Giải pháp WatchGuard AuthPoint

Hôm nay, mình xin phép chia sẻ cùng các bạn helpdesk một giải pháp MFA của nhà cung cấp WatchGuard. Giải pháp MFA của WatchGuard có tên là WatchGuard AuthPoint. Mong các bạn lưu ý rằng mình không có mối liên hệ nào với nhà cung cấp WatchGuard, mình không có ý định giới thiệu sản phẩm WatchGuard AuthPoint cho WatchGuard.

WatchGuard AuthPoint sử dụng 3 phương thức MFA sau đây để xác thực :

· Push Notification: WatchGuard AuthPoint sẽ đẩy xuống trực tiếp thiết bị di dộng 1 tin nhắn yêu cầu sự cho phép đối với truy cập từ xa

· QR Code: Ngay khi bạn login vào Protected Resources, bạn phải scan QR code để xác thực quyền truy cập.

· OTP (One-Time Password): Bản thân OTP đã nói lên tất cả. Password dùng một lần rồi bỏ.

WatchGuard AuthPoint gồm các thành phần cơ bản sau:

· AuthPoint Management UI: Đây là giao diện quản lý tập trung của WatchGuard AuthPoint trên nền tẳng Cloud

· AuthPoint Mobile Apps: Đây là app trên điện thoại, giống như soft token và cũng là apps sẽ hiển thị yêu cầu cho phép truy cập ngay trên điện thoại

· AuthPoint Gateway: đây là một dịch vụ cài đặt trên server để thiết lập một kết nối đến RADIUS client và LDAP, cho phép AuthPoint truy vấn dữ liệu về user trên LDAP. AuthPoint Gateway cũng đồng thời đóng vai trò là một RADIUS server xác thực quyền truy cập.

· Logon App: Là một software download từ AuthPoint Cloud để xác thực quyền truy cập vào máy tính/server. Khi sử dụng Logon App, bạn phải khai báo resource trên AuthPoint Cloud và phần mềm mà bạn cài lên trên máy tinh đó.

· AuthPoint ADFS agent: Cái này áp dụng cho các doanh nghiệp có sử dụng dịch vụ ADFS của Windows.

· AuthPoint for RD Web: mình chưa dùng qua nên tạm không bàn đến.

Đây sẽ là mô hình mà mình sử dụng để thiết lập MFA cho SSLVPN. Đây là ứng dụng phải trả phí nên các bạn cân nhắc về mặt chi phí vận hành. AuthPoint có giá $24/user/năm

Xây dựng MFA cho SSLVPN gồm các bước sau:

1. Xây dựng WatchGuard AuthPoint Gateway

Bạn phải đảm bảo rằng bạn có tài khoản truy cập vào WatchGuard Cloud để kích hoạt license của AuthPoint.

Ở WatchGuard AuthPoint Menu --> Gateway --> Add Gateway

Bạn đặt tên cho Gateway của mình để quản lý và click Save. Lúc này AuthPoint sẽ cho các bạn một dãy số gọi là Registration Key. Con số này quan trọng và chỉ có hiệu lực đối với từng Gateway kết nối trực tiếp với AuthPoint trên Cloud

Sau khi ghi lại cẩn thận Registration Key, các bạn download bản cài đặt của Gateway xuống và tiến hành cài đặt dịch vụ này lên bất kỳ domain-server nào, trong quá trình cài đặt, AuthPoint Gateway sẽ hỏi bạn dãy số Registration Key, đảm bảo rằng bạn điền dãy số đó đúng và đủ. Bên cạnh đó đảm bảo rằng AuthPoint Gateway có thể truy vấn Firewall và LDAP server của bạn.

2. Khởi tạo truy vấn LDAP cho AuthPoint.

AuthPoint dựa vào cơ sở dữ liệu người dùng để xác thực như là layer 1 sau đó mới áp dụng layer 2 (Push/QR/OTP) vì vậy AuthPoint vẫn cần database. Bạn có thể tự tạo user trên AuthPoint (manual) hoặc đồng bộ dữ liệu từ LDAP qua (Synchronization). mình thích đồng bộ LDAP hơn vì user sẽ dùng chính AD account của mình để xác thực lớp 1. Trong phần này mình chú trọng đồng bộ. Mình cần tạo ra truy vấn LDAP để AuthPoint có thể truy vấn dữ liệu người dùng. Đây là phần có chút phức tạp nên mình viết sẵn LDAP query, các bạn tự tùy chỉnh theo domain của mình

LDAP Search Base: OU=HeadQuarter,DC={tên domain của công ty}

System Account DN: Tài khoản này là tài khoản có quyền truy vấn LDAP trên domain, không nhất thiết là admin

CN=Administrator,OU=Information,OU=HeadQuarter,DC={tên domain của công ty}

Bạn đồng thời khai báo domain của doanh nghiệp và DC hoặc ADC ip address. Các thuộc tính để truy vấn không cần thay đổi, nó đã đươc AuthPoint thiết kế sẵn. Bạn có thể yêu cầu AuthPoint dùng LDAP thường hoặc SecureLDAP và nhớ dùng port chính xác. LDAP dùng port 389, Secure LDAP dùng port 636.

3. Đưa đối tượng cần AuthPoint xác thực

Ở đây AuthPoint đóng vai trò như một RADIUS Server nên nó cần client. Client của AuthPoint có thể là VPN Gateway (firewall), O365, Application cần Logon Apps,v.v…Trong trường hợp này, mình cần áp dụng MFA cho SSLVPN nên client của AuthPoint sẽ là Firewall. Các bạn khai báo client cho AuthPoint bằng cách

AuthPoint Main Navigation Menu --> Resources --> Add Resources

Bạn có thể chọn loại Resources như mình đã trình bày như trên, mình chọn RADIUS client để khai báo firewall của mình. Lưu ý, tuy các bạn đang làm việc trên giao diện WatchGuard AuthPoint trên Cloud nhưng vì có AuthPoint Gateway chạy như một dịch vụ trong mạng nội bộ nên khi các bạn khai báo firewall như là RADIUS client các bạn nhớ dùng IP Address Inside của Firewall chứ không phải Outside nhé. RADIUS client và AuthPoint (RADIUS Server) dùng Shared Secret key để nhận biết lẫn nhau, các bạn có thể đặt tùy ý.

4. Cơ sở dữ liệu người dùng của AuthPoint

Như đã giới thiệu, AuthPoint cho phép bạn tự tạo user (manual) hay đồng bộ từ AD của doanh nghiệp. mình khuyến khích dùng dữ liệu đồng bộ từ AD vì nó sẽ đơn giản hóa việc quản lý username và password. Để tạo user và password, từ AuthPoint Navigation Menu --> Users --> Add User. Ngược lại với Manual, các bạn đồng bộ user từ AD bằng cách: từ AuthPoint Navigation Menu --> Group --> Add Group: Tạo ra group với tên GIỐNG HẸT tên Group trên AD. Lúc này AuthPoint sẽ tự động dùng truy vấn mà các bạn tạo ra ở bước 2 đồng bộ với AD và kéo user về group, ĐỒNG THỜI tạo ra các user trong User TỰ ĐỘNG. Vì user được tạo ra từ việc đồng bộ với AD nên bạn sẽ không thể xóa được user trên AuthPoint. Nếu muốn xóa, bạn phải xóa trên AD và ở lần đồng bộ sau, AuthPoint tự động đánh dấu user không nằm trong group bằng dấu màu vàng. Lúc này, bạn có thể giữ user đó hoặc xóa user đó khỏi AuthPoint.

5. Đưa AuthPoint vào Firewal như là một RADIUS Server

Trên AuthPoint cơ bản là hoàn tất. Tiếp theo, các bạn cần thiết lập Authentication Server cho firewall WatchGuard. Vì Firewall đóng vai trò là VPN server, nó sẽ truy vấn RADIUS server về quyền truy cập của user nên bạn phải khai báo RADIUS server cho firewall. Ở đây, RADIUS server sẽ là AuthPoint Gateway hay địa chỉ nội bộ của server mà bạn đã cài đặt AuthPoint Gateway. Các bạn cũng phải nhớ đưa Shared Secret code ở bước 3 khi khai báo RADIUS server để Firewall và AuthPoint tương tác được với nhau. mình không đi sâu vào việc cấu hình RADIUS server cho WatchGuard vì nó sẽ dẫn đến một bài viết khác dài dòng về Authentication. mình tạm cho là các bạn đã biết cách làm.

6. Thiết lập SSLVPN trên WatchGuard firewall dùng RADIUS như là Authentication Server chính (default)

mình sẽ đi nhanh phần này vì nó không quá phức tạp. Giả sử SSLVPN trên firewall đã được thiết lập từ trước và hoạt động ổn định. Các bạn đã dùng LDAP như là một authentication Server yêu cầu user nhập username và password mỗi lần kết nối VPN. Bây giờ chúng ta sẽ không dùng LDAP server nữa mà sẽ dùng AuthPoint (RADIUS server). Ở bước 5, các bạn đã khai bao 1 RADIUS server chỉ đến AuthPoint rồi cho nên ở bước SSLVPN này, các bạn chỉ cần xóa LDAP server ra khỏi Authentication Server list và đưa RADIUS Server AuthPoint vào. Hoặc đơn giản là xóa dấu tích trước LDAP server là xong.

7. Cài đặt Mobile apps lên điện thoại di động và xác thực thiết bị.

AuthPoint mobile apps sẽ đóng vai trò là một soft token, OTP password generator hay QR code generator. Bạn lên Apps Store hay Market Store tìm app có tên là WatchGuard AuthPoint cài đặt vào. Rất đơn giản. Chú ý rằng bạn phải cho phép app được truy cập vào CAMERA và Push Notification để lúc nào các bạn cũng có thể scan QR code hoặc nhận được approval notification mà không phải mở điện thoại lên. Đơn giản như vậy thôi. Để khai báo điện thoại của bạn như là một thiết bị xác thực, trên giao diện WatchGuard AuthPoint --> User --> đánh dâu vào user cần thiết lập thiết bị xác thực, chọn Send Activation Email. Hộp thư của user (hộp thư này chính là hộp thư của user trong Domain, nếu các bạn không dùng Exchange mà là một email server khác, phải đảm bảo rằng trong thuộc tính email của domain user có khai báo mailbox ví dụ abc@deamonmail.com gì đấy) sẽ nhận được 1 email gồm đường link đến activation website có luôn QR code. Lưu ý, QR trên đường link chỉ dành riêng cho user đó, user khác sẽ có QR code khác để xác thực thiết bị. Dùng điện thoại của bạn, mở app lên và scan QR code. Mọi thứ sẽ tự động hoàn tất. Lúc này bạn đã sẵn sang dùng MFA cho SSLVPN của mình.

8. Thử nghiệm SSLVPN dùng MFA

Các bạn dùng một laptop thông thường đã có SSLVPN client trên đó. Cứ làm như trước đây đã từng quay SSLVPN. Các bạn sẽ nhanh chóng thấy trên thiết bị xác thực (điện thoại di động) sẽ xuất hiện 1 thông báo ghi rõ: username, ngày giờ, VPN vào thiết bị nào kèm theo yêu cầu CHO PHÉP hoặc TỪ CHỐI. Trong khi bạn đợi bạn cho phép hay từ chối, SSLVPN client sẽ đứng yên ở bước Connecting…cho đến khi bạn cho phép trên điện thoại di động. Đến lúc đó, Mobile Apps sẽ gửi một tín hiệu đến AuthPoint cho phép user được truy cập, AuthpPoint sẽ gửi đến firewall yêu cầu cho phép và bạn kết nối SSLVPN thành công.

Như vậy, bên cạnh các bước truyền thống, MFA sẽ gia tăng thêm một lớp bảo vệ đó là thiết bị di động mà các bạn hầu như luôn mang theo bên mình để bảo mật các truy cập từ xa như VPN.