KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| (3 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 25: | Zeile 25: | ||
| If the OTP method is active for the admin web interface and SSH console, {{r|<u> each administrator</u>}} must have this token to access the device. Exception on user basis is not possible! }} | | If the OTP method is active for the admin web interface and SSH console, {{r|<u> each administrator</u>}} must have this token to access the device. Exception on user basis is not possible! }} | ||
{{var | Vorbemerkungen SSL-VPN | {{var | Vorbemerkungen SSL-VPN | ||
| Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.<br><br> Die Renegotiation kann im Menü {{Menu-UTM|VPN|SSL-VPN}} in den Einstellungen {{Button||w}} einer Verbindung im Reiter {{Reiter|Allgemein}} unter {{b|Renegotiation}} erhöht oder komplett deaktiviert werden.<br> Die Deaktivierung wird nicht empfohlen. Eine Änderung wird durch die UTM an die SSL-VPN Clients übermittelt.<br><br> Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.<br>br> Im Falle eines Ausfalls des OTP-Generators (Smartphone oder Hardware Token) kann das OTP nur generiert werden, wenn Zugriff auf den QR-Code bzw. den Secret-Code besteht.<br> Dieser findet sich unter {{Menu-UTM|Authentifizierung|Benutzer}} {{Button|OTP Codes|p}}. | | Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.<br><br> Die Renegotiation kann im Menü {{Menu-UTM|VPN|SSL-VPN}} in den Einstellungen {{Button||w}} einer Verbindung im Reiter {{Reiter|Allgemein}} unter {{b|Renegotiation}} erhöht oder komplett deaktiviert werden.<br> Die Deaktivierung wird nicht empfohlen. Eine Änderung wird durch die UTM an die SSL-VPN Clients übermittelt.<br><br> Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.<br><br> Im Falle eines Ausfalls des OTP-Generators (Smartphone oder Hardware Token) kann das OTP nur generiert werden, wenn Zugriff auf den QR-Code bzw. den Secret-Code besteht.<br> Dieser findet sich unter {{Menu-UTM|Authentifizierung|Benutzer}} {{Button|OTP Codes|p}}. | ||
| Since SSL VPN re-authenticates every hour, a new OTP must also be entered every hour.<br><br> Renegotiation can be increased or completely disabled in the {{Menu-UTM|VPN|SSL-VPN}} menu in the {{Button||w}} settings of a connection in the {{Reiter|General}} tab under {{b|Renegotiation}}.<br> Of course, disabling is not recommended. A change is transmitted by the UTM to the SSL VPN clients.<br><br> Saving the password in the SSL VPN client is not possible because the password that is passed is composed of the static user password and the OTP.<br><br> In case of malfunction of the OTP generator (smartphone or hardware token), the OTP can only be generated if there is access to the QR code or the secret code.<br> This can be found under {{Menu-UTM|Authentication|User}} {{Button|OTP Codes|p}}. }} | | Since SSL VPN re-authenticates every hour, a new OTP must also be entered every hour.<br><br> Renegotiation can be increased or completely disabled in the {{Menu-UTM|VPN|SSL-VPN}} menu in the {{Button||w}} settings of a connection in the {{Reiter|General}} tab under {{b|Renegotiation}}.<br> Of course, disabling is not recommended. A change is transmitted by the UTM to the SSL VPN clients.<br><br> Saving the password in the SSL VPN client is not possible because the password that is passed is composed of the static user password and the OTP.<br><br> In case of malfunction of the OTP generator (smartphone or hardware token), the OTP can only be generated if there is access to the QR code or the secret code.<br> This can be found under {{Menu-UTM|Authentication|User}} {{Button|OTP Codes|p}}. }} | ||
{{var | Vorbemerkungen SSL-VPN--Hinweis | {{var | Vorbemerkungen SSL-VPN--Hinweis | ||
| Zeile 32: | Zeile 32: | ||
{{var | Ausdruck dieses Codes für die Administratoren | {{var | Ausdruck dieses Codes für die Administratoren | ||
| Ausdruck dieses Codes für die Administratoren, wie unter [[OTP_V11#OTP_Secret | OTP Secret]] beschrieben. Ablage in der Dokumentation. | | Ausdruck dieses Codes für die Administratoren, wie unter [[OTP_V11#OTP_Secret | OTP Secret]] beschrieben. Ablage in der Dokumentation. | ||
