Azure Multi-Factor Authentication − MFA kurulumu

Shutterstock

Ağ güvenliğine daha fazla odaklanmanın gerekli olduğu son yıllarda, giderek daha fazla sayıda işletme çoklu ağ kimlik doğrulamasına yönelmekte. Uzaktaki kullanıcıların giderek artan sayıda VPN aracılığıyla ağlara erişebilmeleri sayesinde, daha fazla sayıda işletmenin ağlarını bu VPN bağlantıları üzerinden korumak için Azure MFA gibi multifactor authentication çözümlerine yöneldikleri görülmektedir.

Çok sayıda multifactor authentication seçeneği mevcut olsa da, dağıtımı kolay olan çözümlerden biri Azure Active Directory’ye dayanır. Bu makalede, VPN erişimi için Azure destekli bir MFA çözümünün nasıl çalıştığı ve mevcut VPN çözümüne nasıl entegre edileceği hakkında bilgiler vereceğiz.

Çoğu ortamda, tipik VPN çözümü, Cisco ASA gibi bir firewall/VPN aygıtı veya bir Domain ortamıyla birleştirilmiş Network Policy Server ile birlikte FortiGate aygıtı gibi bir şey içerir. VPN aygıtı, Network Policy Server’da bir istemci olarak yapılandırılmıştır ve VPN’ye erişim, AD’deki grup üyeliği ile kontrol edilir.

Yukarıdaki senaryo genellikle şöyle görünür.

Tipik VPN çözümü yukarıdaki senaryoya göre çalışırken, biri dizüstü bilgisayarını kaybederse veya bir phishing saldırısı ile şifre ele geçirilirse, saldırganın VPN üzerinden ağa erişmesi oldukça kolaydır.

Azure MFA’yı kullanan bir VPN çözümünün kullanılması, ek bir güvenlik katmanı oluşturur ve VPN aracılığıyla ağa bağlanan uzak kullanıcıların, kim olduklarının bilinmesi sağlar. Azure Active Directory ve NPS Extension ile mevcut bir VPN çözümünü MFA koruması sunan bir bilgisayara kolayca dağıtabiliriz.

Azure MFA VPN

Azure destekli bir MFA VPN çözümü, tipik VPN aygıtına ve NPS sunucusuna ek olarak birkaç gereksinime ihtiyaç duyar. Bu gereksinimler şunlardır.

  • Azure Tenant
  • Premium Azure AD Subscription
  • NPS Extension
  • Azure AD Connect

Azure MFA VPN çözümünde, Premium Azure AD Aboneliği, Azure AD’de MFA’yı etkinleştirmek için gereken lisansı sağladığından gereklidir. NPS Extension, kurum içi NPS sunucusunda yüklü olan bir yazılımdır. Bu yazılım Azure AD ile güvenli bir şekilde iletişim kurar ve birisinin VPN’ye bağlanma girişiminde bulunduğunda ikincil kimlik doğrulamasını gerçekleştirir.

Tipik bir Azure MFA VPN çözümü aşağıdaki resimde olduğu gibi görünür.

Azure MFA VPN için hazırlık yapma

Azure AD MFA’ya dayalı multifactor bir VPN çözümünü dağıtmadan önce, Azure tenant ve bir Azure AD aboneliği sağlamanız gerekir. Azure AD aboneliği en az Premium P1 olmalıdır. Office 365/Exchange Online dağıtımıyla birlikte gelen Azure Active Directory’nin ücretsiz sürümü, VPN için multifactor kimlik doğrulamasını desteklemez.

Azure tenant ve Azure AD subscription aşamalarını geçtikten sonra, Active Directory kullanıcı hesaplarına Azure AD Connect’i dağıtmanız ve böylece Active Directory kullanıcı hesaplarının Azure Active Directory ile eşitlenebilmesi sağlanmalıdır. MFA tercihleri, on-prem ile senkronize edilen Azure AD hesaplarında ayarlanacağı için bu gereklidir. Ek olarak, mevcut NPS sunucusuna sonunda yükleyeceğiniz NPS extension, MFA durumunu ve kimlik bilgilerini doğrulamak için doğrudan Azure AD aboneliğiyle iletişim kuracaktır.

