< 返回 首页 > 解决方案 > 厂商解决方案 > 网络设备及安全 > CheckPoint VPN双因素认证解决方案
CheckPoint VPN双因素认证解决方案
一、面临挑战
1、安全威胁
VPN可帮助企业实现远程办公,员工在外网办公环境下借助CheckPoint VPN可访问内部应用资源。但单一的静态密码登录验证机制下,不少员工仍采用初始密码或者过于简单的静态密码,非法入侵者若窃听到VPN登录账号的用户名及密码,即可得到合法访问权限,并可通过合法访问权限访问内部系统,企业信息安全面临挑战。
2、管理成本
为防止VPN账号信息泄露,企业通常强制要求员工定期更换登录密码,给员工及IT运维人员带来许多不必要的麻烦;
如没有及时收回账号,离职员工仍然有VPN的合法访问权限,因此额外增加了IT部门的账号回收管理成本。

二、解决方案
1.    CheckPoint VPN双因素认证解决方案概述
静态密码只能对VPN用户身份的真实性进行低级认证。宁盾双因素认证在企业VPN原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。
宁盾双因素认证服务器负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管VPN帐号的静态密码认证工作。通过在CheckPoint VPN配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。员工拨入CheckPoint VPN进行用户名+静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,通过之后方可放行。

2.    宁盾动态密码形式
短信令牌
基于短信发送动态密码的形式。在用户完成CheckPoint VPN帐号密码认证之后,宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上,用户输入该短信密码并提交验证通过后才能完成登录认证。密码是一次性使用的,他人即使盗用了,也无法再次使用,从而能保证账号和信息的安全。
 

手机令牌
基于时间的动态密码,由手机APP生成。基于时间同步技术,宁盾令牌APP每60秒随机生成一个独一无二的动态验证码,宁盾认证服务器能够验证这个变化的密码是否有效。
 

硬件令牌
基于时间的动态密码,由硬件生成。硬件令牌每60秒产生一个6位随机密码,使用寿命3年。需要IT运维人员为每个CheckPoint VPN用户分发一枚宁盾硬件令牌,用户登录时输入静态密码+硬件令牌上显示的动态密码,验证通过即可完成登录。
 

3.    CheckPoint VPN双因素认证流程
用户打开CheckPoint VPN,在下图的双因素认证界面,从上至下依次输入用户名、静态密码及动态密码,然后提交并进行认证。认证通过,VPN双因素认证登录成功。
 

三、方案价值
①    账号双重保护:宁盾双因素认证在CheckPoint VPN原有账号密码认证基础之上增加一层动态密码认证,以此提升VPN用户接入认证安全,解决弱身份鉴别可能引发的内网信息泄漏隐患;
②    多种认证方式:短信令牌、手机令牌、硬件令牌,三种动态密码形式各有优势,客户根据需求自由选择,也可以多种组合;
③    与现有系统无缝集成:内置Radius认证模块,可与AD、LDAP等标准账号源结合,同时也支持与企业本地应用、私有云应用以及SAAS等的对接,提供CheckPoint VPN的双因素认证服务;
④    简化管理:减少企业因VPN静态密码定期强制更改,给员工及IT运维人员带来的麻烦,同时节约VPN账号管理成本;
⑤    实名追溯:详尽的登录日志,发生安全事件时可定位到个人,做到用户认证可审计,满足了等保要求;
⑥    体验优化:通过简化移动安全接入,优化用户体验,在为用户登录CheckPoint VPN提供安全认证的同时,提升了使用的便捷性,助力企业移动化转型。

©2017 年 宁盾科技 版权所有。

—END—
相关解决方案

全场景身份与访问管理


申请试用 -->

上海宁盾信息科技有限公司
  • 产品咨询:400-658-2855
  • 售后电话:(021)5426-3385