احراز هویت دوعاملی در فایروال FortiGate با استفاده از فورتی توکن
5 دیدگاه خود را بنویسید
فورتی نت

احراز هویت دوعاملی در فایروال FortiGate

با افزایش چشمگیر حملات فیشینگ، افشای رمزهای عبور و رشد فرهنگ دورکاری، ضرورت بهره‌گیری از احراز هویت چندعاملی (MFA) بیش از هر زمان دیگری احساس می‌شود.

آنچه در این مطلب خواهید خواند: پنهان
معماری احراز هویت دوعاملی در FortiGate
فورتی توکن موبایل (FTM)
فورتی توکن سخت افزاری
کاربرد FortiToken برای مدیران و کاربران دورکار
توجه داشته باشید:
جمع‌بندی

فایروال FortiGate که هسته اصلی معماری امنیتی فورتی‌نت را تشکیل می‌دهد، از همان نسخه‌های ابتدایی FortiOS امکان استفاده از احراز هویت دومرحله‌ای (2FA) را فراهم کرده بود. اما با ورود خانواده FortiToken، این فرآیند به‌مراتب ساده‌تر، ایمن‌تر و انعطاف‌پذیرتر شده است.

در این مقاله، نگاهی دقیق و کاربردمحور به راهکارهای 2FA در فایروال فورتی گیت کرده‌ایم؛ FortiToken نسخه‌های موبایلی و مدل‌های سخت‌افزاری سری ۲۰۰، ۳۰۰ و ۴۰۰ را معرفی و مقایسه کرده و نشان می‌دهیم این توکن‌ها چگونه علاوه‌بر تأمین امنیت حساب‌های مدیریتی، اتصال کاربران دورکار از طریق VPN را نیز مطمئن می‌سازند.

معماری احراز هویت دوعاملی در FortiGate

فورتی‌گیت در سه سناریوی اصلی قابلیت مدیریت و مصرف توکن‌های 2FA را دارد:

  1. مدیریت درون‌سازمانی (Device Managed): توکن (چه موبایلی و چه سخت‌افزاری) مستقیماً روی FortiGate ثبت و همگام‌سازی می‌شود.
  2. مدیریت متمرکز از طریق FortiAuthenticator: نقش سرور مرکزی احراز هویت را ایفا می‌کند و FortiGate از طریق پروتکل‌هایی نظیر RADIUS یا SAML اطلاعات مورد نیاز را استعلام می‌کند.
  3. مدیریت ابری با FortiIdentity Cloud: گزینه‌ای مناسب برای سازمان‌های گسترده یا شرکت‌های ارائه‌دهنده خدمات مدیریت‌شده (MSP) که نیاز به راهکار ابری دارند.

در هر یک از این سناریوها، پس از فعال‌سازی توکن برای یک کاربر، FortiGate می‌تواند از OTP یا کلیدهای FIDO در مسیرهای زیر استفاده کند:

  • ورود ادمین از طریق GUI ،SSH یا REST API
  • اتصال کاربران دورکار به SSL VPN یا IPSEC VPN
  • یکپارچه‌سازی با معماری ZTNA

فورتی توکن موبایل (FTM)

FortiToken Mobile (FTM) اپلیکیشنی برای سیستم‌عامل‌های iOS و Android است که پس از خرید لایسنس فعال می‌شود.

– ویژگی‌ها:

  • تولید رمز یکبار مصرف (OTP)
  • پشتیبانی از چند پروفایل و امکان انتقال امن میان دستگاه‌ها.
  • بدون نیاز به سخت‌افزار فیزیکی؛ کاهش هزینه کلی مالکیت

– کاربردهای رایج:

  • ادمین‌هایی که می‌خواهند احراز هویت دو عاملی شان از طریق گوشی هوشمند همراهشان باشد.
  • ایده‌آل برای کاربران دورکار که به دنبال دسترسی امن و بدون هزینه به VPN هستند.

فورتی توکن سخت افزاری

یک توکن OTP کوچک با صفحه‌نمایش LCD که هر 30 یا 60 ثانیه یک کد شش رقمی تولید می‌کند. دارای گواهی‌های RoHS و IP68، مقاومت بالایی در برابر آب و ضربه داشته و عمر باتری آن بسیار زیاد است.

مدل ۳۰۰ نسل نخست مبتنی بر USB بود، ولی اکنون FortiToken 310 جایگزین آن شده است. این توکن از نوع PKI Token است که کلید خصوصی را درون یک تراشه امن ایجاد و نگهداری می‌کند. پشتیبانی از استانداردهای FIPS 140-2 و رابط‌های CAPI و PKCS#11 آن را برای امضای دیجیتال، رمزنگاری ایمیل و احراز هویت VPN مناسب می‌سازد.

