Dirkg (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Dirkg (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
Zeile 198: | Zeile 198: | ||
{| | |||
|- | |||
|[[Datei:UMA20_AHB_hinweispic.png|50px]] | |||
|Achten Sie darauf, hier den Token Key einzutragen und nicht die Token ID.<br> | |||
Bei der ID handelt es sich eher um eine Seriennummer des Token, beim Key um einen 16 bis 20 Byte langen Code wie in der Abbildung zu sehen. Dieser wird Ihnen in der Regel auch immer separat zugestellt. | |||
|} | |||
Version vom 12. Juni 2015, 13:14 Uhr
Wichtige Hinweise bei Verwendung des OTP-Verfahrens
Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich.
Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss jeder Administrator über diesen Token verfügen, um auf das Gerät zugreifen zu können.
Eine Ausnahme auf User-Basis ist nicht möglich
SSL-VPN:
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.
Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden.
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung muss auf der UTM und allen SSL-VPN Clients erfolgen.
Das speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.
Am besten Drucken sie sich diesen Code für die Administratoren wie unter OTP Secret beschrieben aus und legen sie zu ihrer Dokumentation.
OTP - One-Time-Password
Das One-Time-Password (OTP) ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.
In der UTM setzen wir das Zeit-Basierte Verfahren ein (TOPT = Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.
Um dieses 6 stellige Passwort zu generieren, nutzen wir als Token eine Smartphone App wie den Google Authenticator. Diese ist sowohl für Android als auch für iOS Geräte verfügbar.
Andere Apps wie z.B. FreeOTP für Android sind ebenfalls möglich.
OTP einrichten
Ablauf bei Aktivierung
1. Stellen Sie sicher, dass die Uhrzeit der UTM und dem Token synchron läuft
2. Übertragen sie den Geheimcode an den Token
3. Aktivieren sie das OTP Verfahren auf der UTM
4. Testen Sie die Anmeldung bevor die aktuelle Session beendet wurde
Ist das Verfahren aktiviert, muss sich jeder Benutzer der ausgewählten Anwendungen zusätzlich per OTP anmelden.
Ausnahmen sind nicht möglich.
Benutzer mit OTP einrichten
Zunächst legen sie ihre Benutzer unter Authentifizierung Benutzer wie gehabt an. Siehe dazu auch Benutzerverwaltung.
Den OTP-Code für diesen Benutzer erhalten Sie erst wenn die Eingaben zum Benutzer gespeichert wurden.
Um diesen zu sehen oder zu ändern, klicken sie auf den editieren Button in der Benutzer Zeile und wechseln sie auf den Reiter OTP auf der rechten Seite.
Automatisches erstellen eines Code
Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor.
Zum einen als QR-Code, den sie einfach mit der Smartphone App abfotografieren können, und zum anderen in Text-Form zum eingeben über die Tastatur.
Diesen Code können Sie ändern, indem sie über den Button automatische einen neuen Code erzeugen lassen.
Eintragen eines Code
Weiterhin können Sie über manuell einen 16-stelligen base32 oder HEX kodierten SSH-Schlüssel eingeben. Dieses wird zum Beispiel benötigt, wenn Sie über einen Hardware Token wie dem OTP c200 vom Lieferanten einen Code erhalten, den Sie dann bei dem Benutzer hinterlegen.
OTP Secret
Zur weitergabe an die Benutzer haben sie die Möglichkeit, die erstellten Codes auszudrucken. Klicken sie dazu einfach auf
Es wird dann ein Dokument im PDF Format erstellt.
Einrichten des Google Authenticator
Zunächst laden sie sich den Google Authenticator aus dem App-Store herunter, installieren und öffen diesen.
Das erste Fenster enthält eine Beschreibung über die 2 Stufen zur Authentifizierung bei Google Account, tippen sie auf den Button Einstellungen.
Im nun erscheinenden Fenster Konto hinzufügen wählen sie im Bereich Konto manuell hinzufügen entweder Barcode scannen oder Schlüssel eingeben.
Wenn sie sich für Barcode scannen entscheiden, wird eventuell noch eine zusätzliche App zum scannen von Barcodes namens "Barcode Scanner" installiert, sollte sich diese noch nicht bei Ihnen auf dem Smartphone befinden.
Ansonsten halten sie die Kamera des Smartphone einfach in den Bereich des ausgedruckten oder am Bildschirm ausgegeben QR-Code und es wird automatisch ein Konto erstellt.
Möchten sie den QR-Code nicht abscannen, tippen sie auf Schlüssel eingeben, tragen sie den Benutzer Namen und den Code ein, wählen sie zeitbasiert und klicken auf Hinzufügen.
Im folgenden Fenster sehen Sie dann das Konto mit den OTP-Code.
Dieser ändert sich alle 30 sekunden.
Die Zeitanzeige rechts gibt ihnen einen überblick wie lange dieses OTP-Passwort noch aktiv ist.
Nutzung eines Hardware Token
Auch die Nutzung eines Hardware Token ist möglich.
Dabei sollte es sich um einen RFC 4226 kompatiblen Passwort Generator handeln, der auch mit mod_authn_otp nutzbar ist.
Von unserer Seite wird derzeit der OTP c200 unterstützt, bei dem Sie einen hex(60) Code, den Sie vom Lieferanten erhalten, wie oben beschrieben beim Benutzer hinterlegen.
OTP überprüfen
Um zu testen ob das OTP, das über die App generiert wird, auch funktioniert, klicken sie unter Benutzer Bearbeiten im Abschnitt "OTP" auf den Button
In dem neu geöffneten Fenster geben sie das Passwort ein, welches ihnen die App zu diesem Benutzer anzeigt und klicken auf
Wenn alles korrekt eingerichtet ist erscheint eine entsprechende Meldung.
OTP den Anwendungen zuweisen
Wechseln Sie über Authentifizierung zum Menüpunkt OTP.
Hier wählen sie die Anwendung aus, über die sich die Benutzer zusätzlich mit dem One-Time-Passwort Authentifizieren sollen.
Dieser kann bei folgenden Anmeldungen zum Einsatz kommen:
- Webinterfaces
- Administrator-Webinterface
- Anwender-Webinterface
- VPN Roadwarrior-Verbindungen
- IPSec
- SSL-VPN
- Firewall
- SSH Konsole
OTP benutzen
Webinterface
Bei einem Login auf das Administrations- oder User-Webinterface erhalten sie nun ein weiteres Authentifikationsfeld mit der Bezeichnung OTP Code:.
Hier tragen sie zusätzlich zum Benutzernamen und Passwort, den in der App generierten Code ein.
VPN
Wenn sie das OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung einsetzen, tragen sie bei der Passwortabfrage den OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort ein.
Beispiel: | |
Passwort: | insecure |
OTP: | 12345 |
Eingabe in der Passwortzeile: insecure12345
Das speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.
Konsole
Wenn sie das OTP im Zusammenhang mit einer SSH-Konsole nutzen, tragen sie bei der Passwortabfrage den OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort ein.
Beispiel: | |
Passwort: | insecure |
OTP: | 12345 |
Eingabe in der Passwortzeile: insecure12345