Come configurare l'autenticazione a due fattori (2FA) utilizzando Google Authenticator per l'accesso remoto VPN IKEv2 e VPN SSL su Zyxel serie H

Questo articolo fornisce una guida chiara e dettagliata sulla configurazione di una VPN IKEv2 Remote Access con autenticazione a due fattori sui dispositivi Zyxel serie H. Imparerai come impostare un'autenticazione utente sicura, integrare Google Authenticator per 2FA e configurare le impostazioni VPN, IP e tunnel necessarie per garantire un accesso remoto affidabile e protetto alla tua rete.

🔹 Nota: sui dispositivi Zyxel serie H che eseguono uOS, il processo di autorizzazione 2FA viene eseguito dopo la creazione del tunnel VPN. La pagina di autenticazione è accessibile tramite il tunnel VPN, non direttamente dall'interfaccia WAN.

Google Authenticator è considerato uno dei metodi più affidabili per la 2FA perché:

• Genera un codice di verifica univoco ogni 30 secondi, riducendo al minimo il rischio di riutilizzo o compromissione.
• Funziona senza connessione a Internet, garantendo l'accesso in ambienti offline.
• È gratuito, leggero e facile da implementare su più piattaforme.

Seguendo questa guida, gli amministratori impareranno come:

• Abilitare e configurare la 2FA sui gateway Zyxel serie H.
• Associare gli account utente VPN a Google Authenticator.
• Implementare un accesso sicuro per le connessioni VPN di accesso remoto (IKEv2) e SSL VPN.

La combinazione della crittografia VPN e della 2FA basata su TOTP fornisce un livello di sicurezza avanzato, garantendo che solo gli utenti autenticati possano stabilire connessioni remote alla rete aziendale.

Nota: tutti gli indirizzi IP di rete e le maschere di sottorete sono utilizzati come esempi in questo articolo. Sostituiscili con i tuoi indirizzi IP di rete e sottorete effettivi. 

• Client VPN SecuExtender: versione 7.7.50.008 o superiore.
• Account utente locale: la 2FA è attualmente supportata solo per gli utenti locali.

Abilitare Google Authenticator per un utente

1. Andare su Utente e autenticazione > Utente/Gruppo.

2. Selezionare l'account utente locale richiesto.

3. Abilita l'autenticazione a due fattori (2FA) e scegli Google Authenticator.

Configurare Google Authenticator

1. Scarica e installa Google Authenticator sul tuo dispositivo mobile.

2. Apri l'app Google Authenticator e scansiona il codice QR visualizzato nella GUI web.

1. Inserisci il codice di verifica generato dall'app nel passaggio 3 dell'interfaccia grafica web.

2. Fai clic su Verifica codice e Fine.

Configura il tempo di validità e i tipi di servizio VPN

1. Abilita l'autenticazione a due fattori (2FA) per l'accesso VPN.

2. Configura il tempo di validità, che definisce il limite di tempo per l'inserimento del codice 2FA (impostazione predefinita: 3 minuti).

3. Selezionare i tipi di servizio VPN che richiedono la 2FA, come VPN con accesso remoto o VPN SSL.

4. Dopo aver stabilito il tunnel VPN, gli utenti devono inserire il codice token tramite l'interfaccia grafica web per completare l'autenticazione.

VPN con accesso remoto (IKEv2)

1. Aprire il tunnel VPN di accesso remoto (IKEv2) utilizzando il client VPN SecuExtender.

2. Quando richiesto, inserisci il codice di verifica generato da Google Authenticator o utilizza un codice di backup.

3. Accedere utilizzando il nome utente, la password e il codice token per completare l'autenticazione.

VPN SSL

1. Apri il tunnel SSL VPN utilizzando il client VPN SecuExtender.

2. Quando richiesto, inserisci il codice di verifica generato da Google Authenticator o utilizza un codice di backup.

3. Accedi utilizzando il tuo nome utente, la password e il codice token per completare l'autenticazione.