Двухфакторная аутентификация на VPN шлюзах для всех

Двухфакторная аутентификация с использованием одноразовых паролей, является одним из самых надежных методов защиты от несанкционированного доступа к внутренним ресурсам компании, так как с одной стороны делает утечку логина/пароля не достаточной для того чтоб злоумышленник смог получить доступ, и с другой делает невозможной перебор паролей, так как перебирать нужно одновременно логин, пароль и одноразовый пароль, а он все время разный.

Одноразовый пароль можно например отправить по СМС или по электронной почте, или можно его сгенерировать при помощи программного или аппаратного токена что наиболее удобно и бесплатно.

Поставщиков программного обеспечения для двухфакторной аутентификации великое множество, как облачных так и тех кто позволяет развернуть его внутри компании.

Для примера приведем несколько подобных:

DUO

SafeNet

MFASoft

Multifactor

multiOTP 

 Большинство подобных продуктов состоит, как минимум из следующих компонентов:

1. Radius сервера, который взаимодействует с шлюзом VPN, часто это FreeRADIUS и к нему какие то модули

2. База данных с учетными записями, часто это PostgreSQL

3. Компонент импорта пользователей из каталога (Active Directory например)

4. WEB сервер

Все это требует некоторой настройки на стадии внедрения, а в дальнейшем  требует внимания, так как учетные записи не только в каком то едином каталоге но и хранятся в базе данных по.

Соответственно редактирование/добавление/удаление учетных записей требует синхронизацию.

Да, синхронизация может быть автоматизирована но она нужна.

Если нужна надежность то вероятно захочется кластер сервера базы данных.

Блокировка учетных записей возможна как в основном каталоге так и в базе данных по.

В итоге, для небольших компаний это кажется избыточно сложным.

Что предлагаем мы:

1. Все необходимое что связано с пользователями, хранится в существующей службе каталогов - например Active Directory.

2. Для повышения надежности можно запустить сколько угодно экземпляров ПО, никакой синхронизации между ними не требуется.

3. Вся настройка заключается в задании параметров подключения к LDAP каталогу, параметрах RADIUS и если надо параметров отправки СМС или почты.

4. Блокировка пользователей при многократном неправильном вводе пароля, производится так же в служюе каталогов.

То есть все управление пользователями производится стандартными средствами управления каталогом.

Для установки и запуска нашего ПО, не требуется каких либо специфических знаний.

Наше ПО не имеет никаких зависимостей, и может работать на любом сервере с Linux.

Все наше ПО это наш код, мы не зависим от каких либо сторонних библиотек.

Ознакомится с продуктом можно по ссылке:

PowerMF