VPN接続の2要素認証

企業ネットワークの内部リソースへの外部接続のセキュリティをさらに高めるには、2要素認証手順を使用してVPN接続を「強化」することをお勧めします。 これは、 Panda GateDefenderを使用して簡単に実行できます。



VPNを使用すると、インターネットなどの潜在的に危険なネットワークを使用して、2つの個別のLANを直接安全に直接接続できます。 VPN接続内のすべてのネットワークトラフィックは暗号化されたトンネル内で安全に送信され、,索好きな目から隠されます。 この構成は、ゲートウェイ間VPN（Gw2Gw VPN）と呼ばれます。 同様に、インターネット上のどこかにある単一のリモートコンピューターは、VPNトンネルを使用して必要なローカルネットワークに接続できます。 この場合、ロードウォリアーとも呼ばれるリモートコンピューターは、VPNトンネルがアクティブである限り、このローカルネットワーク上に物理的に存在しているように見えます。



このようなVPN機能は非常に便利です。BYODおよび分散情報システムの時代、安全なVPN接続は、企業のリモートおよびモバイル従業員が内部の企業ITリソース （内部LAN、データベース、ファイルサーバー、など）。



企業ネットワークの境界を保護するためのPanda GateDefender UTMソリューションは、この問題を解決できます。 このソリューションは、ほとんどのオペレーティングシステムとネットワークデバイスでサポートされているIPsecプロトコル、またはOpenVPNサービスに基づいたVPNの作成をサポートしています。



Panda GateDefenderをOpenVPNサーバーまたはクライアントとして構成（またはこれらの両方の役割を同時に実行）して、OpenVPNを介して接続されたデバイスのネットワークを作成できます。 要するに、ソリューションの機能により、次のことが可能になります。



•クライアントがローカルゾーンの1つに接続できるようにOpenVPNサーバーを構成する

•2つ以上のPanda GateDefenderソリューション間でゲートウェイツーゲートウェイスキームのクライアント部分を構成する

•IPsecベースのVPNトンネルとL2TP接続を構成する

•VPN接続のユーザーを管理する

•VPN接続に使用される証明書を構成します。



VPN接続自体は、傍受および復号化されるのに十分安全です。 しかし、攻撃者が何らかの方法で（そしてそれらがたくさんある...）VPN接続のログインとパスワードを見つけた場合、および/またはモバイルまたはリモート従業員のコンピュータへのリモート（物理）アクセスを得て、その代わりに企業VPNに接続しますか？ VPN接続のセキュリティレベルを上げるにはどうすればよいですか？



二要素認証



この場合、2要素認証（2FA）が役立ちます。これは、より安全な個人識別のために、ユーザーが追加の一時ワンタイムパスワード（TOTP）を提供する必要があるセキュリティプロセスです。 この追加のパスワードは、トークンまたはコード生成デバイス、またはユーザーのスマートフォンにインストールされた特別なアプリケーションによって生成されます。



二要素認証により、VPN接続のセキュリティが向上します。 この場合、ユーザー名とパスワードだけでなく、トークンによって生成された追加の一時的なワンタイムコード（TOTP）も必要です。 したがって、ユーザー認証プロセスは、ユーザーが既に知っているデータ（ユーザー名とパスワード）と、ユーザーが個別に受け取るデータ（トークンまたはユーザーのスマートフォンにインストールされたTOTP互換アプリケーションによって生成されたコード）の組み合わせです。



さまざまなトークンデバイスとそのメーカーが市場に出回っています。 それらはそれぞれ独自のアルゴリズムを実装しますが、それらはすべてサーバー上での技術の統合を必要とします。 これらのメーカーの多くは、ハードウェアソリューション（ コードを生成する物理トークン ）とTOTPを生成するスマートフォンアプリケーションなどのソフトウェアソリューションの両方を提供しています。



メーカー間の互換性を実現するために、サードパーティソフトウェアのライセンスを必要とせずに使用できるオープンスタンダードがあります。 この標準はRFC 6238で公開されました。



ユーザーデバイスでトークンを設定する



ユーザーは、任意のTOTP互換デバイスまたはスマートフォンアプリケーションを使用できます。 この標準をサポートする無料のアプリケーションが非常に多数あります。たとえば、次のとおりです。







TOTPコードを生成するには、ユーザーはアプリケーションでアカウントを構成する必要があります。 Panda GateDefenderソリューションのアカウントを設定するには、2つの方法があります。



