Zadzwoń do nas. Jesteśmy dostępni od poniedziałku do piątku w godzinach 8:00 - 16:00

+48 59 724 70 00
Zapisz na liście zakupowej
Stwórz nową listę zakupową
2025-09-19

Dwuskładnikowe uwierzytelnianie (MFA)

Wprowadzenie

Dwuskładnikowe uwierzytelnianie (MFA) stało się kluczowym elementem strategii bezpieczeństwa w przedsiębiorstwach. Integracja z istniejącą infrastrukturą, taką jak Windows Active Directory, jest często priorytetem w celu zabezpieczenia dostępu do firmowych zasobów, w tym sieci VPN. Rozwiązanie Cisco Duo oferuje nowoczesny mechanizm MFA, który można bezproblemowo wdrożyć w środowisku Windows.

Mechanizm działania

Proces uwierzytelniania rozpoczyna się, gdy użytkownik próbuje zalogować się do VPN. Dane uwierzytelniające są przesyłane do serwera RAS, a następnie do lokalnego serwera Duo Authentication Proxy. Serwer ten weryfikuje dane w Active Directory i kontaktuje się z chmurą Cisco Duo, co inicjuje proces MFA.

Na urządzeniu użytkownika (np. smartfonie) pojawia się powiadomienie push z prośbą o zatwierdzenie logowania. Po akceptacji, chmura Duo zatwierdza dostęp i informuje serwer proxy, umożliwiając bezpieczne połączenie VPN.

1. Synchronizacja z Active Directory

W panelu Cisco Duo należy zsynchronizować użytkowników z Active Directory. Wygenerowane zostają klucze integracji, klucz tajny oraz nazwa hosta aplikacji, które należy wprowadzić do konfiguracji Duo Authentication Proxy.

2. Dodanie aplikacji Microsoft RAS

W panelu Duo dodaje się aplikację Microsoft RAS, gdzie definiuje się klienta AD, serwer RADIUS oraz inne ustawienia specyficzne dla wdrożeni

3. Konfiguracja serwera RAS

Na serwerze Windows, w usłudze Routing and Remote Access Service, ustawia się uwierzytelnianie na RADIUS z wskazaniem lokalnego serwera Duo. Zaleca się zwiększenie limitu czasu (timeout), aby użytkownicy mieli odpowiedni czas na zatwierdzenie powiadomienia MFA.

4. Konfiguracja zasad sieciowych (NPS)

W Network Policy Server (NPS) należy utworzyć klienta RADIUS dla serwera Duo i zdefiniować politykę zezwalającą na połączenia VPN wyłącznie dla określonych grup (np. "duo").

5. Reguły firewall

Na serwerze należy otworzyć porty UDP: 500, 4500 i 1701, wymagane do poprawnego działania połączeń L2TP

6. Ustawienia po stronie klienta

Użytkownik podczas konfiguracji połączenia VPN w systemie Windows powinien wybrać protokół L2TP z kluczem wstępnym oraz włączyć opcję Unencrypted password (PAP) dla prawidłowego uwierzytelnieni

Korzyści i bezpieczeństwo

Integracja Cisco Duo z Windows Active Directory znacząco wzmacnia ochronę dostępu do zasobów firmowych. Nawet w przypadku wycieku haseł, nieautoryzowany dostęp jest praktycznie niemożliwy bez drugiego czynnika uwierzytelniającego. Rozwiązanie to nie tylko podnosi poziom bezpieczeństwa, ale także wspiera zgodność z normami bezpieczeństwa, co czyni je idealnym dla firm, które chcą zapewnić bezpieczny zdalny dostęp do swojej infrastruktury.

pixel