Buscar
  • Sentinela

Como configurar Múltiplo Fator de Autenticação em gateways Mobile Access da Check Point


Lista de clientes que suportam Opções de Múltiplo Login em gateways Mobile Access R80.10 ou superior:

  • Portal Mobile Access

  • Capsule VPN

  • Capsule Workspace - versão iOS 1002.2 ou superior

  • Capsule Workspace para Android - versão 7.1 ou superior

  • Remote Access VPN Blade do Endpoint Security Suite (Windows) - versão E80.65 ou superior

  • Endpoint Security VPN (Windows) - versão E80.65 ou superior

  • Check Point Mobile for Windows - versão E80.65 ou superior

  • SecuRemote (Windows) - versão E80.65 ou superior

Observações:

  • Todos os outros clientes suportam somente a opção de autenticação única.

  • Autenticação Dynamic ID também é suportada nos clientes Windows E80.65 e R80.10.

Para mais informações, consulte o SK11583.


Combinações de Esquemas de Autenticação Suportadas


As combinações a seguir de esquemas de autenticação são suportadas pelos diferentes clientes Mobile Access / Remote Access.

Combinações de esquemas de Autenticação que estão omitidas na tabela não são suportadas pelos clientes.


Observação: A versão R80.40 adiciona uma nova possibilidade de autenticação VPN ao Security Gateway. Autenticação com um certificado de máquina a partir do Endpoint Security Client E80.71 está disponível para os gateways. Verifique Remote Access VPN R80.40 Administration Guide.


A tabela completa, assim com informações de configuração, resolução de problemas e soluções relacionadas podem ser encontradas no SK86240.



Como Configurar


Habilitando o MFA:

As seguintes blades devem estar habilitadas:



Após ativar as funcionalidades devemos escolher o gateway para ativar o MFA:



Adicione as autenticações que você precisa para o Gateway:



Lembrando que o DynamicID não pode ser selecionado como primeira opção.

Selecione a segunda opção de autenticação:



As configurações do MFA estão prontas.


Parâmetros para configuração por SMS/Email:




Detalhes dos parâmetros:


Para o DynamicID ser enviado por SMS somente, use a seguinte sintaxe:

https://api.example.com/http/sendmsg?api_id=$APIID&user=$USERNAME&password=$PASSWORD&to=$PHONE&text=$MESSAGE

Para o DynamicID ser enviado por email somente, sem SMS, use as seguintes sintaxes:

Para o protocolo SMTP:

mail:TO=$EMAIL;SMTPSERVER=smtp.example.com;FROM=sslvpn@example.com;BODY=$RAWMESSAGE

Para o protocolo SMTPS na porta 465:

mail:TO=$EMAIL;SMTPSERVER=smtps://username:password@smtp.example.com;FROM=sslvpn@example.com;BODY=$RAWMESSAGE

Para o protocolo SMTP com START_TLS:

mail:TO=$EMAIL;SSL_REQUIRED;SMTPSERVER=smtp://username:password@smtp.example.com;FROM=sslvpn@example.com;BODY=$RAWMESSAGE

Para o protocolo SMTP na porta 587 com START_TLS:

mail:TO=$EMAIL;SSL_REQUIRED;SMTPSERVER=smtp://username:password@smtp.example.com:587;FROM=sslvpn@example.com;BODY=$RAWMESSAGE

Para permitir o DynamicID ser enviado por SMS ou Email, use a seguinte sintaxe:

sms:https://api.example.com/sendsms.php?username=$USERNAME&password=$PASSWORD&phone=$PHONE&smstext=$MESSAGE mail:TO=$EMAIL;SMTPSERVER=smtp.example.com;FROM=sslvpn@example.com;BODY=$RAWMESSAGE

Observação: Se os caracteres do SMTP do usuário ou senha possui caracteres especiais, use o seguinte padrão:


Entre os detalhes da conta do provedor de SMS:

  • Username

  • Password

  • API ID (opcional)

Para mais opções de configurações clique em Advanced.

Clique OK.


Configurando o telefone ou Email no LDAP


Se os usuários usam a autenticação por LDAP, configure a lista de telefones no LDAP definindo o número de telefone ou e-mail para cada usuário. Por padrão, usamos o campo Mobile no aba Telefones. Se um e-mail está configurado neste campo, será enviado um e-mail e não um SMS.



Caso de Uso


2FA com certificados em gateways R80.X


Você pode configurar duplo fator de autenticação com certificado para esta opção:

Criar uma nova opção de login com um certificado pessoal como primeiro fator e escolher uma segunda opção de autenticação com usuário e senha, DynamicID (SMS, E-mail);


Para criar uma nova opção de Múltiplo Fator de Autenticação com certificado:

  1. Abra o objeto do Gateway.

  2. Selecione VPN Client > Authentication.

  3. Na aba Multiple Authentication Clients Settings, clique Add para criar uma nova opção.

  4. Clique New.

  5. Na janela Multiple Login Options, entre o Nome da nova opção de login e o Display Name.

  6. Em Authentication Methods, clique Add para adicionar o primeiro fator.

  7. Na janela de Authentication Factor, selecione Personal Certificate. Note que o certificado precisa ser o primeiro fator de autenticação.

  8. Configure as opções de autenticação.

  9. Clique OK.

  10. Em Authentication Methods, clique Add para adicionar o segundo fator.

  11. Na janela de Authentication Factor, selecione RADIUS, SecurID, DynamicID ou Username and Password.

  12. Configure as opções de autenticação se necessário.

  13. Clique OK.

  14. Clique OK.

  15. Instale a política.
















43 visualizações
LINKS
ABOUT

Sentinela Security

Av. Osvaldo Aranha, 1022 sala 907

Bom Fim – Porto Alegre/RS

CEP 90035-191

51 3061.5962
contato@sentinelasecurity.com.br

SOCIAL
  • White LinkedIn Icon
  • White Facebook Icon

© 2016 by Sentinela Security. Proudly created with Wix.com