Cómo crear usuarios con autenticación multifactor (MFA) usando OTP en pfSense

Crear una capa de seguridad adicional en tus sistemas de red es fundamental para proteger la integridad y accesibilidad de los datos. Implementar el uso de autenticación multifactor (MFA) con contraseñas de un solo uso (OTP) en pfSense es una excelente práctica para reforzar la seguridad en las conexiones VPN y en la administración del sistema. Aquí encontrarás una guía detallada para crear usuarios con MFA (OTP) en pfSense, asegurando que tus datos estén bien protegidos.


Acceder a la interfaz de administración de pfSense

Inicia sesión en la interfaz web de pfSense usando tus credenciales administrativas. Es importante utilizar una cuenta con permisos completos para poder realizar modificaciones en la configuración.

Navegar a la sección de usuarios en FreeRADIUS

Una vez que estés dentro de pfSense, dirígete al menú Services > FreeRADIUS > Users. Allí podrás gestionar los usuarios que se conectan mediante MFA. Para agregar un nuevo usuario, haz clic en el botón [+ Add] .

Configuración general del usuario

Rellena los campos necesarios de la siguiente manera:

  • Username: Ingresa el nombre de usuario que se usará para la conexión.
  • Password: Deja este campo vacío, ya que utilizarás OTP en lugar de una contraseña tradicional.
  • Password Encryption: Selecciona Cleartext-Password para permitir la autenticación basada en OTP.

Configuración de contraseña

Marca la opción One-Time Password para activar la autenticación multifactor. En OTP Auth Method, selecciona Google Authenticator para generar los códigos de un solo uso. Haz clic en [Generate OTP Secret] para generar la clave secreta que utilizarás para el código QR.

Ahora, deberás definir un PIN de entre 4 y 8 dígitos. Este PIN será la primera parte de la contraseña que el usuario ingresará al iniciar sesión. Después, el código de 6 dígitos generado por la aplicación de autenticación se añadirá para completar la contraseña.

Generar y escanear el código QR

A continuación, haz clic en [Generate QR Code] . Esto generará un código QR que debes escanear con tu dispositivo móvil usando una aplicación como Google Authenticator. Si encuentras dificultades para escanear el código, puedes generar una nueva clave secreta haciendo clic en [Generate OTP Secret] nuevamente y luego generar un nuevo código QR.

Deja el resto de las opciones en blanco si no son necesarias. Haz clic en [Save] para guardar el usuario. Una vez hecho esto, el usuario podrá iniciar sesión en la VPN utilizando el nombre de usuario configurado y una contraseña compuesta por el PIN seguido del código de 6 dígitos generado por la aplicación.