Juniper VPN的MFA

Juniper VPN MFA

Juniper VPN，也称为Juniper Secure Connect，是Juniper Networks的VPN套件，被组织广泛使用，允许远程员工安全访问其域网络中的资源。这些资源通常包含敏感数据，并可能成为网络犯罪分子的目标，这从影响使用Juniper VPN的企业的预授权远程代码执行（RCE）漏洞中看出。虽然Juniper VPN确实采用强大的身份验证流程来阻止攻击，但采取额外的安全措施总是有益的。

ManageEngine ADSelfService Plus是一个全面的MFA解决方案，可以增强Juniper VPN登录的安全性。该解决方案提供高级身份验证选项、有条件访问策略以及可定制的配置和审计功能，确保远程用户免受各种网络威胁的增强保护。此外，ADSelfService Plus帮助组织遵守NIST SP 800-63B、GDPR、HIPAA和PCI DSS等关键法规和标准。

探索Juniper VPN的高级身份验证器

ADSelfService Plus支持以下Juniper VPN MFA的身份验证器：

生物识别和TOTP是基于占有和固有的身份验证方法，被认为比基于知识的因素更安全。使用它们创建您的MFA策略可以确保免受字典攻击、网络钓鱼、键盘记录和其他形式的密码攻击。

为Juniper VPN启用MFA

ADSelfService Plus具有直观的管理员门户，专为全面、精细的VPN MFA策略配置而设计。管理员可以创建和应用针对特定域内组织单位和组的Juniper VPN用户量身定制的各种MFA策略。他们还可以为每个策略选择首选身份验证器，确保用户仅接受与其企业权限一致的MFA流程。

一旦使用ADSelfService Plus设置Juniper VPN，登录过程如下：

1. 用户打开Juniper VPN。
2. 用户使用其AD域凭据完成第一阶段的身份验证。
3. 如果成功，ADSelfService Plus 会启动 MFA 流程，最多涉及三个身份验证阶段。
4. 一旦用户完成MFA流程，他们就会登录Juniper VPN

ADSelfService Plus 中的 VPN MFA 流程还可以处理特定于供应商的 RADIUS 属性，这可能会影响访问和授权。该解决方案利用NPS扩展将RADIUS请求从Juniper VPN服务器转发到ADSelfService Plus，然后在MFA流程成功完成后将RADIUS接受状态发回VPN服务器。此响应还可以包括来自Juniper VPN的自定义属性，如群组成员、资源权限和授权详细信息，这些属性在RADIUS请求期间结带走。

ADSelfService Plus的VPN MFA的好处

• 有条件访问：ADSelfService Plus的有条件访问功能通过应用特定的身份验证策略来增强VPN MFA，这些策略在授予访问之前评估IP地址、地理位置、设备类型和访问时间等条件。例如，只有当用户从受信任的网络登录并在工作时间使用兼容设备时，MFA 才会被减少。这种方法确保只有安全、经过验证的访问尝试才能成功，从而降低未经授权的访问风险，同时提高安全态势。
• 实时审计：ADSelfService Plus提供详细的内置报表，用于审核用户的MFA尝试，并记录关键信息，包括MFA尝试时间、设备类型、IP地址和使用的身份验证器。这些日志也可以发送到SIEM解决方案，以便进一步分析和可操作的响应。
• 整体端点保护：ADSelfService Plus不仅仅保护VPN登录。该解决方案的扩展MFA功能可以强化企业中的所有关键端点，包括机器、企业应用程序、Microsoft OWA和IIS应用程序。这有助于企业制定全面且针对每个部门量身定制的全企业身份安全战略。

支持的VPN提供商：

ADSelfService Plus的VPN MFA功能建立在标准RADIUS协议之上，并支持所有基于RADIUS的VPN提供商，包括：

您还可以启用MFA来保护非VPN RADIUS端点，如Citrix Gateway、Microsoft Remote Desktop Gateway和VMware Horizon View。