Wechseln zu:Navigation, Suche
Wiki




























De.png
En.png
Fr.png





Wichtige Hinweise bei der Verwendung des OTP-Verfahrens
Letzte Anpassung: 10.2022
Neu:

Vorherige Versionen: 11.8.8 11.8 11.7

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
→ Authentifizierung →BenutzerReiter OTP


Vorbemerkungen

Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich.
Hinweis: Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss jeder Administrator über diesen Token verfügen, um auf das Gerät zugreifen zu können.
Eine Ausnahme auf User-Basis ist nicht möglich

SSL-VPN:
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.

Die Renegotiation kann im Menü → VPN →SSL-VPN in den Einstellungen einer Verbindung im Reiter Allgemein unter Renegotiation erhöht oder komplett deaktiviert werden.
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung wird durch die UTM an die SSL-VPN Clients übermittelt. Eine Einstellung in den Clients ist nur bis zur Version 11.8 erforderlich gewesen.

Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

Im Falle eines Ausfalls des OTP-Generators (Smartphone oder Hardware Token) kann das OTP nur generiert werden, wenn Zugriff auf den QR-Code bzw. den Secret-Code besteht. Dieser findet sich unter → Authentifizierung →Benutzer OTP Codes.

Fällt der OTP-Generator für den Administrator-Zugang aus, benötigt man eine ausgedruckte Version des QR-Codes.
Sollte diese nicht vorliegen, ist ein Zugriff auf die UTM nur noch mit physischem Zugang direkt am Gerät (Tastatur und Monitor an der UTM) möglich.

Ausdruck dieses Codes für die Administratoren, wie unter OTP Secret beschrieben. Ablage in der Dokumentation.

Hinweis: Da das OTP-Verfahren zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft.

Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen:

  • Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl wenn diese nicht ausgeklappt ist oder im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
  • Über das CLI mit dem Kommando system date get
  • Über die Root Konsole mit dem Kommando date

Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:

  • Über die Administrations-Weboberfläche im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
  • Über das CLI mit dem Kommando system date set date anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss


OTP - One-Time-Password

Das One-Time-Password (OTP) ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.
In der UTM wird das Zeit-Basierte-Verfahren verwendet (TOTP = Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.

Um dieses 6 stellige Passwort zu generieren, wird als Token eine Smartphone App genutzt, wie z.B. der Google Authenticator. Dieser ist sowohl für Android, als auch für iOS Geräte verfügbar.
Andere Apps, wie z.B. FreeOTP für Android, sind ebenfalls möglich.


OTP einrichten

Ablauf bei Aktivierung

  1. Sicherstellen, dass die Uhrzeit der UTM und des Tokens synchron läuft
  2. Übertragung des Geheimcodes an den Token
  3. Aktivieren des OTP Verfahrens auf der UTM
  4. Testen der Anmeldung, bevor die aktuelle Session beendet wurde

Ist das Verfahren aktiviert, muss sich jeder Benutzer der ausgewählten Anwendungen zusätzlich per OTP anmelden.
Ausnahmen sind nicht möglich.


Benutzer mit OTP einrichten

Zunächst werden die Benutzer unter → Authentifizierung →Benutzer wie gehabt angelegt.
Siehe dazu auch Benutzerverwaltung.
Der OTP-Code für diesen Benutzer kann erst angezeigt werden, wenn die Eingaben zum Benutzer gespeichert wurden.
Anzeigen oder ändern mit klick auf den editieren Button in der Benutzer Zeile im Reiter OTP auf der rechten Seite.

Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor.
Zum einen als QR-Code, der einfach mit der Smartphone App abfotografiert werden kann, und zum anderen in Text-Form zum eingeben über die Tastatur.


╭╴OTP Konfiguration ╶╮
Eingabeformat: base32 kodiert default UTM v12.4 Authentifizierung Benutzer bearbeiten OTP.png
OTP Benutzer
base64 kodiert
HEX kodiert
Intervall: 30 (Default)Link= Der Intervall muss immer auf 30 Sekunden gestellt sein
Code: 4ZZDUV5ZGDMOUVLT Gibt den Code in Text-Form an
Es ist hier auch möglich manuell einen Code einzutragen, z.B. ein Hardware Token.
Mit dieser Schaltfläche kann der Code neu erzeugt werden

╭╴Resultierender Code ╶╮
Secret: 4ZZDUV5ZGDMOUVLT Gibt den Code in Text-Form an
OTP-Code überprüfen:     Hier kann ein OTP-Code der mit einem entsprechenden OTP-Generator erzeugt wurde, eingegeben werden, um zu überprüfen, ob der OTP-Generator korrekt eingerichtet wurde.


OTP Secret

OTP PDF Dokument

Zur Weitergabe an die Benutzer besteht die Möglichkeit, die erstellten Codes auszudrucken.
OTP Codes
Es wird dann ein Dokument im PDF Format wie folgt erstellt:


Einrichten eines Authenticators

Zunächst muss ein Authenticator aus dem App-Store heruntergeladen, installiert und geöffnet werden. Im Beispiel: Google Authenticator

Das erste Fenster enthält eine Übersicht über die zwei Stufen zur Authentifizierung bei Google Account:

OTP Einrichten des Google Authenticator für OTP.png
OTP mit dem Google Authenticator erzeugen
Einrichten mit QR-Code:
  • ggf. Schaltfläche Account hinzufügen / + o.ä. wählen
  • Schaltfläche QR-Code scannen oder auf QR-Code-Symbol klicken
  • spätestens jetzt: Zugriff auf Kamera erlauben
  • Es wird Ein Konto mit der Bezeichnung der Firewall und dem Benutzernamen erstellt
  • Es wird unmittelbar oder durch tippen auf den Eintrag ein gültiger OTP-Code angezeigt, der überprüft werden kann
Einrichten mit Einrichtungsschlüssel:
  • Accountnamen eingeben
  • Key / Secret eintragen
    • Key-Typ: Zeitbasiert / TOTP
    • Digits: 6
    • Algorythmus: SHA1
    • Interval 30 Sekunden
  • Es wird Ein Konto mit dem angegebenen Accountnamen erstellt
  • Es wird unmittelbar oder durch tippen auf den Eintrag ein gültiger OTP-Code angezeigt, der überprüft werden kann

Nutzung eines Hardware Tokens

Auch die Nutzung eines Hardware Token ist möglich.
Dabei sollte es sich um einen RFC 6238 kompatiblen Passwort Generator handeln.

Von unserer Seite wird derzeit der Feithan OTP c200 unterstützt.
Vom Lieferanten wird dazu ein Download-Link für den HEX Code versendet, der wie oben beschrieben beim Benutzer hinterlegt werden muss.

Folgende Parameter müssen dabei verwendet werden:

  • SHA Algorithmus: SHA1
  • Zeitintervall: 30 Sekunden


Optional: SEED-Programmierung Hintergrund zur SEED-Programmierung: Wenn der Token ggf. in nicht vertrauenswürdigen Drittstaaten produziert wird und man sicher stellen möchte, dass dieser nicht schon bei der Lieferung Schadcode beinhaltet oder anderweitig kompromittiert ist, wird dieser von Mtrix für 1,77 Euro neu programmiert.

Es muss darauf geachtet werden den Token Key einzutragen und nicht die Token ID


Bei der ID handelt es sich um eine Seriennummer des Tokens, beim Key um einen 32 bis 40 Zeichen langen Code wie in der Abbildung zu sehen.


OTP den Anwendungen zuweisen

OTP Anwendungen

Unter → Authentifizierung →OTP kann ausgewählt werden bei welchen Anwendungen sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.

╭╴ Webinterfaces ╶╮
Aus Administrator-Webinterface Fällt der OTP-Generator für den Administrator-Zugang aus, benötigt man eine ausgedruckte Version des QR-Codes.
Sollte diese nicht vorliegen, ist ein Zugriff auf die UTM nur noch mit physischem Zugang direkt am Gerät (Tastatur und Monitor an der UTM) möglich.
Aus Anwender-Webinterface

╭╴VPN╶╮ (Roadwarrior-Verbindungen)
Aus IPSec
Aus SSL-VPN

╭╴Firewall╶╮
Aus SSH (Konsole)


OTP benutzen

Webinterface

Login mit OTP

Bei einem Login auf das Administrations- oder User-Webinterface gibt es nun ein weiteres Authentifikationsfeld:
    für den OTP-Code.

Hier wird zusätzlich zum Benutzernamen und Passwort, der generierte Code eingetragen.


VPN

Im SSL-VPN Client kann eingestellt werden, ob der OTP-Code extra abgefragt werden soll. Eine genauere Erklärung dazu findet sich hier.

Wenn die Gegenstelle ein separates übermitteln des OTP-Kennwortes erlaubt (UTM ab Version 11.8), kann wie folgt vorgegangen werden:
Starten der SSL-VPN Verbindung auf dem Client (Unter Windows: Doppelklick auf das Schloss-Symbol in der Taskleiste).
Aufbau der Verbindung mit Klick auf SSL-VPN-v2 Verbindung-aufbauen.png

Die Verbindung wird in drei Schritten Aufgebaut:

SSL-VPN-v2 Benutzername.png
Eingabe Benutzername: User
SSL-VPN-v2 Kennwort.png
Eingabe Kennwort: insecure
SSL-VPN-v2 OTP.png
Eingabe OTP: 123456
SSL-VPN-v2 Verbunden.png
Verbunden













Szenario: Gegenstelle erlaubt kein separates übermitteln des OTP-Codes:

Wenn OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung eingesetzt wird und die Gegenstelle die separate Übermittlung des OTP-Codes nicht unterstützt, muss bei der Passwortabfrage der OTP-Code ohne Leerzeichen direkt hinter dem Benutzerkennwort eingetragen werden.

Diese Variante steht nicht in den UTM-Versionen 11.8.0 bis 11.8.3.4 zur Verfügung.
SSL-VPN-v2 Benutzername.png
Eingabe Benutzername: User
SSL-VPN-v2 OTP.png
Eingabe Kennwort und OTP: : insecure123456













Beispiel:

Passwort: insecure Das Speichern des Kennworts im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem sich stets änderndem OTP zusammensetzt.
OTP: 123456
Kennwort insecure123456



SSH-Verbindung

Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code in einer separaten Zeile Pin abgefragt.


VPN mit UTM, wenn die Gegenstelle kein separates übermitteln des OTP-Kennwortes erlaubt:

SSH-Login mit OTP unter PuTTY und v11.7.15

Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird und die Gegenstalle kein separates übermitteln des OTP-Codes erlaubt, wird der OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort eingegeben.
Diese Variante steht nicht in den UTM-Versionen 11.8.0 bis 11.8.3.4 zur Verfügung.

Beispiel:

Passwort in UTM: insecure
OTP 123456
Password insecure123456