Opciones MFA para VPN en Fortigate 100F?

VPN
1

¿Cuáles son las capacidades de autenticación multifactor para VPN en la 100F? ¿Tenemos que usar FortiToken? ¿Hay opción de SMS? ¿Otras aplicaciones de autenticación?

Actualmente tenemos un 200D sin contrato de servicio y parece que no tenemos opciones además de FortiToken, que cuesta dinero. No quiero pagar por esto si no es necesario con el equipo nuevo que estamos considerando comprar de todas formas.

2

Integrado en FortiGate:

  • FortiToken móvil o hardware
  • correo electrónico
  • SMS (a través del servicio de pago FortiGuard, o mediante tu propio gateway de email a SMS)

De terceros, según el tipo de autenticación:

  • SAML (la MFA que use/supporte el IdP de SAML, si la hay)
  • RADIUS (RADIUS genérico con mecanismo de 2FA genérico)
3

Usamos Duo para autenticación (con el servidor proxy RADIUS de Duo). ¿Cómo haces la autenticación ahora?

4

Azure SAML ha funcionado muy bien desde que lo implementamos.

Edición:
Usamos un certificado firmado públicamente, con un registro DNS público. Aquí hay una guía sólida, las guías de MS y FortiGate carecían de algunos detalles cuando lo configuramos:

5

Lo hacemos con tokens de hardware PIV y Active Directory.

6

Solo como nota, los FortiToken son transferibles entre FortiGate y FortiAuthenticator. Entonces, si compras FortiTokens para tu 200D actual y luego decides pasar a un FortiGate 200F, puedes solicitar en [email protected] que los transfieran de un FortiGate a otro. Y cuando esté en modo HA, solo necesitarás tokens para una de las unidades, no es necesario duplicar pedidos.

Con eso en mente, hay algunas formas de ahorrar costos, pero ninguna tan segura y fácil como los tokens.

Ruta MFA

Nivel 1 (Débil) – vulnerable a phishing por email y robo de códigos

  1. VPN SSL de FortiClient usando autenticación de dos factores por email
    ***nota, no es lo mismo que usar [email protected]
    1. Technical Tip: FortiClient SSL VPN using email two... - Fortinet Community
  2. Autenticación de dos factores por email en FortiGate
    1. Technical Tip: Email Two-Factor Authentication on ... - Fortinet Community
  3. Autenticación de dos factores basada en email
    1. Technical Tip: Email Based two-factor Authenticati... - Fortinet Community
  4. Nivel 2 (Bueno) vulnerable a malware en el teléfono que roba credenciales SMS
    1. Crear un usuario con autenticación de dos factores basada en SMS
      ****nota, no es lo mismo que usar [email protected]
      1. Technical Tip: Create a user with SMS based two-fa... - Fortinet Community
  5. Nivel 3 (Excelente) aunque no es a prueba de todo, es el tipo de ataque más dirigido
    1. Autenticación de dos factores con FortiToken
      1. Add FortiToken multi-factor authentication | FortiGate / FortiOS | Fortinet Document Library
  6. Niveles 4-5 (Mejor)
    1. FortiAuthenticator con FortiToken. Puede mejorarse con certificados de usuario

Editar: Por otro lado, no dudes en preguntar a tu socio con quien compraste tu equipo para que te ponga en contacto con tu equipo de Fortinet.

7

Puedes proteger el acceso VPN de Fortigate con MFA usando el Servidor de Autenticación Dualshield (consulta la guía wiki: Fortinet FortiGate SSL VPN)

La solución es basada en RADIUS y la experiencia de inicio de sesión se verá similar a la siguiente:

j88kc8zguypd1
j88kc8zguypd1742×585 48.2 KB

8

RADIUS es la solución. Puedes usar Microsoft NPS si estás de acuerdo con llamadas telefónicas y notificaciones push.

Si necesitas aplicaciones de autenticación ‘offline’ o tokens de hardware, echa un vistazo a esto https://www.token2.com/shop/page/hardware-tokens-for-two-factor-authentication-with-fortigate

9

Hice esto en un 61 a finales del año pasado usando un servidor RADIUS y MS365 que ya requería MFA de usuario. Fue bastante fácil.

  1. Servidor Windows con NPS
  2. Instalar el plugin MFA (esto hace que cualquier autenticación al servidor use MFA. Así que, dependiendo si ya estás usando RADIUS para otra cosa, quizás sea un servidor separado).
  3. Añadir el usuario a Fortigate como usuario RADIUS. NO marques la casilla de MFA en Fortigate. Eso es solo si quieres usar FortiToken. La MFA se gestiona cuando Fortigate verifica el usuario con el servidor RADIUS.
10

Lo que sea disponible vía RADIUS o SAML además de FortiToken.

11

Puedes hacerlo con radius y el MFA de Office 365. No lo tengo funcionando o completamente configurado, pero sé que funciona. Trabajaré en ello para mi proyecto de abril.

12

Dado que nuestros clientes poseen sus propios firewalls, estamos usando FortiTokens aplicados directamente en los firewalls, usando autenticación LDAP desde Active Directory.

Sin embargo, como cada vez más personas están migrando a Azure, estamos trabajando en usar autenticación SAML de Azure. Hay una aplicación muy interesante “FortiGate SSL VPN” en la Galería de Azure - prácticamente es solo una aplicación vacía salvo por un formulario bonito para la configuración SAML. Desde allí, podemos agregar usuarios/grupos a la app y aplicar acceso condicional para reforzar MFA a través de Microsoft.

13

Literalmente justo configuré esto ayer con Azure AD + Duo. Funciona muy bien para asegurar el acceso VPN a usuarios en un grupo específico de AAD

14

Usaré SAML con Google Workspace como idp; también puedes usar MS.

Los Fortitokens… son meh.

15

Echa un vistazo a mi publicación anterior si usas MFA de AzureAD

https://www.reddit.com/r/fortinet/comments/n8s1bq/configure_fortigate_ssl_vpn_to_use_azure_ad_as/?utm_source=share&utm_medium=ios_app&utm_name=iossmf

16

He implementado MFA mediante integración SAML con Azure y Okta en unas 20 diferentes entornos de clientes y lo recomiendo. También puedes enviar las membresías de grupo con tu afirmación SAML y usarlas en la política de tu firewall beso a la mano

17

Empezamos con la ruta de FortiToken, pero rápidamente hicimos un cambio ya que teníamos varias exposiciones/puertas de entrada externas que enfrentar, y queríamos una solución sencilla y unificada. Estamos en medio de una integración con Duo. Hasta ahora, tenemos:

AD local que sincroniza con Azure para Office365
AD local que sincroniza con Google (Google Workspace… usamos Office 365 y Google Workspace… es una larga historia y una molestia)
Adobe/Creative Cloud (usando Google para autenticación, así que quizás no lo necesitemos)
Autodesk (cuenta específica para Autodesk)
VPN de Fortinet

Según nuestro MSP, Duo cubrirá todas las bases… ya veremos.

18

Puedes usar RADIUS y un proveedor externo como LoginTC:

19

Si alguien usa MS365 y no está usando esto, realmente debería. Después de algo de configuración, funciona sorprendentemente bien. Además, registra tanto en Fortigate como en Azure.

20

Hola. Buscaba la extensión NPS Azure, que requiere licencia Azure AD P1. Así puedes tener MFA en el VPN de Fortinet sin ello. ¡Gracias por compartir!