ברוכים הבאים לאתר שלנו!

אין פריטים בסל

להחליף גישה מרחוק ו VPN

האימות בשני גורמים של YubiRADIUS מאפשר לכם
שדרוג פשוט לפתרונות הקיימים כיום

רקע כללי

רשתות רבות משתמשות בשיטות אימות בשני גורמים מיושנות, אשר מבוססות על כרטיסי RMA או חומרות שונות (tokens). פתרונות אלה מיושנים ולא מאפשרים את הגמישות ואת האבטחה שיש ל YubiKey להציע, ובנוסף לכך, הם יותר יקרות ותלויות בחומרה ספציפית.

YubiRADIUS מאפשר שדרוג פשוט לאימות של שני גורמים מהפתרון שאתם משתמשים בו היום, על ידי אוטומיזציה של תהליך ההגדרה והיבוא של המשתמשים. נוסף על כך, ניתן להגדיר את ה YubiRADIUS באופן לא מקוון ומראש, ובכך מאפשר את המעבר משיטת האימות הישנה ל YubiRADIUS באופן מיידי.

דרישות

  • שער גישה מרוחק (Network Remote Access Gateway) אשר תומך בפרוטוקול RADIUS PAP
  • תיקייה פעילה / שרת LDAP
  • שרת עם מעבד אחד לפחות, 256 MB זיכרון, ו 8 GB זיכרון פנוי
  • פלטפורמט וירטואליזציה, בעלת יכולת הרצה של יישומים וירטואליים בפורמט VMWare או OVF
  • מפתחות YubiKey למנהלים ומשתמשים

איך לבצע פריסה של YubiRADIUS

YubiRADIUS שתומך באימות בשני גורמים במפתח YubiKey תוכנן להיות קל ומהיר להטמעה. בעזרת מספר שלבים, מנהל יכול לגבל גישה מרחוק או רשת VPN מאובטחת על ידי YubiRADIUS ובמפתחות YubiKey תוך מספר שעות.

הורדה של YubiRADIUS
כיצד לבצע פריסה של אימות בשני גורמים של YubiRADIUS (pdf)

אימות: YubiCloud vs אימות מקומי

לפני שמתקינים את האפליקציה YubiRADIUS, יש צורך לבחור את סוג האימות בו YubiRADIUS ישתמש במהלך אימות מפתחות YubiKey. יש שתי אפשרויות, שירות האימות על גבי שרת של Yubico שנקרא YubiCloud, או שרת אימות מקומי.

שירות האימות של YubiCloud:

  • מושלם לפריסה ושילוב מהיר ומתאים במיוחד לרשתות עם חיבור לאינטרנט
  • אין צורך להגדיר שרת אימות מקומי
  • מפתחות האימות של YubiKey עובדים בדיוק כפי שהם הגיעו, אין צורך בהגדרות נוספות
  • מפתחות האימות של YubiKey יעבדו עם כל השירותים הנתמכים ב YubiCloud
  • שירות אבטחה מאובטח באמת, בעל יתירות , אשר לא הפסיק לתת שירות או נפרץ מאז שהושק.
  • יש צורך בגישה לרשת לשרת של YubiRADIUS, יהיה צורך להגדיר חומת אש על מנת לאפשר תקשורת

שרת אימות מקומי:

  • מאפשר למנהל לקבל שליטה מלאה בכל התהליכים המתרחשים ב YubiRADIUS שלהם
  • מושלם עבור רשתות בו החיבור לאינטרנט לא קיים או שאינו מורשה
  • כל המפענחים שמזהים כל מפתח YubiKey נשארים בשליטה הבלעדית של מנהל הרשת
  • מתאים לסביבות בהן האבטחה נשמרת כל הזמן
  • תומך בהתקן YubiHSM כדי להוסיף אבטחה להצפנה של מפתחות ה YubiKey
  • מנהל המערכת יצטרך להגדיר וליבא הגדרות של כל מפתח YubiKey שיהיה בשימוש ב YubiRADIUS.

הקצאת משאבים ויתירות של מפתח YubiKey

YubiRADIUS יפרס כדי לאבטח בהתאמה לרמת הסיבוכיות של הרשת, וניתן להתאים את ה YubiRADIUS כל שיתאים למדיניות אבטחה ויתירות שהוגדרו מראש. כאשר הוגדר, YubiRADIUS יוכל ליבא משתמשים , קבוצות של משתמשים וארגונים מתיקייה פעילה או שרת LDAP. ניתן לקשר מפתח YubiKey מסויים למשתמש מסויים, ובכך ליצור את שיטת האימות השניה, שמבוססת על חומרה.

YubiRADIUS מאפשר למנהל לקשר באופן ידני מפתח YubiKey מסויים לחשבון נבחר,אם יש צורך בבקרה ושליטה על רכיבי החומרה (tokens). במידת הצורך, ניתן להגדיר כך שתתבצע הקצאה אוטומטית של מפתחות YubiKey, כך שכל מפתח יקושר לחשבון של המשתמש הראשון שביצע בעזרתו אימות. מנהל המערכת יכול להגדיר זאת בהתאמה למידת השליטה והבקרה עליה הוא רוצה לשמור.

במקרה ויש צורך של YubiRADIUS יהיה זמן מינימלי של downtime, משתמשים יכולים להגדיר מצב יתירות של YubiRADIUS. במקרה ובוצעו הגדרות אלה, כל מופע של שרת שומר על עדכון אוטומטי של כל שאר המופעים, וכך, במקרה ויש מופע שרת שאינו מתפקד השרתים האחרים יוכלו להמשיך ולספק שירות מלא.

התקנה של YubiRADIUS

לאחר שהגדרנו כיצד YubiRADIUS יותאם לרשת, ההתקנה עצמה מאוד ישירה. משתמשים יכולים להוריד את פורמט התאימות המתאים להם של השרת הוירטולי של YubiRADIUS. לאחר ההורדה, המשתמש צריך להגדיר את השרת הוירטולי של YubiRADIUS עם כתובת IP סטטית, ולאחר מכן לגשת להגדרות YubiRADIUS בעזרת ממשק מבוסס דפדפן. משם, המשתמש יוכל להגדיר כי הוא יתקשר עם התיקייה הפתוחה או שרת ה LDAP, ממנו יבצע ה YubiRADIUS ייבוא, להגדיר אותו לאמת מפתחות YubiKey באמצעות ה YubiCloud או שרת אימות מקומי, שרת שכבר הוגדר מראש, ולייבא מפתחות YubiKeys.

לאחר שהותקן, YubiRADIUS מציע את כלי הבדיקה RADTest - מאפשר למנהל לוודא שה YubiRADIUS מאמת את הסיסמאות החד פעמיות של מפתחות ה YubiKey, מקשר באופן תקין בין מפתחות אימות לחשבונות וכי מציג את המצב העדכני של כל מפתח YubiKey ומצב חשבון המשתמש, כאשר מפתחות אימות לא פעילים או חשבונות לא פעילים לא יאומתו. YubiRADIUS יעדכן באופן אוטומטי את נתוני המשתמש מהתיקייה הרלוונטית או שרת LDAP, ויוודא סנכרון עם שאר הרשת.

לאחר שה YubiRADIUS הוגדר בצורה נכונה, כל שנשאר לעשות הוא להגדיר את הגישה מרחוק עבור הרשת של RADIUS. וזה תלוי בשער בו משתמשים עבור הגישה מרחוק, ולשם כך יש הסבר או דוקומינטציה שמקושרת למכשיר או לשירות.