Hướng dẫn sử dụng Google Authenticator để xác thực 2 bước khi truy cập VPN
Zyxel Employee
Trong các phiên bản firmware trước đó, USG hỗ trợ mã xác minh dưới dạng SMS/Email để thực hiện quy trình xác thực 2 bước, tuy nhiên, phương thức nhận mã qua SMS không an toàn.
So với phương thức SMS/Email, Google Authenticator là phương pháp an toàn nhất để nhận mã xác minh khi xác thực 2 bước.
Google Authenticator cung cấp mã mới sau mỗi 30 giây, do đó, mã sẽ hết hạn chỉ sau 30 giây, điều này làm cho công cụ này trở thành một lựa chọn an toàn để cung cấp mã xác minh 2 bước.
Hơn nữa, Google Authenticator được tải xuống miễn phí, dễ sử dụng và có thể hoạt động mà không cần Internet.
Ví dụ này sẽ minh họa cách thiết lập xác thực 2 bước với Google Authenticator để truy cập VPN.
Lưu ý: Tất cả địa chỉ IP và subnet mask được sử dụng trong bài viết này đều là ví dụ, bạn nên sử dụng địa chỉ IP và subnet mask thực tế của hệ thống mạng của bạn. Bài viết này sử dụng USG FLEX 500 (Firmware Version: ZLD 5.20).
Các bước thiết lập Xác thực 2 bước với Google Authenticator
- Bật Google Authentication on user
- Cài đặt Google Authenticator
- Cấu hình thời gian có hiệu lực và loại hình đăng nhập
1.Bật Google Authentication on user
Chọn một người dùng VPN và chuyển sang thanh Two-factor Authentication.
CONFIGURATION > Object > User/Group > User, tạo một người dùng mới.
Chọn ô Two-Factor Authentication for VPN Access
2. Cài đặt Google Authenticator
a. Tải và cài đặt ứng dụng Google Authenticator trên điện thoại của bạn
b. Đăng ký tài khoản VPN user trên Google Authenticator. Mở ứng dụng và quét mã barcode trên Web GUI.
c. Nhập mã token được cung cấp trên ứng dụng Google Authenticator vào ô Enter code (Step 3) và chọn “Verify code and finish” để xác thực.
Một cửa sổ bật lên thông báo kết quả xác minh.
d. Sau khi 2FA được cài đặt thành công, bạn sẽ thấy một số mã dự phòng trên Web GUI. Những mã này dùng để đăng nhập thiết bị trong trường hợp bạn không thể truy cập ứng dụng trên điện thoại. Bạn có thể tải mã về và lưu trữ ở nơi an toàn.
3. Cấu hình thời gian có hiệu lực (Valid Time) và loại hình đăng nhập.
Bật xác thực 2 bước khi truy cập VPN. Cấu hình Valid Time và chọn loại VPN yêu cầu người dùng VPN thực hiện xác thực 2 bước.
Valid Time là thời hạn mà người dùng cần gửi mã xác thực 2 bước để có quyền truy cập VPN. Yêu cầu xác thực sẽ bị từ chối nếu mã được gửi sau thời gian có hiệu lực. Thời gian Valid Time mặc định là 3 phút. Trang xác thực hoạt động trên một cổng cụ thể. Sau khi thiết lập VPN tunnel, người dùng phải nhập mã để vào Web GUI.
Lưu ý: Nếu người dùng sử dụng Zyxel VPN Client để thiết lập VPN tunnel, trang xác thực sẽ tự động được bật lên trên trình duyệt. Đối với SSL VPN hoặc L2TP VPN, người dùng phải nhập URL chính xác trên trình duyệt (ví dụ: )
Kiểm tra kết quả
1.Thiết lập VPN tunnel trên Zyxel VPN Clienthttps://YourDeviceIP:8080
2. Trình duyệt sẽ bật lên trang xác thực để nhập mã xác minh.
3. Nhập mã Google Authenticator cung cấp và nhấp chọn “Authroize”. Bạn cũng có thể nhập mã dự phòng nếu bạn không có sẵn điện thoại.
4. Xem log trên Web GUI
Lỗi thường gặp:
Cổng dịch vụ xác thực mặc định là cổng 8008. Bạn có thể tùy chỉnh thành cổng khác và bạn phải thiết lập chính sách Security Policy để cho phép cổng đó đến Zywall.
Zyxel VPN Client sẽ tự động bật lên trang xác thực trên trình duyệt. Nếu bạn thiết lập VPN tunnel bằng SSL VPN hoặc L2TP VPN, bạn phải nhập chính xác URL để nhập mã xác minh.
Cho dù là SMS, Email hoặc Google Authenticator được bật, một trong ba loại được xác minh thì người dùng VPN được ủy quyền.
Zyxel Nami