Uwierzytelnianie wieloskładnikowe MFA – metody wspierane przez FortiGate

Uwierzytelnianie wieloskładnikowe (MFA)

Współczesne cyberzagrożenia stają się coraz bardziej złożone, a ataki ukierunkowane – coraz trudniejsze do wykrycia i zatrzymania. Jednym z kluczowych elementów skutecznej strategii bezpieczeństwa IT jest zastosowanie wieloskładnikowego uwierzytelniania użytkowników (MFA – Multi-Factor Authentication). Dzięki MFA możliwe jest znaczne zwiększenie poziomu ochrony dostępu do zasobów IT, nawet jeśli hasło użytkownika zostanie skompromitowane. FortiGate, jako zaawansowana zapora sieciowa nowej generacji (NGFW), oferuje szeroką gamę metod MFA, które można łatwo zintegrować z istniejącą infrastrukturą sieciową.

Czym jest MFA?

MFA to proces, w którym użytkownik musi uwierzytelnić się za pomocą co najmniej dwóch z poniższych czynników:

  1. Coś, co wiesz – np. hasło, kod PIN;
  2. Coś, co masz – np. token sprzętowy, aplikacja generująca kody;
  3. Coś, czym jesteś – np. odcisk palca, rozpoznawanie twarzy (biometria).

Używanie tylko jednego czynnika – zwykle hasła – jest obecnie niewystarczające. MFA dodaje kolejną warstwę zabezpieczeń, znacznie utrudniając nieautoryzowany dostęp nawet w przypadku wycieku danych logowania.

Metody MFA obsługiwane przez FortiGate

1. FortiToken – mobilne i sprzętowe tokeny OTP

Najbardziej znanym i często stosowanym rozwiązaniem MFA w ekosystemie Fortinet jest FortiToken. Występuje on w dwóch podstawowych formach:

  • FortiToken Mobile (FTM) – darmowa (dla pierwszych dwóch użytkowników) aplikacja mobilna na Android i iOS, generująca jednorazowe hasła (OTP) zgodne ze standardem TOTP. Integruje się natywnie z FortiGate, co upraszcza proces wdrożenia i nie wymaga zewnętrznego serwera.
  • FortiToken 200/220 – tokeny sprzętowe, które również generują jednorazowe hasła. Stanowią dobrą alternatywę w środowiskach, gdzie nie można polegać na smartfonach lub wymagane są bardziej rygorystyczne polityki bezpieczeństwa.

Tokeny FortiToken są w pełni zsynchronizowane z FortiGate i mogą być przypisywane do konkretnych użytkowników w ramach systemu lokalnego lub zintegrowanego LDAP.

2. OTP przez e-mail i SMS

Dla organizacji, które nie chcą korzystać z aplikacji mobilnych lub tokenów sprzętowych, FortiGate oferuje możliwość wysyłania jednorazowych haseł przez e-mail lub SMS. Użytkownik po wprowadzeniu loginu i hasła otrzymuje kod OTP, który musi wpisać, by zakończyć proces logowania.

To rozwiązanie jest proste, ale należy pamiętać, że jest mniej bezpieczne niż dedykowane aplikacje OTP – SMS-y mogą zostać przechwycone, a e-maile opóźnione lub skierowane do spamu.

3. Integracja z zewnętrznymi dostawcami MFA

FortiGate umożliwia integrację z wieloma zewnętrznymi systemami uwierzytelniania, takimi jak:

  • Google Authenticator – aplikacja generująca kody TOTP, która może być używana jako alternatywa dla FortiToken Mobile. FortiGate wspiera konfigurację użytkowników z tym rozwiązaniem w sposób bardzo podobny do FortiTokena.
  • Microsoft Azure MFA – idealne rozwiązanie dla środowisk opartych na Microsoft 365 lub Azure AD. FortiGate może działać jako klient SAML, pozwalając użytkownikom logować się z wykorzystaniem usługi Azure AD MFA, co może obejmować powiadomienia push, aplikacje mobilne, SMS-y, a nawet rozpoznawanie biometryczne.
  • DUO Security (Cisco) – znane i szeroko stosowane rozwiązanie MFA, które można zintegrować z FortiGate przez protokół RADIUS. DUO umożliwia uwierzytelnianie przez aplikacje, SMS, połączenia telefoniczne, a także przez klucze U2F.

Dzięki obsłudze standardów takich jak RADIUSLDAPSAML i OAuth, FortiGate jest niezwykle elastyczne i pozwala dopasować sposób uwierzytelniania do indywidualnych potrzeb organizacji.

4. Certyfikaty cyfrowe i smart karty

FortiGate może wykorzystywać certyfikaty cyfrowe do uwierzytelniania użytkowników, szczególnie w przypadku połączeń VPN. Każdy użytkownik otrzymuje swój własny certyfikat, który musi być zainstalowany na jego urządzeniu. Takie rozwiązanie może być połączone z hasłem lub PIN-em, tworząc dwuskładnikowy system.

Dodatkowo istnieje możliwość uwierzytelniania za pomocą smart kart (np. kart PKI), co jest często stosowane w sektorze rządowym i finansowym, gdzie wymagany jest bardzo wysoki poziom bezpieczeństwa.

Zastosowanie MFA w FortiGate – przykłady

  • Dostęp do VPN – najbardziej typowy scenariusz. FortiGate może wymagać od użytkownika logowania przez login/hasło oraz dodatkowy kod OTP przy połączeniach SSL VPN lub IPSec VPN.
  • Dostęp do interfejsu zarządzającego (GUI i CLI) – administratorzy mogą być zobowiązani do użycia MFA przy logowaniu się do FortiGate, co znacząco ogranicza ryzyko nieautoryzowanego dostępu.
  • Autoryzacja użytkowników w sieci – MFA może być wymagana przy dostępie do określonych zasobów sieciowych, np. za pomocą captive portalu lub FortiAuthenticator.
  • Integracja z FortiAuthenticator – FortiGate może być rozszerzony o funkcje FortiAuthenticator, który pełni funkcję scentralizowanego serwera uwierzytelniania, integrującego MFA z AD, LDAP, RADIUS i innymi źródłami tożsamości.

Podsumowanie

W dobie rosnącej liczby zagrożeń MFA przestało być opcją – stało się koniecznością. FortiGate, jako zaawansowane urządzenie do zarządzania bezpieczeństwem sieci, oferuje pełne wsparcie dla wielu metod MFA, zarówno natywnych (FortiToken), jak i zewnętrznych (Google, Azure, DUO). Dzięki temu możliwe jest dostosowanie systemu zabezpieczeń do potrzeb konkretnej organizacji, niezależnie od jej wielkości czy branży. Wdrożenie MFA w FortiGate to krok ku bezpieczniejszej i bardziej odpornej infrastrukturze IT.

Projektujemy i wdrażamy rozwiązania MFA w ekosystemie FortiGate. Masz pytania? Kontakt:

Paweł Myślicki,

IT Systems Engineer 

pawel_m@ht.poznan.pl 

tel.: 61 665 71 73

Hardsoft-Telekom © 2021Realizacja: Grupa TENSE

Ta strona korzysta z plików cookies.