MFA de connexion à un VPN
Accueil »  Fonctionnalités  » MFA de connexion VPN

Authentification multifacteur pour les connexions VPN

Les nombreux avantages du télétravail ont conduit les organisations à adopter ce modèle pour leur personnel. Les réseaux privés virtuels (VPN) sont devenus indispensables, car ils fournissent aux employés un accès à distance sécurisé et chiffré aux réseaux internes et leurs ressources vitales. Malgré cet accès réseau à distance sécurisé, si le VPN est synchronisé avec l’environnement Active Directory (AD) de l’organisation, les utilisateurs ne s'authentifient normalement qu’avec leur nom d’utilisateur et leur mot de passe du domaine, méthode qui s’avère ne plus être sûre. Verizon signale que 81 % des violations de données peuvent être imputées à des mots de passe compromis. L’exposition d’identifiants VPN crée un risque de violation pour tout le réseau. La mise en place d’autres niveaux de sécurité avec l’authentification multifacteur (MFA) est un moyen efficace d’éviter les graves conséquences d’une telle exposition.

Protection de l’accès à distance au VPN avec ADSelfService Plus

ManageEngine ADSelfService Plus, solution intégrée de gestion des mots de passe en libre-service et d’authentification unique (SSO), permet de renforcer les connexions VPN au réseau de l’organisation grâce à la MFA. Cela consiste à déployer des méthodes d’authentification comme la biométrie ou les mots de passe à usage unique (OTP) à la connexion VPN en plus des habituels noms d’utilisateur et mots de passe. Les mots de passe ne suffisant pas pour se connecter au réseau, ADSelfService Plus rend les identifiants exposés inutiles pour un accès VPN non autorisé.

Fournisseurs de VPN pris en charge

ADSelfService Plus permet aux administrateurs d’appliquer la MFA à tous les fournisseurs de VPN compatible RADIUS. ADSelfService Plus prend notamment en charge ces grands fournisseurs de VPN :

  1. Fortinet
  2. Cisco IPSec
  3. Cisco AnyConnect
  4. Windows Native VPN
  5. SonicWall NetExtender
  6. Pulse
  1. Checkpoint EndPoint Connect
  2. SonicWall Global VPN
  3. OpenVPN Access Server
  4. Palo Alto
  5. Juniper

Mode de protection du VPN avec la MFA

Pour protéger le VPN via la MFA, le serveur VPN doit utiliser un serveur NPS (Network Policy Server) Windows pour configurer l’authentification RADIUS et il faut ajouter l’extension ADSelfService Plus NPS au serveur NPS. Cette extension fait le lien entre le serveur NPS et ADSelfService Plus pour activer la MFA à la connexion VPN. Une fois ces conditions remplies, le processus affiché ci-dessous a lieu à la connexion VPN :

Authentification multifacteur pour les connexions VPN

  1. Un utilisateur tente d’établir une connexion VPN en indiquant son nom d’utilisateur et son mot de passe au serveur VPN.
  2. Le serveur VPN envoie la demande d’authentification au serveur NPS doté de l’extension ADSelfService Plus.
  3. Si la combinaison du nom d'utilisateur et du mot de passe est correcte, l’extension NPS contacte le serveur ADSelfService Plus et crée une demande d’authentification par un second facteur.
  4. L’utilisateur s’authentifie via la méthode configurée par l’administrateur. Le résultat de l’authentification est envoyé à l’extension NPS du serveur NPS.
  5. Si l’authentification réussit, le serveur NPS l’indique au serveur VPN.

L’utilisateur peut accéder au serveur VPN qui établit un tunnel chiffré au réseau interne.

Méthodes d’authentification VPN prises en charge

  • Notification directe
  • Biométrie
  • Mot de passe à usage unique et durée définie (TOTP)
  • Google Authenticator
  • Microsoft Authenticator
  • YubiKey Authenticator

L’administrateur peut configurer l’une de ces méthodes selon les besoins de l’organisation. ADSelfService Plus facilite la configuration et la gestion de la fonctionnalité grâce à :

  • Configuration granulaire : permet d’appliquer des méthodes d’authentification particulières aux utilisateurs appartenant à des domaines AD, des unités d’organisation (OU) ou des groupes précis.
  • Rapports d’audit en temps réel : fournissent des détails sur les tentatives de connexion VPN comme l’heure de connexion et les échecs d’authentification.

Avantages d’utiliser l’authentification multifacteur avec ADSelfService Plus

  • Configuration personnalisable : appliquez différents authentificateurs à diverses séries d’utilisateurs selon leurs privilèges.
  • Conformité réglementaire : respectez les exigences réglementaires NIST SP 800-63B, RGPD, HIPAA, NYCRR, FFIEC et PCI DSS.
  • Prévention des cyberattaques liées aux identifiants : interdisez la réutilisation de mots de passe et les mots de passe faibles qui rendent le réseau vulnérable aux cyberattaques.
  • Sécurité des terminaux : utilisez la MFA pour protéger l’accès VPN mais aussi les connexions locales et à distance à des machines Windows, macOS ou Linux pour une sécurité globale des terminaux.

Outil de réinitialisation de mot de passe en libre-service pour Windows AD, G Suite, etc.

Obtenez votre essai gratuit  

Les points forts de ADSelfService Plus

Mot de passe en libre-service  

Éliminez les longs appels au service d’assistance pour les utilisateurs de Windows Active Directory en leur permettant de réinitialiser leur mot de passe et de déverrouiller leur compte en libre-service.

Une identité unique grâce à l'authentification unique  

Accédez en un clic à plus de 100 applications cloud. Grâce à l'authentification unique d’entreprise, les utilisateurs peuvent accéder à toutes leurs applications cloud avec leurs identifiants Windows Active Directory.

Synchronisation des mots de passe  

Synchronisez automatiquement les mots de passe et les modifications de comptes des utilisateurs Windows Active Directory sur plusieurs systèmes, tels que Microsoft 365, Google Workspace, IBM iSeries, etc.

MFA  

Activez l’authentification multifacteur (MFA) contextuelle avec 20 méthodes d’authentification différentes pour les connexions aux terminaux, aux applications, aux VPN, à OWA et à RDP.

Notifications d'expiration de mot de passe et de compte  

Informez les utilisateurs Windows Active Directory de l’expiration prochaine de leur mot de passe ou de leur compte par e-mail et SMS.

Application de la politique de mots de passe  

Les mots de passe robustes résistent à diverses menaces de piratage. Obligez les utilisateurs Windows Active Directory à utiliser des mots de passe conformes en affichant les exigences de complexité.