www.SAMURAJ-cz.com 

19.04.2024 Rostislav Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

FortiGate dvoufaktorová autentizace s použitím OTP

Úterý, 21.04.2020 14:42 | Samuraj - Petr Bouška |
Další pokračování, které se věnuje možnostem vícefaktorové autentizace (MFA) na FortiGate. Podíváme se na dvoufaktorovou autentizaci (2FA) pomocí OTP (One-time Password) zaslaného na email nebo jako SMS zpráva. Použití je pro přihlášení do SSL VPN, ale můžeme využít i jinde.

Pozn.: Popis v článku vychází z FortiGate FG-300E s FortiOS verzí 6.2.3. Který je nakonfigurovaný jako FGCP cluster a využívá VDOM.

Dokumentace Users and user groups - Two-factor authentication

FortiGate podporuje dvoufaktorovou autentizaci (2FA) s použitím OTP (One-time Password). Jde o autentizační kód se šesti číslicemi, který je platný 60 vteřin. Předávat se může pomocí emailové zprávy, SMS zprávy nebo generovat pomocí FortiToken (HW či mobilní aplikace).

Nastavení dvoufaktorové autentizace pro uživatele

  • (VDOM) > User & Device > User Definitions

Nastavení dvoufaktorové autentizace se provádí na lokálním uživatelském účtu. Může jít o Local User nebo Remote User, v obou případech je shodné. Část lze nastavit v GUI, ale skoro vždy budeme muset upravit v CLI.

Pokud pro přihlášení do SSL VPN používáme uživatele z LDAP serveru (třeba AD DS), a chceme použít dvoufaktorovou autentizaci, tak musíme vytvořit uživatele lokálně jako Remote user. Technical Note - Configuring Remote LDAP users with Two-Factor Authentication

Uživatele můžeme vytvořit v GUI jako Remote LDAP User, kde zvolíme LDAP server a na něm uživatele (pokud jich vybereme více, tak se rovnou vytvoří více účtů). Uživatelé se vytváří se jménem z LDAP serveru. Pak můžeme uživatele editovat a nastavit Two-factor Authentication (ověření hesla bude stále probíhat vůči LDAP serveru). Uživatele pak zařadíme do skupiny pro SSL VPN.

Pro detailní nastavení dvoufaktorové autentizace, ale musíme do CLI. V GUI nastavíme pouze FortiToken. Nastavení emailu se vůbec v GUI nenabízí (dokud nenastavíme v CLI).

Zaslání OTP na email

Dokumentace Technical Tip: Email Two-Factor Authentication on FortiGate

Příklad LDAP uživatele s dvoufaktorovou autentizací a zasláním OTP na email uživatele. 

config user local
    edit "bouska"
        set type ldap
        set two-factor email
        set email-to "bouska@firma.cz"
        set ldap-server "PDC"
    next
end

Samozřejmě musíme mít nastavený poštovní server. Buď v GUI

  • (Global) > System > Settings - Email Service

Nebo CLI config system email-server, kde můžeme i nechat odeslat testovací zprávu.

diagnose log alertmail authcode bouska@firma.cz

Pokud se připojujeme pomocí FortiClient do SSL VPN, tak nejprve standardně zadáme jméno a heslo a klikneme na Connect. Následně se zobrazí další dialog, který chce zadat Token Code poslaný na email. Při správném zadání dojde k přihlášení.

FortiClient OTP autentizace na email

Emailová zpráva se posílá na email uživatele přes globálně nastavený SMTP server. Její tvar je:

Předmět:     AuthCode: 131416
Tělo zprávy: Your authentication token code is 131416. 

Zaslání OTP pomocí SMS

Dokumentace Technical Note: SMS Two Factor Authentication in FortiGate

Další možnost je zaslat OTP jako SMS na mobilní číslo uživatele. Ale ono to ve skutečnosti znamená poslání emailu a chování je úplně stejné jako pro předchozí variantu email.

Pro poslání SMS můžeme využít FortiGuard Messaging Service, což je výchozí možnost (set sms-server fortiguard). Měli bychom mít 4 zprávy zdarma (nevím, zda na den či jak) a dá se od Fortinetu dokoupit. Nebo můžeme využít nějakou internetovou službu pro posílání SMS. Pokud máme vlastní IP GSM bránu připojenou do sítě, tak můžeme využít i tu. Příkladem je třeba 2N VoiceBlue Next.

V obou případech potřebujeme, aby podporovala funkci Email2SMS, tedy přijímala emaily, jejichž obsah odešle jako SMS zprávu. Emailová adresa příjemce obsahuje telefonní číslo pro odeslání zprávy, například 7311234562@sms.firma.cz. Jak je vidět, tak bychom nepotřebovali speciální funkci SMS, ale rovnou můžeme použít poslání na email a jako adresu zadat formát s telefonním číslem.

Bohužel FortiGate umožňuje definovat pouze jednu emailovou službu (SMTP server). Takže pokud máme vlastní GSM bránu, tak na ni musíme směrovat poštu skrze naše poštovní servery. Hodilo by se přímé připojení na SMTP GSM brány.

Pro zprovoznění musíme pomocí CLI v Global definovat SMS server. Zadáváme pouze jméno serveru a doménu (ta je zmateně nazvaná mail-server), na kterou se odesílají emaily. Emailové adresy pro odeslání se vytváří pomocí této domény jako telefonní-číslo@doména-služby.

config system sms-server
    edit "GSM-GW"
        set mail-server "sms.firma.cz"
    next
end

Pak upravíme nastavení uživatele.

config user local
    edit "bouska"
        set type ldap
        set two-factor sms
        set sms-server custom
        set sms-custom-server "GSM-GW"
        set sms-phone "7311234562"
        set ldap-server "PDC"
    next
end

Průběh přihlášení do SSL VPN je velmi podobný.

FortiClient OTP autentizace SMS
zobrazeno: 7201krát | Komentáře [0]

Autor:

Související články:

Fortinet FortiGate a další

Bezpečnostní řešení firmy Fortinet. Nejvíce zaměřeno na Next Generation Firewall (NGFW) FortiGate.

VPN - Virtual Private Network

Série článků, která obsahuje obecný popis technologie VPN. Rozebírá jednotlivé typy VPN, jako je Site to Site VPN a Remote Access VPN. A popisuje konfigurace na různých zařízeních.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím tento záznam nikdo nekomentoval.

Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách