KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| (4 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 25: | Zeile 25: | ||
| If the OTP method is active for the admin web interface and SSH console, {{r|<u> each administrator</u>}} must have this token to access the device. Exception on user basis is not possible! }} | | If the OTP method is active for the admin web interface and SSH console, {{r|<u> each administrator</u>}} must have this token to access the device. Exception on user basis is not possible! }} | ||
{{var | Vorbemerkungen SSL-VPN | {{var | Vorbemerkungen SSL-VPN | ||
| Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.<br><br> Die Renegotiation kann im Menü {{Menu-UTM|VPN|SSL-VPN}} in den Einstellungen {{Button||w}} einer Verbindung im Reiter {{Reiter|Allgemein}} unter {{b|Renegotiation}} erhöht oder komplett deaktiviert werden.<br> Die Deaktivierung wird nicht empfohlen. Eine Änderung wird durch die UTM an die SSL-VPN Clients übermittelt.<br><br> Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.<br>br> Im Falle eines Ausfalls des OTP-Generators (Smartphone oder Hardware Token) kann das OTP nur generiert werden, wenn Zugriff auf den QR-Code bzw. den Secret-Code besteht.<br> Dieser findet sich unter {{Menu-UTM|Authentifizierung|Benutzer}} {{Button|OTP Codes|p}}. | | Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.<br><br> Die Renegotiation kann im Menü {{Menu-UTM|VPN|SSL-VPN}} in den Einstellungen {{Button||w}} einer Verbindung im Reiter {{Reiter|Allgemein}} unter {{b|Renegotiation}} erhöht oder komplett deaktiviert werden.<br> Die Deaktivierung wird nicht empfohlen. Eine Änderung wird durch die UTM an die SSL-VPN Clients übermittelt.<br><br> Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.<br><br> Im Falle eines Ausfalls des OTP-Generators (Smartphone oder Hardware Token) kann das OTP nur generiert werden, wenn Zugriff auf den QR-Code bzw. den Secret-Code besteht.<br> Dieser findet sich unter {{Menu-UTM|Authentifizierung|Benutzer}} {{Button|OTP Codes|p}}. | ||
| Since SSL VPN re-authenticates every hour, a new OTP must also be entered every hour.<br><br> Renegotiation can be increased or completely disabled in the {{Menu-UTM|VPN|SSL-VPN}} menu in the {{Button||w}} settings of a connection in the {{Reiter|General}} tab under {{b|Renegotiation}}.<br> Of course, disabling is not recommended. A change is transmitted by the UTM to the SSL VPN clients.<br><br> Saving the password in the SSL VPN client is not possible because the password that is passed is composed of the static user password and the OTP.<br><br> In case of malfunction of the OTP generator (smartphone or hardware token), the OTP can only be generated if there is access to the QR code or the secret code.<br> This can be found under {{Menu-UTM|Authentication|User}} {{Button|OTP Codes|p}}. }} | | Since SSL VPN re-authenticates every hour, a new OTP must also be entered every hour.<br><br> Renegotiation can be increased or completely disabled in the {{Menu-UTM|VPN|SSL-VPN}} menu in the {{Button||w}} settings of a connection in the {{Reiter|General}} tab under {{b|Renegotiation}}.<br> Of course, disabling is not recommended. A change is transmitted by the UTM to the SSL VPN clients.<br><br> Saving the password in the SSL VPN client is not possible because the password that is passed is composed of the static user password and the OTP.<br><br> In case of malfunction of the OTP generator (smartphone or hardware token), the OTP can only be generated if there is access to the QR code or the secret code.<br> This can be found under {{Menu-UTM|Authentication|User}} {{Button|OTP Codes|p}}. }} | ||
{{var | Vorbemerkungen SSL-VPN--Hinweis | {{var | Vorbemerkungen SSL-VPN--Hinweis | ||
| Zeile 52: | Zeile 52: | ||
* Using the CLI with the command {{code|system date set date}} then seperated with spaces the current date and time in the format YYYY-MM-DD hh:mm:ss }} | * Using the CLI with the command {{code|system date set date}} then seperated with spaces the current date and time in the format YYYY-MM-DD hh:mm:ss }} | ||
{{var | 1=One-Time-Password--desc | {{var | 1=One-Time-Password--desc | ||
| 2=Das One-Time-Password ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.<br> In der UTM wird das Zeit-Basierte-Verfahren verwendet (TOTP: Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.<br> Um | | 2=Das One-Time-Password ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.<br> In der UTM wird das Zeit-Basierte-Verfahren verwendet (TOTP: Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.<br> | ||
Um diese sechs-stellige Passwort zu generieren, gibt es verschiedene Möglichkeiten: | |||
* Smartphone App: Es kann eine Smartphone App genutzt werden, die das Passwort berechnet. Zum Beispiel der [https://de.wikipedia.org/wiki/Google_Authenticator Google Authenticator], diesen gibt es für [https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 Android] und [https://apps.apple.com/de/app/google-authenticator/id388497605 iOS], oder aber auch andere Apps wie bspw. FreeOTP+ für Android, diese bieten ggf. sogar einen größeren Leistungsumfang wie Export der Tokens, bessere Hash-Algorithmen usw. | |||
* Passwortmanager für den PC: Es kann ein Passwortmanager für den PC verwendet werden, welcher OTPs erzeugen kann bspw. KeepassXC. | |||
* Hardware Token: Es gibt Hardware Tokens die einzig für die Generierung von OTPs zuständig sind. | |||
| 3= }} | |||
{{var | OTP einrichten | {{var | OTP einrichten | ||
| OTP einrichten | | OTP einrichten | ||
| Zeile 71: | Zeile 75: | ||
# Testing the login, <u>before</u> the current session has ended | # Testing the login, <u>before</u> the current session has ended | ||
{{Hinweis-box|If the method is activated, <u>each user</u> of the selected applications must additionally log in via OTP. Exceptions are not possible.|g}} }} | {{Hinweis-box|If the method is activated, <u>each user</u> of the selected applications must additionally log in via OTP. Exceptions are not possible.|g}} }} | ||
{{var | Zeit überprüfen--Bild | |||
| UTM v14.0.0 OTP Zeit ueberpruefen.png | |||
| UTM v14.0.0 OTP Zeit ueberpruefen-en.png }} | |||
{{var | Zeit überprüfen--cap | |||
| | |||
* Sicherstellen, dass die Uhrzeit der UTM und des Tokens synchron läuft {{info|Die Genaue Zeit der UTM wird unter {{Menu-UTM|Netzwerk|Servereinstellungen|Servereinstellungen}} Abschnitt {{Reiter|Zeiteinstellungen}} angezeigt}} | |||
| }} | |||
{{var | Servereinstellungen | |||
| Servereinstellungen | |||
| }} | |||
{{var | Netzwerk | |||
| Netzwerk | |||
| }} | |||
{{var | OTP aktivieren--Bild | |||
| UTM v14.0.0 OTP aktivieren.png | |||
| UTM v14.0.0 OTP aktivieren-en.png }} | |||
{{var | OTP aktivieren--cap | |||
| | |||
* Aktivieren des OTP-Verfahrens auf der UTM {{info|Unter {{Menu-UTM|Authentifizierung|OTP}} }} | |||
| }} | |||
{{var | Authentifizierung | |||
| Authentifizierung | |||
| }} | |||
{{var | derzeit kein OTP zugewiesen--Bild | |||
| UTM v14.0.0 OTP derzeit kein OTP zugewiesen.png | |||
| UTM v14.0.0 OTP derzeit kein OTP zugewiesen-en.png }} | |||
{{var | derzeit kein OTP zugewiesen--cap | |||
| | |||
* Falls Benutzer existieren, für die kein OTP konfiguriert ist, werden diese hier aufgelistet | |||
* Mit {{Button|Nein}} wird der Speichervorgang abgebrochen | |||
* Mit {{Button|Ja}} werden automatisch OTP Konfigurationen für alle Benutzer vorgenommen, anschließend wird der Code für den aktuellen Benutzer angezeigt | |||
| }} | |||
{{var | generierter OTP--Bild | |||
| UTM v14.0.0 OTP generierter OTP.png | |||
| UTM v14.0.0 OTP generierter OTP-en.png }} | |||
{{var | generierter OTP--cap | |||
| | |||
* Anzeige des automatisch konfigurierten OTP Codes für den aktuellen Benutzer | |||
{{Hinweis-box|Dieser muss umbedingt notiert werden, da ohne diesen das Anmelden mit diesem Benutzer <u>nicht</u> möglich ist!}} | |||
| }} | |||
{{var | Benutzer mit OTP einrichten | {{var | Benutzer mit OTP einrichten | ||
| Benutzer mit OTP einrichten | | Benutzer mit OTP einrichten | ||
| Zeile 224: | Zeile 270: | ||
| Under {{Menu-UTM|Authentication|OTP}} one can select for which applications the users should additionally authenticate themselves with the one-time password. }} | | Under {{Menu-UTM|Authentication|OTP}} one can select for which applications the users should additionally authenticate themselves with the one-time password. }} | ||
{{var | OTP den Anwendungen zuweisen--Bild | {{var | OTP den Anwendungen zuweisen--Bild | ||
| UTM v12. | | UTM v12.7.3 OTP Authentifizierung OTP.png | ||
| UTM v12. | | UTM v12.7.3 OTP Authentifizierung OTP-en.png }} | ||
{{var | OTP den Anwendungen zuweisen--cap | {{var | OTP den Anwendungen zuweisen--cap | ||
| OTP Anwendungen | | OTP Anwendungen | ||
| Zeile 250: | Zeile 296: | ||
| Der CLI-Befehl für IPSec lautet: ''extc value set application ipsec variable USE_OTP value 1'' | | Der CLI-Befehl für IPSec lautet: ''extc value set application ipsec variable USE_OTP value 1'' | ||
| The cli command for IPSec is: ''extc value set application ipsec variable USE_OTP value 1'' }} | | The cli command for IPSec is: ''extc value set application ipsec variable USE_OTP value 1'' }} | ||
{{var | Ab v12.7.3 | |||
| Ab v12.7.3 | |||
| As of v12.7.3 }} | |||
{{var | CLI-Info-SSL VPN | {{var | CLI-Info-SSL VPN | ||
| Der CLI-Befehl für SSL-VPN lautet: ''extc value set application openvpn variable USE_OTP value 1'' | | Der CLI-Befehl für SSL-VPN lautet: ''extc value set application openvpn variable USE_OTP value 1'' | ||
UTM/AUTH/OTP.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki