Wechseln zu:Navigation, Suche
Wiki

OTP - One-Time-Password

Aus Securepoint Wiki























































































De.png
En.png
Fr.png









Wichtige Hinweise bei der Verwendung des OTP-Verfahrens

Letzte Anpassung zur Version: 14.0.0

Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Authentifizierung Benutzer


Vorbemerkungen

Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich.

notempty
Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss jeder Administrator über diesen Token verfügen, um auf das Gerät zugreifen zu können. Eine Ausnahme auf User-Basis ist nicht möglich!



SSL-VPN:
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.

Die Renegotiation kann im Menü VPN SSL-VPN in den Einstellungen einer Verbindung im Reiter Allgemein unter Renegotiation erhöht oder komplett deaktiviert werden.
Die Deaktivierung wird nicht empfohlen. Eine Änderung wird durch die UTM an die SSL-VPN Clients übermittelt.

Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

Im Falle eines Ausfalls des OTP-Generators (Smartphone oder Hardware Token) kann das OTP nur generiert werden, wenn Zugriff auf den QR-Code bzw. den Secret-Code besteht.
Dieser findet sich unter Authentifizierung Benutzer OTP Codes.

notempty
Fällt der OTP-Generator für den Administrator-Zugang aus, wird eine ausgedruckte Version des QR-Codes benötigt.
Sollte diese nicht vorliegen, ist ein Zugriff auf die UTM nur noch mit physischem Zugang direkt am Gerät (Tastatur und Monitor an der UTM) möglich.


Ausdruck dieses Codes für die Administratoren, wie unter OTP Secret beschrieben. Ablage in der Dokumentation.

  • Da das OTP-Verfahren zeit basiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft.
    Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen:
    • Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget-Auswahl, wenn diese nicht ausgeklappt ist oder im Menü Netzwerk Servereinstellungen  Bereich Zeiteinstellungen
    • Über das CLI mit dem Kommando system date get
    • Über die Root Konsole mit dem Kommando date

    Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:
    • Über die Administrations-Weboberfläche im Menü Netzwerk Servereinstellungen  Bereich Zeiteinstellungen
    • Über das CLI mit dem Kommando system date set date anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss


    OTP - One-Time-Password

    Das One-Time-Password ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.
    In der UTM wird das Zeit-Basierte-Verfahren verwendet (TOTP: Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.
    Um diese sechs-stellige Passwort zu generieren, gibt es verschiedene Möglichkeiten:

    • Smartphone App: Es kann eine Smartphone App genutzt werden, die das Passwort berechnet. Zum Beispiel der Google Authenticator, diesen gibt es für Android und iOS, oder aber auch andere Apps wie bspw. FreeOTP+ für Android, diese bieten ggf. sogar einen größeren Leistungsumfang wie Export der Tokens, bessere Hash-Algorithmen usw.
    • Passwortmanager für den PC: Es kann ein Passwortmanager für den PC verwendet werden, welcher OTPs erzeugen kann bspw. KeepassXC.
    • Hardware Token: Es gibt Hardware Tokens die einzig für die Generierung von OTPs zuständig sind.


    OTP einrichten

    Ablauf bei Aktivierung

    Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk UTM v14.0.0 OTP Zeit ueberpruefen.png
    Abb.1
    • Sicherstellen, dass die Uhrzeit der UTM und des Tokens synchron läuft
      Die Genaue Zeit der UTM wird unter Netzwerk Servereinstellungen  Bereich Servereinstellungen Abschnitt Zeiteinstellungen angezeigt
    OTP UTMbenutzer@firewall.name.fqdnAuthentifizierung UTM v14.0.0 OTP aktivieren.png
    Abb.2
    • Aktivieren des OTP-Verfahrens auf der UTM
      Unter Authentifizierung OTP
    UTM v14.0.0 OTP derzeit kein OTP zugewiesen.png
    notempty
    Neuer Dialog
     Abb.3
    • Falls Benutzer existieren, für die kein OTP konfiguriert ist, werden diese hier aufgelistet
    • Mit Nein wird der Speichervorgang abgebrochen
    • Mit Ja werden automatisch OTP Konfigurationen für alle Benutzer vorgenommen, anschließend wird der Code für den aktuellen Benutzer angezeigt
    UTM v14.0.0 OTP generierter OTP.png
    notempty
    Neuer Dialog
     Abb.4
    • Anzeige des automatisch konfigurierten OTP Codes für den aktuellen Benutzer
    notempty
    Dieser muss umbedingt notiert werden, da ohne diesen das Anmelden mit diesem Benutzer nicht möglich ist!













    Benutzer mit OTP einrichten

    Zunächst werden die Benutzer unter Authentifizierung Benutzer wie gehabt angelegt.
    Siehe dazu auch Benutzerverwaltung.
    Der OTP-Code für diesen Benutzer kann erst angezeigt werden, wenn die Eingaben zum Benutzer gespeichert wurden.
    Anzeigen oder ändern mit klick auf den editieren Button in der Benutzer Zeile im Reiter OTP auf der rechten Seite.

    Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor.
    Zum einen als QR-Code, der einfach mit der Smartphone App abfotografiert werden kann, und zum anderen in Text-Form zum eingeben über die Tastatur.

    OTP Konfiguration
    Beschriftung Wert Beschreibung Benutzer bearbeiten UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6.1 Authentifizierung Benutzer OTP.pngOTP Benutzer
    Eingabeformat: base32 kodiert Default-Einstellung, base32 kodiert, 16 Zeichen Länge
    Codes mit weniger als 26 Zeichen Länge können u.U. von OTP-Apps als unsicher gekennzeichnet werden
    base64 kodiert base64 kodiert, Länge 16 - 168 Zeichen (in 4er Blöcken), manuelle Eingabe
    HEX kodiert HEX-kodiert, Gültige Zeichen: A-F, a-f und 0-9 / Länge 10-128 Paare, manuelle Eingabe
    Hash-Algorithmus: sha1
    Default    		 Der Hash-Algorithmus kann ausgewählt werde
    sha256 notempty
    Nicht jede Authenticator App unterstützt jeden Hash-Algorithmus! Einige dieser Apps unterstützen kein sha256, oder sha512.
    Bei Verwendung dieser Apps muss ggf. Default Wert beibehalten werden.

  • Beispiel: Die Apps Google Authenticator und Microsoft Authenticator unterstützt ausschließlich den Hash-Algorithmus sha1.
    • sha512
    Intervall: 30Link= Das Intervall sollte auf 30 Sekunden eingestellt sein
    Wird ein Hardware-Token verwendet, muss dessen Wert übernommen werden.
    OTP Apps sind oft auf eine Aktualisierung des Tokens alle 30 Sekunden optimiert.
    Code: DQUZGDQS3UM2KOKL Gibt den Code in Text-Form an.
    Es ist hier auch möglich manuell einen Code einzutragen, z.B. ein Hardware Token.
    Erzeugt einen neuen Code mit den Default-Vorgaben (base32 kodiert, Intervall 30 Sekunden)
    Resultierender Code
    Secret: DQUZGDQS3UM2KOKL Gibt den Code in Text-Form an
    OTP-Code überprüfen:     Hier kann ein OTP-Code der mit einem entsprechenden OTP-Generator erzeugt wurde, eingegeben werden, um zu überprüfen, ob der OTP-Generator korrekt eingerichtet wurde.


    OTP Secret

    UTM v12.4 OTP PDF Drucken.png
    OTP PDF Dokument

    Zur Weitergabe an die Benutzer besteht die Möglichkeit, die erstellten Codes auszudrucken.
    OTP Codes
    Es wird dann ein Dokument im PDF Format wie folgt erstellt:



    Einrichten eines Authenticators

    Zunächst muss ein Authenticator aus dem App-Store heruntergeladen, installiert und geöffnet werden. Im Beispiel: Google Authenticator
    Das erste Fenster enthält eine Übersicht über die zwei Stufen zur Authentifizierung bei Google Account:     		OTP Einrichten des Google Authenticator für OTP.png
    OTP mit dem Google Authenticator erzeugen
    Einrichten mit QR-Code:
    • ggf. Schaltfläche Account hinzufügen / + o.ä. wählen
    • Schaltfläche QR-Code scannen oder auf QR-Code-Symbol klicken
    • spätestens jetzt: Zugriff auf Kamera erlauben
    • Es wird Ein Konto mit der Bezeichnung der Firewall und dem Benutzernamen erstellt
    • Es wird unmittelbar oder durch tippen auf den Eintrag ein gültiger OTP-Code angezeigt, der überprüft werden kann
    Einrichten mit Einrichtungsschlüssel:
    • Accountnamen eingeben
    • Key / Secret eintragen
      • Key-Typ: Zeitbasiert / TOTP
      • Digits: 6
      • Algorythmus: SHA1
      • Interval 30 Sekunden
    • Es wird Ein Konto mit dem angegebenen Accountnamen erstellt
    • Es wird unmittelbar oder durch tippen auf den Eintrag ein gültiger OTP-Code angezeigt, der überprüft werden kann


    Nutzung eines Hardware Tokens

    Auch die Nutzung eines Hardware Token ist möglich.
    Dabei sollte es sich um einen RFC 6238 kompatiblen Passwort Generator handeln.
    Von Securepoint's Seite wird derzeit der Feitian OTP c200 unterstützt.
    Vom Lieferanten wird dazu ein Download-Link für den HEX Code versendet, der wie oben beschrieben beim Benutzer hinterlegt werden muss.
    Folgende Parameter müssen dabei verwendet werden:

    • SHA Algorithmus: SHA1
    • Zeitintervall: 30 Sekunden
    • Optional: SEED-Programmierung
      Hintergrund zur SEED-Programmierung: Wenn der Token ggf. in nicht vertrauenswürdigen Drittstaaten produziert wird und man sicher stellen möchte, dass dieser nicht schon bei der Lieferung Schadcode beinhaltet oder anderweitig kompromittiert ist, kann dieser z.B. von der Firma Mtrix für einen geringen Betrag neu programmiert.


    notempty
    Es muss darauf geachtet werden den Token Key einzutragen und nicht die Token ID.
    Bei der ID handelt es sich um eine Seriennummer des Tokens, beim Key um einen 32 bis 40 Zeichen langen Code.


    notempty
    Achtung: Der OTP-Seed lässt sich per LDAP auslesen, wenn dieser in den Nutzerattributen im AD hinterlegt ist.


    OTP den Anwendungen zuweisen

    Unter Authentifizierung OTP kann ausgewählt werden, bei welchen Anwendungen sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.

    Webinterfaces
         		OTP UTMbenutzer@firewall.name.fqdnAuthentifizierung UTM v12.7.3 OTP Authentifizierung OTP.pngOTP Anwendungen
    Aus Administrator-Webinterface
    Der CLI-Befehl, um OTP für das Admin-Interface zu aktivieren lautet: extc global set variable GLOB_AI_OTP_AUTH value 1
    Aus Anwender-Webinterface
    Der CLI-Befehl, um OTP für das User-Interface zu aktivieren lautet: extc global set variable GLOB_UI_OTP_AUTH value 1

    VPN
     (Roadwarrior-Verbindungen)
    Aus IPSec
    Der CLI-Befehl für IPSec lautet: extc value set application ipsec variable USE_OTP value 1
    notempty
    Ab v12.7.3:
    .

    Firewall
    Aus SSH (Konsole)
    Der CLI-Befehl für SSH lautet: extc value set application sshd variable USE_OTP value 1
    notempty
    Fällt der OTP-Generator für den Administrator-Zugang aus, wird eine ausgedruckte Version des QR-Codes benötigt.
    Sollte diese nicht vorliegen, ist ein Zugriff auf die UTM nur noch mit physischem Zugang direkt am Gerät (Tastatur und Monitor an der UTM) möglich.


    OTP benutzen

    Webinterface

    UTM v12.6.1 UI Login OTP.png
    OTP Login

    Bei einem Login auf das Administrations- oder User-Webinterface gibt es nun ein weiteres Authentifikationsfeld:
        für den OTP-Code.
    Hier wird zusätzlich zum Benutzernamen und Passwort, der generierte Code eingetragen.



    VPN

    Im SSL-VPN Client kann eingestellt werden, ob der OTP-Code extra abgefragt werden soll. Eine genauere Erklärung dazu findet sich hier.
    Wenn die Gegenstelle ein separates übermitteln des OTP-Kennwortes erlaubt, kann wie folgt vorgegangen werden:
    Starten der SSL-VPN Verbindung auf dem Client (Unter Windows: Doppelklick auf das Schloss-Symbol in der Taskleiste).
    Aufbau der Verbindung mit Klick auf SSL-VPN-v2 Verbindung-aufbauen.png Die Verbindung wird in drei Schritten Aufgebaut:

    SSL-VPN-v2 Benutzername.png
    Eingabe Benutzername: User
    SSL-VPN-v2 Kennwort.png
    Eingabe Kennwort: insecure
    SSL-VPN-v2 OTP.png
    Eingabe OTP: 123456
    SSL-VPN-v2 Verbunden.png
    Verbunden












    notempty
    Szenario: Gegenstelle erlaubt kein separates übermitteln des OTP-Codes:
    Wenn OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung eingesetzt wird und die Gegenstelle die separate Übermittlung des OTP-Codes nicht unterstützt, muss bei der Passwortabfrage der OTP-Code ohne Leerzeichen direkt hinter dem Benutzerkennwort eingetragen werden.
    SSL-VPN-v2 Benutzername.png
    Eingabe Benutzername: User
    SSL-VPN-v2 OTP.png
    Eingabe Kennwort und OTP: insecure123456













    Beispiel:

    Passwort: insecure Das Speichern des Kennworts im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem sich stets änderndem OTP zusammensetzt.
    OTP: 123456
    Kennwort: insecure123456


    SSH-Verbindung

    Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code in einer separaten Zeile Pin abgefragt.

    notempty
    VPN mit UTM, wenn die Gegenstelle kein separates übermitteln des OTP-Kennwortes erlaubt:


    UTMv11-7 SSH-Login.png
    SSH-Login mit OTP unter PuTTY und v11.7.15

    Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird und die Gegenstalle kein separates übermitteln des OTP-Codes erlaubt, wird der OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort eingegeben.
    Beispiel

    Passwort in UTM: insecure
    OTP: 123456
    Passwort: insecure123456

    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/AUTH/OTP&oldid=93828