Keine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 4: | Zeile 4: | ||
{{:UTM/AUTH/OTP.lang}} | {{:UTM/AUTH/OTP.lang}} | ||
{{var | neu--CLI Befehle | |||
| [[#OTP_den_Anwendungen_zuweisen | CLI-Befehle]] um OPT den Anwendungen zuzuweisen | |||
| [[#OTP_den_Anwendungen_zuweisen | CLI commands]] to assign OPT to the applications }} | |||
{{var | neu--OTP-Seed Sicherheitshinweis | {{var | neu--OTP-Seed Sicherheitshinweis | ||
| [[#Nutzung_eines_Hardware_Tokens | Sicherheitshinweis beim OTP-Seed bei LDAP]] | | [[#Nutzung_eines_Hardware_Tokens | Sicherheitshinweis beim OTP-Seed bei LDAP]] | ||
| Zeile 16: | Zeile 19: | ||
</div>{{TOC2|toclevel=2}}{{Select_lang}} | </div>{{TOC2|toclevel=2}}{{Select_lang}} | ||
{{Header| | {{Header|09.2023 <small>(v12.4)</small>| | ||
* {{#var:neu--CLI Befehle}} | |||
* {{#var:neu--Hash-Algorithmus}} <small>(v12.4)</small> | * {{#var:neu--Hash-Algorithmus}} <small>(v12.4)</small> | ||
* {{#var:neu--OTP-Seed Sicherheitshinweis}} <small>(03.2023)</small> | * {{#var:neu--OTP-Seed Sicherheitshinweis}} <small>(03.2023)</small> | ||
| Zeile 32: | Zeile 36: | ||
{{#var:Vorbemerkungen--desc}} | {{#var:Vorbemerkungen--desc}} | ||
<br> | <br> | ||
{{Hinweis- | {{Hinweis-box|{{#var:Hinweis}}|r}} {{#var:9}} | ||
<br> | <br> | ||
{{#var:Eine Ausnahme auf User-Basis ist nicht möglich}} | {{#var:Eine Ausnahme auf User-Basis ist nicht möglich}} | ||
| Zeile 44: | Zeile 48: | ||
<p>{{#var:13}} </p> | <p>{{#var:13}} </p> | ||
</b> | </b> | ||
{{Hinweis- | {{Hinweis-box|{{#var:Fällt der OTP-Generator aus-Hinweis }}<br> {{#var:15}} |class=center|r}} | ||
<br> | <br> | ||
<p>{{#var:16}} </p> | <p>{{#var:16}} </p> | ||
<p>{{Hinweis- | <p>{{Hinweis-box|{{#var:Hinweis}}|r}} {{#var:19}} </p> | ||
{{#var:Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen}}<br> | {{#var:Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen}}<br> | ||
* {{#var:21}} | * {{#var:21}} | ||
| Zeile 62: | Zeile 66: | ||
---- | ---- | ||
=== | === OTP - One-Time-Password === | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
<p>{{#var:One-Time-Password--desc}} </p> | <p>{{#var:One-Time-Password--desc}} </p> | ||
| Zeile 79: | Zeile 83: | ||
# {{#var:34}} | # {{#var:34}} | ||
# {{#var:35}} | # {{#var:35}} | ||
{{Hinweis- | {{Hinweis-box|{{#var:Ablauf bei Aktivierung--desc}}|g}} | ||
</span></div></div> | </span></div></div> | ||
| Zeile 101: | Zeile 105: | ||
| {{Button| HEX {{#var:kodiert}} |dr|class=available}} || {{#var:HEX--desc}} | | {{Button| HEX {{#var:kodiert}} |dr|class=available}} || {{#var:HEX--desc}} | ||
|- | |- | ||
| rowspan="3"| {{b|{{#var:Hash-Algorithmus}} }}{{Hinweis- | | rowspan="3"| {{b|{{#var:Hash-Algorithmus}} }}{{Hinweis-box|{{#var:Neu ab}} v12.4|gr|12.4|status=neu}} || {{button|sha1|dr|class=available}}<br><small>'''Default'''</small> || {{#var:Hash-Algorithmus--desc}} | ||
|- | |- | ||
| {{button|sha256|dr|class=available}} || | | {{button|sha256|dr|class=available}} || | ||
| Zeile 107: | Zeile 111: | ||
| {{button|sha512|dr|class=available}} || | | {{button|sha512|dr|class=available}} || | ||
|- | |- | ||
| {{b|{{#var:Intervall}}:}} || {{ic|30 |c|class=available}} || {{#var:Intervall--desc}} {{info|{{#var:Interval--Hinweis}} }} {{Hinweis- | | {{b|{{#var:Intervall}}:}} || {{ic|30 |c|class=available}} || {{#var:Intervall--desc}} {{info|{{#var:Interval--Hinweis}} }} {{Hinweis-box|{{#var:Einstellbar ab}} v12.3|gr|12.4|status=update}} | ||
|- | |- | ||
| rowspan="2" | {{b|Code:}} || {{ic|4ZZDUV5ZGDMOUVLT|class=available}} || {{#var:Code--desc}}<br> {{Hinweis- | | rowspan="2" | {{b|Code:}} || {{ic|4ZZDUV5ZGDMOUVLT|class=available}} || {{#var:Code--desc}}<br> {{Hinweis-box||gr}} {{#var:Code-Hinweis}} | ||
|- | |- | ||
| {{Button||r}} || {{#var:Code neu erzeugen}} | | {{Button||r}} || {{#var:Code neu erzeugen}} | ||
| Zeile 149: | Zeile 153: | ||
|} | |} | ||
<br clear=all> | <br clear=all> | ||
---- | |||
=== {{#var:Nutzung eines Hardware Tokens}} === | === {{#var:Nutzung eines Hardware Tokens}} === | ||
| Zeile 158: | Zeile 162: | ||
<div class="list--element__alert list--element__hint"> {{#var:76b}} | <div class="list--element__alert list--element__hint"> {{#var:76b}} | ||
<br clear=all> | <br clear=all> | ||
<p>{{#var:76c}}</p> | <p>{{#var:76c}}</p> | ||
<p>{{Hinweis-box|{{#var:Unterstüzung Feithan OTP c200-Hinweis}}|g}}</p> | |||
<p>{{Hinweis- | |||
<br> | <br> | ||
{{#var:Bei der ID handelt es sich um}} | {{#var:Bei der ID handelt es sich um}} | ||
<br> | <br> | ||
{{Hinweis- | {{Hinweis-box|{{#var:OTP-Seed LDAP--Hinweis}}|r}} | ||
</div><br clear=all> | </div><br clear=all> | ||
---- | |||
=== {{#var:OTP den Anwendungen zuweisen}} === | === {{#var:OTP den Anwendungen zuweisen}} === | ||
| Zeile 176: | Zeile 176: | ||
{{pt3| {{#var:OTP den Anwendungen zuweisen--Bild}} |hochkant=1|{{#var:OTP den Anwendungen zuweisen--cap}} }} | {{pt3| {{#var:OTP den Anwendungen zuweisen--Bild}} |hochkant=1|{{#var:OTP den Anwendungen zuweisen--cap}} }} | ||
{{#var:OTP den Anwendungen zuweisen--desc}} | {{#var:OTP den Anwendungen zuweisen--desc}} | ||
< | </div> | ||
{| class="sptable2 blank Einrücken block" | |||
{| class="sptable2 pd5 zh1 blank Einrücken block" | |||
|- | |- | ||
| colspan="3" | | | colspan="3" | {{Kasten|{{#var:Webinterfaces}} }} | ||
|- | |- | ||
| {{ButtonAus|{{#var:Aus}} }} || {{#var:Administrator-Webinterface}} | | {{ButtonAus|{{#var:Aus}} }} || {{#var:Administrator-Webinterface}} {{info|{{#var:CLI-Info-Admin}} }} | ||
|- | |- | ||
| {{ButtonAus|{{#var:Aus}} }} || {{#var:Anwender-Webinterface}} | | {{ButtonAus|{{#var:Aus}} }} || {{#var:Anwender-Webinterface}} {{info|{{#var:CLI-Info-User}} }} | ||
|- | |- | ||
|<br> | |<br> | ||
|- | |- | ||
| colspan="3" | | | colspan="3" | {{Kasten|VPN}} ({{#var:Roadwarrior-Verbindungen}}) | ||
|- | |- | ||
| {{ButtonAus|{{#var:Aus}} }} || IPSec | | {{ButtonAus|{{#var:Aus}} }} || IPSec {{info|{{#var:CLI-Info-IPSec}} }} | ||
|- | |- | ||
| {{ButtonAus|{{#var:Aus}} }} || SSL-VPN | | {{ButtonAus|{{#var:Aus}} }} || SSL-VPN {{info|{{#var:CLI-Info-SSL VPN}} }} | ||
|- | |- | ||
|<br> | |<br> | ||
|- | |- | ||
| colspan="3" | | | colspan="3" | {{Kasten|Firewall}} | ||
|- | |- | ||
| {{ButtonAus|{{#var:Aus}} }} || {{#var:SSH Konsole}} | | {{ButtonAus|{{#var:Aus}} }} || {{#var:SSH Konsole}} SSL-VPN {{info|{{#var:CLI-Info-SSH}} }} | ||
|} | |} | ||
<div class="Einrücken"> | |||
{{Hinweis-box| {{#var:Fällt der OTP-Generator aus-Hinweis }}<br> {{#var:15}}|r}} | |||
</div><br clear=all> | </div><br clear=all> | ||
---- | |||
=== {{#var:OTP benutzen}} === | === {{#var:OTP benutzen}} === | ||
==== {{#var:Webinterface}} ==== | ==== {{#var:Webinterface}} ==== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{pt3| {{#var:Webinterface--Bild}} |{{#var:Webinterface--cap}} }} | {{pt3| {{#var:Webinterface--Bild}} |{{#var:Webinterface--cap}} }} | ||
{{#var:Webinterface--desc}} | {{#var:Webinterface--desc}} | ||
</div><br clear=all> | |||
==== VPN ==== | ==== VPN ==== | ||
| Zeile 218: | Zeile 221: | ||
<p>{{#var:VPN--desc}} [[Datei:SSL-VPN-v2 Verbindung-aufbauen.png|x20px]] </p> | <p>{{#var:VPN--desc}} [[Datei:SSL-VPN-v2 Verbindung-aufbauen.png|x20px]] </p> | ||
<p>{{#var:Die Verbindung wird in drei Schritten Aufgebaut}} </p> | <p>{{#var:Die Verbindung wird in drei Schritten Aufgebaut}} </p> | ||
{{Gallery3| {{#var:122}} | {{#var:Eingabe Benutzername}} | {{Gallery3| {{#var:122}} | {{#var:Eingabe Benutzername}} {{whitebox|User}} | ||
| {{#var:124}} | {{#var:Eingabe Kennwort}} {{whitebox|insecure}} | |||
| {{#var:126}} | {{#var:Eingabe OTP}} {{whitebox|123456}} | |||
| {{#var:Verbunden--Bild}} | {{#var:Verbunden}} | |||
| i=4 | i4=9}} | |||
{{Hinweis- | {{Hinweis-box|{{#var:VPN-Hinweis}}|g}} | ||
{{Gallery3| | <p>{{#var:109}}</p><span>{{Hinweis- | {{Gallery3| | <p>{{#var:109}}</p><span>{{Hinweis-box||g}} {{#var:109b}}</span> | ||
| {{#var:122}} | {{#var:Eingabe Benutzername}} {{whitebox|User}} | |||
| {{#var:126}} | {{#var:Eingabe Kennwort und OTP}} {{whitebox|insecure123456}} | |||
| i=3 }} | |||
{{#var:Beispiel}} | {{#var:Beispiel}} | ||
| Zeile 240: | Zeile 243: | ||
| {{b| {{#var:Kennwort}} }} || class=mw9 |{{code|insecure123456}} | | {{b| {{#var:Kennwort}} }} || class=mw9 |{{code|insecure123456}} | ||
|} | |} | ||
</div><br clear=all> | |||
==== {{#var:SSH-Verbindung}} ==== | ==== {{#var:SSH-Verbindung}} ==== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:SSH-Verbindung--desc}} | {{#var:SSH-Verbindung--desc}} | ||
<br> | |||
<br | {{Hinweis-box|{{#var:SSH-Verbindung-Hinweis}}|g}} | ||
{{Hinweis- | |||
<br> | <br> | ||
{{pt3| {{#var:SSH-Verbindung--Bild}} |{{#var:SSH-Verbindung--cap}} }} | {{pt3| {{#var:SSH-Verbindung--Bild}} |{{#var:SSH-Verbindung--cap}} }} | ||
<p>{{#var:Wenn der Zugriff mit einer SSH-Konsole und OTP}}<br> | <p>{{#var:Wenn der Zugriff mit einer SSH-Konsole und OTP}}<br> | ||
{{Hinweis- | {{Hinweis-box||g}} {{#var:109b}} </p> | ||
<br> | |||
< | {{#var:Beispiel}} | ||
{| class="sptable2 noborder" | {| class="sptable2 noborder" | ||
|- | |- | ||
| {{#var:Passwort in UTM}} || insecure | | {{b|{{#var:Passwort in UTM}}:}} || insecure | ||
|- | |- | ||
| OTP || 123456 | | {{b|OTP:}} || 123456 | ||
|- | |- | ||
| {{b| | | {{b|Password:}} || {{code|insecure123456}} | ||
|} | |} | ||
</div><br clear=all> | </div><br clear=all> | ||
Version vom 5. September 2023, 18:50 Uhr
Wichtige Hinweise bei der Verwendung des OTP-Verfahrens
Letzte Anpassung: 09.2023 (v12.4)
Neu:
- CLI-Befehle um OPT den Anwendungen zuzuweisen
- Der Hash-Algorithmus kann ausgewählt werden (v12.4)
- Sicherheitshinweis beim OTP-Seed bei LDAP (03.2023)
- Intervall für die Gültigkeit ist konfigurierbar 11.3
Vorbemerkungen
Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich.
SSL-VPN:
notempty
Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:
- Über die Administrations-Weboberfläche im Menü Bereich Zeiteinstellungen
- Über das CLI mit dem Kommando system date set date anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss
OTP - One-Time-Password
Das One-Time-Password ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.
In der UTM wird das Zeit-Basierte-Verfahren verwendet (TOTP: Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.
Um dieses sechs-stellige Passwort zu generieren, wird als Token eine Smartphone App genutzt, wie z.B. der Google Authenticator. Dieser ist sowohl für Android, als auch für iOS Geräte verfügbar.
Andere Apps, wie z.B. FreeOTP für Android, sind ebenfalls möglich.
OTP einrichten
Ablauf bei Aktivierung
- Sicherstellen, dass die Uhrzeit der UTM und des Tokens synchron läuft
- Übertragung des Geheimcodes an den Token
- Aktivieren des OTP-Verfahrens auf der UTM
- Testen der Anmeldung, bevor die aktuelle Session beendet wurde
Ist das Verfahren aktiviert, muss sich jeder Benutzer der ausgewählten Anwendungen zusätzlich per OTP anmelden. Ausnahmen sind nicht möglich.
Benutzer mit OTP einrichten
Zunächst werden die Benutzer unter wie gehabt angelegt.
Siehe dazu auch Benutzerverwaltung.
Der OTP-Code für diesen Benutzer kann erst angezeigt werden, wenn die Eingaben zum Benutzer gespeichert wurden.
Anzeigen oder ändern mit klick auf den editieren Button in der Benutzer Zeile im Reiter OTP auf der rechten Seite.
Der Code kann automatisch von der Securepoint UTM erstellt werden und liegt dann in zwei Varianten vor.
Zum einen als QR-Code, der einfach mit der Smartphone App abfotografiert werden kann, und zum anderen in Text-Form zum eingeben über die Tastatur.
OTP Konfiguration
| |||
| Eingabeformat: | Default-Einstellung, base32 kodiert, 16 Zeichen Länge Codes mit weniger als 26 Zeichen Länge können u.U. von OTP-Apps als unsicher gekennzeichnet werden |
 | |
| kodiert, Länge 16 - 168 Zeichen (in 4er Blöcken), manuelle Eingabe | |||
| HEX-kodiert, Gültige Zeichen: A-F, a-f und 0-9 / Länge 10-128 Paare, manuelle Eingabe | |||
| Hash-Algorithmus:notempty Neu ab v12.4 |
Default |
Der Hash-Algorithmus kann ausgewählt werde | |
| Intervall: | 30 |
Das Intervall sollte auf 30 Sekunden eingestellt sein Wird ein Hardware-Token verwendet, muss dessen Wert übernommen werden. OTP Apps sind oft auf eine Aktualisierung des Tokens alle 30 Sekunden optimiert. v12.3
| |
| Code: | 4ZZDUV5ZGDMOUVLT | Gibt den Code in Text-Form an. Es ist hier auch möglich manuell einen Code einzutragen, z.B. ein Hardware Token. | |
Resultierender Code
| |||
| Secret: | Gibt den Code in Text-Form an. Es ist hier auch möglich manuell einen Code einzutragen, z.B. ein Hardware Token. | ||
| OTP-Code überprüfen: | Hier kann ein OTP-Code der mit einem entsprechenden OTP-Generator erzeugt wurde, eingegeben werden, um zu überprüfen, ob der OTP-Generator korrekt eingerichtet wurde. | ||
OTP Secret
[[Datei: |hochkant=0.9|mini|OTP PDF Dokument ]]
Zur Weitergabe an die Benutzer besteht die Möglichkeit, die erstellten Codes auszudrucken.
Es wird dann ein Dokument im PDF Format wie folgt erstellt:
Einrichten eines Authenticators
| Zunächst muss ein Authenticator aus dem App-Store heruntergeladen, installiert und geöffnet werden. Im Beispiel: Google Authenticator Das erste Fenster enthält eine Übersicht über die zwei Stufen zur Authentifizierung bei Google Account: |
 |
Einrichten mit QR-Code:
| |
Einrichten mit Einrichtungsschlüssel:
| |
Nutzung eines Hardware Tokens
Auch die Nutzung eines Hardware Token ist möglich.
Dabei sollte es sich um einen RFC 6238 kompatiblen Passwort Generator handeln.
Von Securepoint's Seite wird derzeit der Feitian OTP c200 unterstützt.
Vom Lieferanten wird dazu ein Download-Link für den HEX Code versendet, der wie oben beschrieben beim Benutzer hinterlegt werden muss.
Folgende Parameter müssen dabei verwendet werden:
- SHA Algorithmus: SHA1
- Zeitintervall: 30 Sekunden
- Optional: SEED-Programmierung Hintergrund zur SEED-Programmierung: Wenn der Token ggf. in nicht vertrauenswürdigen Drittstaaten produziert wird und man sicher stellen möchte, dass dieser nicht schon bei der Lieferung Schadcode beinhaltet oder anderweitig kompromittiert ist, kann dieser z.B. von der Firma Mtrix für einen geringen Betrag neu programmiert.
Achtung: Der OTP-Seed lässt sich per LDAP auslesen, wenn dieser in den Nutzerattributen im AD hinterlegt ist.
OTP den Anwendungen zuweisen
Unter kann ausgewählt werden, bei welchen Anwendungen sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.
| Aus | Administrator-Webinterface Der CLI-Befehl, um OTP für das Admin-Interface zu aktivieren lautet: extc global set variable GLOB_AI_OTP_AUTH value 1 | |
| Aus | Anwender-Webinterface Der CLI-Befehl, um OTP für das User-Interface zu aktivieren lautet: extc global set variable GLOB_UI_OTP_AUTH value 1 | |
VPN (Roadwarrior-Verbindungen)
| ||
| Aus | IPSec Der CLI-Befehl für IPSec lautet: extc value set application ipsec variable USE_OTP value 1 | |
| Aus | SSL-VPN Der CLI-Befehl für SSL-VPN lautet: extc value set application openvpn variable USE_OTP value 1 | |
Firewall
| ||
| Aus | SSH (Konsole) SSL-VPN Der CLI-Befehl für SSH lautet: extc value set application sshd variable USE_OTP value 1 | |
notempty
OTP benutzen
Bei einem Login auf das Administrations- oder User-Webinterface gibt es nun ein weiteres Authentifikationsfeld:
für den OTP-Code.
Hier wird zusätzlich zum Benutzernamen und Passwort, der generierte Code eingetragen.
VPN
Im SSL-VPN Client kann eingestellt werden, ob der OTP-Code extra abgefragt werden soll. Eine genauere Erklärung dazu findet sich hier.
Wenn die Gegenstelle ein separates übermitteln des OTP-Kennwortes erlaubt, kann wie folgt vorgegangen werden:
Starten der SSL-VPN Verbindung auf dem Client (Unter Windows: Doppelklick auf das Schloss-Symbol in der Taskleiste).
Aufbau der Verbindung mit Klick auf
Die Verbindung wird in drei Schritten Aufgebaut:
Eingabe Benutzername User
Eingabe Kennwort insecure
Eingabe OTP 123456
Verbunden
Szenario: Gegenstelle erlaubt kein separates übermitteln des OTP-Codes:
Wenn OTP im Zusammenhang mit einer SSL-VPN oder Xauth-VPN Verbindung eingesetzt wird und die Gegenstelle die separate Übermittlung des OTP-Codes nicht unterstützt, muss bei der Passwortabfrage der OTP-Code ohne Leerzeichen direkt hinter dem Benutzerkennwort eingetragen werden.
Eingabe Benutzername User
Eingabe Kennwort und OTP insecure123456
Beispiel
| Passwort | insecure | Das Speichern des Kennworts im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem sich stets änderndem OTP zusammensetzt. |
| OTP: | 123456 | |
| Kennwort | insecure123456 |
SSH-Verbindung
Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code in einer separaten Zeile Pin abgefragt.
VPN mit UTM, wenn die Gegenstelle kein separates übermitteln des OTP-Kennwortes erlaubt:
[[Datei: |hochkant=2|mini|SSH-Login mit OTP unter PuTTY und v11.7.15 ]]
Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird und die Gegenstalle kein separates übermitteln des OTP-Codes erlaubt, wird der OTP-Code ohne Leerzeichen direkt nach dem Benutzerkennwort eingegeben.
Beispiel
| Passwort in UTM: | insecure |
| OTP: | 123456 |
| Password: | insecure123456 |