Multifaktorautentisering för VPN-inloggningar

Behovet av att skydda VPN-åtkomst

VPN gör det möjligt för användare att komma åt olika resurser utanför kontoret genom en säker tunnel. Även om detta underlättar ett oavbrutet arbetsflöde för anställda på distans, utsätter det också organisationens nätverk för nya cybersäkerhetsproblem.

När ett VPN synkroniseras med en organisations AD-miljö autentiseras användarna vanligtvis med endast sitt användarnamn och lösenord för domänen - en metod som har visat sig inte längre vara säker. Verizon rapporterar att 81 % av alla dataintrång kan kopplas till komprometterade lösenord. Om VPN-inloggningsuppgifter avslöjas kan hela nätverket utsättas för risk för dataexponering. Implementering av ytterligare säkerhetslager genom MFA är ett effektivt sätt att förhindra de allvarliga konsekvenserna av exponering av referenser.

Säkra din VPN-åtkomst med ADSelfService Plus

ManageEngine ADSelfService Plus, en lösning för identitetssäkerhet, gör att du kan stärka VPN-anslutningar till din organisations nätverk med hjälp av adaptiv MFA. Detta innebär att man implementerar autentiseringsmetoder som biometrisk autentisering och engångslösenord (OTP) vid VPN-inloggningar utöver det traditionella användarnamnet och lösenordet. Eftersom enbart lösenord inte räcker för att logga in i nätverket gör ADSelfService Plus exponerade uppgifter värdelösa för obehörig VPN-åtkomst.

VPN-leverantörer som stöds

ADSelfService Plus gör det möjligt för administratörer att säkra alla VPN-leverantörer som stöds av RADIUS med MFA inklusive:

Så fungerar MFA för VPN

Innan du kan säkra dina VPN med MFA måste VPN-servern använda en Windows Network Policy Server (NPS) för att konfigurera RADIUS-autentisering, och ADSelfService Plus NPS-tillägget måste installeras i NPS. Detta tillägg förmedlar mellan NPS och ADSelfService Plus för att aktivera MFA under VPN-anslutningar. När dessa krav är uppfyllda sker nedanstående process under en VPN-inloggning:

1. En användare försöker upprätta en VPN-anslutning genom att ange sitt användarnamn och lösenord till VPN-servern.
2. VPN-servern skickar autentiseringsbegäran till den NPS där ADSelfService Plus' NPS-tillägg är installerat.
3. Om kombinationen av användarnamn och lösenord är korrekt kontaktar NPS-tillägget ADSelfService Plus-servern och begär en andra autentiseringsfaktor.
4. Användaren autentiserar sig med den metod som konfigurerats av administratören. Resultatet av autentiseringen skickas till NPS-tillägget i NPS.
5. Om autentiseringen lyckas förmedlar NPS detta till VPN-servern.

Användaren får nu tillgång till VPN-servern och en krypterad tunnel upprättas med det interna nätverket.

Metoder för VPN-autentisering som stöds

1. Sms-verifiering
2. E-postverifiering
3. Push-avisering
4. Biometrisk autentisering
5. TOTP-autentisering
6. Google Authenticator
7. Microsoft Authenticator
8. YubiKey Authenticator

IT-administratörer kan konfigurera någon av ovanstående metoder enligt organisationens krav. ADSelfService Plus möjliggör problemfri konfiguration och administration av funktionen genom:

ADSelfService Plus enables hassle-free configuration and administration of VPN MFA through:

• Granulär konfiguration: Aktivera särskilda autentiseringsmetoder för användare som tillhör specifika domäner, organisationsenheter och grupper.
• Revisionsrapporter i realtid: Visa detaljerade rapporter om VPN-inloggningsförsök med information som inloggningstid och autentiseringsfel.

Fördelar med att använda VPN MFA med ADSelfService Plus