MFA options for VPN on Fortigate 100F?

VPN
1

Quali sono le capacità di autenticazione multifattoriale per VPN sul 100F? È necessario usare FortiToken? C’è un’opzione SMS? Altre app di autenticazione?

Attualmente abbiamo un 200D senza contratto di servizio e sembra che non abbiamo altre opzioni oltre a FortiToken che ha un costo $. Non voglio pagare per questo se non è necessario con la nuova attrezzatura che stiamo considerando di acquistare comunque.

2

Integrato con FortiGate:

  • FortiToken mobile o hardware
  • email
  • SMS (tramite servizio a pagamento FortiGuard, o tramite il proprio gateway email-to-sms)

Terza parte, a seconda del tipo di autenticazione:

  • SAML (qualunque MFA usi/supporti il provider SAML, se presente)
  • RADIUS (generico RADIUS con meccanismo 2FA generico)
3

Abbiamo utilizzato Duo per l’autenticazione (con il server proxy Duo radius/auth). Come fai ora l’autenticazione?

4

Azure SAML ha funzionato molto bene da quando l’abbiamo implementato.

Modifica:
Abbiamo usato un certificato firmato pubblicamente, con un record DNS pubblico. Ecco una guida solida, le guide MS e FortiGate mancavano di alcuni dettagli quando l’abbiamo configurato:

5

Lo facciamo con token hardware PIV e Active Directory.

6

Come NOTA, i FortiToken sono trasferibili tra FortiGate e FortiAuthentication, quindi se acquisti FortiToken per il tuo attuale 200D e successivamente passi a un FortiGate 200F, puoi chiedere a [email protected] di trasferirli da un dispositivo all’altro. Inoltre, in modalità HA, i token sono necessari solo per uno dei dispositivi, non devi ordinare 2 volte.

Detto ciò, ci sono alcuni modi per risparmiare, ma nessuno è sicuro e facile come i token.

Roadmap MFA

Livello 1 (Debole) - vulnerabile a phishing via email

  1. FortiClient SSLVPN con autenticazione a due fattori via email
    **nota,* non è lo stesso di usare* [email protected]
    1. Technical Tip: FortiClient SSL VPN using email two... - Fortinet Community
  2. Autenticazione a due fattori via email su FortiGate
    1. Technical Tip: Email Two-Factor Authentication on ... - Fortinet Community
  3. Autenticazione a due fattori basata su email
    1. Technical Tip: Email Based two-factor Authenticati... - Fortinet Community
  4. Livello 2 (Ottimo) vulnerabile a malware sull telefono che ruba credenziali SMS
    1. Creare un utente con autenticazione a due fattori via SMS
      **note,* non è lo stesso di usare* [email protected]
      1. Technical Tip: Create a user with SMS based two-fa... - Fortinet Community
  5. Livello 3 (eccellente) non è invulnerabile, ma il tipo di attacco più mirato
    1. Autenticazione a due fattori FortiToken
      1. Add FortiToken multi-factor authentication | FortiGate / FortiOS | Fortinet Document Library
  6. Livello 4-5 (Migliore)
    1. FortiAuthenticator con FortiToken. Può essere migliorato con certificati utente

EDIT: Un’altra nota, non esitate a chiedere al vostro partner con cui acquistate l’attrezzatura di mettervi in contatto con il team Fortinet assegnato.

7

Puoi proteggere l’accesso VPN Fortigate con MFA usando il Dualshield Authentication Server (vedi la guida wiki: Fortinet FortiGate SSL VPN)

La soluzione si basa su Radius e l’esperienza di accesso sarà simile a questa;

j88kc8zguypd1
j88kc8zguypd1742×585 48.2 KB

8

Radius è la soluzione. Puoi usare Microsoft NPS se ti basta chiamate telefoniche e notifiche push.

Se hai bisogno di app autenticatrici offline o token hardware, guarda questo https://www.token2.com/shop/page/hardware-tokens-for-two-factor-authentication-with-fortigate

9

L’ho fatto su un 61 alla fine dello scorso anno usando solo un server Radius e MS365 che già richiedeva MFA utente. È stato abbastanza semplice.

  1. Server Windows con NPS
  2. Installare il plugin MFA (questo fa sì che ogni autenticazione al server usi MFA. Quindi, a seconda se usi già Radius per qualcos’altro, potrebbe essere un server separato).
  3. Aggiungi l’utente come utente Radius su Fortigate. Non selezionare la casella MFA su Fortigate. Questo perché l’autenticazione MFA viene gestita quando Fortigate verifica l’utente tramite il server Radius.
10

Qualsiasi cosa disponibile tramite RADIUS o SAML oltre a FortiToken.

11

Puoi farlo con Radius e MFA di Office 365. Non l’ho ancora configurato completamente, ma so che funziona. Lavorerò su questo per il mio progetto di aprile.

12

Poiché i nostri clienti possiedono i propri firewall, usiamo i FortiToken applicati direttamente ai firewall, usando l’autenticazione LDAP da Active Directory.

Tuttavia, poiché sempre più persone stanno passando a Azure, stiamo lavorando per usare l’autenticazione SAML di Azure. C’è una bella applicazione “FortiGate SSL VPN” nella Azure Gallery - è praticamente un’applicazione vuota con un modulo di configurazione SAML. Da lì, possiamo semplicemente aggiungere utenti/gruppi all’app e applicare l’accesso condizionale per garantire MFA tramite Microsoft.

13

L’ho appena configurato ieri con Azure AD + Duo. Funziona molto bene per proteggere l’accesso VPN degli utenti in un gruppo AAD specifico.