| Printout of this code for the administrators as described in [[ | | Printout of this code for the administrators as described in [[#OTP_Secret | OTP Secret]]. File in the documentation. }} | ||
{{var | Da das OTP-Verfahren zeit basiert ist | {{var | Da das OTP-Verfahren zeit basiert ist | ||
| Da das OTP-Verfahren zeit basiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft.<br> Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen: | | Da das OTP-Verfahren zeit basiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft.<br> Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen: | ||
| Zeile 52: | Zeile 52: | ||
* Using the CLI with the command {{code|system date set date}} then seperated with spaces the current date and time in the format YYYY-MM-DD hh:mm:ss }} | * Using the CLI with the command {{code|system date set date}} then seperated with spaces the current date and time in the format YYYY-MM-DD hh:mm:ss }} | ||
{{var | 1=One-Time-Password--desc | {{var | 1=One-Time-Password--desc | ||
| 2=Das One-Time-Password ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.<br> In der UTM wird das Zeit-Basierte-Verfahren verwendet (TOTP: Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.<br> Um | | 2=Das One-Time-Password ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.<br> In der UTM wird das Zeit-Basierte-Verfahren verwendet (TOTP: Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.<br> | ||
| 3=The | Um diese sechs-stellige Passwort zu generieren, gibt es verschiedene Möglichkeiten: | ||
* Smartphone App: Es kann eine Smartphone App genutzt werden, die das Passwort berechnet. Zum Beispiel der [https://de.wikipedia.org/wiki/Google_Authenticator Google Authenticator], diesen gibt es für [https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 Android] und [https://apps.apple.com/de/app/google-authenticator/id388497605 iOS], oder aber auch andere Apps wie bspw. FreeOTP+ für Android, diese bieten ggf. sogar einen größeren Leistungsumfang wie Export der Tokens, bessere Hash-Algorithmen usw. | |||
* Passwortmanager für den PC: Es kann ein Passwortmanager für den PC verwendet werden, welcher OTPs erzeugen kann bspw. KeepassXC. | |||
* Hardware Token: Es gibt Hardware Tokens die einzig für die Generierung von OTPs zuständig sind. | |||
| 3=The one-time password is an additional authentication mechanism that provides extra security when a user logs in. The UTM uses the time-based method (TOTP: Time-based One Time Password). This calculates a new OTP every 30 seconds from the shared secret code and the current time. | |||
There are several ways to generate this six-digit password: | |||
* Smartphone app: A smartphone app can be used to calculate the password. For example, [https://de.wikipedia.org/wiki/Google_Authenticator Google Authenticator], which is available for [https://play.google.com/store/apps/details?id=com.google.android.apps. authenticator2 Android] and [https://apps.apple.com/de/app/google-authenticator/id388497605 iOS], or other apps such as FreeOTP+ for Android, which may even offer a wider range of features such as token export, better hash algorithms, etc. | |||
* Password manager for PC: A password manager for PC that can generate OTPs can be used, e.g., KeepassXC. | |||
* Hardware tokens: There are hardware tokens that are solely responsible for generating OTPs. }} | |||
{{var | OTP einrichten | {{var | OTP einrichten | ||
| OTP einrichten | | OTP einrichten | ||
| Zeile 71: | Zeile 79: | ||
# Testing the login, <u>before</u> the current session has ended | # Testing the login, <u>before</u> the current session has ended | ||
{{Hinweis-box|If the method is activated, <u>each user</u> of the selected applications must additionally log in via OTP. Exceptions are not possible.|g}} }} | {{Hinweis-box|If the method is activated, <u>each user</u> of the selected applications must additionally log in via OTP. Exceptions are not possible.|g}} }} | ||
{{var | Zeit überprüfen--Bild | |||
| UTM v14.0.0 OTP Zeit ueberpruefen.png | |||
| UTM v14.0.0 OTP Zeit ueberpruefen-en.png }} | |||
{{var | Zeit überprüfen--cap | |||
| | |||
* Sicherstellen, dass die Uhrzeit der UTM und des Tokens synchron läuft {{info|Die Genaue Zeit der UTM wird unter {{Menu-UTM|Netzwerk|Servereinstellungen|Servereinstellungen}} Abschnitt {{Reiter|Zeiteinstellungen}} angezeigt}} | |||
| | |||
* Ensure that the time of the UTM and the token are synchronized {{info|The exact time of the UTM is displayed under {{Menu-UTM|Network|Server Settings|Server Settings}} section {{Tab|Time Settings}}}} }} | |||
{{var | Servereinstellungen | |||
| Servereinstellungen | |||
| Server settings }} | |||
{{var | Netzwerk | |||
| Netzwerk | |||
| Network }} | |||
{{var | OTP aktivieren--Bild | |||
| UTM v14.0.0 OTP aktivieren.png | |||
| UTM v14.0.0 OTP aktivieren-en.png }} | |||
{{var | OTP aktivieren--cap | |||
| | |||
* Aktivieren des OTP-Verfahrens auf der UTM {{info|Unter {{Menu-UTM|Authentifizierung|OTP}} }} | |||
| | |||
* Enabling the OTP procedure on the UTM {{info|Under {{Menu-UTM|Authentication|OTP}} }} }} | |||
{{var | Authentifizierung | |||
| Authentifizierung | |||
| Authentication }} | |||
{{var | derzeit kein OTP zugewiesen--Bild | |||
| UTM v14.0.0 OTP derzeit kein OTP zugewiesen.png | |||
| UTM v14.0.0 OTP derzeit kein OTP zugewiesen-en.png }} | |||
{{var | derzeit kein OTP zugewiesen--cap | |||
| | |||
* Falls Benutzer existieren, für die kein OTP konfiguriert ist, werden diese hier aufgelistet | |||
* Mit {{Button|Nein}} wird der Speichervorgang abgebrochen | |||
* Mit {{Button|Ja}} werden automatisch OTP Konfigurationen für alle Benutzer vorgenommen, anschließend wird der Code für den aktuellen Benutzer angezeigt | |||
| | |||
* If there are users for whom no OTP has been configured, they will be listed here | |||
* Click {{Button|No}} to cancel the save process | |||
* Click {{Button|Yes}} to automatically configure OTP settings for all users, after which the code for the current user will be displayed }} | |||
{{var | generierter OTP--Bild | |||
| UTM v14.0.0 OTP generierter OTP.png | |||
| UTM v14.0.0 OTP generierter OTP-en.png }} | |||
{{var | generierter OTP--cap | |||
| | |||
* Anzeige des automatisch konfigurierten OTP Codes für den aktuellen Benutzer | |||
{{Hinweis-box|Dieser muss umbedingt notiert werden, da ohne diesen das Anmelden mit diesem Benutzer <u>nicht</u> möglich ist!}} | |||
| | |||
* Display of the automatically configured OTP code for the current user | |||
{{Hinweis-box|This must be noted down, as without it it is <u>not</u> possible to log in with this user!}} }} | |||
{{var | Benutzer mit OTP einrichten | {{var | Benutzer mit OTP einrichten | ||
| Benutzer mit OTP einrichten | | Benutzer mit OTP einrichten | ||
| Zeile 76: | Zeile 132: | ||
{{var | Benutzer mit OTP einrichten--desc | {{var | Benutzer mit OTP einrichten--desc | ||
| Zunächst werden die Benutzer unter {{Menu-UTM|Authentifizierung| Benutzer}} wie gehabt angelegt.<br> Siehe dazu auch [[UTM/AUTH/Benutzerverwaltung| Benutzerverwaltung]].<br> Der OTP-Code für diesen Benutzer kann erst angezeigt werden, wenn die Eingaben zum Benutzer gespeichert wurden.<br> Anzeigen oder ändern mit klick auf den editieren Button {{Button||w}} in der Benutzer Zeile im Reiter {{Reiter|OTP}} auf der rechten Seite.<br><br> Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor.<br> Zum einen als QR-Code, der einfach mit der Smartphone App abfotografiert werden kann, und zum anderen in Text-Form zum eingeben über die Tastatur. | | Zunächst werden die Benutzer unter {{Menu-UTM|Authentifizierung| Benutzer}} wie gehabt angelegt.<br> Siehe dazu auch [[UTM/AUTH/Benutzerverwaltung| Benutzerverwaltung]].<br> Der OTP-Code für diesen Benutzer kann erst angezeigt werden, wenn die Eingaben zum Benutzer gespeichert wurden.<br> Anzeigen oder ändern mit klick auf den editieren Button {{Button||w}} in der Benutzer Zeile im Reiter {{Reiter|OTP}} auf der rechten Seite.<br><br> Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor.<br> Zum einen als QR-Code, der einfach mit der Smartphone App abfotografiert werden kann, und zum anderen in Text-Form zum eingeben über die Tastatur. | ||
| First, the users are created under {{Menu-UTM|Authentication|Users}} as usual.<br> See also [ | | First, the users are created under {{Menu-UTM|Authentication|Users}} as usual.<br> See also [{{#var:host}}UTM/AUTH/Benutzerverwaltung User management].<br> The OTP code for this user can only be displayed after the user's entries have been saved.<br> Display or change by clicking on the edit button {{Button||w}} in the user row in the tab {{Reiter|OTP}} on the right side.<br><br> The code can be created automatically by the Securepoint UTM and is available in two formats.<br> On the one hand as a QR code, which can simply be photographed with the smartphone app, and on the other hand in text form to be entered using the keyboard. }} | ||
{{var | OTP Konfiguration | {{var | OTP Konfiguration | ||
| OTP Konfiguration | | OTP Konfiguration | ||
| Zeile 207: | Zeile 263: | ||
* Zeitintervall: 30 Sekunden | * Zeitintervall: 30 Sekunden | ||
* Optional: SEED-Programmierung {{info| Hintergrund zur SEED-Programmierung: Wenn der Token ggf. in nicht vertrauenswürdigen Drittstaaten produziert wird und man sicher stellen möchte, dass dieser nicht schon bei der Lieferung Schadcode beinhaltet oder anderweitig kompromittiert ist, kann dieser z.B. von der Firma Mtrix für einen geringen Betrag neu programmiert. }} | * Optional: SEED-Programmierung {{info| Hintergrund zur SEED-Programmierung: Wenn der Token ggf. in nicht vertrauenswürdigen Drittstaaten produziert wird und man sicher stellen möchte, dass dieser nicht schon bei der Lieferung Schadcode beinhaltet oder anderweitig kompromittiert ist, kann dieser z.B. von der Firma Mtrix für einen geringen Betrag neu programmiert. }} | ||
| 3=The use of a hardware token is also possible.<br> This should be a [https://www.ietf.org/rfc/rfc6238.txt RFC 6238] compatible password generator.<br> Securepoint currently supports the [https://www.mtrix.de/portfolio/feitian/otp/ Feitian OTP c200].<br> A download link for the HEX code is sent by the supplier for this purpose, which must be registered with the user as described [[ | | 3=The use of a hardware token is also possible.<br> This should be a [https://www.ietf.org/rfc/rfc6238.txt RFC 6238] compatible password generator.<br> Securepoint currently supports the [https://www.mtrix.de/portfolio/feitian/otp/ Feitian OTP c200].<br> A download link for the HEX code is sent by the supplier for this purpose, which must be registered with the user as described [[#Set_up_OTP | above]].<br> The following parameters must be used: | ||
* SHA algorithm: SHA1 | * SHA algorithm: SHA1 | ||
* Time interval: 30 seconds | * Time interval: 30 seconds | ||
| Zeile 274: | Zeile 330: | ||
{{var | Verweis auf OTP-COde extra abfragen | {{var | Verweis auf OTP-COde extra abfragen | ||
| Im SSL-VPN Client kann eingestellt werden, ob der OTP-Code extra abgefragt werden soll. Eine genauere Erklärung dazu findet sich [[VPN#OTP-Code_extra_abfragen |hier]].<br> Wenn die Gegenstelle ein separates übermitteln des OTP-Kennwortes erlaubt, kann wie folgt vorgegangen werden:<br> Starten der SSL-VPN Verbindung auf dem Client (Unter Windows: Doppelklick auf das Schloss-Symbol in der Taskleiste).<br> Aufbau der Verbindung mit Klick auf | | Im SSL-VPN Client kann eingestellt werden, ob der OTP-Code extra abgefragt werden soll. Eine genauere Erklärung dazu findet sich [[VPN#OTP-Code_extra_abfragen |hier]].<br> Wenn die Gegenstelle ein separates übermitteln des OTP-Kennwortes erlaubt, kann wie folgt vorgegangen werden:<br> Starten der SSL-VPN Verbindung auf dem Client (Unter Windows: Doppelklick auf das Schloss-Symbol in der Taskleiste).<br> Aufbau der Verbindung mit Klick auf | ||
| In the SSL-VPN Client, you can set whether the OTP code is to be requested separately. A more detailed explanation can be found [ | | In the SSL-VPN Client, you can set whether the OTP code is to be requested separately. A more detailed explanation can be found | ||
[{{#var:host}}VPN#OTP-Code_extra_abfragen here].<br> If the remote terminal allows a separate transmission of the OTP password, the following procedure can be followed:<br> Start the SSL VPN connection on the client (on Windows: double-click the lock icon in the taskbar).<br> Establish the connection by clicking on }} | |||
{{var | Die Verbindung wird in drei Schritten Aufgebaut | {{var | Die Verbindung wird in drei Schritten Aufgebaut | ||
| Die Verbindung wird in drei Schritten Aufgebaut: | | Die Verbindung wird in drei Schritten Aufgebaut: | ||
UTM/AUTH/OTP.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki