VietNetwork.Vn

Là một phần trong những nỗ lực liên tục của chúng tôi để cung cấp hướng dẫn kỹ thuật cho thành viên của chúng tôi, một yêu cầu được đưa ra gần đây là liệu chúng tôi có thể cung cấp phương pháp xác thực đa yếu tố, bảo mật cao cho người dùng VPN từ xa hay không. Rõ ràng, có rất nhiều sự lựa chọn có sẵn, nhưng chúng tôi chỉ tìm thấy một lựa chọn có khả năng mở rộng cần thiết để bắt đầu nhỏ và hiệu quả về chi phí, và cuối cùng có quy mô lên hàng trăm nếu không phải là hàng ngàn người dùng.

Bài viết dưới đây đã được viết để chứng minh các tính năng xác thực của bộ thiết bị bảo mật Fortinet, cụ thể là sản phẩm chủ lực của họ, tường lửa FortiGate. Tôi muốn đưa ra một ví dụ thực tế về cách chúng tôi có thể cung cấp VPN đa yếu tố an toàn mà không phải phá vỡ ngân hàng. Ví dụ dưới đây được thiết kế để hiển thị cấu hình này theo nghĩa cơ bản nhất, chỉ sử dụng các tính năng đi kèm với thiết bị FortiGate tiêu chuẩn. Fortinet cung cấp hai giấy phép bao gồm FortiToken (Xác thực hai yếu tố) cho mỗi FortiGate như một cách cho phép quản trị viên trải nghiệm sức mạnh và sự đơn giản của tính năng này. Hôm nay, chúng tôi sẽ sử dụng những cái này bao gồm 'FortiTokens, để thiết lập VPN của chúng tôi.

Điều quan trọng cần lưu ý là Fortinet cho phép chức năng FortiToken của họ mở rộng ở trên và vượt xa những gì chúng ta sẽ nhìn vào ngày hôm nay. Họ thậm chí còn có một thiết bị chuyên dụng được thiết kế đặc biệt để giảm tải xác thực được gọi là FortiAuthenticator, nhưng chúng tôi sẽ nói về điều đó trong một bài viết khác. Hiện tại, chúng tôi sẽ gắn bó với FortiGate và thiết lập xác thực AD điển hình.

Nói về xác thực, chúng tôi sẽ sử dụng một phương pháp xác thực được sử dụng rất phổ biến, tức là RADIUS. RADIUS đã tồn tại trong nhiều năm và đã phát triển rất ít trong các lần lặp lại của nó trong Windows. Bây giờ là một phần của bộ tính năng NPS, chúng tôi sẽ hướng dẫn cách định cấu hình RADIUS trên hộp Windows Server 2016, vì đây là phiên bản mới nhất và an toàn nhất.

Dưới đây là sơ đồ nhanh và bẩn về những gì chúng tôi sẽ thiết lập:


Mục tiêu của cấu hình này sẽ là:

• Thiết lập máy chủ RADIUS Windows 2016 để xác thực FortiGate
• Thiết lập tường lửa FortiGate để xác thực với máy chủ RADIUS của Windows 2016
• Thiết lập người dùng và nhóm cần thiết
• Cấu hình Xác thực hai yếu tố FortiToken
• Cấu hình Dịch vụ Đẩy FortiToken
• Thiết lập SSL VPN để sử dụng các tài khoản kích hoạt RADIUS và Two-Factor
• Thiết lập VPN FortiClient

Phần 1: Cài đặt và cấu hình RADIUS trên Windows Server 2016

Đăng nhập vào máy chủ Windows 2016 mà bạn dự định sử dụng làm máy chủ RADIUS. Máy chủ này không phải độc lập và có thể được cài đặt trên Bộ kiểm soát miền. Khởi chạy Trình quản lý máy chủ và chọn 'Quản lý trực tuyến từ trên cùng bên phải. Chọn Thêm vai trò và tính năng hấp dẫn để khởi chạy trình hướng dẫn. Từ trang hướng dẫn, chọn Policy Chính sách mạng và Dịch vụ truy cập, như hiển thị bên dưới.


Nhấp vào 'Tiếp theo và' Hoàn tất, để bắt đầu cài đặt. Cài đặt này không cần phải khởi động lại.


Sau khi quá trình cài đặt hoàn tất, từ Trình quản lý máy chủ, chọn 'Công cụ, sau đó chọn tùy chọn Máy chủ chính sách mạng mới.


Nhấp chuột phải vào RADIUS client và chọn 'Mới. Điều này sẽ đưa ra hộp thoại máy khách RADIUS mới. Cấu hình trang với các mục sau:

• Kiểm tra các mục Kích hoạt hộp kiểm RADIUS client
• Đặt cho máy chủ RADIUS của bạn một tên thân thiện (ví dụ: RADIUS)
• Nhập địa chỉ IP của giao diện LAN của FortiGate của bạn. Đây thường là cổng mặc định cho mạng nội bộ.
• Để hộp radio được chọn với 'Hướng dẫn sử dụng
• Nhập mật khẩu được chia sẻ bí mật (ghi lại để sử dụng trong tương lai)
• Nhấn vào OK

Khi máy khách RADIUS được định cấu hình, Chọn 'Chính sách yêu cầu kết nối trong phần Chính sách của phần đính kèm NPS.


Nhấp chuột phải và chọn Mới

• Trên tab Tổng quan, Đặt tên chính sách như 'FortiGate VPN,
• Chọn hộp kiểm 'Chính sách được bật.
• Rời khỏi Loại máy chủ truy cập mạng để 'Không xác định'

Tiếp theo, chọn tab Điều kiện

• Nhấp vào nút 'Thêm vào mạng và sau đó chọn điều kiện gọi Địa chỉ IPv4 của NAS.
• Nhấp vào nút 'Thêm vào một lần nữa và nhập địa chỉ IP của địa chỉ LAN nội bộ FortiGate.

Tiếp theo, chọn tab Cài đặt thẻ

• Nhấp vào Nhà cung cấp cụ thể của nhà cung cấp và chọn nút 'Thêm vào.
• Cuộn xuống cuối danh sách và chọn 'Nhà cung cấp dành riêng cho nhà cung cấp
• Nhấp vào nút 'Thêm vào một lần nữa

Chọn nút 'Thêm vào lần thứ 3 và bạn sẽ thấy màn hình bên dưới. Chọn Nhập Mã nhà cung cấp và nhập giá trị 12356.


Nhấn OK khi hoàn thành.

Tại thời điểm này, bạn sẽ thấy thuộc tính của bạn như được hiển thị dưới đây.


Nhấn OK để lưu cài đặt này.

Bấm OK một lần nữa ở dưới cùng bên phải để đóng hộp Chính sách yêu cầu kết nối.

Bạn sẽ thấy chính sách của bạn được liệt kê như hình dưới đây.


Cuối cùng, chúng ta cần cấu hình Chính sách mạng.

Chọn Chính sách mạng mạng từ phần đính kèm của máy chủ chính sách mạng.


Nhấp chuột phải và chọn Mới.

• Đặt cho chính sách một tên thân thiện (nghĩa là Chính sách VPN)
• Trên tab Tổng quan, hãy đảm bảo chọn hộp kiểm 'Chính sách được bật
• Xác minh rằng 'Cấp quyền truy cập vào mạng được chọn
• Xác minh rằng 'Loại máy chủ truy cập mạng, được đặt thành Không xác định

Chọn tab 'Điều kiện'

• Từ tab Điều kiện, chọn 'Thêm vào
• Chọn Groups Windows Groups, sau đó chọn Thêm
• Chọn Thêm nhóm
• Nhập tên của nhóm vào AD mà bạn muốn cho phép xác thực VPN *
• Nhấp vào 'Kiểm tra tên, và đảm bảo nhóm của bạn giải quyết chính xác.
• Nhấn OK, rồi OK.

Nếu bạn không có nhóm bảo mật được tạo trong AD cho người dùng VPN, bạn cần dừng và tạo một nhóm trước khi tiếp tục.

Khi bạn đã thêm điều kiện Nhóm AD, hãy chuyển đến tab 'Ràng buộc.

Xác minh rằng các hộp sau được chọn, sau đó nhấp vào 'Áp dụng, sau đó' OK, để hoàn thành chính sách.


Điều này sẽ kết thúc các bước cần thiết để định cấu hình RADIUS trên Windows Server 2016. Tiếp theo, chúng ta cần định cấu hình tường lửa FortiGate.

2. Cấu hình RADIUS, MFA và SSL VPN trên Tường lửa FortiGate

Đăng nhập vào thiết bị FortiGate của bạn và điều hướng đến menu cài đặt máy chủ RADIUS trong Người dùng & Thiết bị. Chọn Tạo New Mới từ menu trên cùng.


Đặt tên cho máy chủ RADIUS của bạn (có thể khớp với tên máy chủ Windows để dễ nhận dạng). Thêm các cài đặt sau:

• Chọn Chỉ định cho phương thức Xác thực và chọn MS-CHAP-v2
• Nhập địa chỉ IP của máy chủ RADIUS của bạn trong NAS IP
• Chọn nhóm Bao gồm trong mỗi nhóm người dùng
• Trong Máy chủ chính, nhập lại IP của máy chủ RADIUS
• Trong phần Bí mật, nhập mật khẩu bí mật mà bạn đã cấu hình trong cài đặt máy khách RADIUS

Khi đã có cài đặt cấu hình, bạn có thể chọn nút 'Kiểm tra kết nối kết nối. Bạn sẽ nhận được phản hồi màu xanh lá cây nói rằng kết nối thành công.

Lưu ý: nút 'Kiểm tra thông tin xác thực người dùng sẽ không hoạt động, bất kể bạn định cấu hình cài đặt của mình như thế nào vì nó chỉ được thiết kế để hoạt động với giao thức bảo mật PAP không an toàn. Vì chúng tôi đã cấu hình hệ thống của chúng tôi để sử dụng MS-CHAP-v2, bạn sẽ luôn nhận được thông báo lỗi là bạn cố gắng sử dụng nút này.

Để hoàn thành kiểm tra người dùng thành công, chúng tôi sẽ cần chạy một lệnh từ dòng lệnh.

FortiGate# diagnose test authserver radius RADIUSSERVERNAME mschap2 username password
Dưới đây là một đầu ra thành công của lệnh này:


Lưu ý: Tài khoản bạn kiểm tra phải là thành viên của nhóm Người dùng VPN mà chúng tôi đã tạo và định cấu hình trong máy chủ Windows RADIUS.

Khi các cài đặt RADIUS được đặt đúng chỗ và được xác minh, chúng tôi cần tạo một nhóm người dùng.

• Chọn Nhóm người dùng trong mục Người dùng & Thiết bị và chọn Tạo Mới.
• Đặt tên cho Nhóm và chọn 'Tường lửa như là một kiểu.
• Nhấp vào 'OK, để tạo nhóm.

Khi nhóm được tạo, chúng tôi cần tạo một số người dùng và thêm họ vào nhóm.

• Chọn Definition Định nghĩa người dùng từ bên dưới người dùng và thiết bị
• Chọn Tạo mới
• Chọn 'Từ xa RADIUS Người dùng
• Nhấn tiếp'
• Nhập tên người dùng bạn muốn sử dụng (ví dụ: VietNetwork) Bạn không cần bao gồm tiền tố tên miền.
• Sử dụng menu thả xuống để chọn máy chủ RADIUS mà chúng tôi đã tạo trước đó.
• Nhấn tiếp'

Đây là nơi chúng tôi có thể kích hoạt Xác thực hai yếu tố cho tài khoản này. Để cho phép nó hoàn thành các bước sau:

KHÔNG NHẬP VÀO ĐỊA CHỈ EMAIL

• Chọn hộp SMS.
• Chọn Mã quốc gia và nhập số điện thoại cho ứng dụng khách di động FortiToken mà bạn muốn sử dụng
• Chọn 'Xác thực hai yếu tố
• Sử dụng menu thả xuống để chọn FortiToken để gán cho người dùng này.
• Nhấn tiếp'

Tại thời điểm này, cần có một thông báo cho biết rằng một mã đã được gửi đến thiết bị người dùng. Người dùng sẽ cần sử dụng mã này để định cấu hình FortiToken Mobile để sau đó họ có thể sử dụng thiết bị này cho MFA.

Nếu vì lý do nào đó mã này không xuất hiện, bạn có thể truy cập mã này thông qua dòng lệnh. Xem ảnh chụp màn hình bên dưới:


Sử dụng mã được tìm thấy bên cạnh 'mã kích hoạt mã để thiết lập ứng dụng di động FortiToken của bạn. Điều quan trọng cần nhớ là cung cấp cho ứng dụng tên người dùng CHÍNH XÁC mà bạn đã định cấu hình trong FortiGate. (tức là trong ví dụ của chúng tôi)

Quay lại với việc tạo người dùng của chúng tôi. Trên tab cuối cùng, Thông tin bổ sung, chọn nút Group Nhóm người dùng và thêm vào nhóm chúng tôi đã tạo trước đó như hình dưới đây.


Sau khi hoàn thành, bạn sẽ có một tài khoản trông giống như tài khoản được hiển thị bên dưới. Lưu ý loại là RADIUS và có mã Hai yếu tố.


Giờ đây, chúng tôi đã tạo cài đặt RADIUS và tài khoản người dùng (rõ ràng bạn có thể tạo bao nhiêu tài khoản người dùng nếu cần) thời gian thiết lập SSL VPN.

Bắt đầu bằng cách điều hướng đến menu Cổng SSL-VPN trong phần VPN của FortiGate.

Bạn nhận thấy rằng có ba đường hầm SSL VPN được tạo trước. Ví dụ của chúng tôi, chúng tôi sẽ thiết lập VPN truy cập đầy đủ truyền thống.

Chọn truy cập đầy đủ và chọn nút button Chỉnh sửa ở trên.

Định cấu hình cài đặt cho VPN của bạn như hiển thị bên dưới.

Lưu ý: Một số cài đặt, chẳng hạn như Chủ đề rõ ràng là tùy chọn. Điều quan trọng ở đây là kích hoạt Chế độ đường hầm với phân chia đường hầm và đảm bảo rằng có một nguồn tài nguyên địa chỉ IP cho khách hàng sử dụng.


Nhấp vào 'OK, để hoàn tất cài đặt.

Khi Cổng thông tin SSL VPN đã sẵn sàng, hãy chuyển đến trình đơn Cài đặt SSL-VPN. Ở đây chúng tôi thực sự chỉ cần xác minh một vài điều. Cụ thể, hãy đảm bảo rằng bạn chọn một cổng khác ngoài 443, vì chúng tôi thường sử dụng cổng này cho các dịch vụ khác. Trong ví dụ của tôi, tôi đã chọn 10443.

Hãy chắc chắn rằng 'Yêu cầu chứng chỉ ứng dụng khách hàng tắt.
Đảm bảo rằng cổng truy cập đầy đủ được liệt kê trong phần Xác thực / Bản đồ cổng thông tin.


Khi bạn đã hoàn thành việc này, hãy sử dụng trình duyệt web để thử và truy cập Cổng thông tin SSL VPN của bạn. Bạn sẽ thấy một cái gì đó như thế này:


OK vì vậy bây giờ chúng tôi gần như đã hoàn thành. Vì chúng tôi đã kích hoạt xác thực hai yếu tố, chúng tôi cũng muốn kích hoạt FortiToken Mobile Push.

