Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Markierung: Zurückgesetzt
Zeile 4: Zeile 4:
{{:UTM/AUTH/OTP.lang}}
{{:UTM/AUTH/OTP.lang}}


</div>{{select_lang}}{{TOC2}}
</div>{{TOC2}}
{{Header|11.8.8|
{{Header|11.8.8|
* {{#var:neu--Renegotiation}}
* {{#var:Hinweis auf Aktualisierung}}
* {{#var:4a|Angaben zum OTP-Token ergänzt}}
|[[UTM/AUTH/OTP_v11.8.8| '''11.8.8''']]
* {{#var:4|Eingabe des Passworts und des OTP-Codes in verschiedene Formaten möglich}}
[[UTM/AUTH/OTP_v11.8| '''11.8''']]
|[[UTM/AUTH/OTP_v11.8| '''11.8''']]
[[UTM/AUTH/OTP_v11.7| '''11.7''']]
[[UTM/AUTH/OTP_v11.7| '''11.7''']]
}}
}}
----


=== {{#var:6|Vorbemerkungen}} ===
 
=== {{#var:Vorbemerkungen}} ===
<div class="Einrücken">
<div class="Einrücken">
{{#var:7|Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich.}}<br>
{{#var:Vorbemerkungen--desc}}
 
<br>
<li class="list--element__alert list--element__warning">{{ Hinweis-neu | {{#var:8|Hinweis:}}}} {{#var:9|Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss {{ r |<u> jeder Administrator</u>}} über diesen Token verfügen, um auf das Gerät zugreifen zu können.}}
{{Hinweis-neu|! {{#var:Hinweis}}: }} {{#var:9}}
</li>
<br>
{{#var:10|Eine Ausnahme auf User-Basis ist nicht möglich}}<br><br>
{{#var:Eine Ausnahme auf User-Basis ist nicht möglich}}
'''SSL-VPN:'''<br>
<br><br>
{{#var:11|Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.}}<br><br>
'''SSL-VPN:'''
{{#var:12|Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden.<br>
<br>
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung muss auf der UTM und allen SSL-VPN Clients erfolgen.<br><br>
{{#var:11}}
Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.}}
<br><br>
{{#var:12}}
<b>
<b>
<p>{{#var:13|Im Falle eines Ausfalls des OTP-Generators (Smartphone oder Hardware Token) kann das OTP nur generiert werden, wenn Zugriff auf den QR-Code bzw. den Secret-Code besteht. Dieser findet sich unter {{ Menu|Authentifizierung | Benutzer}} {{ Button | OTP QR-Codes drucken | P}}.}} </p></b>
<p>{{#var:13}} </p>
 
</b>
{{ Hinweis-neu | !! {{#var:14|Fällt der OTP-Generator für den Administrator-Zugang aus, benötigt aus man eine ausgedruckte Version des QR-Codes.}}|class=center}}<br><br>{{ Hinweis-neu | {{#var:15|Sollte diese nicht vorliegen, ist ein Zugriff auf die UTM nur noch mit physischem Zugang direkt am Gerät (Tastatur und Monitor an der UTM) möglich.}}}}
{{Hinweis-neu|!! {{#var:Fällt der OTP-Generator aus-Hinweis }} |class=center}}
<br>
{{Hinweis-neu| {{#var:15}} }}


<p>{{#var:16|Ausdruck dieses Codes für die Administratoren wie unter [[OTP_V11#OTP_Secret | OTP Secret]]  beschrieben. Ablage in der Dokumentation.}}</p>
<p>{{#var:16}} </p>


<p>{{ Hinweis-neu | ! {{#var:18|Hinweis:}} }} {{#var:19|Da das OTP-Verfahren Zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft.}}</p>
<p>{{Hinweis-neu|! {{#var:Hinweis}}:}} {{#var:19}} </p>
{{#var:20|Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen:}}<br>
{{#var:Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen}}<br>
* {{#var:21|Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl wenn diese nicht ausgeklappt ist oder im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen}}
* {{#var:21}}
* {{#var:22|Über die CLI mit dem Kommando '''''system date get'''''}}
* {{#var:22}}
* {{#var:23|Über die Root Konsole mit dem Kommando '''''date'''''}}
* {{#var:23}}


 
{{#var:Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden}}<br>
{{#var:24|Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:}}<br>
* {{#var:25}}
* {{#var:25|Über die Administrations-Weboberfläche im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen}}
* {{#var:26}}
* {{#var:26|Über die CLI mit dem Kommando '''''system date set date''''' anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss}}
</div>
</div>


=== {{#var:27|OTP - One-Time-Password}} ===


=== {{#var:One-Time-Password}} ===
<div class="Einrücken">
<div class="Einrücken">
<p>{{#var:28|Das One-Time-Password (OTP) ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.<br>
<p>{{#var:One-Time-Password--desc}} </p>
In der UTM setzen wir das Zeit-Basierte-Verfahren ein (TOTP = Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.}}</p>
<p>{{#var:29}} </p>
</div>


<p>{{#var:29|Um dieses 6 stellige Passwort zu generieren, wird als Token eine Smartphone App gneutzt, wie z.B. der [https://de.wikipedia.org/wiki/Google_Authenticator Google Authenticator]. Dieser ist sowohl für [https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 Android] als auch für [https://itunes.apple.com/de/app/google-authenticator/id388497605?mt=8 iOS] Geräte verfügbar.<br>
Andere Apps wie z.B. FreeOTP für Android sind ebenfalls möglich.}}
</div>


=== {{#var:30|OTP einrichten}} ===
=== {{#var:OTP einrichten}} ===
<div class="Einrücken">
<div class="Einrücken">


==== {{#var:31|Ablauf bei Aktivierung}} ====
==== {{#var:Ablauf bei Aktivierung}} ====
<div class="Einrücken">
# {{#var:32|Sicherstellen, dass die Uhrzeit der UTM und dem Token synchron läuft}}
# {{#var:33|Übertragung des Geheimcodes an den Token}}
# {{#var:34|Aktivieren des OTP Verfahrens auf der UTM}}
# {{#var:35|Testen der Anmeldung <u>bevor</u> die aktuelle Session beendet wurde}}
{{#var:36|Ist das Verfahren aktiviert, muss sich <u>jeder Benutzer</u> der ausgewählten Anwendungen zusätzlich per OTP anmelden.<br>
Ausnahmen sind nicht möglich.}}</span>
</div></div>
=== {{#var:37|Benutzer mit OTP einrichten}} ===
<div class="Einrücken">
<div class="Einrücken">
{{ pt3 | {{#var:38|UTM_V115_OTPUser.png}} | {{#var:39|OTP Benutzer}}}}  
# {{#var:32}}
<p>{{#var:40|Zunächst werden die Benutzer unter {{ Menu |Authentifizierung| Benutzer}} wie gehabt angelegt.<br>
# {{#var:33}}
Siehe dazu auch [[UTM/AUTH/Benutzerverwaltung| Benutzerverwaltung]].}}</p>
# {{#var:34}}
# {{#var:35}}
{{#var:Ablauf bei Aktivierung--desc}}  
</span></div></div>


<p>{{#var:41|Der OTP-Code für diesen Benutzer kann Sie erst angezeigt werden, wenn die Eingaben zum Benutzer gespeichert wurden.<br>
Anzeigen oder ändernmit klick auf den editieren Button {{ Button ||w}} in der Benutzer Zeile im Reiter {{ Reiter | OTP}} auf der rechten Seite.}}</p>


<br clear=all></div>
=== {{#var:Benutzer mit OTP einrichten}} ===
<div class="Einrücken">
<p>{{#var:Benutzer mit OTP einrichten--desc}} </p>
<p>{{#var:Automatisches erstellen eines Codes--desc}} </p>
</div><br clear=all>


==== {{#var:42|Automatisches erstellen eines Codes}} ====
{| class="sptable2 pd5 zh1 Einrücken"
<div class="Einrücken">
|- class="noborder"
{{ pt3 | {{#var:43|UTM_V115_OTPCode.png}} | {{#var:44|OTP Code}}}}
| colspan="3" | {{Kasten|{{#var:OTP Konfiguration}} }}
<p>{{#var:45|Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor.<br>
| class="Bild" rowspan="15" | {{Bild| {{#var:Benutzer mit OTP einrichten--Bild}} |{{#var:Benutzer mit OTP einrichten--cap}} }}
Zum einen als QR-Code, der einfach mit der Smartphone App abfotografiert werden kann, und zum anderen in Text-Form zum eingeben über die Tastatur.<br><br>
|-
Mit der Schaltfläche {{ Button ||r}} kann der Code neu erzeugt werden.}}
| rowspan="3" | {{b|{{#var:Eingabeformat}}:}} || {{Button| base32 {{#var:kodiert}} |dr|class=available}} || default
|-
| {{Button| base64 {{#var:kodiert}} |dr|class=available}}
|-
| {{Button| HEX {{#var:kodiert}} |dr|class=available}}
|-
| {{b|{{#var:Intervall}}:}} || {{ic|30 (Default) |c|class=available}} || {{#var:Intervall--desc}}
|-
| {{b|Code:}} || {{ic|4ZZDUV5ZGDMOUVLT|class=available}} || {{#var:Code--desc}}
|- class="noborder"
| {{Button||r}} || colspan="2" | {{#var:Code neu erzeugen}}
|- class="Leerzeile"
|
|- class="noborder"
| colspan="3" | {{Kasten|{{#var:Resultierender Code}} }}
|-
| {{b|Secret:}} || {{Button|4ZZDUV5ZGDMOUVLT|class=available}} || {{#var:Code--desc}}
|-
| {{b|{{#var:OTP Code überprüfen}}:}} || {{ic| |class=available}} || {{#var:OTP Code überprüfen--desc}}
|- class="Leerzeile"
|
|- class="Leerzeile"
|}


</div><br clear=all>


==== {{#var:46|Eintragen eines Codes}} ====
==== {{#var:Eintragen eines Codes}} ====
<div class="Einrücken">
<div class="Einrücken">
{{#var:47|Es ist auch möglich mit {{ Button ||s}} manuell einen 16-stelligen base32 oder HEX-kodierten Schlüssel einzugeben.
{{#var:Eintragen eines Codes--desc}}
Dieses wird zum Beispiel bei einem Hardware Token wie dem OTP c200 benötigt. Hier erhält man vom Lieferanten einen Code, der dann bei dem Benutzer hinterlegt werden muss. Beachten Sie, dass bei der Eingabe von einem HEX kodierten Schlüssel das Format und die Gültigkeitsdauer vor dem Schlüssel hinzugefügt werden muss, z.B. '''hex(60)'''A6ABBEF26746BC7121AE1764C2863826B98DD210.}}


{{Gallery2 | {{#var:48|UTM_V115_OTPhex.png}} | {{#var:49|OTP HEX kodiert}}
{{Gallery2| {{#var:Eigenen SSH-Schlüssel eingeben HEX--Bild}} | {{#var:Eigenen SSH-Schlüssel eingeben HEX--cap}}
| {{#var:50|UTM_V115_OTPb32.png}} | {{#var:51|OTP base32 kopdiert}}
| {{#var:Eigenen SSH-Schlüssel eingeben 16 stellig--Bild}} | {{#var:Eigenen SSH-Schlüssel eingeben 16 stellig--cap}}
|i=3 }}
|i=3 }}


</div><br clear=all>
</div><br clear=all>


=== {{#var:52|OTP Secret}} ===
=== OTP Secret ===
<div class="Einrücken">
<div class="Einrücken">
{{ pt2 | {{#var:53|UTM_V115_OTPpdf.png}} | {{#var:54|OTP PDF Dokument}}}}
{{pt2| {{#var:OTP Secret--Bild}} |{{#var:OTP Secret--cap}} }}
{{#var:55|Zur Weitergabe an die Benutzer besteht die Möglichkeit, die erstellten Codes auszudrucken.}}
{{#var:OTP Secret--desc}}
{{ Button | {{#var:56|OTP QR-Codes drucken}} | p}}
 
{{#var:57|Es wird dann ein Dokument im PDF Format erstellt.}}


</div><br clear=all>
</div><br clear=all>


=== {{#var:59|Einrichten des Google Authenticator}} ===
=== {{#var:Einrichten des Google Authenticator}} ===
<div class="Einrücken">
<div class="Einrücken">
{{#var:60|Zunächst muss der Google Authenticator aus dem App-Store heruntergeladen, installiert und geöffnet werden.}}
{{pt2| {{#var:Einrichten des Google Authenticator--Bild}} |hochkant=0.85| {{#var:Einrichten des Google Authenticator--cap}} }}
{{#var:Einrichten des Google Authenticator--desc}}


{{ pt2 | {{#var:61|AND_GA_OTPkto.png}} | hochkant=0.85 | {{#var:62|OTP Konto hinzufügen}} }}
{{#var:62|Das erste Fenster enthält eine Beschreibung über die 2 Stufen zur Authentifizierung bei Google Account. Tippen auf den Button ''Einstellungen''.}}<br>
<p>{{#var:63|Im nun erscheinenden Fenster ''Konto hinzufügen'' wird im Bereich ''Konto manuell hinzufügen'' entweder ''Barcode scannen'' oder ''Schlüssel eingeben'' gewählt.}}</p>
<p>{{#var:64|Bei ''Barcode scannen'' wird eventuell noch eine zusätzliche App zum scannen von Barcodes namens "Barcode Scanner" installiert, sollte sich diese noch nicht auf dem Smartphone befinden.}}</p>
<p>{{#var:65|Zum automatischen erstellen eines Kontos einfach die Kamera des Smartphonein den Bereich des ausgedruckten oder am Bildschirm ausgegeben QR-Code halten.}}</p>
<br clear=all>
<br clear=all>


