаге 1.
5. На вкладке Назначение укажите сетевые зоны, доступ к которым нужен удаленным пользователям.
6. Дважды нажмите Сохранить .

Шаг 4. Создать разрешающее правило межсетевого экрана для VPN-трафика

Для передачи VPN-трафика необходимо создать отдельное правило, в котором VPN-зона является исходной, а зоны, доступ к которым нужен удаленным пользователям, — зонами назначения.

Создание разрешающего правила для VPN-трафика:

1. В разделе Политики сети → Межсетевой экран нажмите Добавить .
2. Задайте название и описание правила. Для пункта Действие установите значение Разрешить .
3. На вкладке Источник укажите VPN-зону.
4. На вкладке Назначение укажите внутренние зоны, которые должны быть доступны через VPN-соединение.
5. Нажмите Сохранить .

Шаг 5. Создать локальных VPN-пользователей и профиль авторизации

Для идентификации пользователей VPN-подключений и разграничения доступа к сети необходимо задать отдельные учетные записи и сформировать из них группу. Для каждого пользователя должна быть создана отдельная пара из имени пользователя и пароля. Профиль авторизации необходим для указания метода аутентификации пользователей в серверном VPN-правиле, которое будет создано позже. Следует учесть, что для авторизации VPN запрещено использовать методы прозрачной авторизации, например Kerberos, NTLM, SAML IDP.

Создание локального пользователя:

1. В разделе Пользователи и устройства → Пользователи нажмите Добавить .
2. На вкладке Общие активируйте опцию Включено и задайте имя пользователя (обычно используется название филиала организации) и пароль для аутентификации каждого клиентского VPN-соединения.
3. Нажмите Сохранить .

После создания пользовательских учетных данных необходимо сформировать из них отдельную группу пользователей для PPTP VPN-подключений:

1. В разделе Пользователи и устройства → Группы нажмите Добавить .
2. На вкладке Свойства локальной группы введите название группы и ее описание.
3. В разделе Пользователи нажмите Добавить и укажите все учетные записи, предназначенные для VPN-подключений.
4. Нажмите Сохранить .

Для создания профиля авторизации:

1. Перейдите в раздел Пользователи и устройства → Профили авторизации .
2. Нажмите Добавить .
3. На вкладке Общие введите название и описание профиля.
4. На вкладке Методы аутентификации нажмите Добавить и выберите Локальный пользователь .
5. Нажмите Сохранить .

Шаг 6. Создать профиль безопасности VPN

Профиль безопасности VPN определяет такие настройки, как общий ключ шифрования (Preshared key) и алгоритмы шифрования. Допускается наличие несколько профилей безопасности и использование их для построения соединений с различными типами клиентов.

Создание профиля VPN:

1. Перейдите в раздел VPN → Профили безопасности VPN .
2. Нажмите Добавить для создания нового профиля безопасности.
3. На вкладке Общие введите название и описания данного профиля. Укажите параметры работы IKE в соответствующих строках.
4. В разделе Общий ключ введите ключ шифрования, который должен совпадать у всех участников VPN-сети. Ключ шифрования должен состоять из сложных комбинаций букв, цифр и символов и иметь длину не менее 8 символов.
5. На вкладке Фаза 1 при необходимости укажите параметры Время жизни ключа шифрования, интервал определения недоступных участников VPN-сети Интервал Dead Peer detection и количество неудачных попыток подключения (параметр Неудачные попытки ), при достижении которого UserGate выдаст сообщение об ошибке подключения.
6. В разделе Diffie-Hellmann группы укажите те группы, которые поддерживаются на стороне подключаемых клиентов VPN-подключений. Рекомендуемые группы: 2, 5, 14, 15, 16.
7. В разделе Безопасность удалите существующие записи. Выберите алгоритм авторизации SHA1 и шифрование не ниже AES128 . Допустимо использовать AES192, AES256. Если параметров не видно в интерфейсе, потяните мышью нижнюю синюю рамку окна настроек.
8. На вкладке Фаза 2 при необходимости укажите время жизни ключа шифрования (параметр Время жизни ключа ) и максимальный объем данных, которые можно зашифровать одним ключом (параметр Максимальный объем данных, шифруемых одним ключом ). Смена ключа произойдет автоматически при достижении заданного объема переданного трафика.
9. В разделе Безопасность выберите алгоритм авторизации SHA1 и шифрование не выше AES128 . Более стойкое шифрование не поддерживается ОС Windows.
10. Дважды нажмите Сохранить .

Шаг 7. Создать сети VPN

Сеть VPN определяет диапазоны адресов, которые будут анонсированы при подключении к VPN-серверу клиентских установок ВМ UserGate. Таким образом клиент UserGate будет обладать информацией, что данные подсети находятся в VPN-сети. Обычно в VPN-сети добавляются те филиальные подсети, между которыми необходимо обеспечить межсетевое взаимодействие.

Создание сети VPN:

1. Перейдите в раздел VPN → Сети VPN , нажмите Добавить .
2. В появившемся окне Свойства VPN-сети на вкладке Общие введите название и описание создаваемой VPN-сети.
3. На вкладке Сеть укажите адресуемый диапазон внутри туннельного интерфейса, совпадающий диапазоном, который был указан на Шаге 2.
4. На вкладке Маршруты введите диапазоны внутренних подсетей, которые должны передаваться клиентской ВМ UserGate и взаимодействие с которыми будет происходить через VPN-туннель.
5. Нажмите Сохранить .

Шаг 8. Создать серверное правило VPN

Серверное правило VPN повторяет логику работы политики межсетевого взаимодействия. В нем указываются исходные зоны источника VPN-трафика и параметры конфигурации, которые были созданы выше.

Создание серверного правила:

1. Перейдите в раздел VPN → Серверные правила и нажмите Добавить .
2. В появившемся окне Свойства активируйте опцию Включено .
3. Заполните поля Название и Описание серверного правила VPN.
4. В полях Профиль безопасности VPN , Сеть VPN , Профиль авторизации и Интерфейс выберите элементы, созданные на предыдущих этапах.
5. На вкладке Источник укажите внешнюю зону c доступом в интернет, которая принимает подключение от VPN-клиентов.
6. Дважды нажмите Сохранить .

Шаг 9. Настроить подключение L2TP на клиентском компьютере с ОС Windows 10

1. Откройте панель Пуск и выберите пункт Параметры .
2. Выберите раздел Сеть и Интернет → VPN и нажмите Добавить VPN-подключение .
3. В появившемся окне Добавить VPN-подключение заполните информационные поля профиля подключения в соответствии с той информацией, которая была указана на предыдущих шагах. Созданное VPN-подключение типа WAN Miniport (L2TP) будет отображаться вместе с остальными сетевыми адаптерами в настройках операционной системы.
4. Перейдите в раздел Параметры Windows → Сеть и Интернет → Ethernet → Настройка параметров адаптера .
5. Нажмите правой кнопкой мыши на иконку с VPN-подключением и выберите пункт Свойства .
6. Перейдите на вкладку Безопасность и установите значения для следующих параметров:
   • Обязательное (отключиться, если нет шифрования) для параметра Шифрование данных .
   • Незашифрованный пароль (PAP) для параметра Разрешить следующие протоколы .

Созданное VPN-подключение будет отображаться в иконке сетевых подключений на панели задач.

Чтобы создать ярлык на Рабочем столе для VPN-соединения, перетащите его иконку из окна Параметры Windows → Сеть и Интернет → Ethernet → Настройка параметров адаптера на Рабочий стол.

Операционная система Windows по умолчанию отправляет весь сетевой трафик на туннельный VPN-интерфейс, т.к. новый маршрут по умолчанию прописывается в системные настройки.

Чтобы избежать полного туннелирования трафика и отправлять в VPN-туннель трафик только для необходимых удаленных подсетей:

1. Перейдите на вкладку Сеть , выберите IP версии 4 и нажмите Свойства .
2. В появившемся окне на вкладке Общие нажмите Дополнительно .
3. В появившемся окне Дополнительные параметры TCP/IP отключите опцию Использовать основной шлюз в удаленной сети .
4. Нажмите ОК .

Шаг 10. Внести изменения в реестр ОС Windows

Операционные системы Windows по умолчанию не поддерживают L2TP-подключения к серверам, которые находятся за вышестоящими маршрутизаторами с функционалом NAT. Например, такой метод внешней IP-адресации используется в платформе Advanced. Поэтому создать VPN-подключение в таком случае не удастся.

Для исправления этой ситуации необходимо внести изменения в реестр операционной системы, создав там специальное значение, которое позволит ОС использовать L2TP-подключения к VPN-серверам, расположенным за NAT-устройством.

1. Используя поиск в панели задач, введите запрос «Редактор реестра» и выберите соответствующее приложение.
2. Перейдите в раздел HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent .
3. Выберите пункт меню Правка → Создать → Параметр DWORD (32-bit) .
4. Введите имя AssumeUDPEncapsulationContextOnSendRule и установите значение 1 .
5. Закройте редактор реестра.

Шаг 11. Внести изменения в реестр MAC OS

Чтобы принудительно использовать протокол PAP на клиентах MacOS, используйте любой из приведенных ниже вариантов.

Введите следующие команды в файл nano ~/.ppprc :

refuse-chap refuse-mschap refuse-mschap-v2 

echo refuse-chap > ~/.ppprc echo refuse-mschap >> ~/.ppprc echo refuse-mschap-v2 >> ~/.ppprc 

Шаг 12. Проверить межсетевой доступ

После установки VPN-соединения нужно провести диагностику доступности удаленных ресурсов. Если они недоступны, то требуется диагностика маршрутизации.

На Панели задач в строке поиска введите «cmd» и нажмите Enter . Откроется консоль командной строки ОС. Выполните следующие отладочные команды, где * — это октеты вашей IP-адресации:

1. Просмотрите информацию о сетевых адаптерах и корректном назначении туннельной VPN-подсети при помощи команды ipconfig. Назначенный виртуальный VPN сетевой адаптер называется «Адаптер PPP».
2. Просмотрите информацию о переданных от VPN-сервера сетевых маршрутах и их корректном назначении в таблице маршрутизации ОС. Удаленные подсети должны быть доступны через IP-адрес сервера UserGate туннельной VPN-сети.
3. Для проверки доступности туннельного VPN-интерфейса выполните ICMP-запрос ping *.*.*.* к локальному IP-адресу туннельного интерфейса, а затем к туннельному VPN-интерфейсу, указанному на Шаге 2.
4. Для проверки доступности удаленного ресурса выполните ICMP-запрос к нему ping *.*.*.*.
5. Для трассировки сетевого пути до удаленного ресурса выполните команду tracert *.*.*.* и убедитесь, что первым хопом является туннельный VPN-интерфейс сервера UserGate. Это означает, что трафик ушел в VPN-туннель.

Двухфакторная авторизация для VPN-соединений

Чтобы еще больше повысить безопасность внешних соединений к внутренним ресурсам корпоративной сети, рекомендуется «усилить» VPN-соединения процедурой двухфакторной авторизации. Это можно легко сделать с помощью Panda GateDefender.

VPN позволяет двум раздельным локальным сетям напрямую безопасно подключаться друг к другу, используя потенциально небезопасные сети, такие как Интернет. Весь сетевой трафик в рамках VPN-соединения безопасно передается внутри зашифрованного туннеля, скрытого от любопытных глаз. Такая конфигурация называется Gateway-to-Gateway VPN (Gw2Gw VPN). Аналогичным образом и один-единственный удаленный компьютер, расположенный где-то в Интернете, может использовать VPN-туннель для подключения к требуемой локальной сети. В этом случае, удаленный компьютер, иногда называемый Road Warrior, выглядит так, словно он физически присутствует в этой локальной сети до тех пор, пока активен VPN-туннель.

Такие возможности VPN очень удобны: в эпоху BYOD и распределенных информационных систем безопасные VPN-соединения являются достаточно простым и эффективным решением, которое позволяет обеспечить безопасный доступ удаленных и мобильных сотрудников предприятия к внутренним корпоративным ИТ-ресурсам (внутренняя локальная сеть, БД, файловые серверы и пр.).

UTM-решение Panda GateDefender для защиты периметра корпоративной сети позволяет решать данный вопрос. Решение поддерживает создание VPN, основанного либо на протоколе IPsec, который поддерживается большинством операционных систем и сетевых устройств, либо на сервисе OpenVPN.

Решение Panda GateDefender может быть настроено в качестве сервера или клиента OpenVPN (или может играть обе эти роли одновременно), чтобы создать сеть устройств, подключенных через OpenVPN. Вкратце, возможности решения позволяют:

• настраивать сервер OpenVPN таким образом, чтобы клиенты могли подключаться к одной из локальных зон
• настраивать клиентскую часть схемы Gateway-to-Gateway между двумя или более решениями Panda GateDefender
• настраивать основанные на IPsec VPN-туннели и L2TP-соединения
• управлять пользователями VPN-соединений
• настраивать сертификаты, которые будут использоваться для VPN-соединений.

