Uwierzytelnianie wieloskładnikowe przy logowaniu do sieci VPN

Praca zdalna przynosi organizacjom wiele korzyści, co spowodowało, że przyjęły one ten model pracy dla swoich pracowników. Sieci VPN (Virtual Private Network) stały się niezbędnym elementem zapewniającym pracownikom bezpieczny i szyfrowany zdalny dostęp do sieci wewnętrznych i najważniejszych zasobów przedsiębiorstwa. Pomimo, że jest to bezpieczny sposób zdalnego dostępu do sieci, po synchronizacji sieci VPN z środowiskiem Active Directory (AD) organizacji użytkownicy są zwykle uwierzytelniani wyłącznie za pomocą nazwy użytkownika i hasła domeny — metody, która okazała się nie być już bezpieczna. Firma Verizon podaje, że 81 procent przypadków naruszenia danych może być powiązanych z naruszonymi hasłami. Ujawnienie poświadczeń do sieci VPN może narazić całą sieć na ryzyko utraty danych. Wdrożenie dodatkowych warstw zabezpieczeń w formie uwierzytelniania wieloskładnikowego (MFA) jest skutecznym sposobem zapobiegania poważnym konsekwencjom ujawnienia poświadczeń.

Bezpieczny zdalny dostęp do sieci VPN za pomocą ADSelfService Plus

ManageEngine ADSelfService Plus to zintegrowane rozwiązanie do logowania jednokrotnego (SSO) i samoobsługowego zarządzania hasłami. Pozwala ono zabezpieczyć połączenia VPN do sieci organizacji za pomocą uwierzytelniania wieloskładnikowego. Obejmuje to wdrożenie metod uwierzytelniania, takich jak uwierzytelnianie biometryczne i hasła jednorazowe (OTP) podczas logowania do sieci VPN (oprócz tradycyjnej nazwy użytkownika i hasła). Ponieważ same hasła nie wystarczą do zalogowania do sieci, ADSelfService Plus gwarantuje, że ujawnione poświadczenia są bezużyteczne dla osoby próbującej uzyskać nieautoryzowany dostęp do sieci VPN.

Obsługiwani dostawcy sieci VPN

ADSelfService Plus pozwala administratorom zabezpieczyć za pomocą uwierzytelniania wieloskładnikowego wszystkich dostawców sieci VPN obsługujących RADIUS. Oto niektórzy z najlepszych dostawców sieci VPN obsługiwanych przez ADSelfService Plus:

Ochrona sieci VPN za pomocą uwierzytelniania wieloskładnikowego

Aby zabezpieczyć sieci VPN za pomocą uwierzytelniania wieloskładnikowego, serwer VPN powinien korzystać z serwera zasad sieciowych Windows (NPS) w celu skonfigurowania uwierzytelniania RADIUS, a na serwerze NPS musi być zainstalowane rozszerzenie ADSelfService Plus NPS. To rozszerzenie pośredniczy między serwerem NPS a ADSelfService Plus i umożliwia stosowanie uwierzytelniania wieloskładnikowego podczas połączeń VPN. Po spełnieniu tych wymagań logowanie do sieci VPN odbywa się zgodnie z procesem przedstawionym poniżej:

1. Uwierzytelnianie wieloskładnikowe przy logowaniu do sieci VPN
2. Użytkownik próbuje nawiązać połączenie VPN, podając swoją nazwę użytkownika i hasło do serwera VPN.
3. Serwer VPN wysyła żądanie uwierzytelnienia do serwera NPS, na którym jest zainstalowane rozszerzenie ADSelfService Plus NPS.
4. Jeśli kombinacja nazwy użytkownika i hasła jest prawidłowa, rozszerzenie NPS kontaktuje się z serwerem ADSelfService Plus i zgłasza żądanie uwierzytelnienia drugiego składnika.
5. Użytkownik dokonuje uwierzytelnienia za pomocą metody skonfigurowanej przez administratora. Wynik uwierzytelnienia jest przesyłany do rozszerzenia NPS na serwerze NPS.
6. Jeśli uwierzytelnienie powiedzie się, serwer NPS przekazuje informację do serwera sieci VPN.

Użytkownik uzyskuje dostęp do serwera sieci VPN i ustanawia zaszyfrowany tunel do sieci wewnętrznej.

Obsługiwane metody uwierzytelniania sieci VPN

• Powiadomienie push
• Uwierzytelnianie biometryczne
• Uwierzytelnianie za pomocą jednorazowego hasła czasowego (TOTP)
• Google Authenticator
• Microsoft Authenticator
• YubiKey Authenticator

Administratorzy IT mogą skonfigurować każdą z powyższych metod zgodnie z wymaganiami swojej organizacji. ADSelfService Plus umożliwia bezproblemową konfigurację i administrację funkcji za pośrednictwem następujących metod:

• Konfiguracja szczegółowa: włącz poszczególne metody uwierzytelniania dla użytkowników należących do określonych domen AD, jednostek organizacyjnych (OU) i grup.
• Raporty inspekcji w czasie rzeczywistym: wyświetl szczegółowe raporty dotyczące prób logowania do sieci VPN, zawierające takie informacje, jak czas logowania i niepowodzenia uwierzytelniania.

Korzyści wynikające z zastosowania uwierzytelniania wieloskładnikowego za pomocą ADSelfService Plus

• Konfiguracja z możliwością dostosowania: Stosuj różne składniki uwierzytelniające dla różnych grup użytkowników w zależności od ich uprawnień.
• Uzyskaj zgodność z przepisami: spełnij wymagania regulacji NIST SP 800-63B, GDPR, HIPAA, NYCRR, FFIEC i PCI DSS.
• Zapobiegaj atakom cybernetycznym opartym na poświadczeniach: Zabroń ponownego używania haseł i słabych haseł, które narażają sieć na ataki cyberprzestępców.
• Zabezpiecz punkty końcowe: używaj uwierzytelniania wieloskładnikowego, aby zabezpieczyć nie tylko dostęp do sieci VPN, ale też lokalne i zdalne logowanie do komputerów z systemami Windows, macOS i Linux, zapewniając bezpieczeństwo punktów końcowych.