 
{{pt2| {{#var:OTP Konto manuell hinzufügen--Bild}} |hochkant=0.85| {{#var:OTP Konto manuell hinzufügen--cap}} }}
{{ pt2 | {{#var:66|AND_GA_OTPkto2.png}} | hochkant=0.85 |{{#var:67|OTP Konto manuell hinzufügen}} }}
{{#var:OTP Konto manuell hinzufügen--desc}}
{{#var:68|Soll der QR-Code nicht gescannt werden, können die Daten unter ''Schlüssel eingeben'', manuell eingegeben werden. Es muss hierbei '''Zeitbasiert''' gewählt werden.}}


<br clear=all>
<br clear=all>


{{pt2| {{#var:Zeitanzeige OTP Password--Bild}} |hochkant=0.85| {{#var:One-Time-Passwort}} }}
{{#var:Zeitanzeige OTP Password--desc}}


{{ pt2 | {{#var:68b|AND_GA_OTPasswd.png}} | hochkant=0.85 | {{#var:69|One-Time-Passwort}} }}
{{#var:70|Im folgenden Fenster wird dann das Konto mit dem OTP-Code angezeigt. <br>
Dieser ändert sich alle 30 Sekunden. }}
{{#var:71|Die Zeitanzeige rechts gibt einen Überblick, wie lange dieses OTP-Passwort noch aktiv ist.}}
</div><br clear=all>
</div><br clear=all>


=== {{#var:72|Nutzung eines Hardware Tokens}} ===
=== {{#var:Nutzung eines Hardware Tokens}} ===
<div class="Einrücken">
<div class="Einrücken">
{{#var:73|Auch die Nutzung eines Hardware Token ist möglich. <br>
{{#var:Nutzung eines Hardware Tokens--desc}}
Dabei sollte es sich um einen [http://www.ietf.org/rfc/rfc4226.txt RFC 4226] kompatiblen Passwort Generator handeln, der auch  mit mod_authn_otp nutzbar ist.}}


{{pt3 | {{#var:74|UTM115_AI_OTPhex60.png}} | {{#var:75|OTP c200 HEX Code}} }}
{{pt3| {{#var:Nutzung eines Hardware Tokens--Bild}} |{{#var:Nutzung eines Hardware Tokens--cap}} }}
{{#var:76|Von unserer Seite wird derzeit der OTP c200 unterstützt.<br> Vom Lieferanten wird dazu mit seperater Post ein HEX(60) Code versendet, der wie  [[OTP_V11#Benutzer_mit_OTP_einrichten | oben]] beschrieben beim Benutzer hinterlegt werden muss.}}
{{#var:Unterstüzung Feithan OTP c200--desc}}
<div class="list--element__alert list--element__hint">
<div class="list--element__alert list--element__hint">
{{#var:76b|Hinweis}}
{{#var:76b}}
</div>
</div>
{{#var:76c|seed-Hinweis}}
{{#var:76c}}




{{ Hinweis-neu | {{#var:77|Unbedingt den Token <u>Key</u> eintragen und nicht die Token ID.}} | gelb}}<br>
{{Hinweis-neu| {{#var:Unterstüzung Feithan OTP c200-Hinweis}} |g}}
{{#var:78|Bei der ID handelt es sich um eine Seriennummer des Tokens, beim Key um einen 32 bis 40 Zeichen langen Code wie in der Abbildung zu sehen.}}
<br>
{{#var:Bei der ID handelt es sich um}}
 
</div><br clear=all>
</div><br clear=all>


=== {{#var:79|OTP überprüfen}} ===
=== {{#var:OTP überprüfen}} ===
<div class="Einrücken">
<div class="Einrücken">
{{ pt3 | {{#var:80|UTM_V115_OTPcp.png}} | {{#var:81|OTP überprüfen}}}}
{{pt3| {{#var:OTP überprüfen--Bild}} |{{#var:OTP überprüfen}} }}
{{#var:82|Mit {{ Button ||c}} kann getestet werden, ob das OTP, das über die App generiert wird, auch funktioniert.}}
{{#var:OTP überprüfen--desc}}
<br>
{{b| {{#var:Bitte OTP Code eingeben}} }} <code>OTP Code</code>
<br><br>
{{#var:Bitte OTP Code eingeben--desc}}


{{#var:83|In dem neu geöffneten Fenster wird das Passwort eingegeben, das die App zu diesem Benutzer anzeigt und auf {{ Button | OK| b}} gecklickt.}}<br>
{{ b | {{#var:84|Bitte OTP Code eingeben}} }} <code>OTP Code</code>
{{#var:85|Wenn alles korrekt eingerichtet ist, erscheint eine entsprechende Meldung.
<br>Info: Bei lokal angelegten Benutzern muss eine Benutzergruppe ausgewählt sein. Welche Berechtigung diese hat, ist nicht entscheidend.}}
</div><br clear=all>
</div><br clear=all>


=== {{#var:86|OTP den Anwendungen zuweisen}} ===
=== {{#var:OTP den Anwendungen zuweisen}} ===
<div class="Einrücken">
<div class="Einrücken">
{{ pt3 | {{#var:87|UTM_v11-8_Authentifizierung_OTP.png}} | hochkant=1 |{{#var:88|OTP Anwendungen}}}}
{{pt3| {{#var:OTP den Anwendungen zuweisen--Bild}} |hochkant=1|{{#var:OTP den Anwendungen zuweisen--cap}} }}
{{#var:89|Unter {{ Menu |Authentifizierung|OTP}} kann ausgewählt werden bei welchen Anwendungen sich die sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.}}<br><br>
{{#var:OTP den Anwendungen zuweisen--desc}}
<br>
<p>{{Kasten| {{#var:Webinterfaces}} }} </p>
:<p>{{ButtonAus|{{#var:Aus}} }} {{#var:Administrator-Webinterface}} </p>
:<p>{{ButtonAus|{{#var:Aus}} }} {{#var:Anwender-Webinterface}} </p>


<p>{{Kasten | {{#var:90|Webinterfaces}}}}</p>
:<p>{{ ButtonAus | {{#var:91|Aus}}}} {{#var:92|Administrator-Webinterface}}</p>
:<p>{{ ButtonAus | {{#var:91|Aus}} }} {{#var:93|Anwender-Webinterface}}</p>


<p>{{Kasten|VPN}} ({{#var:Roadwarrior-Verbindungen}}) </p>
:<p>{{ButtonAus|{{#var:Aus}} }} IPSec </p>
:<p>{{ButtonAus|{{#var:Aus}} }} SSL-VPN </p>


<p>{{Kasten | {{#var:94|VPN}} }} ({{#var:95|Roadwarrior-Verbindungen}})</p>
:<p>{{ ButtonAus | {{#var:91|Aus}} }} {{#var:96|IPSec}}</p>
:<p>{{ ButtonAus | {{#var:91|Aus}} }} {{#var:97|SSL-VPN}} </p>


 
<p>{{Kasten|Firewall}} </p>
<p>{{Kasten |{{#var:98|Firewall}} }}</p>
:<p>{{ButtonAus|{{#var:Aus}} }} {{#var:SSH Konsole}} </p>
:<p>{{ ButtonAus | {{#var:91|Aus}} }} {{#var:99|SSH (Konsole)}} </p>


</div><br clear=all>
</div><br clear=all>


=== {{#var:100|OTP benutzen}} ===
=== {{#var:OTP benutzen}} ===
==== {{#var:101|Webinterface}} ====
==== {{#var:Webinterface}} ====
<div class="Einrücken">
<div class="Einrücken">
{{ pt3 | {{#var:102|UTM_v11-8_User-Interface_OTP-Login.png}} | {{#var:103|Login mit OTP}}}}
{{pt3| {{#var:Webinterface--Bild}} |{{#var:Webinterface--cap}} }}
{{#var:104|Bei einem Login auf das Administrations- oder User-Webinterface gibt es nun ein weiteres Authentifikationsfeld {{ic |<big>{{Button||o}}</big>|Anw=UTM }}  für den OTP Code.}}
{{#var:Webinterface--desc}}


{{#var:105|Hier wird zusätzlich zum Benutzernamen und Passwort, der generierte Code eingetragen.}}
</div><br clear=all>
</div><br clear=all>


==== {{#var:106|VPN}} ====
==== VPN ====
<div class="Einrücken">
<p>{{#var:Verweis auf OTP-COde extra abfragen}} </p>
<br>
<p>{{#var:VPN--desc}} [[Datei:SSL-VPN-v2 Verbindung-aufbauen.png|x20px]] </p>
<p>{{#var:Die Verbindung wird in drei Schritten Aufgebaut}} </p>
{{Gallery3| {{#var:122}} | {{#var:Eingabe Benutzername}}
| {{#var:124}} | {{#var:Eingabe Kennwort}}
| {{#var:126}} | {{#var:Eingabe OTP}}
| {{#var:Verbunden--Bild}} | {{#var:Verbunden}}
| i=4 | i4=9}}


<div class="Einrücken">
{{#var:119|Wenn die Gegenstelle ein separates übermitteln des OTP-Kennwortes erlaubt, kann wie folgt vorgegangen werden: Starten der SSL-VPN Verbindung auf dem Client (Unter Windows: Doppelklick auf das Schloss-Symbol in der Taskleiste)
Aufbau der Verbindung mit Klick auf}} [[Datei:{{#var:120|SSL-VPN-v2 Verbindung-aufbauen.png}}|x20px]]<br>
{{#var:121|Die Verbindung wird in drei Schritten Aufgebaut:}}
{{Gallery3 | {{#var:122|SSL-VPN-v2_Benutzername.png}} | {{#var:123|Eingabe Benutzername}}
| {{#var:124|SSL-VPN-v2_Kennwort.png}} | {{#var:125|Eingabe Kennwort}}
| {{#var:126|SSL-VPN-v2_OTP.png}} | {{#var:127|Eingabe OTP}}
| {{#var:127a|SSL-VPN-v2_Verbunden.png}} | {{#var:127b|Verbunden}}
| i=4 | i4=9}}


{{Hinweis-neu| {{#var:VPN-Hinweis}} |g}}
{{Gallery3| | <p>{{#var:109}}</p><span>{{Hinweis-neu|!|g}}{{#var:109b}}</span>
| {{#var:110}} | {{#var:Benutzername}}
| {{#var:112}} | {{#var:Eingabe Kennwort und OTP}}
| i=3 }}
{{#var:Beispiel}}
{| class="sptable2 noborder"
|-
| {{#var:Passwort}} || insecure || rowspan="3" | {{#var:Beispiel--desc}}
|-
| OTP: || 123456
|-
| {{b| {{#var:Kennwort}} }} || class=mw9 |{{code|insecure123456}}
|}


{{ Hinweis-neu | {{#var:108|VPN mit UTM, wenn die Gegenstelle <u>kein</u> separates übermitteln des OTP-Kennwortes erlaubt:}} | gelb}}
{{Gallery3| | <p>{{#var:109|Wenn OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung  eingesetzt wird, muss bei der Passwortabfrage der OTP-Code ohne Leerzeichen direkt hinter dem Benutzerkennwort eingetragen werden.}}</p><p>{{Hinweis|!!|gelb}}{{#var:109b|Diese Variante steht <nicht> in den Versionen 11.8.0 bis 11.8.3.4 zur Verfügung.}} </p>
| {{#var:110|SSL-VPN-v2_Benutzername.png}} | {{#var:111|Benutzername}}
| {{#var:112|SSL-VPN-v2_Kennwort.png}}| {{#var:112b|KennwortOTP}}
|i=3}}


{{#var:113|Beispiel:}}
{{ td | {{#var:114|Passwort:}}| insecure | w=100px}}
{{ td | {{#var:115|OTP:}} | 123456 | w=100px}}
{{ td | {{ b |{{#var:116|Kennwort}}}} | {{code|insecure123456}} | w=100px}}
{{#var:128|Das Speichern des Kennworts im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.}}
</div><br clear=all>
</div><br clear=all>


==== {{#var:SSH-Verbindung}} ====
<div class="Einrücken">
{{#var:SSH-Verbindung--desc}}


==== {{#var:129|SSH-Verbindung}} ====
<div class="Einrücken">
{{ pt3 | {{#var:141|UTMv11-8_SSH-Login.png}} | {{#var:142|SSH-Login mit OTP unter PuTTY und v11.8}} }}
{{#var:143|Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code in einer seperaten Zeile {{ b | Pin }} abgefragt.}}
<br clear=all>
<br clear=all>


{{Hinweis-neu| {{#var:SSH-Verbindung-Hinweis}} |g}}
<br>
{{pt3| {{#var:SSH-Verbindung--Bild}} |{{#var:SSH-Verbindung--cap}} }}
<p>{{#var:Wenn der Zugriff mit einer SSH-Konsole und OTP}}<br>
{{Hinweis-neu|!|g}} {{#var:109b}} </p>


{{ Hinweis-neu | {{#var:108|VPN mit UTM, wenn die Gegenstelle <u>kein</u> separates übermitteln des OTP-Kennwortes erlaubt:}} | gelb}}<br>
<p>{{#var:Beispiel}}
{{ pt3 | {{#var:132|UTMv11-7_SSH-Login.png}} | {{#var:133|SSH-Login mit OTP unter PuTTY und v11.7.15}}}}
{| class="sptable2 noborder"
<p>{{#var:134|Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort eingegeben.}}<br>{{Hinweis|!!|gelb}}{{#var:109b|Diese Variante steht auch wieder ab Version 11.8.4 zur Verfügung.}} </p>
|-
 
| {{#var:Passwort in UTM}} || insecure
<p>{{#var:135|Beispiel:}}
|-
{{ td | {{#var:136|Passwort in UTM:}}| insecure | w=120px}}
| OTP || 123456
{{ td | {{#var:137|OTP:}} | 123456 | w=120px}}
|-
{{ td | {{ b |{{#var:138|Password}}}} | {{code|insecure123456}} | w=120px}}
| {{b| {{#var:Password}} }} || {{code|insecure123456}}
 
|}
</div><br clear=all>
</div><br clear=all>

Version vom 27. Oktober 2022, 10:44 Uhr




































Wichtige Hinweise bei der Verwendung des OTP-Verfahrens
Letzte Anpassung zur Version: 11.8.8
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

11.8.8 11.8 11.7



Vorbemerkungen

Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich.




SSL-VPN:





Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:

  • Über die Administrations-Weboberfläche im Menü Netzwerk Servereinstellungen  Bereich Zeiteinstellungen
  • Über das CLI mit dem Kommando system date set date anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss


Das One-Time-Password ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.
In der UTM wird das Zeit-Basierte-Verfahren verwendet (TOTP: Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.
Um dieses sechs-stellige Passwort zu generieren, wird als Token eine Smartphone App genutzt, wie z.B. der Google Authenticator. Dieser ist sowohl für Android, als auch für iOS Geräte verfügbar.
Andere Apps, wie z.B. FreeOTP für Android, sind ebenfalls möglich.


OTP einrichten

Ablauf bei Aktivierung

  1. Sicherstellen, dass die Uhrzeit der UTM und des Tokens synchron läuft
  2. Übertragung des Geheimcodes an den Token
  3. Aktivieren des OTP-Verfahrens auf der UTM
  4. Testen der Anmeldung, bevor die aktuelle Session beendet wurde
notempty
Ist das Verfahren aktiviert, muss sich jeder Benutzer der ausgewählten Anwendungen zusätzlich per OTP anmelden. Ausnahmen sind nicht möglich.


Benutzer mit OTP einrichten

Zunächst werden die Benutzer unter Authentifizierung Benutzer wie gehabt angelegt.
Siehe dazu auch Benutzerverwaltung.
Der OTP-Code für diesen Benutzer kann erst angezeigt werden, wenn die Eingaben zum Benutzer gespeichert wurden.
Anzeigen oder ändern mit klick auf den editieren Button in der Benutzer Zeile im Reiter OTP auf der rechten Seite.

Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor.
Zum einen als QR-Code, der einfach mit der Smartphone App abfotografiert werden kann, und zum anderen in Text-Form zum eingeben über die Tastatur.


OTP Konfiguration
UTM v12.6.1 Authentifizierung Benutzer OTP.png
OTP Benutzer
Eingabeformat: base32 kodiert default
base64 kodiert
HEX kodiert
Intervall: 30 (Default)Link= Das Intervall sollte auf 30 Sekunden eingestellt sein
Code: 4ZZDUV5ZGDMOUVLT Gibt den Code in Text-Form an.
Es ist hier auch möglich manuell einen Code einzutragen, z.B. ein Hardware Token.
Resultierender Code
Secret: 4ZZDUV5ZGDMOUVLT Gibt den Code in Text-Form an.
Es ist hier auch möglich manuell einen Code einzutragen, z.B. ein Hardware Token.
OTP-Code überprüfen:     Hier kann ein OTP-Code der mit einem entsprechenden OTP-Generator erzeugt wurde, eingegeben werden, um zu überprüfen, ob der OTP-Generator korrekt eingerichtet wurde.















OTP Secret

[[Datei: |hochkant=1.5|mini||link=Datei: |OTP PDF Dokument ]] Zur Weitergabe an die Benutzer besteht die Möglichkeit, die erstellten Codes auszudrucken.
OTP Codes
Es wird dann ein Dokument im PDF Format wie folgt erstellt:


Einrichten eines Authenticators

OTP mit dem Google Authenticator erzeugen

Zunächst muss ein Authenticator aus dem App-Store heruntergeladen, installiert und geöffnet werden. Im Beispiel: Google Authenticator
Das erste Fenster enthält eine Übersicht über die zwei Stufen zur Authentifizierung bei Google Account:


[[Datei: |hochkant=0.85|mini||link=Datei: | ]]



[[Datei: |hochkant=0.85|mini||link=Datei: | ]]



Nutzung eines Hardware Tokens

Auch die Nutzung eines Hardware Token ist möglich.
Dabei sollte es sich um einen RFC 6238 kompatiblen Passwort Generator handeln.
Von Securepoint's Seite wird derzeit der Feitian OTP c200 unterstützt.
Vom Lieferanten wird dazu ein Download-Link für den HEX Code versendet, der wie oben beschrieben beim Benutzer hinterlegt werden muss.
Folgende Parameter müssen dabei verwendet werden:

  • SHA Algorithmus: SHA1
  • Zeitintervall: 30 Sekunden
  • Optional: SEED-Programmierung
    Hintergrund zur SEED-Programmierung: Wenn der Token ggf. in nicht vertrauenswürdigen Drittstaaten produziert wird und man sicher stellen möchte, dass dieser nicht schon bei der Lieferung Schadcode beinhaltet oder anderweitig kompromittiert ist, kann dieser z.B. von der Firma Mtrix für einen geringen Betrag neu programmiert.

[[Datei: |hochkant=2|mini| ]]





[[Datei: |hochkant=2|mini| ]]


OTP Code



OTP den Anwendungen zuweisen

OTP Anwendungen

Unter Authentifizierung OTP kann ausgewählt werden, bei welchen Anwendungen sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.

Aus Administrator-Webinterface

Aus Anwender-Webinterface


VPN
(Roadwarrior-Verbindungen)

Aus IPSec

Aus SSL-VPN


Firewall

Aus SSH (Konsole)


OTP benutzen

UTM v12.6.1 UI Login OTP.png

Bei einem Login auf das Administrations- oder User-Webinterface gibt es nun ein weiteres Authentifikationsfeld:
    für den OTP-Code.
Hier wird zusätzlich zum Benutzernamen und Passwort, der generierte Code eingetragen.


VPN

Im SSL-VPN Client kann eingestellt werden, ob der OTP-Code extra abgefragt werden soll. Eine genauere Erklärung dazu findet sich hier.
Wenn die Gegenstelle ein separates übermitteln des OTP-Kennwortes erlaubt, kann wie folgt vorgegangen werden:
Starten der SSL-VPN Verbindung auf dem Client (Unter Windows: Doppelklick auf das Schloss-Symbol in der Taskleiste).
Aufbau der Verbindung mit Klick auf


SSL-VPN-v2 Verbindung-aufbauen.png

Die Verbindung wird in drei Schritten Aufgebaut:

SSL-VPN-v2 Benutzername.png
Eingabe Benutzername
SSL-VPN-v2 Kennwort.png
Eingabe Kennwort
SSL-VPN-v2 OTP.png
Eingabe OTP
SSL-VPN-v2 Verbunden.png
Verbunden













Szenario: Gegenstelle erlaubt kein separates übermitteln des OTP-Codes:

Wenn OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung eingesetzt wird und die Gegenstelle die separate Übermittlung des OTP-Codes nicht unterstützt, muss bei der Passwortabfrage der OTP-Code ohne Leerzeichen direkt hinter dem Benutzerkennwort eingetragen werden.














Beispiel

Passwort insecure Das Speichern des Kennworts im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem sich stets änderndem OTP zusammensetzt.
OTP: 123456
Kennwort insecure123456



SSH-Verbindung

Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code in einer separaten Zeile Pin abgefragt.


VPN mit UTM, wenn die Gegenstelle kein separates übermitteln des OTP-Kennwortes erlaubt:


[[Datei: |hochkant=2|mini|SSH-Login mit OTP unter PuTTY und v11.7.15 ]]

Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird und die Gegenstalle kein separates übermitteln des OTP-Codes erlaubt, wird der OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort eingegeben.

Beispiel

Passwort in UTM insecure
OTP 123456
insecure123456