Сами по себе VPN-соединения достаточно безопасны, чтобы их можно было перехватить и расшифровать. Но что делать в том случае, если злоумышленник каким-либо способом (а их достаточно много…) узнал логин и пароль для VPN-соединения и/или даже получил удаленный (физический) доступ к компьютеру вашего мобильного или удаленного сотрудника, чтобы от его лица подключаться к корпоративной VPN-сети? Каким образом можно повысить уровень безопасности VPN-соединений?

Двухфакторная авторизация

В этом случае поможет двухфакторная авторизация (2FA) — это процесс безопасности, в рамках которого пользователи должны предоставлять дополнительный временный одноразовый пароль (TOTP) для более безопасной собственной идентификации. Этот дополнительный пароль генерируется токеном или устройством генерации кодов, или, в качестве альтернативного варианта, специальным приложением, установленным на смартфоне пользователя.

Двухфакторная авторизация повышает безопасность VPN-подключения, т.к. в данном случае требуется не только имя пользователя и пароль, но также и дополнительный временный одноразовый код (TOTP), генерируемый токеном. Поэтому процесс проверки подлинности пользователя представляет собой комбинацию тех данных, которые пользователь уже знает (имя пользователя и пароль), и тех данных, которые пользователь получает отдельно (код, генерируемый токеном или совместимым с TOTP приложением, установленным на смартфоне пользователя).

На рынке существует большое разнообразие токен-устройств и их производителей. Каждый из них внедряет свой собственный алгоритм, но все они требуют интеграции своих технологий на сервере. Многие из таких производителей предоставляют как аппаратные решения (физические токены, генерирующие коды), так и программные решения, такие как приложения для смартфонов, генерирующие TOTP.

Для достижения совместимости между производителями, существует открытый стандарт, который может быть использован без необходимости в лицензировании стороннего ПО. Этот стандарт был опубликован в RFC 6238.

Установка токена на устройство пользователя

Пользователи могут использовать любое TOTP-совместимое устройство или приложение для смартфона. Существует огромное количество бесплатных приложений, которые поддерживают этот стандарт, например:

Чтобы генерировать TOTP-коды, пользователь должен в приложении настроить аккаунт. Существует два способа настройки аккаунта применительно к решению Panda GateDefender:

• Вручную создать аккаунт, копируя текстовый код одноразового пароля, сгенерированный в консоли управления Panda GateDefender
• Сфотографировать с помощью камеры смартфона QR-код, сгенерированный в консоли GateDefender.

Текстовый код и QR-код содержат всю информацию, необходимую для настройки аккаунта.
После того как аккаунт был настроен, приложение токена начнет генерировать одноразовые пароли каждые 30 секунд. Т.к. алгоритм генерации паролей основан на часах устройства, то Интернет-подключение не требуется. Однако не должно быть большой разницы между временем, настроенным в решении GateDefender и на устройстве пользователя. На рисунке ниже показаны интерфейсы некоторых приложений для смартфонов по генерации паролей.

Настройка двухфакторной авторизации в GateDefender

Выполните действия ниже для включения двухфакторной авторизации в решении GateDefender:

• Добавьте сервер авторизации одноразовых паролей.
• Определите новый мэппинг к данному серверу.

Добавление нового сервера авторизации одноразовых паролей

Перейдите в раздел VPN -> Авторизация -> Настройки и нажмите ссылку Добавить новый сервер авторизации.

У опции Тип выберите Одноразовый пароль. Затем выберите Local (local) в полях Провайдер информации о пользователе и Провайдер пароля. Укажите название нового сервера авторизации в поле Имя и нажмите кнопку Добавить.

В этом примере мы использовали локального провайдера паролей для проверки имени пользователя и пароля, введенного пользователем. Тем не менее, двухфакторная авторизация поддерживает и другие типы провайдеров паролей.

Определение нового мэппинга к серверу авторизации

После создания сервера авторизации Вам необходимо настроить новый мэппинг для одного из типов VPN, поддерживаемых GateDefender.
Чтобы добавить новый мэппинг к серверу авторизации, нажмите на иконку , соответствующую тому типу VPN, который Вы хотите настроить.

В новом окне нажмите иконку для добавления нового мэппинга к серверу авторизации. Новый сервер появится в правой панели. Чтобы удалить мэппинг, нажмите иконку . Чтобы добавить или удалить все мэппинги, нажмите ссылки Добавить все и Удалить все, соответственно.

