OTP - One-Time-Password

Wichtige Hinweise bei der Verwendung des OTP-Verfahrens

Letzte Anpassung: 10.2022

Neu:

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

11.8.8 11.8 11.7

Vorbemerkungen

Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich.

SSL-VPN:

Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:

Über die Administrations-Weboberfläche im Menü Netzwerk Servereinstellungen Bereich Zeiteinstellungen
Über das CLI mit dem Kommando system date set date anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss

Das One-Time-Password ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.
In der UTM wird das Zeit-Basierte-Verfahren verwendet (TOTP: Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.
Um diese sechs-stellige Passwort zu generieren, gibt es verschiedene Möglichkeiten:

Smartphone App: Es kann eine Smartphone App genutzt werden, die das Passwort berechnet. Zum Beispiel der Google Authenticator, diesen gibt es für Android und iOS, oder aber auch andere Apps wie bspw. FreeOTP+ für Android, diese bieten ggf. sogar einen größeren Leistungsumfang wie Export der Tokens, bessere Hash-Algorithmen usw.
Passwortmanager für den PC: Es kann ein Passwortmanager für den PC verwendet werden, welcher OTPs erzeugen kann bspw. KeepassXC.
Hardware Token: Es gibt Hardware Tokens die einzig für die Generierung von OTPs zuständig sind.

OTP einrichten

Ablauf bei Aktivierung

Sicherstellen, dass die Uhrzeit der UTM und des Tokens synchron läuft
Übertragung des Geheimcodes an den Token
Aktivieren des OTP-Verfahrens auf der UTM
Testen der Anmeldung, bevor die aktuelle Session beendet wurde

notempty

Ist das Verfahren aktiviert, muss sich jeder Benutzer der ausgewählten Anwendungen zusätzlich per OTP anmelden. Ausnahmen sind nicht möglich.

Benutzer mit OTP einrichten

Zunächst werden die Benutzer unter Authentifizierung Benutzer wie gehabt angelegt.
Siehe dazu auch Benutzerverwaltung.
Der OTP-Code für diesen Benutzer kann erst angezeigt werden, wenn die Eingaben zum Benutzer gespeichert wurden.
Anzeigen oder ändern mit klick auf den editieren Button in der Benutzer Zeile im Reiter OTP auf der rechten Seite.

Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor.
Zum einen als QR-Code, der einfach mit der Smartphone App abfotografiert werden kann, und zum anderen in Text-Form zum eingeben über die Tastatur.

OTP Konfiguration
Eingabeformat:	base32 kodiert	default	OTP Benutzer
	base64 kodiert
	HEX kodiert
Intervall:	30 (Default)	Das Intervall sollte auf 30 Sekunden eingestellt sein
Code:	4ZZDUV5ZGDMOUVLT	Gibt den Code in Text-Form an. Es ist hier auch möglich manuell einen Code einzutragen, z.B. ein Hardware Token.


Resultierender Code
Secret:	4ZZDUV5ZGDMOUVLT	Gibt den Code in Text-Form an. Es ist hier auch möglich manuell einen Code einzutragen, z.B. ein Hardware Token.
OTP-Code überprüfen:		Hier kann ein OTP-Code der mit einem entsprechenden OTP-Generator erzeugt wurde, eingegeben werden, um zu überprüfen, ob der OTP-Generator korrekt eingerichtet wurde.

OTP Secret

[[Datei: |hochkant=0.9|mini|OTP PDF Dokument ]] Zur Weitergabe an die Benutzer besteht die Möglichkeit, die erstellten Codes auszudrucken.
OTP Codes
Es wird dann ein Dokument im PDF Format wie folgt erstellt:

Einrichten eines Authenticators

Zunächst muss ein Authenticator aus dem App-Store heruntergeladen, installiert und geöffnet werden. Im Beispiel: Google Authenticator Das erste Fenster enthält eine Übersicht über die zwei Stufen zur Authentifizierung bei Google Account:	OTP mit dem Google Authenticator erzeugen
Einrichten mit QR-Code: ggf. Schaltfläche Account hinzufügen / + o.ä. wählen Schaltfläche QR-Code scannen oder auf QR-Code-Symbol klicken spätestens jetzt: Zugriff auf Kamera erlauben Es wird Ein Konto mit der Bezeichnung der Firewall und dem Benutzernamen erstellt Es wird unmittelbar oder durch tippen auf den Eintrag ein gültiger OTP-Code angezeigt, der überprüft werden kann
Einrichten mit Einrichtungsschlüssel: Accountnamen eingeben Key / Secret eintragen Key-Typ: Zeitbasiert / TOTP Digits: 6 Algorythmus: SHA1 Interval 30 Sekunden Es wird Ein Konto mit dem angegebenen Accountnamen erstellt Es wird unmittelbar oder durch tippen auf den Eintrag ein gültiger OTP-Code angezeigt, der überprüft werden kann
Nutzung eines Hardware Tokens Auch die Nutzung eines Hardware Token ist möglich. Dabei sollte es sich um einen RFC 6238 kompatiblen Passwort Generator handeln. Von Securepoint's Seite wird derzeit der Feitian OTP c200 unterstützt. Vom Lieferanten wird dazu ein Download-Link für den HEX Code versendet, der wie oben beschrieben beim Benutzer hinterlegt werden muss. Folgende Parameter müssen dabei verwendet werden: SHA Algorithmus: SHA1 Zeitintervall: 30 Sekunden Optional: SEED-Programmierung Hintergrund zur SEED-Programmierung: Wenn der Token ggf. in nicht vertrauenswürdigen Drittstaaten produziert wird und man sicher stellen möchte, dass dieser nicht schon bei der Lieferung Schadcode beinhaltet oder anderweitig kompromittiert ist, kann dieser z.B. von der Firma Mtrix für einen geringen Betrag neu programmiert.

OTP den Anwendungen zuweisen

Unter Authentifizierung OTP kann ausgewählt werden, bei welchen Anwendungen sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.


Aus	Administrator-Webinterface
Aus	Anwender-Webinterface

VPN (Roadwarrior-Verbindungen)
Aus	IPSec
Aus	SSL-VPN

Firewall
Aus	SSH (Konsole)

OTP benutzen

Bei einem Login auf das Administrations- oder User-Webinterface gibt es nun ein weiteres Authentifikationsfeld:
für den OTP-Code.
Hier wird zusätzlich zum Benutzernamen und Passwort, der generierte Code eingetragen.

VPN

Im SSL-VPN Client kann eingestellt werden, ob der OTP-Code extra abgefragt werden soll. Eine genauere Erklärung dazu findet sich hier.
Wenn die Gegenstelle ein separates übermitteln des OTP-Kennwortes erlaubt, kann wie folgt vorgegangen werden:
Starten der SSL-VPN Verbindung auf dem Client (Unter Windows: Doppelklick auf das Schloss-Symbol in der Taskleiste).
Aufbau der Verbindung mit Klick auf

Die Verbindung wird in drei Schritten Aufgebaut:

Eingabe Benutzername

Eingabe Kennwort

Eingabe OTP

Verbunden

Szenario: Gegenstelle erlaubt kein separates übermitteln des OTP-Codes:

Wenn OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung eingesetzt wird und die Gegenstelle die separate Übermittlung des OTP-Codes nicht unterstützt, muss bei der Passwortabfrage der OTP-Code ohne Leerzeichen direkt hinter dem Benutzerkennwort eingetragen werden.

Eingabe Benutzername

Eingabe Kennwort und OTP

Beispiel

Passwort	insecure	Das Speichern des Kennworts im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem sich stets änderndem OTP zusammensetzt.
OTP:	123456
Kennwort	insecure123456

SSH-Verbindung

Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code in einer separaten Zeile Pin abgefragt.

VPN mit UTM, wenn die Gegenstelle kein separates übermitteln des OTP-Kennwortes erlaubt:

[[Datei: |hochkant=2|mini|SSH-Login mit OTP unter PuTTY und v11.7.15 ]]

Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird und die Gegenstalle kein separates übermitteln des OTP-Codes erlaubt, wird der OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort eingegeben.