Utiliser une Authentification Multifacteur (MFA) avec les Mobile VPN

Pour une sécurité renforcée, vous pouvez forcer les utilisateurs mobiles à fournir des informations en plus de leur mot de passe afin de s'authentifier.

La MFA (authentification multifacteur) exige des utilisateurs qu'ils fournissent plusieurs types d'informations (« facteurs ») pour s'authentifier :

Premier facteur—Mot de passe associé au nom d'utilisateur.
Facteurs supplémentaires—Notification push, OTP (one-time password) ou autres facteurs pris en charge par votre serveur RADIUS et votre fournisseur MFA

L'authentification à deux facteurs (2FA) est une méthode d'authentification multifacteur obligeant les utilisateurs à fournir deux informations pour s'authentifier : le mot de passe lié au nom d'utilisateur ainsi qu'un autre facteur. La plupart des solutions MFA tierces utilisent l'authentification à deux facteurs et des one-time passwords via des requêtes demande-réponse.

Pour fournir une MFA à vos utilisateurs mobiles, vous pouvez :

Configurer AuthPoint
Configurer une solution MFA tierce

Configurer AuthPoint

AuthPoint, la solution MFA cloud de WatchGuard, est compatible avec toutes les méthodes mobile VPN WatchGuard.

Mobile VPN with IKEv2

Pour obtenir des informations générales concernant l'authentification des utilisateurs Mobile VPN with IKEv2, consultez la section À propos de l'Authentification des Utilisateurs Mobile VPN with IKEv2. Pour obtenir des informations générales concernant le flux de travail de la MFA AuthPoint pour Mobile VPN with IKEv2, consultez la section Configurer la MFA pour un Firebox. Pour obtenir des exemples de configuration, consultez la section Intégration Mobile VPN with IKEv2 du Firebox à AuthPoint.

L'authentification des utilisateurs Mobile VPN with IKEv2 sur Active Directory via AuthPoint prend uniquement en charge l'authentification push.

Les utilisateurs Android se connectant via le client VPN strongSwan reçoivent les notifications push uniquement si vous configurez strongSwan pour le tunneling fractionné. Lorsqu'il est configuré en tunneling complet, strongSwan ne peut pas recevoir les notifications push d'AuthPoint. Cette limitation s'applique aux comptes d'utilisateur AuthPoint locaux et aux comptes d'utilisateur LDAP. Pour configurer le tunneling fractionné dans strongSwan, consultez la documentation fournie par strongSwan.

Mobile VPN with SSL

Pour obtenir des informations générales concernant Mobile VPN with SSL et AuthPoint, consultez la section Planifier Votre Configuration Mobile VPN with SSL. Pour obtenir des exemples de configuration, consultez la section Intégration Mobile VPN with SSL du Firebox à AuthPoint.

Pour obtenir des informations générales concernant le flux de travail de la MFA AuthPoint pour Mobile VPN with SSL, consultez la section Configurer la MFA pour un Firebox.

Mobile VPN with L2TP

Pour obtenir un exemple de configuration, consultez la section Intégration Mobile VPN with L2TP du Firebox à AuthPoint

L'authentification des utilisateurs Mobile VPN with L2TP sur Active Directory via RADIUS et AuthPoint prend uniquement en charge l'authentification push.

Pour authentifier les utilisateurs L2TP mobiles via AuthPoint, vous devez posséder Fireware v12.5.3 ou une version ultérieure.

Mobile VPN with IPSec

Pour obtenir un exemple de configuration, consultez la section Intégration Mobile VPN with IPSec du Firebox à AuthPoint

Configurer une Solution MFA Tierce

Cette section s'applique principalement aux solutions tierces employant l'authentification à deux facteurs et les requêtes demande-réponse.

Vous devez configurer votre serveur RADIUS, le Firebox et la solution d'authentification multifacteur.

Configurer le Serveur RADIUS

Configurez l'authentification multifacteur sur votre serveur RADIUS :

Configurez un groupe pour les utilisateurs Mobile VPN, puis ajoutez à ce groupe tous les utilisateurs Mobile VPN que vous désirez authentifier auprès du serveur RADIUS.
Configurez l'authentification multifacteur pour les utilisateurs mobiles sur votre serveur RADIUS.
Ajouter l'adresse IP du Firebox sur le serveur RADIUS pour configurer le Firebox comme client RADIUS.
Dans le cas d'une authentification RADIUS, VASCO ou SecurID, assurez-vous que le serveur RADIUS envoie un attribut Filter-Id (attribut RADIUS n°11) dès qu'un utilisateur s'authentifie avec succès. Cela indique au Firebox le groupe dont l'utilisateur fait partie. La valeur de l'attribut Filter-Id doit correspondre au nom du groupe Mobile VPN tel qu'il s'affiche dans les paramètres du serveur d'authentification RADIUS Fireware.

Pour terminer ces étapes, consultez la documentation de votre revendeur du serveur RADIUS.

Configurer le Firebox

Afin que vos utilisateurs mobile VPN puissent s'authentifier auprès du serveur RADIUS, procédez comme suit :

Configurer l'Authentification sur le Serveur RADIUS.
Configurez une méthode mobile VPN. Votre Firebox prend en charge les tunnels mobile VPN IKEv2, L2TP, SSL et IPSec. Pour de plus amples informations, consultez la section Sélectionner un Type de Mobile VPN.

Configurer la Solution d'Authentification Multifacteur

Pour configurer une solution multifacteur ou à deux facteurs tierce, consultez la documentation de votre fournisseur.

Fonctionnement de la Méthode Demande-Réponse avec le Client VPN

Lorsque l'utilisateur s'authentifie depuis un client VPN, le client VPN envoie le nom d'utilisateur et le mot de passe au Firebox. Le Firebox envoie le nom d'utilisateur et le mot de passe au serveur RADIUS. Si le nom d'utilisateur et le mot de passe sont valides et que l'authentification multifacteur est activée pour cet utilisateur, le serveur RADIUS envoie un message de confirmation d'accès au Firebox pour obtenir le second facteur. Le Firebox utilise les informations du message de confirmation d'accès pour demander le second facteur d'authentification au client VPN.

Pour authentifier un utilisateur, le client VPN, le Firebox et le serveur RADIUS communiquent comme suit :

Le client VPN demande à l'utilisateur ses informations d'identification (nom d'utilisateur et mot de passe).
Le client VPN envoie les informations d'identification au Firebox.
Le Firebox envoie un message RADIUS de Demande d’Accès comportant les informations d'identification au serveur RADIUS.
Le serveur RADIUS envoie un message de confirmation d'accès avec un message de réponse (Attribut 18) au Firebox. Ce message contient le texte correspondant à la seconde méthode d'authentification de l'utilisateur.
Le Firebox envoie l'attribut texte du message de réponse au client VPN.
Le client VPN affiche les instructions à l'utilisateur dans une boîte de dialogue.
L'utilisateur entre le mot de passe unique ou le PIN dans la boîte de dialogue.
Le client VPN envoie le second facteur au Firebox.
Le Firebox envoie le second facteur avec le nom d'utilisateur au serveur RADIUS.
Si le second facteur est valide, le serveur RADIUS envoie un message d'Acceptation de l'Accès et le Firebox autorise la connexion.

Si l'une de ces étapes échoue, le serveur RADIUS envoie au Firebox un message de Refus d'Accès et l'authentification échoue.

Voir Également

Comment Fonctionne l'Authentification sur le Serveur RADIUS

À propos d'AuthPoint

© 2023 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et/ou dans d'autres pays. Toutes les autres marques appartiennent à leurs propriétaires respectifs.