Настройка сервиса 2FA на устройстве пользователя

Рисунок ниже показывает процедуру конфигурации:

• Создайте нового пользователя в GateDefender и сгенерируйте QR-код или ключ.
• Отправьте пользователю по почте QR-код или распечатайте его и передайте вручную. Если у пользователя нет камеры на смартфоне, то передайте ему текстовый код.
• Пользователь должен просканировать QR-код (ввести текстовый код) с помощью TOPT-совместимого приложения, установленного на своем смартфоне.
• Приложение сможет генерировать коды доступа.

Создание нового пользователя в GateDefender и генерация QR-кода или текстового кода

Перейдите в VPN-> Авторизация-> Пользователи и нажмите Добавить нового локального пользователя.

При добавлении нового пользователя нажмите затем Показать QR-код. Отправьте код в текстовой форме тем пользователям, у кого нет на своих смартфонах приложения для считывания QR-кодов, чтобы его можно было просканировать.

Чтобы скачать QR-код из консоли GateDefender, просто нажмите правой кнопкой мыши на нем и выберите в контекстном меню опцию Read QR code from image.

Отправка QR-кода (текстового кода) пользователю по почте или его печать и передача вручную

После того как Вы скачали QR-код (скопировали текстовый код), Вы можете отправить его пользователю по электронной почте или распечатать его и передать ему вручную.

Сканирование пользователем QR-кода (ввод текстового кода) с помощью TOPT-совместимого приложения, установленного на его смартфоне

После получения QR-кода или текстового кода, пользователь должен импортировать его в TOPT-совместимое приложение.
Можно отменить ранее настроенный аккаунт на смартфоне пользователя, сгенерировав новый текстовый код или QR-код и просканировав его с помощью приложения.

Подключение пользователя

После того как двухфакторная авторизация была включена, процесс подключения пользователя изменится: пользователь обязан будет предоставить действующий код, сгенерированный токеном при подключении со своим VPN-аккаунтом. Процесс показан на рисунке ниже.

Заключение

В нашей статье мы рассмотрели случай, когда было необходимо повысить уровень безопасности VPN-соединений для удаленных и мобильных сотрудников предприятия. В качестве решения поставленной задачи мы использовали функцию двухфакторной авторизации, реализованной с помощью UTM-решения Panda GateDefender для защиты периметра сети.

Также Вы можете заказать бесплатную версию Panda GateDefender сроком на 1 месяц, отправив заявку на адрес sales@rus.pandasecurity.com.

• двухфакторная авторизация
• VPN-соединения
• Panda GateDefender
• периметр сети
• системное администрирование
• ит-инфраструктура
• антивирусная защита

• Блог компании Panda Security в России и СНГ
• Системное администрирование
• Антивирусная защита
• IT-инфраструктура
• Сетевые технологии

VPN и двухфакторная аутентификация — лучшие друзья безопасника

Менеджер, подключивший свой ноутбук к бесплатному Wi-Fi в аэропорту и загружающий файлы на серверы своей компании. Бухгалтер, работающая из дома с корпоративным клиентом 1С. Инженер, использующий гостевую точку доступа в офисе заказчика и обращающийся к ресурсам в сети своей организации. Что их всех объединяет? То, что злоумышленники, используя простые и доступные способы, могут «взломать» их подключение к общедоступной сети и получить доступ к ИТ-инфраструктуре и данным организации. Давайте разберёмся, как это можно сделать.

1. Введение
2. Использование VPN и двухфакторной аутентификации
3. Построение VPN на базе решения «КриптоПро NGate»
4. Двухфакторная аутентификация на базе токенов и смарт-карт «Рутокен»
5. Выводы

Введение

Начнём с того, что логин и пароль в момент ввода можно просто подсмотреть. Так ли часто в общественном месте вы смотрите по сторонам, чтобы понять, не наблюдает ли кто-то за тем, какие клавиши вы нажимаете на клавиатуре своего ноутбука? А наиболее «продвинутые» пользователи ещё и записывают пароль на стикере, который приклеен непосредственно на экран. Также пароль может украсть вирус-троян, оснащённый кейлогером. Проблема заключается и в том, что владелец будет оставаться в неведении о факте знания пароля третьей стороной; соответственно, злоумышленник сможет употреблять права легального пользователя и обращаться к ресурсам организации весьма долго, понемногу воруя критически важную информацию.

Есть и более изящный способ кражи передаваемых сведений (включая пароли). Для этого необходимо найти общественное место с бесплатными точками доступа — например, ранее упоминавшийся аэропорт. Рядом с легальной точкой Wi-Fi злоумышленник создаёт свою собственную с таким же именем. Пользователи подключаются к ней, считая её официальной и безопасной, и передают через неё свои данные, а киберпреступник получает доступ ко всем этим сведениям. Всё необходимое программное обеспечение входит в состав бесплатного дистрибутива Kali Linux, причём для настройки и использования не требуется высокая квалификация — справится и школьник.

С помощью программного обеспечения из того же Kali Linux можно получить доступ даже к данным, проходящим через роутер, который установлен в квартире удалённо работающего сотрудника. Для этого вовсе не обязательно жить этажом выше — сигнал замечательно ловится из дома, расположенного на другой стороне улицы.

Наконец, самый сложный способ — прослушивание данных, передаваемых по определённому сегменту сети, и получение доступа к промежуточному маршрутизатору, через который они идут. Но современное ПО позволяет максимально автоматизировать процесс. Вы запускаете программу и просто смотрите, какие данные вам удалось перехватить. Есть и способ «вредительства», когда передаваемые данные не только читаются при передаче, но и изменяются. Например, в платёжном поручении для банка можно поменять сумму и получателя, переведя деньги вместо счёта контрагента на счета злоумышленника.

Использование VPN и двухфакторной аутентификации

Способ борьбы с этими напастями давно придуман. Называется он VPN — Virtual Private Network (виртуальная частная сеть, что такое VPN). Принципы работы VPN таковы:

• Создаётся виртуальная сеть, соединяющая строго две точки — устройство пользователя, где располагается клиентская часть VPN (ПК или смартфон), и сервер VPN, обеспечивающий доступ к сети организации.
• Перед передачей клиент или сервер зашифровывает данные, так что даже будучи перехваченными они не принесут злоумышленнику никакой пользы.
• Также перед отправкой данные заверяются с помощью электронной подписи, чтобы отследить их возможное изменение в процессе передачи.

Таким образом, при использовании VPN данные невозможно ни перехватить, ни изменить. Однако остаётся последняя уязвимость, связанная с возможностью подсмотреть или украсть пароль. И тут нам на помощь приходит двухфакторная аутентификация (2FA).

Суть 2FA — в том, что каждому пользователю для успешной аутентификации (и получения доступа к клиенту VPN, а значит, и к сети организации) необходимы два фактора. Первый фактор называется «я имею» и состоит в том, что пользователь обладает конкретным криптографическим ключевым носителем (токеном) или смарт-картой. Уникальность токену придают электронные ключи, которые созданы внутри него и не могут быть извлечены и скопированы. Эти ключи используются для установки сеанса связи между клиентом и сервером VPN, а также для защиты передаваемых данных. Доступ к памяти, где хранятся ключи, защищён с помощью PIN-кода, знание которого и является вторым фактором аутентификации («я знаю»).

Таким образом, если злоумышленник украдёт токен, то воспользоваться последним без знания пароля он не сможет. Постарается подобрать — после определённого количества попыток (настраивается) доступ к памяти будет заблокирован. Если, напротив, удастся подсмотреть PIN-код, то VPN-соединение всё равно не установится без обладания токеном. Поскольку токен — это физический объект, его невозможно украсть незаметно; значит, владелец вскоре заметит пропажу, свяжется с системными администраторами своей сети, и доступ по похищенному устройству будет заблокирован.

Построение VPN на базе решения «КриптоПро NGate»

Существует большое число продуктов, позволяющих использовать VPN в организации, но мы хотим более подробно остановиться на одном — «КриптоПро NGate».

Рисунок 1. Схема работы «КриптоПро NGate»

«КриптоПро NGate» представляет собой сертифицированный ФСБ России универсальный высокопроизводительный VPN-шлюз, разработанный компанией «КриптоПро». Он позволяет быстро и безопасно реализовать защищённый удалённый доступ по протоколу TLS к корпоративным ресурсам и информационным системам через незащищённые каналы связи, в том числе — через интернет.

Важной особенностью NGate, отличающей его от аналогичных решений на рынке, является поддержка протокола TLS с ГОСТ наравне с зарубежными криптографическими алгоритмами. Это позволяет реализовать плавный перевод защиты удалённого доступа на российские алгоритмы, а также обеспечить защищённый удалённый доступ сотрудников в тех случаях, когда использовать ГОСТ невозможно или проблематично, например из-за границы. Для этого NGate имеет особый экспортный вариант VPN-клиента.

Наличие у NGate сертификатов ФСБ России позволяет применять его для охраны важной информации в соответствии с требованиями законодательства РФ, в том числе — в части защиты персональных данных при их передаче по незащищённым каналам связи, а также для обеспечения безопасности удалённого доступа к объектам критической информационной инфраструктуры (КИИ).

NGate обладает широкими возможностями по управлению доступом удалённых пользователей со строгой многофакторной аутентификацией, включая применение токенов и смарт-карт «Рутокен», а также гибким разграничением прав доступа к ресурсам. Кроме того, он предоставляет возможность одновременной работы как с использованием VPN-клиента, поддерживающего все современные операционные системы, так и в условиях веб-доступа с использованием браузера. Во многих существующих альтернативных решениях те же возможности зачастую предполагают использование разных продуктов.

Рисунок 2. Взаимодействие «КриптоПро NGate» с другими точками

NGate поставляется в виде аппаратной или виртуальной платформы и обладает широкой вертикальной и горизонтальной масштабируемостью, что в итоге позволяет создать гибкую конфигурацию системы защиты каналов при удалённом доступе с заданной пропускной способностью.

Таким образом, использование «КриптоПро NGate» вместе с токенами и смарт-картами «Рутокен» даст возможность надёжно защитить доступ сотрудников, работающих вне офиса, к корпоративной сети.

Двухфакторная аутентификация на базе токенов и смарт-карт «Рутокен»

Итак, в первую очередь внутри сети организации стоит внедрить двухфакторную аутентификацию. Ведь украсть или подсмотреть пароль могут не только в аэропорту, но и в офисе (тем более что именно там сотрудники чаще всего чувствуют себя в безопасности и пишут пароли на стикерах, которые помещают прямо на монитор).

Для внедрения двухфакторной аутентификации на компьютерах, включённых в домен Microsoft Active Directory, не потребуется закупать дополнительное программное обеспечение, ведь всё необходимое уже входит в состав дистрибутива Windows Server. Для того чтобы настройку смогли выполнить любые системные администраторы (даже не обладающие высокой квалификацией), наши специалисты создали подробные инструкции, которые можно загрузить со страницы «Рутокен для Windows» сайта rutoken.ru. На тех компьютерах, которые не входят в домен Active Directory, необходима установка программного обеспечения «Рутокен Логон».

Впрочем, следует помнить, что возможности ключевых носителей «Рутокен» не ограничиваются только лишь двухфакторной аутентификацией для удалённых подключений. Один и тот же токен может быть использован для обеспечения различных аспектов безопасности организации.

Рисунок 3. Пример токена и смарт-карты «Рутокен»

Так, никто не будет спорить, что критически важная информация должна быть зашифрована. «Рутокен» используется для защищённого хранения ключей шифрования и предотвращения несанкционированного доступа к данным: ведь, как уже говорилось, его память закрыта PIN-кодом, без знания которого доступ невозможен. Также токен можно применять для хранения ключей и генерации электронной подписи, в том числе — квалифицированной. Электронная подпись используется как во внутреннем документообороте, так и при взаимодействии с внешними контрагентами и государственными органами.

Помимо файлов и документов вы можете шифровать и подписывать сообщения электронной почты. Для чего это необходимо? В первую очередь решается проблема фишинга, когда злоумышленники пишут сотрудникам письма, замаскированные под легальную переписку с банком или с контрагентами. Такие сообщения обычно содержат вредоносные вложения или ссылки. Для защиты от фишинга необходимо передать легальным контрагентам токены с ключами электронной подписи и настроить почтовый сервер так, чтобы он перенаправлял все неподписанные сообщения на детальную проверку. Подписывание электронных писем гарантирует авторство отправителя.

И, наконец, в «Рутокен» может быть встроена метка RFID, что позволит использовать его для прохода в различные помещения офиса с помощью системы контроля и управления доступом (СКУД).

Выводы

Таким образом, «Рутокен» становится аналогом цифрового удостоверения сотрудника, единым устройством, которое, с одной стороны, обеспечивает доступ к различным сетевым и физическим ресурсам, а с другой стороны, позволяет подписывать электронные документы и хранить критически важную информацию.