Двухфакторная аутентификация при помощи OTP для пользовательских VPN подключений

OTP-код (one-time password) — одноразовый пароль, действительный только для одного сеанса аутентификации.

Для усиления безопасности при удаленном доступе к сетям клиента через VPN рекомендуется использовать двухфакторную аутентификацию. При этом пользователям будет необходимо каждый раз при подключении вводить новый пароль. Он состоит из двух частей:

  • статической (для упрощения процесса ее длина может быть 3-4 символа);

  • динамической (указывается после специального символа :).

Пример вводимого пароля: Статическая_часть:OTP_часть. Генерацией одноразовых паролей управляет мобильное приложение, при момощи которого каждому пользователю нужно отсканировать QR, а затем использовать параметры этого профиля для генерации одноразовых паролей в приложении.

Рекомендуется использовать отечественные приложения для работы с OTP_токенами: Free OTP, Яндекс Ключ.

Шаг 1. Создать URL аутентификации

Для создания URL аутентификации:

  1. Перейдите в раздел Usergate → Настройки.

  2. Ввведите в поля Домен AUTH captive-портала и Домен Logout captive-портала зарегистрированное корпоративное DNS-имя внешнего интерфейса Usergate. Если вы не используете DNS, то укажите внешний IP-адрес Usergate в интернете.

Шаг 2. Создать профиль мультифакторной аутентификации

Для создания профиля мультифакторной аутентификации:

  1. Перейдите в раздел Пользователи и устройства → Профили MFA.

  2. Нажмите +Добавить для создания профиля мультифакторной аутентификации

  3. Введите название «VPN-OTP».

  4. В графе Инициализация TOTP выберите Показать ключ на странице captive-портала.

  5. Активируйте опцию Показать QR-код.

Шаг 3. Создать профиль авторизации OTP

Для создания профиля авторизации OTP:

  1. Перейдите в раздел Пользователи и устройства → Профили авторизации и создайте выделенный профиль авторизации c названием «VPN-OTP».

  2. В графе Профиль MFA выберите созданный ранее профиль аутентификации «VPN-OTP».

  3. Укажите временные параметры и количество неудачных попыток аутентификации.

  4. На вкладке Методы аутентификации добавьте «HTTP Basic» и «Локальный пользователь».

Шаг 4. Настроить существующий VPN-сервер

Для настройки существующего VPN-сервера:

  1. Перейдите в раздел VPN → Серверные правила.

  2. Отредактируйте необходимое правило VPN: на вкладке Общие в графе Профиль аутентификации выберите ранее созданный профиль «VPN-OTP».

  3. Нажмите URL инициализации TOTP. Вы увидите HTTP/HTTPS URL страниц инициализации TOTP. Используйте только защищенный HTTPS URL для инициализации ПО Free OTP на устройствах пользователей, которые аутентифицируются в VPN c MFA TOTP.

  4. Нажмите на защищенный HTTPS URL и передайте эту ссылку пользователям.

  5. Разошлите эту ссылку удаленным пользователям, чтобы каждый из них получил свой собственный токен и зарегистрировал его в соответствующем ПО. Далее пользователи аутентифицируются на портале «TOTP Initialization Page».

Действия пользователей

  1. Отсканируйте с помощью программы Free OTP созданный QR-код.

  2. На запрос Token is Unsafe ответьте утвердительно и примените токен. После этого можно будет получать одноразовые пароли OTP из приложения, нажимая на значок токена с названием «UTM».

  3. При следующем VPN-подключении укажите логин и пароль в формате password:one_time_password.

Внимание

Если вы удалили программу-генератор токенов, заменили, либо сбросили настройки мобильного телефона, то обратитесь к администратору Usergate в разделе Пользователи и устройства → Пользователи → Сбросить ключ TOTP для принудительного сброса ключа TOTP.

Запустили Evolution free tier
для Dev & Test
Получить