•Panda GateDefender管理コンソールで生成されたワンタイムパスワードテキストコードをコピーして、アカウントを手動で作成する

•スマートフォンのカメラを使用して、GateDefenderコンソールで生成されたQRコードを取得します。



テキストコードとQRコードには、アカウントの設定に必要なすべての情報が含まれています。

アカウントのセットアップ後、トークンアプリケーションは30秒ごとにワンタイムパスワードの生成を開始します。 なぜなら パスワード生成アルゴリズムはデバイスのクロックに基づいているため、インターネット接続は必要ありません。 ただし、GateDefenderソリューションで設定された時間とユーザーのデバイスで設定された時間との間に大きな違いはありません。 次の図は、パスワードを生成するための一部のスマートフォンアプリのインターフェイスを示しています。

GateDefenderでの2要素認証の構成

GateDefenderソリューションで2要素認証を有効にするには、以下の手順に従います。



•ワンタイムパスワード認証サーバーを追加します。

•このサーバーへの新しいマッピングを定義します。



新しいワンタイムパスワード認証サーバーの追加



[VPN]-> [承認]-> [設定]セクションに移動し、[ 新しい承認サーバーの追加 ]リンクをクリックします。







[タイプ]で、[ ワンタイムパスワード]を選択します。 次に、[ユーザー情報 プロバイダー]および[ パスワードプロバイダー]フィールドで[ ローカル（ローカル）]を選択します。 「 名前」フィールドに新しい許可サーバーの名前を入力し、「 追加」ボタンをクリックします。







この例では、ローカルパスワードプロバイダーを使用して、ユーザーが入力したユーザー名とパスワードを確認しました。 ただし、2要素認証では、他の種類のパスワードプロバイダーもサポートされます。



許可サーバーへの新しいマッピングの定義



許可サーバーを作成したら、GateDefenderでサポートされているVPNタイプの1つに新しいマッピングを構成する必要があります。

承認サーバーに新しいマッピングを追加するには、アイコンをクリックします 設定するVPNのタイプに適しています。







新しいウィンドウで、アイコンをクリックします 承認サーバーに新しいマッピングを追加します。 新しいサーバーが右側のペインに表示されます。 マッピングを削除するには、アイコンをクリックします 。 すべてのマッピングを追加または削除するには、それぞれ[すべて 追加 ]および[すべて削除]リンクをクリックします。

ユーザーデバイスで2FAサービスを設定する

以下の図は、構成手順を示しています。







•GateDefenderで新しいユーザーを作成し、QRコードまたはキーを生成します。

•ユーザーにQRコードを電子メールで送信するか、印刷して手動で送信します。 ユーザーがスマートフォンにカメラを持っていない場合は、テキストコードを渡します。

•ユーザーは、スマートフォンにインストールされているTOPT互換アプリケーションを使用してQRコードをスキャンする（テキストコードを入力する）必要があります。

•アプリケーションはアクセスコードを生成できます。



GateDefenderで新しいユーザーを作成し、QRコードまたはテキストコードを生成します



VPN-> Authorization-> Usersに移動し、 Add a new local userをクリックします 。







新しいユーザーを追加するときに、[ QRコードを表示 ]をクリックします。 スキャンできるように、スマートフォンにQRコードリーダーアプリケーションがないユーザーにコードをテキスト形式で送信します。







GateDefenderコンソールからQRコードをダウンロードするには、それを右クリックして、コンテキストメニューの[ 画像からQRコードを読み取る ]オプションを選択します。







QRコード（テキストコード）をメールでユーザーに送信するか、印刷して手動で送信する



QRコードをダウンロード（テキストコードをコピー）した後、電子メールでユーザーに送信するか、印刷して手動で転送できます。



ユーザーがスマートフォンにインストールされたTOPT互換アプリケーションを使用してQRコードをスキャンする（テキストコードを入力する）



QRコードまたはテキストコードを受け取った後、ユーザーはそれをTOPT互換アプリケーションにインポートする必要があります。

新しいテキストコードまたはQRコードを生成し、アプリケーションを使用してスキャンすることにより、ユーザーのスマートフォンで以前に構成したアカウントをキャンセルできます。



ユーザー接続



二要素認証が有効になると、ユーザーの接続プロセスが変わります。ユーザーは、VPNアカウントで接続するときにトークンによって生成された有効なコードを提供する必要があります。 このプロセスを次の図に示します。

おわりに

この記事では、企業のリモートおよびモバイル従業員のVPN接続のセキュリティレベルを上げる必要がある場合を検討しました。 タスクのソリューションとして、Panda GateDefender UTMソリューションを使用して実装された2要素認証機能を使用して、ネットワーク境界を保護しました。



Panda GateDefenderの詳細



また、sales @ rus.pandasecurity.comにリクエストを送信して、1か月間無料のPanda GateDefenderを注文することもできます。