Vậy, FTM Push là gì? Tóm lại, thay vì phải nhập thủ công mã MFA gồm 6 chữ số mỗi khi bạn kết nối với VPN, bạn chỉ cần định cấu hình FortiGate để 'đẩy một yêu cầu ủy quyền cho thiết bị FortiToken Mobile của bạn.

Để bật FTM Push, chúng tôi phải thực hiện hai thay đổi nhanh chóng:

Mở dòng lệnh trên FortiGate và gõ như sau:

config system ftm-push
set server-ip x.x.x.x (sử dụng IP công cộng được định cấu hình trên interface WAN của bạn)
set status enable
end
Khi điều này được thực hiện, chúng tôi sẽ kích hoạt FTM Push trên giao diện WAN. Cách dễ nhất để làm điều này là thông qua GUI. Đơn giản chỉ cần mở Network à Giao diện và chọn giao diện WAN của bạn.

• Nhấp vào 'Chỉnh sửa để cấu interface WAN.
• Trong phần Truy cập quản trị, hãy chọn FTM.

Sau khi hoàn thành, bạn sẽ có thể sử dụng tính năng FTM Push khi đăng nhập vào VPN bằng MFA.

Ok, bước cuối cùng tại thời điểm này là cấu hình máy khách VPN FortiClient. Đây là một bước bổ sung và không cần thiết vì SSL VPN chỉ có thể hoạt động trong trình duyệt, nhưng tôi luôn thích cấu hình máy khách.

Để thực hiện việc này, chỉ cần khởi chạy FortiClient từ PC đã cài đặt.

• Chọn tab Access Truy cập từ xa
• Nhấp vào liên kết Cấu hình VPN

Cấu hình cài đặt VPN như được hiển thị:


Lưu ý rằng chúng tôi đã chọn Tùy chỉnh cổng và thay đổi cổng thành 10443. Bạn có thể sử dụng IP công cộng hoặc tên máy chủ công cộng cho Cổng từ xa.

Nhấp vào để lưu.

Bây giờ chúng tôi đã sẵn sàng kết nối.

• Nhập tên người dùng và mật khẩu cho tài khoản AD mà bạn đã thiết lập trước đó.
• Nhấp vào nút Kết nối
• Bạn có thể nhận được một cảnh báo về chứng chỉ. Điều này xảy ra nếu bạn không có chứng chỉ CA công cộng hợp lệ được đính kèm với FortiGate của bạn. Đây không phải là một yêu cầu và bạn chỉ cần nhấp vào CÓ để cho phép kết nối. Điều này chỉ xảy ra khi bạn kết nối lần đầu tiên.

Lúc này bạn sẽ thấy màn hình bên dưới. Tại đây, bạn có thể nhập thủ công mã gồm 6 chữ số từ thiết bị FortiToken Mobile hoặc bạn có thể chọn FTM Push.


FTM Push được hỗ trợ với cả thiết bị Apple và Android, do đó cách hiển thị thông báo đẩy có thể thay đổi một chút. Cuối cùng, bạn sẽ muốn xem menu thông báo trên điện thoại của mình và bạn sẽ thấy thông báo của FortiToken Mobile. Dưới đây là thông báo của Apple:


Chỉ cần chọn 'Phê duyệt' và trong một vài phút, bạn sẽ được kết nối với VPN.

Vì vậy, để kết thúc vấn đề này, trong bài viết này, chúng tôi đã đưa ra:

• Thiết lập Windows Server 2016 để hỗ trợ kết nối máy khách RADIUS từ tường lửa FortiGate
• Định cấu hình tường lửa FortiGate để kết nối với máy chủ RADIUS của Windows
• Định cấu hình Nhóm người dùng VPN
• Đã thêm người dùng RADIUS từ xa vào Nhóm người dùng VPN
• Định cấu hình người dùng RADIUS từ xa với Xác thực hai yếu tố qua FortiToken Mobile
• Cấu hình đẩy di động FortiToken
• Cấu hình SSL-VPN
• Cấu hình FortiClient fabric agent để kết nối với SSL VPN
• Đã hoàn thành xác thực hai yếu tố thành công với RADIUS