(Lauritzl verschob die Seite UTM/AUTH/OTP nach UTM/AUTH/OTP v11.8.8) Markierung: Neue Weiterleitung |
K (Weiterleitung auf UTM/AUTH/OTP v11.8.8 entfernt) Markierung: Weiterleitung entfernt |
||
Zeile 1: | Zeile 1: | ||
# | {{Set_lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | |||
{{:UTM/AUTH/OTP.lang}} | |||
</div>{{TOC2|toclevel=2}}{{Select_lang}} | |||
{{Header|10.2022| | |||
* {{#var:Hinweis auf Aktualisierung}} | |||
|[[UTM/AUTH/OTP_v11.8.8|11.8.8]] | |||
[[UTM/AUTH/OTP_v11.8| '''11.8''']] | |||
[[UTM/AUTH/OTP_v11.7| '''11.7''']] | |||
}} | |||
---- | |||
=== {{#var:Vorbemerkungen}} === | |||
<div class="Einrücken"> | |||
{{#var:Vorbemerkungen--desc}} | |||
<br> | |||
{{Hinweis-neu|! {{#var:Hinweis}}: }} {{#var:9}} | |||
<br> | |||
{{#var:Eine Ausnahme auf User-Basis ist nicht möglich}} | |||
<br><br> | |||
'''SSL-VPN:''' | |||
<br> | |||
{{#var:11}} | |||
<br><br> | |||
{{#var:12}} | |||
<b> | |||
<p>{{#var:13}} </p> | |||
</b> | |||
{{Hinweis-neu|!! {{#var:Fällt der OTP-Generator aus-Hinweis }}<br>{{#var:15}} |class=center}} | |||
<br> | |||
<p>{{#var:16}} </p> | |||
<p>{{Hinweis-neu|! {{#var:Hinweis}}:}} {{#var:19}} </p> | |||
{{#var:Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen}}<br> | |||
* {{#var:21}} | |||
* {{#var:22}} | |||
* {{#var:23}} | |||
{{#var:Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden}}<br> | |||
* {{#var:25}} | |||
* {{#var:26}} | |||
</div> | |||
=== {{#var:One-Time-Password}} === | |||
<div class="Einrücken"> | |||
<p>{{#var:One-Time-Password--desc}} </p> | |||
<p>{{#var:29}} </p> | |||
</div> | |||
=== {{#var:OTP einrichten}} === | |||
<div class="Einrücken"> | |||
==== {{#var:Ablauf bei Aktivierung}} ==== | |||
<div class="Einrücken"> | |||
# {{#var:32}} | |||
# {{#var:33}} | |||
# {{#var:34}} | |||
# {{#var:35}} | |||
{{Hinweis-neu|! {{#var:Ablauf bei Aktivierung--desc}}|g}} | |||
</span></div></div> | |||
=== {{#var:Benutzer mit OTP einrichten}} === | |||
<div class="Einrücken"> | |||
<p>{{#var:Benutzer mit OTP einrichten--desc}} </p> | |||
<p>{{#var:Automatisches erstellen eines Codes--desc}} </p> | |||
</div><br clear=all> | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- class="noborder" | |||
| colspan="3" | {{Kasten|{{#var:OTP Konfiguration}} }} | |||
| class="Bild" rowspan="15" | {{Bild| {{#var:Benutzer mit OTP einrichten--Bild}} |{{#var:Benutzer mit OTP einrichten--cap}} }} | |||
|- | |||
| rowspan="3" | {{b|{{#var:Eingabeformat}}:}} || {{Button| base32 {{#var:kodiert}} |dr|class=available}} || default | |||
|- | |||
| {{Button| base64 {{#var:kodiert}} |dr|class=available}} | |||
|- | |||
| {{Button| HEX {{#var:kodiert}} |dr|class=available}} | |||
|- | |||
| {{b|{{#var:Intervall}}:}} || {{ic|30 (Default) |c|class=available}} || {{#var:Intervall--desc}} | |||
|- | |||
| {{b|Code:}} || {{ic|4ZZDUV5ZGDMOUVLT|class=available}} || {{#var:Code--desc}}<br> {{Hinweis-neu|!|gr}} {{#var:Code-Hinweis}} | |||
|- class="noborder" | |||
| {{Button||r}} || colspan="2" | {{#var:Code neu erzeugen}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="noborder" | |||
| colspan="3" | {{Kasten|{{#var:Resultierender Code}} }} | |||
|- | |||
| {{b|Secret:}} || {{Button|4ZZDUV5ZGDMOUVLT|class=available}} || {{#var:Code--desc}} | |||
|- | |||
| {{b|{{#var:OTP Code überprüfen}}:}} || {{ic| |class=available}} || {{#var:OTP Code überprüfen--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
|} | |||
=== OTP Secret === | |||
<div class="Einrücken"> | |||
{{pt3| {{#var:OTP Secret--Bild}} |{{#var:OTP Secret--cap}} |hochkant=0.9 }} | |||
{{#var:OTP Secret--desc}} | |||
</div><br clear=all> | |||
=== {{#var:Einrichten des Google Authenticator}} === | |||
{| class="sptable2 pd5 zh1 blank Einrücken" | |||
|- | |||
| {{#var:Einrichten des Google Authenticator--desc}} | |||
| class="Bild" rowspan="4" | {{Bild| {{#var:Einrichten des Google Authenticator--Bild}} |{{#var:Einrichten des Google Authenticator--cap}}|class=width-xl}} | |||
|- | |||
| {{#var:Einrichten mit Barcode}} | |||
|- | |||
| {{#var:Einrichten mit Einrichtungsschlüssel}} | |||
|- class="Leerzeile" | |||
| rowspan="3" | <br> | |||
=== {{#var:Nutzung eines Hardware Tokens}} === | |||
<p>{{#var:Nutzung eines Hardware Tokens--desc}} </p> | |||
<p>{{#var:Unterstüzung Feithan OTP c200--desc}} </p> | |||
<div class="list--element__alert list--element__hint"> | |||
{{#var:76b}} | |||
|} | |||
<br clear=all> | |||
<div class="Einrücken"> | |||
<p>{{#var:76c}}</p> | |||
<p>{{Hinweis-neu| ! {{#var:Unterstüzung Feithan OTP c200-Hinweis}} |g}}</p> | |||
<br> | |||
{{#var:Bei der ID handelt es sich um}} | |||
</div> | |||
</div><br clear=all> | |||
=== {{#var:OTP den Anwendungen zuweisen}} === | |||
<div class="Einrücken"> | |||
{{pt3| {{#var:OTP den Anwendungen zuweisen--Bild}} |hochkant=1|{{#var:OTP den Anwendungen zuweisen--cap}} }} | |||
{{#var:OTP den Anwendungen zuweisen--desc}} | |||
<br> | |||
{| class="sptable2 blank Einrücken block" | |||
|- | |||
| colspan="3" | <span class=text-h5>{{Kasten| {{#var:Webinterfaces}} }}</span> | |||
|- | |||
| {{ButtonAus|{{#var:Aus}} }} || {{#var:Administrator-Webinterface}} || rowspan="3" | {{Hinweis-neu| !! {{#var:Fällt der OTP-Generator aus-Hinweis }}<br>{{#var:15}} }} | |||
|- | |||
| {{ButtonAus|{{#var:Aus}} }} || {{#var:Anwender-Webinterface}} | |||
|- | |||
|<br> | |||
|- | |||
| colspan="3" | <span class=text-h5>{{Kasten|VPN}} ({{#var:Roadwarrior-Verbindungen}})</span> | |||
|- | |||
| {{ButtonAus|{{#var:Aus}} }} || IPSec | |||
|- | |||
| {{ButtonAus|{{#var:Aus}} }} || SSL-VPN | |||
|- | |||
|<br> | |||
|- | |||
| colspan="3" | <span class=text-h5>{{Kasten|Firewall}}</span> | |||
|- | |||
| {{ButtonAus|{{#var:Aus}} }} || {{#var:SSH Konsole}} | |||
|} | |||
</div><br clear=all> | |||
=== {{#var:OTP benutzen}} === | |||
==== {{#var:Webinterface}} ==== | |||
<div class="Einrücken"> | |||
{{pt3| {{#var:Webinterface--Bild}} |{{#var:Webinterface--cap}} }} | |||
{{#var:Webinterface--desc}} | |||
</div><br clear=all> | |||
==== VPN ==== | |||
<div class="Einrücken"> | |||
<p>{{#var:Verweis auf OTP-COde extra abfragen}} </p> | |||
<p>{{#var:VPN--desc}} [[Datei:SSL-VPN-v2 Verbindung-aufbauen.png|x20px]] </p> | |||
<p>{{#var:Die Verbindung wird in drei Schritten Aufgebaut}} </p> | |||
{{Gallery3| {{#var:122}} | {{#var:Eingabe Benutzername}} | |||
| {{#var:124}} | {{#var:Eingabe Kennwort}} | |||
| {{#var:126}} | {{#var:Eingabe OTP}} | |||
| {{#var:Verbunden--Bild}} | {{#var:Verbunden}} | |||
| i=4 | i4=9}} | |||
{{Hinweis-neu|! {{#var:VPN-Hinweis}} |g}} | |||
{{Gallery3| | <p>{{#var:109}}</p><span>{{Hinweis-neu|!|g}}{{#var:109b}}</span> | |||
| {{#var:122}} | {{#var:Eingabe Benutzername}} | |||
| {{#var:126}} | {{#var:Eingabe Kennwort und OTP}} | |||
| i=3 }} | |||
{{#var:Beispiel}} | |||
{| class="sptable2 noborder" | |||
|- | |||
| {{#var:Passwort}} || insecure || rowspan="3" | {{#var:Beispiel--desc}} | |||
|- | |||
| OTP: || 123456 | |||
|- | |||
| {{b| {{#var:Kennwort}} }} || class=mw9 |{{code|insecure123456}} | |||
|} | |||
</div><br clear=all> | |||
==== {{#var:SSH-Verbindung}} ==== | |||
<div class="Einrücken"> | |||
{{#var:SSH-Verbindung--desc}} | |||
<br clear=all> | |||
{{Hinweis-neu| {{#var:SSH-Verbindung-Hinweis}} |g}} | |||
<br> | |||
{{pt3| {{#var:SSH-Verbindung--Bild}} |{{#var:SSH-Verbindung--cap}} }} | |||
<p>{{#var:Wenn der Zugriff mit einer SSH-Konsole und OTP}}<br> | |||
{{Hinweis-neu|!|g}} {{#var:109b}} </p> | |||
<p>{{#var:Beispiel}} | |||
{| class="sptable2 noborder" | |||
|- | |||
| {{#var:Passwort in UTM}} || insecure | |||
|- | |||
| OTP || 123456 | |||
|- | |||
| {{b| {{#var:Password}} }} || {{code|insecure123456}} | |||
|} | |||
</div><br clear=all> |
Version vom 4. November 2022, 11:44 Uhr
Vorbemerkungen
Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich.
SSL-VPN:
Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:
- Über die Administrations-Weboberfläche im Menü Zeiteinstellungen Bereich
- Über das CLI mit dem Kommando system date set date anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss
Das One-Time-Password ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.
In der UTM wird das Zeit-Basierte-Verfahren verwendet (TOTP: Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.
Um dieses sechs-stellige Passwort zu generieren, wird als Token eine Smartphone App genutzt, wie z.B. der Google Authenticator. Dieser ist sowohl für Android, als auch für iOS Geräte verfügbar.
Andere Apps, wie z.B. FreeOTP für Android, sind ebenfalls möglich.
OTP einrichten
Ablauf bei Aktivierung
- Sicherstellen, dass die Uhrzeit der UTM und des Tokens synchron läuft
- Übertragung des Geheimcodes an den Token
- Aktivieren des OTP-Verfahrens auf der UTM
- Testen der Anmeldung, bevor die aktuelle Session beendet wurde
Benutzer mit OTP einrichten
Zunächst werden die Benutzer unter
Siehe dazu auch Benutzerverwaltung.
Der OTP-Code für diesen Benutzer kann erst angezeigt werden, wenn die Eingaben zum Benutzer gespeichert wurden.
Anzeigen oder ändern mit klick auf den editieren Button in der Benutzer Zeile im Reiter OTP auf der rechten Seite.
Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor.
Zum einen als QR-Code, der einfach mit der Smartphone App abfotografiert werden kann, und zum anderen in Text-Form zum eingeben über die Tastatur.
OTP Secret
[[Datei: |hochkant=0.9|mini|OTP PDF Dokument ]]
Zur Weitergabe an die Benutzer besteht die Möglichkeit, die erstellten Codes auszudrucken.
Es wird dann ein Dokument im PDF Format wie folgt erstellt:
Einrichten eines Authenticators
Zunächst muss ein Authenticator aus dem App-Store heruntergeladen, installiert und geöffnet werden. Im Beispiel: Google Authenticator Das erste Fenster enthält eine Übersicht über die zwei Stufen zur Authentifizierung bei Google Account: |
|
Einrichten mit QR-Code:
| |
Einrichten mit Einrichtungsschlüssel:
| |
Nutzung eines Hardware TokensAuch die Nutzung eines Hardware Token ist möglich.
|
OTP den Anwendungen zuweisen
Unter
Aus | Administrator-Webinterface | |
Aus | Anwender-Webinterface | |
VPN (Roadwarrior-Verbindungen)
| ||
Aus | IPSec | |
Aus | SSL-VPN | |
Firewall
| ||
Aus | SSH (Konsole) |
OTP benutzen
Bei einem Login auf das Administrations- oder User-Webinterface gibt es nun ein weiteres Authentifikationsfeld:
für den OTP-Code.
Hier wird zusätzlich zum Benutzernamen und Passwort, der generierte Code eingetragen.
VPN
Im SSL-VPN Client kann eingestellt werden, ob der OTP-Code extra abgefragt werden soll. Eine genauere Erklärung dazu findet sich hier.
Wenn die Gegenstelle ein separates übermitteln des OTP-Kennwortes erlaubt, kann wie folgt vorgegangen werden:
Starten der SSL-VPN Verbindung auf dem Client (Unter Windows: Doppelklick auf das Schloss-Symbol in der Taskleiste).
Aufbau der Verbindung mit Klick auf
Die Verbindung wird in drei Schritten Aufgebaut:
Wenn OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung eingesetzt wird und die Gegenstelle die separate Übermittlung des OTP-Codes nicht unterstützt, muss bei der Passwortabfrage der OTP-Code ohne Leerzeichen direkt hinter dem Benutzerkennwort eingetragen werden.
Beispiel
Passwort | insecure | Das Speichern des Kennworts im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem sich stets änderndem OTP zusammensetzt. |
OTP: | 123456 | |
Kennwort | insecure123456 |
SSH-Verbindung
Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code in einer separaten Zeile Pin abgefragt.
[[Datei: |hochkant=2|mini|SSH-Login mit OTP unter PuTTY und v11.7.15 ]]
Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird und die Gegenstalle kein separates übermitteln des OTP-Codes erlaubt, wird der OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort eingegeben.
Beispiel
Passwort in UTM | insecure |
OTP | 123456 |
insecure123456 |