Azure tenant etkin olduğunda ve şirket içi kullanıcılar Azure Active Directory ile senkronize edildikten sonra, kullanıcılarınız için aşağıdaki adımları uygulayarak VPN’yi kullanacak MFA’yı etkinleştirebilirsiniz.

  • Azure Portalı’na giriş yapın.
  • Soldaki bölümde “Azure Active Directory” ye tıklayın.
  • “Users” ı tıklayın.
  • “Multi-Factor Authentication” yı tıklayın.
  • MFA’yı etkinleştirmek istediğiniz kullanıcıları seçin ve Enable’ı tıklayın.

Kullanıcılar için MFA kaydı

Azure AD kullanıcılarınız için MFA’yı etkinleştirdikten ve VPN’yi kullanmaya başlamadan önce, MFA VPN’yi kullanacak kullanıcılar Azure MFA’ya kaydolmalı ve aşağıdaki talimatları uygulayarak MFA tercihlerini ayarlamalıdır.

  • Oturum açın.
  • Doğrulama yöntemi kurmak için uyarıları takip edin.

Azure MFA VPN çözümü nasıl dağıtılır?

Bu makalede, halihazırda çalışan bir VPN çözümünüzün olduğunu ve bir NPS sunucusunun kullanıldığı varsayılmaktadır. Bir NPS sunucusunun Azure destekli MFA ile çalışmasını sağlamak için birkaç değişiklik yapmanız gerekmektedir. İlk değişiklik, NPS Sunucusuna NPS extension’un yüklenmesidir. İkinci değişiklik, NPS sunucusunda bir sertifikanın oluşturulması ve kurulmasıdır. Böylece Azure AD aboneliği ile güvenli bir şekilde iletişim kuralabilir.

NPS Extension’u kurma

NPS extension, NPS sunucusunun Azure AD’ye karşı ikincil MFA kimlik doğrulaması yapmasına izin verir. Extension’u buraya tıklayarak indirebilirsiniz.

Uzantıyı kurarken için hiçbir yapılandırma seçeneği bulunmuyor. (Kurulum sırasında NPS sunucusuna bazı DLL kitaplıkları eklenecek)

NPS ve Azure AD arasında iletişimi sağlama

NPS extension NPS sunucusuna yüklendikten sonra, NPS sunucusu ve Azure Active Directory arasında güvenli iletişim sağlamak için bir sertifika oluşturulmalıdır. Bu sertifika, NPS Extension’un kurulu olduğu NPS sunucusunda “c:\Program Files\Microsoft\AzureMfa\Config” dizininde bulunan “AzureMfsNpsExtnConfigSetup.ps1” PowerShell komutunu çalıştırılarak kurulur.

Sertifikayı oluşturmak için Azure AD’nin GUID gerekir.

Azure AD GUID’i öğrenmek için aşağıdaki adımları uygulamanız yeterlidir.

  • Azure Portal’a giriş yapın.
  • Soldaki menüde “Azure Active Directory” ye tıklayın.
  • Properties’e tıklayın.

Directory ID alanından değeri kopyalayın ve bir metin dosyasına kaydedin.

Azure AD GUID’i öğrendikten sonra, aşağıdaki talimatları uygulayarak sertifikayı oluşturun ve Azure AD’ye bağlantı kurun.

  • Windows PowerShell’i yönetici olarak çalıştırın.
  • “C:\Program Files\Microsoft\AzureMfa\Config” dizinine ulaşın.
  • AzureMfaNpsExtnConfigSetup.ps1 komut dosyasını çalıştırın.
  • Azure AD’ye yönetici olarak oturum açın.
  • Daha önce kaydettiğiniz Azure AD Directory ID’yi girin.

Yukarıdaki işlem, NPS sunucusunda kendinden imzalı bir sertifika oluşturur ve NPS sunucusu ile Azure AD arasındaki iletişimi şifreler. Sertifikanın ortak anahtarını Azure AD’deki hizmet yöneticisiyle ilişkilendirir ve sertifikayı NPS sunucusunda depolar. Ağ kullanıcısına, sertifikanın özel anahtarına erişim izni verilir.

Tüm bunlar tamamlandıktan sonra NPS hizmeti otomatik olarak yeniden başlatılır.

