Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !

MFA (AuthPoint)

Introduction

Pourquoi ?

Ce chapitre se concentre sur la solution MFA (Multi-Factor Authentication) de WatchGuard. Gartner définit la solution comme suit : MFA est une méthode d’authentification qui exige la présentation et la validation réussie de deux ou plusieurs facteurs d’authentification. Les facteurs peuvent prendre les formes suivantes :

  • Quelque chose que l’utilisateur sait (ex. mot de passe…).

  • Quelque chose qu’il possède (ex. carte à puce ou jeton logiciel comme smartphone avec application...).

  • Quelque chose qu’il est (ex. empreinte digitale).

Le MFA rentre dans le modèle de sécurité appelé ZTNA (Zero Trust Network Access). Cette approche remet en question l’idée traditionnelle de la « confiance implicite » envers les utilisateurs et les appareils qui se trouvent derrière le pare-feu de l’entreprise. C’est une approche qui vise à remettre en question l’authentification lors de l’accès aux ressources numériques en fonction du contexte de l’utilisateur. Concrètement, l’utilisateur peut avoir à se ré-identifier par MFA en fonction de différents critères ou contextes (ordinateurs, horaires, pays, etc.) pour accéder aux ressources du SI.

En 2017, WatchGuard a acquis la société DataLink d’Alexandre Cagnoni orientée dans la protection des ID. Le produit racheté évolue et devient WatchGuard AuthPoint, qui peut protéger par MFA l’accès à ses équipements UTM (Web UI, VPN…) mais aussi d’autres UTM, les sessions Windows et de nombreux services SaaS (approches SAML et RADIUS).

AuthPoint améliore la sécurité des accès en ajoutant une couche supplémentaire de protection au-delà du traditionnel mot de passe (qui, en conséquence, devient moins prépondérant et peut être simplifié...

Mise en place du MFA

1. Préconfiguration

Il y a plusieurs étapes de préconfiguration pour la mise en place du MFA AuthPoint :

  • L’UTM doit être en mode gestion hybride.

  • AuthPoint doit avoir une configuration de base (brique essentielle ou essential brick). Les réglages de celle-ci se font directement sur WGC.

Puis après seulement, vous pouvez configurer AuthPoint sur les technologies suivantes pour les renforcer :

  • Web UI : permet l’accès aux portails de configuration de l’UTM, mode gestion hybride obligatoire.

  • Mobile VPN SSL : permet un accès VPN SSL mais attention : Mobile VPN IKEv2 nécessite l’agent WG + Java.

  • Access Portal : permet un accès aux applications SSH, RDP, Web en utilisant le mode SAML SSO.

  • Portail IdP : permet un accès aux applications SAML de l’entreprise, avec ou sans la présence d’un UTM sur le réseau.

  • Logon App : permet un accès aux sessions Windows et ne nécessite pas d’UTM.

a. UTM en mode gestion hybride

Avant de commencer la configuration d’AuthPoint, l’UTM doit être en mode gestion hybride.

 Connectez-vous sur l’UTM avec l’interface Web UI, puis allez sur SYSTÈME - WatchGuard Cloud et vérifiez que celui-ci est enregistré. L’inscription Enregistré doit apparaître en vert (sinon, voir le chapitre UTM WatchGuard Cloud).

images/07EP003.png

b. AuthPoint brique essentielle

La brique essentielle correspond à un réglage de base à réaliser sur le serveur d’authentification AuthPoint. Cette brique permet ensuite de configurer plus rapidement le MFA sur tous les autres services. Le réglage essentiel consiste à créer et paramétrer les éléments ci-dessous depuis Watchguard Cloud (WGC) / AuthPoint :

  • Ressources : les éléments à protéger par MFA.

  • Groupes : les groupes utilisateurs à protéger par MFA.

  • Objets de Stratégie : important car apporte la conditionnalité des accès mais optionnel pour nos exemples.

  • Utilisateurs : le compte utilisateur à protéger par MFA.

  • Stratégies : groupes, ressources, options d’authentification.

  • Application AuthPoint : à installer sur le smartphone.

À la fin du réglage...

