Wichtiger Hinweis: |
Die Zyxel Firewall-Serie bietet die Möglichkeit einer 2FA-Authentifizierung per SMS für VPN- und Admin-Zugang. Es können sowohl lokale Firewall-Benutzer, als auch AD- oder Radius-Benutzer verwendet werden.
1. PORTAL eCall
2. Benachrichtigungsserver
3. Zwei-Faktor-Authentifizierung
4. Sicherheitsrichtlinie
5. HTTPS-Einstellungen
6. VPN-Gateway
1. ECALL PORTAL
Ein eCall-Konto kann unter https://portal.ecall-messaging.com/ecall/ eröffnet werden. Die Eröffnung des Kontos ist in kurzer Zeit erledigt.
Ist das Konto eröffnet, kann unter Schnittstellen > E-Mail-Schnittstelle über die Schaltfläche "Adresse hinzufügen" die Absenderadresse der Firewall eingetragen werden. Zudem muss die Option "Ich erlaube den Versand von Meldungen per E-Mail über mein eCall-Konto" aktiviert werden.
Weitere Einstellungen sind nicht erforderlich.
Benachrichtigungsserver
Konfiguration > System > Benachrichtigung
- Mail-Server
Richten Sie zunächst einen E-Mail-Server für den Versand von E-Mails ein. In der Regel wird der Port 587 für den Versand verwendet, sowie TLS-Sicherheit und STARTLS, falls erforderlich. Ob der Mailserver korrekt eingerichtet ist, kann z. B. durch den täglichen Versand eines Berichts überprüft werden.
- SMS
Die folgenden Einstellungen können für eCall verwendet werden:
| SMS einschalten |
aktivieren |
| Standard-Ländervorwahl für die Telefonnummer: | 41 für die Schweiz |
| Provider-Domain: | sms.ecall.ch |
| Automatisch an "Mail an" anhängen | aktivieren |
| Mail Betreff: | +$mobile_number$ |
| Mail von: | Die E-Mail-Adresse wird im eCall-Portal erfasst. Idealerweise ist diese identisch mit der E-Mail-Adresse in den Mailserver-Einstellungen. |
| Mail an: | +$mobile_number$ |
Die Standard-Ländervorwahl für Telefonnummer" kann auch "0" sein. Die Telefonnummer des Benutzers muss dann aber mit dem Präfix "+xx" definiert werden, z.B. +41761234567.
- Benutzereinstellungen
Konfiguration > Objekt > Benutzer/Gruppe > Benutzer
Dem Benutzer wird eine Mobilfunknummer im Format 0761234567 hinzugefügt.
Außerdem wird die 2FA aktiviert.
Zwei-Faktor-Authentifizierung
Konfiguration > Objekt > Auth. Methode > Zwei-Faktor-Authentifizierung > VPN-Zugang
Die Funktion muss als Grundvoraussetzung eingeschaltet sein. Anschließend wird festgelegt, für wen und welche Verbindung 2FA aktiv sein soll. "Authorized Link URL" ist die Adresse, die in der SMS-Nachricht definiert ist. Der Zugriff von aussen muss über den angegebenen Port von aussen möglich sein. Für eCall muss die Option "Mehrsprachige Datei verwenden" verwendet werden.
Die Vorlagendatei kann über den Download-Link bezogen und angepasst werden.
Die Datei kann dann wieder auf die Firewall geladen werden.
Die Datei muss den Platzhalter
Die folgenden Platzhalter können verwendet werden:
Gültige Zeit > Zeit, in der sich der Client authentifizieren kann.
Sicherheitsrichtlinie
Konfiguration > Sicherheitsrichtlinie > Richtliniensteuerung
Für die Authentifizierung mit 2FA muss eine Sicherheitsrichtlinie erstellt werden
Von: wan
An: ZyWALL
Quelle: kann bei Bedarf eingeschränkt werden, z.B. auf die Schweiz
Dienst: Wiz_2FA (Port passt sich dynamisch an, wenn im 2FA-Menü geändert))
Aktion: zulassen
HTTPS-Einstellungen
Konfiguration > System > WWW > HTTPS > Benutzerdienststeuerung
Für "User Service Control" muss der Zugriff aus der Zone "WAN" oder "ALL" erlaubt sein.
VPN-Gateway
Konfiguration > VPN > IPSec VPN > VPN-Gateway
Für IPSec VPN (L2TP/IKEv1/IKEv2) muss 2FA im VPN-Gateway aktiviert sein.
Kommentare
0 KommentareBitte melden Sie sich an, um einen Kommentar zu hinterlassen.