سری ۴۰۰ نسل جدید کلید امنیتی USB (Security Key) است که علاوه بر پروتکل‌های OTP، از FIDO U2F نیز پشتیبانی می‌کند؛ بنابراین می‌توان از آن برای احراز هویت بدون گذرواژه در سرویس‌های ابری نیز بهره برد. مدل جدید FortiToken 410 نسخه ارتقایافته با تراشه‌ای بهینه و فضای ذخیره‌سازی بیشتر است.

دسته روش رمز یک‌بار مصرف/کلید نیاز به باتری حساسیت به زمان قابلیت اضافه
Mobile TOTP یا Push Approve خیر بله (همگام‌سازی خودکار) انتقال آسان، هزینه پایین
200 TOTP شش‌ رقمی بله (≈۵ سال) بله (±۳۰ ثانیه) مقاوم در برابر آب و ضربه
300/310 کلید PKI در تراشه خیر (USB) ندارد مناسب برای امضای دیجیتال، رمزگذاری ایمیل
400/410 FIDO2 + U2F + OTP خیر (USB) بسته به پروتکل پشتیبانی از ورود بدون رمز عبور، سازگار با وب

مقایسه کارایی و توصیه استفاده:

  • سرعت راه‌اندازی و استقرار: FTM در کمتر از 60 ثانیه فعال می‌شود.
  • دوام سخت افزار: توکن‌های سری‌های ۳۰۰/۴۰۰ بدون باتری هستند، بنابراین هزینه تعویض باتری یا توکن در چرخه عمر وجود ندارد.
  • سطح امنیت: فورتی توکن 300/310 با ذخیره‌سازی کلید در تراشه امن، بهترین گزینه برای نهادهای مالی یا پروژه‌های دارای نیازمندی‌های امضای دیجیتال است. سری 410/400 با پیاده‌سازی FIDO2 مناسب‌ترین انتخاب برای محیط‌های SaaS با رویکرد بدون گذرواژه است.
  • تجربه کاربری: در محیط‌هایی با کاربران غیرحرفه‌ای، استفاده از Push‑based FTM کمترین اصطکاک را دارد. اما در فضاهای بدون دسترسی به موبایل یا با نویز رادیویی بالا، توکن‌های سخت‌افزاری مانند ۲۰۰ گزینه بهتری هستند.

 

کاربرد FortiToken برای مدیران و کاربران دورکار

– مدیران سیستم:

  • فعال‌سازی 2FA برای کلیه کاربران با دسترسی مدیریتی

– کاربران دورکار:

  • SSL VPN: کاربر پس از وارد کردن نام کاربری و رمز عبور، باید OTP یا کلید FIDO ارائه دهد.
  • IPSEC VPN شامل (XAuth, IKEv2‑EAP): احراز هویت دومرحله‌ای در لایه Extended Authentication انجام می‌شود.
  • ZTNA: ترکیب FortiGate با FortiClient EMS و FortiAuthenticator امکان اعمال سیاست Conditional Access بر اساس وجود یا عدم وجود توکن را فراهم می‌کند.

سرمایه‌گذاری روی فورتی توکن تنها محدود به امنیت لایه مدیریت نیست؛ بلکه امنیت کاربران دورکار، پیمانکاران و حتی مشتریانی که از خارج سازمان به منابع دسترسی دارند را نیز تضمین می‌کند.

جمع‌بندی

پیاده‌سازی احراز هویت دوعاملی در FortiGate با استفاده از FortiToken Mobile یا مدل‌های سخت‌افزاری ۲۰۰، ۳۰۰ و ۴۰۰ راهکاری امن، مقیاس‌پذیر و مطابق با استانداردهای جهانی است.

انتخاب مدل مناسب به عواملی مانند نوع کاربران، نیازهای امنیتی، الزامات انطباق‌پذیری، و تجربه کاربری بستگی دارد. برای شبکه‌های کوچک با کاربران دارای گوشی‌های هوشمند، فورتی‌توکن موبایل بهترین گزینه است. در مراکز داده یا سازمان‌های با الزامات PKI، سری ۳۰۰/۳۱۰ پیشنهاد می‌شود؛ و برای کسب‌وکارهای مبتنی بر فضای ابری با رویکرد Passwordless، سری ۴۰۰/۴۱۰ مناسب‌ترین گزینه خواهد بود.

با انتخاب صحیح، FortiGate نه تنها حساب‌های حساس مدیریتی را ایمن می‌سازد، بلکه تانل‌های ارتباطی کاربران دورکار را نیز در برابر تهدیدهای سرقت هویت و فیشینگ محافظت می‌کند.

نوشتن دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


دسته‌های مطالب

مطالب مرتبط

جدیدترین مطالب