Gestion des utilisateurs et jetons

Pour la gestion des accès, il est possible de bloquer ou débloquer les deux éléments ci-dessous :

  • Utilisateurs

  • Jetons

 Pour bloquer un utilisateur, allez dans WGC AuthPoint, onglet Configurer - Configuration - Utilisateurs, repérez la ligne traitant de l’utilisateur et, à droite, cliquez sur les trois points verticaux. Un menu contextuel apparaît et permet de bloquer l’utilisateur (s’il est déjà activé).

images/07EP064.png

Le voyant de l’utilisateur passe en rouge si l’utilisateur est dans un état bloqué. Procédez de la même manière pour le débloquer (si l’utilisateur est bloqué, le menu affiche l’option Activer l’utilisateur).

images/07EP065.png

 Pour bloquer un jeton, rendez-vous dans WGC AuthPoint, onglet Configurer - Configuration - Utilisateurs, repérez la ligne traitant de l’utilisateur et, à droite, cliquez sur le nom du jeton. Un menu contextuel apparaît et propose de bloquer le jeton (s’il est déjà activé).

images/07EP066.png

Le voyant du jeton passe en rouge. Procédez de la même manière pour débloquer le jeton.

images/07EP067.png

 Vous pouvez modifier les limites de blocages des utilisateurs (par défaut, dix erreurs d’authentification) et des jetons (par défaut, trois erreurs d’authentification). Pour cela, allez dans...

Gestion d’une perte de jeton (activation temporaire)

Il arrive qu’un utilisateur perde son smartphone avec l’application AuthPoint. Dans ce cas, la recommandation est de bloquer le jeton, mais il existe la possibilité de générer un code temporaire pour l’utilisateur.

 Du côté utilisateur, effectuez ces manipulations :

1. Lorsque l’utilisateur tente de s’authentifier, il clique sur FORGOT TOKEN (jeton oublié).

2. Un code d’activation apparaît. Ce code doit être donné à l’administrateur de AuthPoint. 

3. L’administrateur va générer un code de vérification qu’il va transmettre à l’utilisateur.

4. L’utilisateur utilise le code et valide les informations.

5. L’utilisateur peut maintenant utiliser seulement son mot de passe pendant la période déterminée.

 Du côté administrateur, allez dans WGC AuthPoint, onglet Configurer - Configuration - Utilisateurs, repérez la ligne traitant de l’utilisateur et, à droite, cliquez sur les trois points verticaux. Choisissez alors Jeton Oublié.

images/07EP069.png

 Indiquez la période et le code d’activation donné par l’utilisateur, puis cliquez sur le bouton GÉNÉRER. Cela génère un code de vérification à fournir à l’utilisateur....

Monitoring

 Pour surveiller les authentifications MFA, rendez-vous dans WGC / AuthPoint, onglet Surveiller - Synthèse et choisissez la bonne période :

  • Aujourd’hui

  • Hier

  • Dernières 24 heures

  • 7 derniers jours

  • 14 derniers jours

  • Ce mois

  • Le mois dernier

  • Personnalisé

Une fois la période indiquée, vous trouverez les informations suivantes :

  • Activité de l’Utilisateur : permet de voir si les utilisateurs utilisent le MFA.

  • Authentification : permet de voir les authentifications qui fonctionnent et celles qui ont échoué.

  • Activité de la Ressource : permet de voir l’utilisation des ressources.

  • Notifications Push Refusées : permet de voir les notifications push refusées par l’utilisateur.

  • Activités d’Activation : indique le nombre d’utilisateurs en attente d’un jeton.

  • Activités de Synchronisation : permet de voir les synchronisations de votre annuaire LDAP avec d’autres IdP.

images/07EP071.png

Troubleshooting

Les principales cause de problèmes avec le MFA prennent les formes suivantes :

  • heure du smartphone déréglée ;

  • plusieurs applications d’authenfication sur le smartphone et l’utilisateur se trompe (Google Authenticator + AuthPoint...) ;

  • plusieurs OTP dans l’application AuthPoint avec des noms similaires et donc l’utilisateur se trompe ;

  • changement de smartphone et l’utilisateur n’a plus d’application AuthPoint d’installée ;

  • etc.

Si vous supprimez des ressources avant de supprimer les agents AuthPoint qui se trouvent dessus, vous allez rencontrer un message d’erreur à l’ouverture de session Windows. Deux solutions s’offrent à vous :

  • L’une consiste à supprimer l’agent avant de supprimer la ressource.

  • L’autre solution consiste à supprimer l’agent avec le compte local admin.

Il peut arriver qu’il faille insister à plusieurs reprises pour ouvrir la session.