Mobile VPN で多要素認証 (MFA) を使用する

セキュリティを強化するために、モバイル ユーザーの認証の際に、パスワードに加えて情報を提供するように要求することができます。

多要素認証 (MFA) では、認証の際、ユーザーに以下の 2 つ以上の情報 (要素と呼ばれます) が求められます。

  • 最初の要素—ユーザー名に関連付けられたパスワード
  • 追加の要素—プッシュ通知、ワンタイム パスワード (OTP)、または RADIUS サーバーと MFA プロバイダがサポートするその他の要素

2 要素認証 (2FA) とは、多要素認証の一種で、ユーザーは認証のために、ユーザー名に関連付けられたパスワードと別の要素の 2 つの情報を正確に提供する必要があります。ほとんどのサードパーティ MFA ソリューションでは、チャレンジ レスポンス リクエストによる 2 要素認証とワンタイム パスワードが使用されています。

モバイル ユーザーに MFA を提供するには、以下を行います。

AuthPoint を構成する

WatchGuard が提供するクラウドベースの MFA ソリューションである AuthPoint は、WatchGuard のすべてのモバイル VPN の方法で動作します。

Mobile VPN with IKEv2

Mobile VPN with IKEv2 ユーザー認証に関する一般情報については、次を参照してください:Mobile VPN with IKEv2 ユーザー認証について。Mobile VPN with IKEv2 の AuthPoint MFA ワークフローに関する一般情報については、次を参照してください:Firebox の MFA を構成する。構成例については、Firebox Mobile VPN with IKEv2 と AuthPoint の統合 を参照してください。

AuthPoint 経由の Active Directory への Mobile VPN with IKEv2 ユーザー認証では、プッシュベース認証のみがサポートされています。

strongSwan VPN クライアントを介して接続している Android ユーザーは、スプリット トンネリング用に strongSwan を構成している場合にのみ、AuthPoint のプッシュ通知を受け取ることができます。フル トンネリングで構成した場合、strongSwan は AuthPoint のプッシュ通知を受け取れません。この制限は、ローカルの AuthPoint ユーザー アカウントと LDAP ユーザー アカウントに適用されます。strongSwan でスプリット トンネリングを構成するには、strongSwan が提供するドキュメントを参照してください。

Mobile VPN with SSL

Mobile VPN with SSL と AuthPoint に関する一般情報については、次を参照してください:Mobile VPN with SSL 構成を計画する。構成例については、Firebox Mobile VPN with SSL と AuthPoint の統合 を参照してください。

Mobile VPN with SSL の AuthPoint MFA ワークフローに関する一般情報については、次を参照してください:Firebox の MFA を構成する

Mobile VPN with L2TP

構成例については、Firebox Mobile VPN with L2TP と AuthPoint の統合
を参照してください。

RADIUS および AuthPoint 経由の Active Directory への Mobile VPN with L2TP ユーザー認証では、プッシュベース認証のみがサポートされています。

モバイル L2TP ユーザーを AuthPoint 経由で認証するには、Fireware v12.5.3 以降が必要です。

Mobile VPN with IPSec

構成例については、Firebox Mobile VPN with IPSec と AuthPoint の統合 を参照してください。

サードパーティの MFA ソリューションを構成する

このセクションは、主に 2 要素認証とチャレンジ レスポンス リクエストを使用するサードパーティ ソリューションに適用されます。

RADIUS サーバー、Firebox、多要素認証ソリューションを設定する必要があります。

RADIUS サーバーを構成する

次のように、RADIUS サーバーで多要素認証を構成します。

  • モバイル VPN ユーザーのグループを構成し、RADIUS サーバーに認証させたい Mobile VPN ユーザーをすべてこのグループに追加します。
  • RADIUS サーバーで、モバイル ユーザーの多要素認証を構成します。
  • Firebox の IP アドレスを RADIUS サーバーに追加して Firebox を RADIUS クライアントとして構成します。
  • RADIUS、VASCO、または SecurID の場合、ユーザー認証に成功したときに RADIUS サーバーが Filter-Id 属性 (RADIUS 属性 11) を送信することを確認してください。これにより、Firebox にユーザーが所属するグループを伝えます。Filter-Id 属性の値は、Fireware RADIUS 認証サーバーの設定に表示される Mobile VPN グループの名前に一致させる必要があります。

以下の手順を進めるにあたり、RADIUS サーバー ベンダーが提供するドキュメントを参照してください。

Firebox を構成する

RADIUS サーバーを使用して Mobile VPN ユーザーを認証するには、以下の手順を実行する必要があります。

多要素認証ソリューションを構成する

サードパーティの多要素または 2 要素ソリューションを構成するには、ベンダーが提供するドキュメントを参照してください。

VPN クライアントを使ったチャレンジ レスポンス方法の仕組み

ユーザーが VPN クライアントから認証を行うと、VPN クライアントは Firebox にユーザー名とパスワードを送信します。Firebox はユーザー名とパスワードを RADIUS サーバーに送信します。ユーザーとパスワードが有効で、かつそのユーザーに対して多要素認証が有効になっている場合、RADIUS サーバーは Firebox にアクセスチャレンジ メッセージを送信し、2 番目の要素を要求します。Firebox はアクセス チャレンジからの情報を使用して、VPN クライアントに 2 番目の認証要素の入力を求めます。

ユーザーを認証するために、VPN クライアント、Firebox、RADIUS サーバーは以下のように通信します。

  1. VPN クライアントは、ユーザーにユーザー名とパスワード認証情報の入力を求めます。
  2. VPN クライアントは、Firebox に認証情報を送信します。
  3. Firebox は、RADIUS アクセス要求メッセージに認証情報を付けて RADIUS サーバーに送信します。
  4. RADIUS サーバーは、アクセスチャレンジに応答メッセージ (属性 18) を付けて Firebox に送信します。このメッセージには、そのユーザー向けに 2 番目の認証メソッドに関するテキストが含まれています。
  5. Firebox は、応答メッセージの属性テキストを VPN クライアントに送信します。
  6. VPN クライアントは、ユーザーへの指示をダイアログ ボックスに表示します。
  7. ユーザーは、ダイアログ ボックスにワンタイム パスワードまたは PIN を入力します。
  8. VPN クライアントは、Firebox に 2 番目の要素を送信します。
  9. Firebox は、2 番目の要素にユーザー名を付けて RADIUS サーバーに送信します。
  10. 2 番目の要素が有効な場合、RADIUS サーバーは Firebox にアクセス許可メッセージを送信し、Firebox は接続を許可します。

上記ステップが 1 つでも失敗した場合、RADIUS サーバーは Firebox にアクセス拒否メッセージを送信し、認証は失敗します。

関連情報:

RADIUS サーバー認証の操作方法

AuthPoint について