USG/ATP/VPN - VPN 2FA med SMS (eCall)

Oprettet - Opdateret
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær venligst opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat nøjagtigt. Hvis der er spørgsmål eller uoverensstemmelser om nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Original Version

Zyxels firewall-serie giver mulighed for 2FA-godkendelse via SMS til VPN og administratoradgang. Lokale firewall-brugere kan bruges, såvel som AD- eller Radius-brugere.

1. PORTAL eCall

2. Notifikationsserver

3. To-faktor-godkendelse

4. Sikkerhedspolitik

5. HTTPS indstillinger

6. VPN-gateway

1. ECALL-PORTAL

En eCall-konto kan åbnes på https://portal.ecall-messaging.com/ecall/. Åbningen af kontoen sker på kort tid.

Når kontoen er åbnet, kan firewallens afsenderadresse indtastes under Interfaces > E-mail interface via knappen "Add address". Derudover skal indstillingen "Jeg tillader, at der sendes beskeder via e-mail gennem min eCall-konto." aktiveres.

Bare så du ved det, er der ikke behov for yderligere indstillinger.
mceclip0.png

Notifikationsserver

Konfiguration > System > Notifikation

  • Mailserver

mceclip1.png

Først skal du konfigurere en e-mailserver til afsendelse af mails. Normalt bruges port 587 til afsendelse samt TLS-sikkerhed og STARTLS, hvis det er nødvendigt. Om mailserveren er sat korrekt op, kan f.eks. kontrolleres ved at sende en daglig rapport.

  • SMS

Følgende indstillinger kan bruges til eCall:

Aktiver SMS
Aktiver
Standard landekode for telefonnummer: 41 for Schweiz
Udbyder-domæne: sms.ecall.ch
Automatisk tilføjelse til "mail til" Aktiver
Mail-emne: +$mobile_number$
Mail fra: E-mailadressen er registreret i eCall-portalen. Ideelt set er den identisk med e-mailadressen i mailserverindstillingerne.
Mail til: +$mobile_number$

Standardlandekoden for telefonnummer" kan også være "0". Brugerens telefonnummer skal dog i så fald defineres med præfikset "+xx", f.eks. +41761234567.

  • Brugerindstillinger

Konfiguration > Objekt > Bruger/Gruppe > Bruger

Et mobilnummer i formatet 0761234567 tilføjes til brugeren.

mceclip0.png

Derudover er 2FA aktiveret.

mceclip1.png

To-faktor-godkendelse

Konfiguration > Objekt > Auth. Metode > To-faktor-godkendelse > VPN-adgang

mceclip2.png

Funktionen skal være slået til som et grundlæggende krav. Efterfølgende bestemmes det, for hvem og hvilken forbindelse 2FA skal være aktiv. "Authorized Link URL" er den adresse, der er defineret i SMS-beskeden. Adgang udefra skal være mulig via den angivne port udefra. For eCall skal indstillingen "Use Multilingual file" anvendes.

Skabelonfilen kan hentes og tilpasses via downloadlinket.
Filen kan derefter indlæses på firewallen igen.

Filen skal indeholde pladsholderen .

Følgende pladsholdere kan bruges:

Autorisationslink URL-adresse

Bruger, der har registreret sig til 2FA

Firewallens navn (Konfiguration > System > Værtsnavn)

Gyldig tid > Tid, hvor klienten kan autentificere sig selv.

Sikkerhedspolitik

Konfiguration > Sikkerhedspolitik > Politikstyring

Der skal oprettes en sikkerhedspolitik for autentificering med 2FA

mceclip3.png

Fra: wan

Til: ZyWALL

Kilde: kan begrænses om nødvendigt, f.eks. til Schweiz

Tjeneste: Wiz_2FA (port justeres dynamisk, når den ændres i 2FA-menuen))

Handling: Tillad

HTTPS indstillinger

Konfiguration > System > WWW > HTTPS > Kontrol af brugertjenester

For "User Service Control" skal adgang fra zonen "WAN" eller "ALL" være tilladt.

mceclip4.png

VPN-gateway

Konfiguration > VPN > IPSec VPN > VPN-gateway

For IPSec VPN (L2TP/IKEv1/IKEv2) skal 2FA være aktiveret i VPN-gatewayen.
mceclip5.png

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
0 ud af 0 fandt dette nyttigt
Del

Kommentarer

0 kommentarer

Log ind for at kommentere.