Многофакторная аутентификация для ВПН: что это и зачем нужно

Многофакторная аутентификация для ВПН: что это и зачем нужно

ВПН в одной из своих сфер использования организовывают пользователям возможность безопасно подключаться к ресурсам компании, находясь вне офиса, что обеспечивает работу удаленных сотрудников. Однако такой путь также открывает сеть компании для новых киберугроз.

Когда VPN интегрирован с Active Directory (AD) компании, пользователи обычно аутентифицируются, используя только своё доменное имя пользователя и пароль. Этот метод уже не считается безопасным. Согласно данным Verizon, 81% утечек данных связаны с компрометацией паролей. Утечка учетных данных ВПН может подвергнуть всю сеть риску утечки данных. Внедрение дополнительных уровней безопасности с использованием многофакторной аутентификации (MFA) является эффективным способом предотвращения серьезных последствий компрометации учетных данных.

Принципы функционирования МФА для ВПН

Для защиты ВПН с помощью многофакторной аутентификации (MFA) можно использовать сервер политики сети Windows (NPS) для настройки RADIUS-аутентификации и установить расширение NPS от ADSelfService Plus. Это расширение выступает посредником между NPS и ADSelfService Plus, обеспечивая включение MFA при подключении к ВПН. После выполнения этих настроек процесс входа в ВПН выглядит следующим образом:

  • Пользователь пытается подключиться к ВПН, вводя свое имя пользователя и пароль.
  • Сервер ВПН передает запрос на аутентификацию в NPS, где установлено расширение NPS ADSelfService Plus.
  • Если имя пользователя и пароль верны, расширение NPS связывается с сервером ADSelfService Plus и запрашивает второй фактор аутентификации.
  • Пользователь проходит аутентификацию с использованием метода, выбранного администратором. Результат аутентификации передается обратно в расширение NPS.
  • Если аутентификация успешна, NPS сообщает об этом серверу ВПН.

После этого пользователь получает доступ к ВПН, и создается зашифрованный туннель к внутренней сети.

Поддерживаемые методы аутентификации для ВПН:

  • Push-уведомления;
  • Google Authenticator;
  • Биометрическая аутентификация
  • Аутентификация TOTP
  • Microsoft Authenticator
  • YubiKey Authenticator.

IT-администраторы могут настроить любой из этих методов для MFA ВПН в соответствии с потребностями своей организации. ADSelfService Plus облегчает настройку и управление этой функцией благодаря:

  • Гранулярной конфигурации. Включение конкретных методов аутентификации для пользователей, принадлежащих к определенным доменам, подразделениям (OU) и группам.
  • Отчётам в реальном времени. Просмотр подробных отчётов о попытках входа в ВПН с указанием времени входа и сбоев аутентификации.

Преимущества использования MFA для ВПН на примере с ADSelfService Plus

Выгодами использования МФА для ВПН с ADSelfService Plus являются:

  • Защита конечных устройств. Использование MFA для защиты не только доступа к ВПН, но и локальных и удаленных входов на устройства с Windows, macOS и Linux для обеспечения полной безопасности конечных устройств.
  • Настраиваемая конфигурация. Применение различных методов аутентификации для разных групп пользователей в зависимости от их привилегий.
  • Соответствие нормативным требованиям. Удовлетворение требований стандартов NIST SP 800-63B, GDPR, HIPAA, NYCRR, FFIEC и PCI DSS.
  • Предотвращение атак на основе учетных данных. Запрещение использования слабых паролей, которые делают сеть уязвимой для кибератак.

Защита доступа к ВПН является критически важной задачей для обеспечения безопасности корпоративной сети, особенно в условиях растущего числа удалённых сотрудников.

Личный ВПН-сервер: активный пользователь МФА

Использование MFA на личных ВПН-серверах является эффективным способом повышения безопасности и защиты личных данных, который внедряется в персональные сервисы все чаще. Несмотря на то, что это может требовать дополнительных усилий на настройку, преимущества, которые предоставляет многофакторная аутентификация, значительно перевешивают затраты времени и ресурсов.

Узнать подробную информацию, а также купить личный ВПН-сервер можно на VPN.how. На этом ресурсе раздел FAQ предоставляет ответы на часто задаваемые вопросы о персональных ВПН-серверах, а статьи о ВПН предлагают множество сведений о продуктах этой категории на современном российском цифровом рынке.


Поделитесь статьёй: