Один час до повышения безопасности: как использовать Azure MFA для защиты существующего решения VPN

В то время, когда все больше и больше внимания уделяется сетевой безопасности, все больше и больше компаний обращаются к многофакторной аутентификации, чтобы гарантировать, что люди, входящие в их сети, являются теми, кем они себя называют. С ростом числа удаленных пользователей, получающих удаленный доступ к сетям через VPN, вполне логично, что все больше и больше компаний обращаются к решениям многофакторной проверки подлинности, таким как Azure MFA, для защиты своих сетей через эти VPN-подключения.
Хотя доступно множество вариантов многофакторной проверки подлинности, одно из самых простых решений для развертывания основано на Azure Active Directory. В этой статье я немного расскажу о решении MFA на базе Azure для доступа к VPN, о том, как оно работает и как добавить его в существующее решение VPN.
Типичное VPN-решение
В большинстве сред типичное решение VPN включает брандмауэр/VPN-устройство, такое как Cisco ASA или, может быть, что-то вроде устройства FortiGate, а также присоединенный к домену сервер политики сети. Устройство VPN настроено как клиент на сервере политики сети, а доступ к VPN контролируется через членство в группе в AD.
В приведенном выше сценарии все обычно выглядит так:
Хотя типичное VPN-решение, описанное выше, работает, присущий ему недостаток заключается в том, что если кто-то потеряет ноутбук или передаст пароль в результате фишинговой атаки, злоумышленнику довольно легко получить доступ к сети через VPN.
Введите многофакторную аутентификацию
Развертывание VPN-решения, использующего Azure MFA, обеспечивает дополнительный уровень безопасности и помогает гарантировать, что удаленные пользователи, подключающиеся к сети через VPN, являются теми, кем они себя называют. Используя Azure Active Directory и расширение NPS (оба доступны от Microsoft), организация может очень легко развернуть или обновить существующее решение VPN до решения, предлагающего защиту MFA.
VPN-решение Azure MFA
Для VPN-решения MFA с поддержкой Azure требуется несколько дополнительных компонентов в дополнение к обычному VPN-устройству и серверу NPS. К таким дополнительным компонентам относятся:
- Арендатор Azure
- Премиум-подписка Azure AD
- Расширение NPS
- Подключиться к Azure AD
В решении Azure MFA VPN дополнительная проверка подлинности MFA для пользователей VPN выполняется для учетных записей Azure AD, которые были синхронизированы с Azure AD в Azure Tenant через Azure AD Connect. Подписка Azure AD "Премиум" необходима, поскольку она предоставляет необходимое лицензирование для включения MFA в Azure AD. Расширение NPS — это часть программного обеспечения, которое устанавливается на локальном сервере NPS. Это программное обеспечение безопасно взаимодействует с Azure AD и облегчает вторичную проверку подлинности, когда кто-то пытается подключиться к VPN.
Типичное VPN-решение Azure MFA выглядит примерно так:
Подготовка к VPN Azure MFA
Перед развертыванием многофакторного VPN-решения на основе Azure AD MFA необходимо сначала подготовить арендатора Azure и подписку Azure AD в арендаторе. Подписка Azure AD должна быть не ниже Premium P1. Бесплатная версия Azure Active Directory, поставляемая с развертыванием Office 365/Exchange Online, не поддерживает многофакторную проверку подлинности для VPN.
Подготовить арендатора Azure так же просто, как щелкнуть эту ссылку. После подготовки арендатора Azure вы можете оформить подписку Azure AD Premium P1 прямо на портале Azure.
Имея арендатора Azure и подписку Azure AD, вы должны развернуть Azure AD Connect в локальной среде Active Directory, чтобы локальные учетные записи пользователей Active Directory можно было синхронизировать с Azure Active Directory. Это необходимо, поскольку настройки MFA будут установлены для учетных записей Azure AD, которые синхронизируются локально. Кроме того, расширение NPS, которое вы в конечном итоге установите на существующем сервере NPS, будет напрямую взаимодействовать с подпиской Azure AD для проверки статуса и учетных данных MFA.
После того, как клиент Azure установлен, а локальные пользователи синхронизируются с Azure Active Directory, вы можете включить MFA для своих пользователей, которые будут использовать VPN, выполнив следующие действия:
- Перейдите на портал Azure и войдите в систему.
- Нажмите «Azure Active Directory» на левой панели.
- Нажмите «Пользователи»
- Нажмите «Многофакторная аутентификация».
Оттуда выберите пользователей, для которых вы хотите включить MFA, и нажмите «Включить». Это включит MFA для выбранных пользователей.
Регистрация MFA для пользователей
После включения MFA для пользователей Azure AD и до того, как они начнут использовать VPN, пользователи, которые будут использовать MFA VPN, должны зарегистрироваться в Azure MFA и настроить свои предпочтения MFA, следуя приведенным ниже инструкциям.
- Войти здесь
- Следуйте инструкциям, чтобы настроить метод проверки.
Когда пользователи Azure AD настроены для MFA и зарегистрированы, существующее решение VPN можно обновить, чтобы использовать функции MFA, поддерживаемые Azure, которые теперь доступны.
Как развернуть VPN-решение Azure MFA
В этой статье предполагается, что у вас уже есть рабочее решение VPN и вы используете сервер NPS. Когда сервер NPS уже установлен, вам просто нужно внести несколько изменений, чтобы заставить его работать с MFA на базе Azure. Первое изменение — это установка расширения NPS на сервере NPS. Второе изменение — создание и установка сертификата на сервере NPS, чтобы он мог безопасно взаимодействовать с подпиской/каталогом Azure AD.
Установка расширения NPS
Расширение NPS позволяет серверу NPS выполнять вторичную проверку подлинности MFA в Azure AD. Расширение можно скачать здесь. Установка расширения NPS безболезненна и состоит всего из нескольких подсказок «Далее», за которыми следует подсказка «Готово».
При установке расширения нет вариантов конфигурации, поскольку все, что оно делает, — это, по сути, добавляет некоторые библиотеки DLL на сервер NPS.
Защита связи между NPS и Azure AD
После установки расширения NPS на сервере NPS необходимо создать сертификат, чтобы разрешить безопасную связь между сервером NPS и Azure Active Directory. Этот сертификат создается и устанавливается путем выполнения команды PowerShell , которая находится в каталоге на сервере NPS, на котором установлено расширение NPS.
Чтобы создать сертификат, команде PowerShell требуется GUID каталога Azure AD.
Получить GUID Azure AD достаточно просто. Просто выполните следующие действия:
- Перейдите на портал Azure и войдите в систему.
- Нажмите «Azure Active Directory» на левой панели.
- Нажмите «Свойства»
Скопируйте значение из поля ID каталога, которое вы видите, и сохраните его где-нибудь в текстовом файле.
После получения GUID Azure AD создайте сертификат и установите подключение к Azure AD, следуя приведенным ниже инструкциям.
- Запустите Windows PowerShell от имени администратора
- Перейдите в каталог «C:Program FilesMicrosoftAzureMfaConfig».
- Запустите сценарий AzureMfaNpsExtnConfigSetup.ps1 (не забудьте поставить перед командой.).
- Войдите в Azure AD в качестве администратора при появлении запроса.
- Укажите свой идентификатор каталога Azure AD, который вы сохранили ранее.
Описанный выше процесс создает самозаверяющий сертификат на сервере NPS и защищает обмен данными между сервером NPS и Azure AD. Он связывает открытый ключ сертификата с субъектом-службой в Azure AD и сохраняет сертификат в хранилище локального компьютера на сервере политики сети. Пользователю сети предоставляется доступ к закрытому ключу сертификата.
После того, как все это будет выполнено, служба NPS автоматически перезапустится.
Несколько слов об аутентификации
Хотя ваше существующее решение VPN/NPS может быть уже настроено, вам необходимо определить, какие протоколы шифрования необходимо использовать для поддержки MFA на базе Azure, поскольку не все протоколы шифрования поддерживают все методы проверки MFA.
Например, PAP поддерживает телефонные звонки, односторонние текстовые сообщения, уведомление мобильного приложения и код подтверждения мобильного приложения, тогда как CHAPV2 и EAP поддерживают только телефонные звонки и уведомление мобильного приложения.
Два ключевых фактора влияют на то, какие методы проверки подлинности доступны при развертывании расширения NPS:
- алгоритм шифрования пароля, используемый между VPN и сервером NPS
- методы ввода, поддерживаемые клиентским приложением VPN
Например, если ваше программное обеспечение VPN-клиента не предлагает поле, позволяющее пользователю ввести код подтверждения из текстового или мобильного приложения, вы не сможете использовать односторонний обмен текстовыми сообщениями в качестве вторичной проверки. метод. Таким образом, вы можете использовать протоколы шифрования PAP, CHAPV2 и EAP. В качестве альтернативы, если ваш VPN-клиент поле доступным для ввода кода из текстового или мобильного приложения (и это дополнительный метод аутентификации, который вы хотите использовать), вам нужно будет использовать PAP, поскольку CHAPV2 и EAP поддерживают только телефонный звонок и уведомления мобильного приложения.
С учетом сказанного, прежде чем развертывать расширение NPS, рассмотрите существующую среду и то, как эти факторы влияют на вашу конфигурацию.
Развертывание решения
По умолчанию после развертывания расширения NPS пользователям, для которых не включена функция MFA в Azure AD, будет отказано в доступе к VPN. Таким образом, вы можете счесть полезным разрешить пользователям, не поддерживающим MFA, по-прежнему подключаться к VPN, пока вы не будете готовы перейти к работе.
Чтобы разрешить пользователям, не поддерживающим MFA, доступ к VPN, откройте редактор реестра на сервере NPS и установите значение «REQUIRE_USER_MATCH» в разделе реестра «HKLMSOFTWAREMicrosoftAzureMfa» на «FALSE» во время тестирования. Если он еще не существует, создайте его. В противном случае пользователям, для которых не разрешена многофакторная аутентификация, будет заблокировано подключение к VPN. Вы можете установить значение TRUE, когда будете готовы запустить решение в производство.
Протестируйте новую VPN MFA с поддержкой Azure, попытавшись войти в VPN с учетной записью пользователя, которая была синхронизирована с Azure Active Directory и для которой включена MFA. Убедитесь, что ваш тестовый пользователь получает ожидаемый запрос вторичной аутентификации (телефонный звонок, текстовое сообщение, уведомление приложения и т. д.). Если ваш тестовый пользователь не проходит проверку подлинности, убедитесь, что параметры проверки подлинности, настроенные в политиках сервера политики сети, поддерживают предпочитаемый вами метод проверки MFA.
Убедившись, что ваш тестовый пользователь может войти в VPN, вы можете установить для параметра «REQUIRE_USER_MATCH» значение «TRUE», чтобы применить аутентификацию MFA для VPN.
Собираем все вместе
Вы можете добавить проверку подлинности Azure MFA в существующее решение VPN, чтобы дополнительно защитить свою сеть, используя функции многофакторной проверки подлинности, доступные в Azure Active Directory. Для этого вам потребуется подготовить арендатора Azure и подписку Azure Active Directory P1+. Подготовив их, синхронизируйте локальных пользователей с Azure AD с помощью Azure AD Connect. После синхронизации локальных пользователей с Azure AD вы можете включить для них MFA в Azure Active Directory.
После того как ваши пользователи будут синхронизированы с Azure AD и зарегистрированы в MFA, установите расширение NPS на свой сервер NPS, а также создайте и установите самозаверяющий сертификат с помощью сценария PowerShell, созданного расширением NPS. Установив сертификат, установите безопасное подключение между сервером NPS и Azure AD, чтобы расширение NPS могло использовать многофакторную аутентификацию, предлагаемую Azure AD.
Общие усилия для завершения этого процесса составляют менее одного часа. Разве безопасность вашей сети не стоит часа вашего времени?