Перейти к основному содержимому

Настройка двухфакторной аутентификации Check Point Remote Access VPN

Общая информация

В статье описывается настройка Check Point для подключения к Remote Access VPN c двухфакторной аутентификацией.

Возможные способы аутентификации:

  • Мобильное приложение MultiFactor
  • СМС
  • Аппаратные OTP токены
  • Приложения OTP: Google Authenticator или Яндекс.Ключ
  • Telegram

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

может быть полезно

Доступна настройка второго фактора в режиме диалога с пользователем.

Видео-презентация

Схема работы

  1. Пользователь подключается к VPN, вводит логин и пароль в клиенте Remote Access;
  2. Check Point NGFW подключается к компонету MultiFactor Radius Adapter по протоколу RADIUS;
  3. Компонент либо Check Point NGFW проверяет логин и пароль пользователя в Active Directory или Network Policy Server и запрашивает второй фактор аутентификации;
  4. Пользователь подтверждает запрос доступа в телефоне или вводит одноразовый код в клиенте Remote Access VPN (Endpoint Security/MAB).

Настройка Check Point NGFW

Запустите консоль управления SmartConsole.

Настройка RADIUS сервера

Необходимо создать новые объект сервера Radius.

  1. С правой стороны, в разделе объектов, выбрать пункт New > Server > More > RADIUS и выполнить следующие настройки:
    • Название: Multifactor Radius Server;
    • Host: адрес компонента MultiFactor Radius Adapter (создайте новый объект или выберите существующий);
    • Service: NEW-RADIUS (port 1812);
    • Shared Secret: из настроек компонента;
    • Verison: RADIUS Ver. 2.0;
    • Authentication method: PAP.

Настройка Remote Access VPN в Check Point

  1. Откройте настройки объекта шлюза безопасности Check Point, раздел Mobile Access -> Authentication. Откройте Settings:
    • Allow newer clients that supports Multiple Login Options to use this authentication method: да;
    • Authentication method: RADIUS;
    • Server: Multifactor Radius Server.
  1. Повторите настройку для VPN Clients -> Authentication. В итоге конфигурация в обоих разделах должна выглядеть следующим образом:

Настройка группы пользователей

С правой стороны, в разделе объектов, выбрать пункт New > More > User > Access Role. Задать параметры для нового объекта и указать источник данных о пользователях.

Настройка политики доступа

В разделе Security policies > Policy > создайте новую политику для доступа пользователей Remote Access VPN к внутренней сети:

  • Source: <Созданная раннее Access Role>
  • VPN: RemoteAccess

Настройка таймаута RADIUS сервера

  1. Нажмите на иконку в левом верхнем углу, выберите Global Properties -> Advanced -> Configure -> FireWall-1 -> Authentication -> RADIUS
  2. Увеличьте radius_retrant_timeout до 60 секунд.

Смотрите также: