UTM/AUTH/OTP.lang: Unterschied zwischen den Versionen

| OTP - One-Time-Password

| OTP - One-Time-Password }}

| Wichtige Hinweise bei der Verwendung des OTP-Verfahrens

{{var | Authentifizierung

| Authentifizierung

| Authentication }}

{{var | Benutzer

| Benutzer

| User }}

{{var | Vorbemerkungen

| Preliminary remarks }}

{{var | Vorbemerkungen--desc

{{var | Vorbemerkungen--Hinweis

| Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss {{r|<u> jeder Administrator</u>}} über diesen Token verfügen, um auf das Gerät zugreifen zu können. Eine Ausnahme auf User-Basis ist nicht möglich!

| If the OTP method is active for the admin web interface and SSH console, {{r|<u> each administrator</u>}} must have this token to access the device. Exception on user basis is not possible! }}

{{var | Vorbemerkungen SSL-VPN

| Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.<br><br> Die Renegotiation kann im Menü {{Menu-UTM|VPN|SSL-VPN}} in den Einstellungen {{Button||w}} einer Verbindung im Reiter {{Reiter|Allgemein}} unter {{b|Renegotiation}} erhöht oder komplett deaktiviert werden.<br> Die Deaktivierung wird nicht empfohlen. Eine Änderung wird durch die UTM an die SSL-VPN Clients übermittelt.<br><br> Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.<br>br> Im Falle eines Ausfalls des OTP-Generators (Smartphone oder Hardware Token) kann das OTP nur generiert werden, wenn Zugriff auf den QR-Code bzw. den Secret-Code besteht.<br> Dieser findet sich unter {{Menu-UTM|Authentifizierung|Benutzer}} {{Button|OTP Codes|p}}.

| Since SSL VPN re-authenticates every hour, a new OTP must also be entered every hour.<br><br> Renegotiation can be increased or completely disabled in the {{Menu-UTM|VPN|SSL-VPN}} menu in the {{Button||w}} settings of a connection in the {{Reiter|General}} tab under {{b|Renegotiation}}.<br> Of course, disabling is not recommended. A change is transmitted by the UTM to the SSL VPN clients.<br><br> Saving the password in the SSL VPN client is not possible because the password that is passed is composed of the static user password and the OTP.<br><br> In case of malfunction of the OTP generator (smartphone or hardware token), the OTP can only be generated if there is access to the QR code or the secret code.<br> This can be found under {{Menu-UTM|Authentication|User}} {{Button|OTP Codes|p}}. }}

{{var | Vorbemerkungen SSL-VPN--Hinweis

| Fällt der OTP-Generator für den '''Administrator-Zugang''' aus, wird eine ausgedruckte Version des QR-Codes benötigt.<br> Sollte diese nicht vorliegen, ist ein Zugriff auf die UTM nur noch mit physischem Zugang direkt am Gerät (Tastatur und Monitor an der UTM) möglich.

| If the OTP generator for administrator access fails, a printed version of the QR code is required.<br> If this is not available, access to the UTM is only possible with physical access directly at the device (keyboard and monitor at the UTM). }}

{{var | Ausdruck dieses Codes für die Administratoren

| Ausdruck dieses Codes für die Administratoren, wie unter [[OTP_V11#OTP_Secret | OTP Secret]]  beschrieben. Ablage in der Dokumentation.

{{var | Da das OTP-Verfahren zeit basiert ist

| Da das OTP-Verfahren zeit basiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft.<br> Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen:

| Since the OTP method is time-based, care must be taken to ensure that the time server in the UTM runs synchronously with the hardware or software token.<br> The time of the UTM system can be checked in three ways: }}

{{var | Da das OTP-Verfahren zeit basiert ist--desc

|  

* Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget-Auswahl, wenn diese nicht ausgeklappt ist oder im Menü {{Menu-UTM|Netzwerk|Servereinstellungen|Zeiteinstellungen}}

| Using the administration web interface: The time is shown in the widget selection if it is not expanded or in the menu {{Menu-UTM|Network|server settings|Time settings}}

* Using the CLI with the command {{code|system date get}}

* Using the root console with the command {{code|date}} }}

{{var | Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden

* Über die Administrations-Weboberfläche im Menü {{Menu-UTM|Netzwerk|Servereinstellungen|Zeiteinstellungen}}

* Über das CLI mit dem Kommando {{code|system date set date}} anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss

| The system time can then be set using the following options:

* Using the CLI with the command {{code|system date set date}} then seperated with spaces the current date and time in the format YYYY-MM-DD hh:mm:ss }}

{{var | 1=One-Time-Password--desc

| 2=Das One-Time-Password ist ein zusätzlicher Authentifizierungs-Mechanismus der für zusätzliche Sicherheit bei der Anmeldung eines Benutzers sorgt.<br> In der UTM wird das Zeit-Basierte-Verfahren verwendet (TOTP: Time-based One Time Password). Hierbei wird aus dem Sharedsecret Code und der aktuellen Uhrzeit alle 30 Sekunden ein neuer OTP errechnet.<br> Um dieses sechs-stellige Passwort zu generieren, wird als Token eine Smartphone App genutzt, wie z.B. der [https://de.wikipedia.org/wiki/Google_Authenticator Google Authenticator]. Dieser ist sowohl für [https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 Android], als auch für [https://itunes.apple.com/de/app/google-authenticator/id388497605?mt=8 iOS] Geräte verfügbar.<br> Andere Apps, wie z.B. FreeOTP für Android, sind ebenfalls möglich.

| 3=The One-Time-Password is an additional authentication mechanism that provides extra security when a user logs in.<br> In the UTM the time-based method is being used (TOTP: Time-based One Time Password). A new OTP is calculated every 30 seconds based on the shared secret code and the current time.<br> To generate this 6-digit password, a smartphone app is used as the token, such as the [https://en.wikipedia.org/wiki/Google_Authenticator Google Authenticator]. This is available for [https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 Android], as well as for [https://itunes.apple.com/de/app/google-authenticator/id388497605?mt=8 iOS] devices.<br> Other apps, such as FreeOTP for Android, are also possible. }}

{{var | OTP einrichten

{{var | Ablauf bei Aktivierung

{{var | 1=Ablauf bei Aktivierung--desc

| 2=# Sicherstellen, dass die Uhrzeit der UTM und des Tokens synchron läuft

# Übertragung des Geheimcodes an den Token

# Aktivieren des OTP-Verfahrens auf der UTM

# Testen der Anmeldung, <u>bevor</u> die aktuelle Session beendet wurde

{{Hinweis-box|Ist das Verfahren aktiviert, muss sich <u>jeder Benutzer</u> der ausgewählten Anwendungen zusätzlich per OTP anmelden. Ausnahmen sind nicht möglich.|g}}

| 3=# Ensure that the time of the UTM and the token runs synchronously

{{Hinweis-box|If the method is activated, <u>each user</u> of the selected applications must additionally log in via OTP. Exceptions are not possible.|g}} }}

{{var | Benutzer mit OTP einrichten

| Configure OTP User }}

| First, the users are created under {{Menu-UTM|Authentication|Users}} as usual.<br> See also [[UTM/AUTH/Benutzerverwaltung| Benutzerverwaltung]].<br> The OTP code for this user can only be displayed after the user's entries have been saved.<br> Display or change by clicking on the edit button {{Button||w}} in the user row in the tab {{Reiter|OTP}} on the right side.<br><br> The code can be created automatically by the Securepoint UTM and is available in two formats.<br> On the one hand as a QR code, which can simply be photographed with the smartphone app, and on the other hand in text form to be entered using the keyboard. }}

| OTP Configuration }}

{{var | Benutzer mit OTP einrichten--Bild

| UTM v12.6.1 Authentifizierung Benutzer OTP.png

| UTM v12.6.1 Authentifizierung Benutzer OTP-en.png }}

{{var | Benutzer mit OTP einrichten--cap

| OTP user }}

{{var | Benutzer bearbeiten

| Benutzer bearbeiten

{{var | Eingabeformat

| Eingabeformat

| Input format }}

{{var | kodiert

| kodiert

| encoded }}

{{var | base32--desc

| Default-Einstellung, [https://de.wikipedia.org/wiki/Base32 base32] kodiert, 16 Zeichen Länge

| Default setting, [https://en.wikipedia.org/wiki/Base32 base32] encoded, 16 characters length }}

{{var | base32--Hinweis

| Codes mit weniger als 26 Zeichen Länge können u.U. von OTP-Apps als unsicher gekennzeichnet werden

| Codes less than 26 characters in length may be flagged as insecure by OTP apps }}

{{var | base32 Fehlermeldung

| App Meldung: Token is unsafe

| App message: Token is unsafe }}

{{var | base64--desc

| kodiert, Länge 16 - 168 Zeichen (in 4er Blöcken), manuelle Eingabe

| encoded, length 16 - 168 characters (in blocks of 4), manual input }}

{{var | HEX--desc

| HEX-kodiert, Gültige Zeichen: A-F, a-f und 0-9 /  Länge 10-128 Paare, manuelle Eingabe

| HEX coded, valid characters: A-F, a-f and 0-9 / length 10-128 pairs, manual input }}

{{var | Hash-Algorithmus

| Hash-Algorithmus:

| Hash algorithm: }}

{{var | Hash-Algorithmus--desc

| Der Hash-Algorithmus kann ausgewählt werde

{{var | OTP Geheimcode generieren Hash-Algo-Art

| Nicht jede Authenticator App unterstützt jeden Hash-Algorithmus! Einige dieser Apps unterstützen kein sha256, oder sha512.<br> Bei Verwendung dieser Apps muss ggf. Default Wert beibehalten werden.

| Not every authenticator app supports every hash algorithm! Some of these apps do not support sha256, or sha512.<br> When using these apps, the default value may have to be retained. }}

| '''Beispiel''': Die Apps ''Google Authenticator'' und ''Microsoft Authenticator'' unterstützt ausschließlich den Hash-Algorithmus '''sha1'''.  

| '''Example''': The ''Google Authenticator'' and ''Microsoft Authenticator'' apps only supports the hash algorithm '''sha1'''. }}

{{var | Intervall

| Intervall

| Interval }}

{{var | Intervall--desc

| The interval should be set to 30 seconds }}

{{var | Interval--Hinweis

| Wird ein Hardware-Token verwendet, muss dessen Wert übernommen werden.<br> OTP Apps sind oft auf eine Aktualisierung des Tokens alle 30 Sekunden optimiert.

| If a hardware token is used, its value must be adopted.<br> OTP apps are often optimized to update the token every 30 seconds. }}

{{var | Code--desc

| Gibt den Code in Text-Form an.<br> Es ist hier auch möglich manuell einen Code einzutragen, z.B. ein Hardware Token.

| Gives the code in text form.<br> It is also possible to enter a code manually, e.g. a hardware token. }}

{{var | Code neu erzeugen--desc

| Erzeugt einen neuen Code mit den Default-Vorgaben (base32 kodiert, Intervall 30 Sekunden)

| Creates a new code with the default settings (base32 coded, interval 30 seconds) }}

| Gives the code in text format }}

{{var | OTP Code überprüfen

| OTP-Code überprüfen

| Check OTP code }}

{{var | OTP Code überprüfen--desc

| Hier kann ein OTP-Code der mit einem entsprechenden OTP-Generator erzeugt wurde, eingegeben werden, um zu überprüfen, ob der OTP-Generator korrekt eingerichtet wurde.

| An OTP code generated with a corresponding OTP generator can be entered here to check whether the OTP generator has been set up correctly. }}

{{var | OTP Secret--cap

{{var | 1=OTP Secret--desc

| 2=Zur Weitergabe an die Benutzer besteht die Möglichkeit, die erstellten Codes auszudrucken.<br> {{Button|OTP Codes|p}}<br> Es wird dann ein Dokument im PDF Format wie folgt erstellt:

| 3=For distribution to the users there is a possibility to print the created codes.<br> {{Button|OTP Codes|p}}<br> A document in PDF format will then be generated as follows: }}

{{var | Einrichten des Google Authenticator

| Einrichten eines Authenticators

| Setting up an Authenticator }}

{{var | Einrichten des Google Authenticator--desc

| Zunächst muss ein Authenticator aus dem App-Store heruntergeladen, installiert und geöffnet werden. Im Beispiel: Google Authenticator<br> Das erste Fenster enthält eine Übersicht über die zwei Stufen zur Authentifizierung bei Google Account:

| First, the Google Authenticator must be downloaded from the App Store, installed and opened.<br> The first window contains an overview of the two steps for authentication with Google Account: }}

{{var | Einrichten des Google Authenticator--Bild

| OTP Einrichten des Google Authenticator für OTP.png

| OTP Einrichten des Google Authenticator für OTP-en.png }}

{{var | Einrichten des Google Authenticator--cap

| OTP mit dem Google Authenticator erzeugen

| Generate OTP with the Google Authenticator }}

{{var | Einrichten mit Barcode

| '''Einrichten mit QR-Code:'''

* ggf. Schaltfläche ''Account hinzufügen'' / + o.ä. wählen

* Schaltfläche ''QR-Code scannen'' oder auf QR-Code-Symbol klicken

* Es wird Ein Konto mit der Bezeichnung der Firewall und dem Benutzernamen erstellt

* Es wird unmittelbar oder durch tippen auf den Eintrag ein gültiger OTP-Code angezeigt, der überprüft werden kann

| '''Set up with QR code:'''

* Choose ''Add account'' button / + or similar, if applicable

* ''Scan QR code'' button or click on QR code symbol

* at the latest now: Allow access to camera

* An account is created with the name of the firewall and the user name

* Immediately or by tapping on the entry, a valid OTP code is displayed that can be checked }}

{{var | Einrichten mit Einrichtungsschlüssel

| '''Einrichten mit Einrichtungsschlüssel:'''

** Key-Typ: Zeitbasiert / TOTP

* Es wird Ein Konto mit dem angegebenen Accountnamen erstellt

* Es wird unmittelbar oder durch tippen auf den Eintrag ein gültiger OTP-Code angezeigt, der überprüft werden kann

| '''Set up with setup key:'''

** Key type: Time based / TOTP

** Interval 30 seconds

* An account is created with the specified account name

* A valid OTP code is displayed immediately or by tapping on the entry, which can be verified }}

{{var | Nutzung eines Hardware Tokens

{{var | 1=Nutzung eines Hardware Tokens--desc

| 2=Auch die Nutzung eines Hardware Token ist möglich.<br> Dabei sollte es sich um einen [https://www.ietf.org/rfc/rfc6238.txt RFC 6238] kompatiblen Passwort Generator handeln.<br> Von Securepoint's Seite wird derzeit der [https://www.mtrix.de/portfolio/feitian/otp/ Feitian OTP c200] unterstützt.<br> Vom Lieferanten wird dazu ein Download-Link für den HEX Code versendet, der wie [[UTM/AUTH/OTP#Benutzer_mit_OTP_einrichten | oben]] beschrieben beim Benutzer hinterlegt werden muss.<br> Folgende Parameter müssen dabei verwendet werden:

| 3=The use of a hardware token is also possible.<br> This should be a [https://www.ietf.org/rfc/rfc6238.txt RFC 6238] compatible password generator.<br> Securepoint currently supports the [https://www.mtrix.de/portfolio/feitian/otp/ Feitian OTP c200].<br> A download link for the HEX code is sent by the supplier for this purpose, which must be registered with the user as described [[UTM/AUTH/OTP#Benutzer_mit_OTP_einrichten | above]].<br> The following parameters must be used:

* Time interval: 30 seconds  

* Optional: SEED programming {{info| Background on SEED programming: In case the token happens to be created in  in non-trustworthy countries and you want to make sure that it does not already contain malicious code or is otherwise compromised upon delivery, i.e. Mtrix will reprogram it for a small amount.}} }}

{{var | Nutzung eines Hardware Tokens--Hinweis

| Es muss darauf geachtet werden den Token <u>Key</u> einzutragen und nicht die Token ID.<br> Bei der ID handelt es sich um eine Seriennummer des Tokens, beim Key um einen 32 bis 40 Zeichen langen Code.

| Be sure to enter the token <u>key</u> and not the token ID.<br> The ID is a serial number of the token and the key is a 32 to 40 character code. }}

{{var | OTP-Seed LDAP--Hinweis

| Achtung: Der OTP-Seed lässt sich per LDAP auslesen, wenn dieser in den Nutzerattributen im AD hinterlegt ist.

| Attention: The OTP seed can be read by LDAP if it is stored in the user attributes in AD. }}

{{var | OTP den Anwendungen zuweisen

| Assign OTP to applications }}

{{var | OTP den Anwendungen zuweisen--desc

| Unter {{Menu-UTM|Authentifizierung|OTP}} kann ausgewählt werden, bei welchen Anwendungen sich die Benutzer zusätzlich mit dem One-Time-Passwort authentifizieren sollen.

{{var | OTP den Anwendungen zuweisen--Bild

| UTM v12.6.1 Authentifizierung OTP.png

| UTM v12.6.1 Authentifizierung OTP-en.png }}

{{var | OTP den Anwendungen zuweisen--cap

{{var | Aus

| Off }}

{{var | Administrator-Webinterface

    | Administrator-Webinterface

{{var | CLI-Info-Admin

{{var | CLI-Info-User

| Der CLI-Befehl, um OTP für das User-Interface zu aktivieren lautet: ''extc global set variable GLOB_UI_OTP_AUTH value 1''

| he CLI command to enable OTP for the user interface is: ''extc global set variable GLOB_UI_OTP_AUTH value 1'' }}

{{var | Roadwarrior-Verbindungen

| Roadwarrior connection }}

{{var | CLI-Info-IPSec

| Der CLI-Befehl für IPSec lautet: ''extc value set application ipsec variable USE_OTP value 1''

| The cli command for IPSec is: ''extc value set application ipsec variable USE_OTP value 1'' }}

{{var | CLI-Info-SSL VPN

| Der CLI-Befehl für SSL-VPN lautet: ''extc value set application openvpn variable USE_OTP value 1''

| The cli command for SSL VPN is: ''extc value set application openvpn variable USE_OTP value 1'' }}

{{var | CLI-Info-SSH

| Der CLI-Befehl für SSH lautet: ''extc value set application sshd variable USE_OTP value 1''

| The cli command for SSH is: ''extc value set application sshd variable USE_OTP value 1'' }}

{{var | SSH Konsole

{{var | OTP benutzen

{{var | Webinterface--Bild

| UTM v12.6.1 UI Login OTP.png

| UTM v12.6.1 UI Login OTP-en.png }}

{{var | 1=Webinterface--desc

| 2=Bei einem Login auf das Administrations- oder User-Webinterface gibt es nun ein weiteres Authentifikationsfeld:<br>

{{ic||icon=otp|class=mw9|fs=12}} für den OTP-Code.<br> Hier wird zusätzlich zum Benutzernamen und Passwort, der generierte Code eingetragen.

| 3=When logging in to the administration or user web interface, there is now an additional authentication field {{ic|<big>{{Button||o}}</big>|Anw=UTM}} for the OT code.<br> Here, in addition to the user name and password, the generated code is entered. }}

{{var | Verweis auf OTP-COde extra abfragen

| Im SSL-VPN Client kann eingestellt werden, ob der OTP-Code extra abgefragt werden soll. Eine genauere Erklärung dazu findet sich [[VPN#OTP-Code_extra_abfragen |hier]].<br> Wenn die Gegenstelle ein separates übermitteln des OTP-Kennwortes erlaubt, kann wie folgt vorgegangen werden:<br> Starten der SSL-VPN Verbindung auf dem Client (Unter Windows: Doppelklick auf das Schloss-Symbol in der Taskleiste).<br> Aufbau der Verbindung mit Klick auf

| In the SSL-VPN Client, you can set whether the OTP code is to be requested separately. A more detailed explanation can be found [[VPN#Request_OTP_code_extra |here]].<br> If the remote terminal allows a separate transmission of the OTP password, the following procedure can be followed:<br> Start the SSL VPN connection on the client (on Windows: double-click the lock icon in the taskbar).<br> Establish the connection by clicking on }}

{{var | Die Verbindung wird in drei Schritten Aufgebaut

| The connection is established in three steps: }}

| SSL-VPN-v2_Benutzername.png

| SSL-VPN-v2 Benutzername-en.png }}

{{var | Eingabe Benutzername

| Eingabe Benutzername

| Enter username }}

| SSL-VPN-v2 Kennwort-en.png }}

{{var | Eingabe Kennwort

| Enter password }}

| SSL-VPN-v2_OTP.png

| SSL-VPN-v2 OTP-en.png }}

{{var | Eingabe OTP

{{var | Verbunden--Bild

| Das Speichern des Kennworts im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem sich stets änderndem OTP zusammensetzt.

| Saving the password in the SSL VPN client is not possible because the password that is passed is composed of the static user password and the alwys changing OTP. }}

{{var | Passwort

{{var | SSH-Verbindung--desc

| Wenn der Zugriff mit einer SSH-Konsole und OTP genutzt wird, wird der OTP-Code in einer separaten Zeile {{b|Pin}} abgefragt.

| If access is used with an SSH console and OTP, the OTP code is requested in a separate row {{b|Pin}}. }}

{{var | SSH-Verbindung-Hinweis

| VPN mit UTM, wenn die Gegenstelle <u>kein</u> separates übermitteln des OTP-Kennwortes erlaubt:

| VPN with UTM if the remote station does <u>not</u> allow separate transmission of the OTP password: }}

{{var | SSH-Verbindung--cap

{{var | Wenn der Zugriff mit einer SSH-Konsole und OTP

{{var | Passwort in UTM

| Passwort in UTM

| Password in UTM }}