Avis important : |
La série de pare-feu Zyxel offre la possibilité d'une authentification 2FA par SMS pour le VPN et l'accès administrateur. Les utilisateurs locaux du pare-feu peuvent être utilisés, ainsi que les utilisateurs AD ou Radius.
1. PORTAL eCall
2. Serveur de notification
3. Authentification à deux facteurs
4. Politique de sécurité
5. Configuration HTTPS
6. Passerelle VPN
1. PORTAIL ECALL
Un compte eCall peut être ouvert sur https://portal.ecall-messaging.com/ecall/. L'ouverture du compte se fait en peu de temps.
Une fois le compte ouvert, l'adresse d'expéditeur du firewall peut être introduite sous Interfaces > Interface e-mail via le bouton "Ajouter une adresse". En outre, l'option "J'autorise l'envoi de messages par e-mail via mon compte eCall" doit être activée.
Pour votre information, aucun autre réglage n'est nécessaire.
Serveur de notification
Configuration > Système > Notification
- Serveur de messagerie
Commencez par configurer un serveur de courrier électronique pour l'envoi de messages. En général, le port 587 est utilisé pour l'envoi, ainsi que la sécurité TLS et STARTLS si nécessaire. Par exemple, il est possible de vérifier si le serveur de messagerie est correctement configuré en envoyant un rapport quotidien.
- SMS
Les paramètres suivants peuvent être utilisés pour eCall :
| Activer le SMS |
activer |
| Code pays par défaut pour le numéro de téléphone : | 41 pour la Suisse |
| Domaine du fournisseur : | sms.ecall.ch |
| Ajout automatique à "mail to" | activer |
| Sujet du mail : | +$numéro_mobile |
| Mail de : | L'adresse e-mail est enregistrée dans le portail eCall. Idéalement, elle est identique à l'adresse électronique figurant dans les paramètres du serveur de messagerie. |
| Mail To : | +$mobile_number$ |
L'indicatif de pays par défaut pour le numéro de téléphone" peut également être "0". Cependant, le numéro de téléphone de l'utilisateur doit alors être défini avec le préfixe "+xx", par exemple +41761234567.
- Paramètres de l'utilisateur
Configuration > Objet > Utilisateur/Groupe > Utilisateur
Un numéro de téléphone mobile au format 0761234567 est ajouté à l'utilisateur.
En outre, l'authentification à deux facteurs est activée.
Authentification à deux facteurs
Configuration > Objet > Auth. Méthode > Auth. à deux facteurs > Accès VPN
La fonction doit être activée comme condition de base. Ensuite, on détermine pour qui et pour quelle connexion l'authentification à deux facteurs doit être activée. L'"URL du lien autorisé" est l'adresse définie dans le message SMS. L'accès depuis l'extérieur doit être possible via le port spécifié depuis l'extérieur. Pour eCall, l'option "Utiliser un fichier multilingue" doit être utilisée.
Le fichier modèle peut être obtenu et adapté via le lien de téléchargement.
Le fichier peut ensuite être rechargé sur le pare-feu.
Le fichier doit contenir le caractère générique
Les caractères génériques suivants peuvent être utilisés :
Heure de validité > Heure à laquelle le client peut s'authentifier.
Politique de sécurité
Configuration > Politique de sécurité > Contrôle de la politique
Une politique de sécurité doit être créée pour l'authentification à l'aide de 2FA.
From : wan
Vers : ZyWALL
Source : peut être restreinte si nécessaire, par exemple à la Suisse
Service : Wiz_2FA (le port s'ajuste dynamiquement lorsqu'il est modifié dans le menu 2FA))
Action : autoriser
Configuration HTTPS
Configuration > Système > WWW > HTTPS > Contrôle du service utilisateur
Pour "User Service Control", l'accès depuis la zone "WAN" ou "ALL" doit être autorisé.
Passerelle VPN
Configuration > VPN > VPN IPSec > Passerelle VPN
Pour le VPN IPSec (L2TP/IKEv1/IKEv2), 2FA doit être activé dans la passerelle VPN.