Многофакторная аутентификация для ВПН: что это и зачем нужно
ВПН в одной из своих сфер использования организовывают пользователям возможность безопасно подключаться к ресурсам компании, находясь вне офиса, что обеспечивает работу удаленных сотрудников. Однако такой путь также открывает сеть компании для новых киберугроз.
Когда VPN интегрирован с Active Directory (AD) компании, пользователи обычно аутентифицируются, используя только своё доменное имя пользователя и пароль. Этот метод уже не считается безопасным. Согласно данным Verizon, 81% утечек данных связаны с компрометацией паролей. Утечка учетных данных ВПН может подвергнуть всю сеть риску утечки данных. Внедрение дополнительных уровней безопасности с использованием многофакторной аутентификации (MFA) является эффективным способом предотвращения серьезных последствий компрометации учетных данных.
Принципы функционирования МФА для ВПН
Для защиты ВПН с помощью многофакторной аутентификации (MFA) можно использовать сервер политики сети Windows (NPS) для настройки RADIUS-аутентификации и установить расширение NPS от ADSelfService Plus. Это расширение выступает посредником между NPS и ADSelfService Plus, обеспечивая включение MFA при подключении к ВПН. После выполнения этих настроек процесс входа в ВПН выглядит следующим образом:
- Пользователь пытается подключиться к ВПН, вводя свое имя пользователя и пароль.
- Сервер ВПН передает запрос на аутентификацию в NPS, где установлено расширение NPS ADSelfService Plus.
- Если имя пользователя и пароль верны, расширение NPS связывается с сервером ADSelfService Plus и запрашивает второй фактор аутентификации.
- Пользователь проходит аутентификацию с использованием метода, выбранного администратором. Результат аутентификации передается обратно в расширение NPS.
- Если аутентификация успешна, NPS сообщает об этом серверу ВПН.
После этого пользователь получает доступ к ВПН, и создается зашифрованный туннель к внутренней сети.
Поддерживаемые методы аутентификации для ВПН:
- Push-уведомления;
- Google Authenticator;
- Биометрическая аутентификация
- Аутентификация TOTP
- Microsoft Authenticator
- YubiKey Authenticator.
IT-администраторы могут настроить любой из этих методов для MFA ВПН в соответствии с потребностями своей организации. ADSelfService Plus облегчает настройку и управление этой функцией благодаря:
- Гранулярной конфигурации. Включение конкретных методов аутентификации для пользователей, принадлежащих к определенным доменам, подразделениям (OU) и группам.
- Отчётам в реальном времени. Просмотр подробных отчётов о попытках входа в ВПН с указанием времени входа и сбоев аутентификации.
Преимущества использования MFA для ВПН на примере с ADSelfService Plus
Выгодами использования МФА для ВПН с ADSelfService Plus являются:
- Защита конечных устройств. Использование MFA для защиты не только доступа к ВПН, но и локальных и удаленных входов на устройства с Windows, macOS и Linux для обеспечения полной безопасности конечных устройств.
- Настраиваемая конфигурация. Применение различных методов аутентификации для разных групп пользователей в зависимости от их привилегий.
- Соответствие нормативным требованиям. Удовлетворение требований стандартов NIST SP 800-63B, GDPR, HIPAA, NYCRR, FFIEC и PCI DSS.
- Предотвращение атак на основе учетных данных. Запрещение использования слабых паролей, которые делают сеть уязвимой для кибератак.
Защита доступа к ВПН является критически важной задачей для обеспечения безопасности корпоративной сети, особенно в условиях растущего числа удалённых сотрудников.
Личный ВПН-сервер: активный пользователь МФА
Использование MFA на личных ВПН-серверах является эффективным способом повышения безопасности и защиты личных данных, который внедряется в персональные сервисы все чаще. Несмотря на то, что это может требовать дополнительных усилий на настройку, преимущества, которые предоставляет многофакторная аутентификация, значительно перевешивают затраты времени и ресурсов.
Узнать подробную информацию, а также купить личный ВПН-сервер можно на VPN.how. На этом ресурсе раздел FAQ предоставляет ответы на часто задаваемые вопросы о персональных ВПН-серверах, а статьи о ВПН предлагают множество сведений о продуктах этой категории на современном российском цифровом рынке.