Varolan VPN/NPS çözümünüz zaten yapılandırılmış olsa da, Azure destekli MFA’yı dağıtmak için hangi şifreleme protokollerini kullanmanız gerektiğini belirlemeniz gerekir. Çünkü tüm şifreleme protokolleri tüm MFA doğrulama yöntemlerini desteklemez.

Örneğin, PAP telefon görüşmelerini, tek yönlü metin mesajını, mobil uygulama bildirimini ve mobil uygulama doğrulama kodunu desteklerken , CHAPV2 ve EAP yalnızca telefon görüşmesi ve mobil uygulama bildirimini destekler.

Bir NPS extension’ın hangi kimlik doğrulama yöntemlerini kullanılabileceğini etkileyen iki temel faktör vardır.

  • VPN ve NPS sunucusu arasında kullanılan şifre şifreleme algoritması
  • VPN istemci uygulamasının desteklediği giriş yöntemleri

Örneğin, VPN istemci yazılımınız kullanıcının bir metin veya mobil uygulamadan doğrulama kodunu girmesine izin veren bir alan sunmuyorsa, tek yönlü metin mesajlaşmayı ikinci bir doğrulama olarak kullanamazsınız. Bu şekilde PAP, CHAPV2 ve EAP şifreleme protokollerini kullanabilirsiniz.

Bununla birlikte, NPS extension’u dağıtmadan önce var olan ortamınızı nasıl etkilediğini düşünmeniz faydalı olacaktır.

Varsayılan olarak, NPS Extension dağıtıldıktan sonra, Azure AD’de MFA için etkinleştirilmemiş olan kullanıcıların VPN’ye erişimi reddedilir.

MFA olmayan kullanıcıların VPN’ye erişmesine izin vermek için, NPS sunucusundaki Registry Editor‘u açın ve “HKLM\SOFTWARE\Microsoft\AzureMfa” kayıt defteri anahtarındaki “REQUIRE_USER_MATCH” değerini “FALSE” olarak ayarlayın. Eğer anahtar mevcut değilse, oluşturun. Aksi takdirde, MFA için etkinleştirilmemiş kullanıcıların VPN’ye bağlanmaları engellenir.

Azure destekli MFA VPN’inizi, Azure Active Directory ile senkronize edilmiş ve MFA’nın etkinleştirilmiş olduğu bir kullanıcı hesabıyla VPN’de oturum açmaya çalışarak test edebilirsiniz. Test kullanıcınızın beklenen ikincil kimlik doğrulama istemini aldığından emin olun (telefon araması, kısa mesaj, uygulama bildirimi, vb.). Test kullanıcınız başarıyla kimlik doğrulaması yapmıyorsa, NPS sunucu politikalarında yapılandırdığınız kimlik doğrulama ayarlarının tercih ettiğiniz MFA doğrulama yöntemini desteklediğini doğrulamalısınız.

Test kullanıcınızın VPN’ye giriş yapabildiğini onayladıktan sonra, VPN için MFA kimlik doğrulamasını zorunlu kılmak için “REQUIRE_USER_MATCH” değerini “TRUE” olarak ayarlayabilirsiniz.

Özet

Azure Active Directory’de kullanılabilen çok faktörlü kimlik doğrulama işlevini kullanarak ağınızı daha da güven altına almak için varolan VPN çözümünüze Azure MFA kimlik doğrulamasının nasıl eklendiğini açıklamaya çalıştık. Bunu yapmak bir Azure tenant ve bir Azure Active Directory P1 + aboneliği almanız gerekiyor. Sonrasında hazırdaki kullanıcılarınızı Azure AD Connect ile Azure AD’ye senkronize edin. Önceden sahip olduğunuz kullanıcılarınızı Azure AD ile senkronize edildikten sonra, MFA’yı Azure Active Directory’de etkinleştirebilirsiniz.

Kullanıcılarınız Azure AD ile senkronize edildikten ve MFA’ya etkinleştirdikten sonra, NPS sunucunuza NPS Extension’u yükleyin. PowerShell komut dosyasını kullanarak kendinden imzalı sertifika oluşturun ve bu sertifikayı yükleyin. Sertifika yüklendiğinde, NPS Sunucusu ile Azure AD arasında güvenli bağlantı kurulacak. Böylece NPS Extesion Azure AD tarafından sunulan MFA’dan yararlanabilecek.

KAYNAKCLOUD