Fontos értesítés: |
A Zyxel tűzfal sorozat a VPN és az adminisztrátori hozzáféréshez SMS-en keresztül történő 2FA-hitelesítés lehetőségét kínálja. A helyi tűzfalfelhasználók, valamint az AD vagy Radius felhasználók is használhatók.
1. PORTAL eCall
2. Értesítési kiszolgáló
3. Kétfaktoros hitelesítés
4. Biztonsági szabályzat
5. HTTPS beállítások
6. VPN átjáró
1. ECALL PORTÁL
eCall-fiókot a https://portal.ecall-messaging.com/ecall/ címen lehet nyitni. A számlanyitás rövid idő alatt megtörténik.
A fiók megnyitása után a tűzfal feladói címe az Interfaces > E-mail interface alatt a "Add address" gombon keresztül adható meg. Ezen kívül aktiválni kell az "Engedélyezem, hogy az eCall-fiókomon keresztül e-mailben üzeneteket küldjenek." opciót.
Csak hogy tudja, további beállításokra nincs szükség.
Értesítési kiszolgáló
Konfiguráció > Rendszer > Értesítés
- Mail szerver
Először is állítson be egy e-mail szervert a levelek küldéséhez. Általában az 587-es portot használjuk a küldéshez, valamint TLS biztonságot és szükség esetén STARTLS-t. Azt, hogy a levelezőszerver megfelelően van-e beállítva, például napi jelentés küldésével ellenőrizheti.
- SMS
Az eCall esetében a következő beállítások használhatók:
| SMS engedélyezése |
activate |
| A telefonszám alapértelmezett országkódja: | 41 Svájc esetében |
| Szolgáltatói tartomány: | A következő cím: sms.ecall.ch |
| Automatikus hozzáadás a "mail to" címhez | aktiválása |
| Mail tárgya: | +$mobile_number$ |
| Mail from: | Az e-mail cím az eCall portálon van rögzítve. Ideális esetben ez megegyezik a levelezőszerver beállításaiban szereplő e-mail címmel. |
| Mail To: | +$mobile_number$ |
A telefonszám alapértelmezett országkódja" lehet "0" is. Ekkor azonban a felhasználó telefonszámát a "+xx" előtaggal kell megadni, pl. +41761234567.
- Felhasználói beállítások
Konfiguráció > Objektum > Felhasználó/csoport > Felhasználó
A felhasználóhoz egy 0761234567 formátumú mobilszám kerül hozzáadásra.
Ezenkívül a 2FA aktiválásra kerül.
Kétfaktoros hitelesítés
Konfiguráció > Objektum > Auth. Módszer > Kétfaktoros hitelesítés > VPN hozzáférés.
A funkciót alapkövetelményként be kell kapcsolni. Ezt követően meghatározásra kerül, hogy kinek és milyen kapcsolat esetében legyen aktív a 2FA. Az "Engedélyezett kapcsolat URL címe" az SMS-üzenetben meghatározott cím. A kívülről való hozzáférésnek a megadott porton keresztül kívülről is lehetségesnek kell lennie. Az eCall esetében a "Többnyelvű fájl használata" opciót kell használni.
A sablonfájl a letöltési linken keresztül szerezhető be és igazítható ki.
A fájl ezután visszatölthető a tűzfalra.
A fájlnak tartalmaznia kell a
A következő helyőrzőket lehet használni:
Érvényes idő > Az az idő, amelyben az ügyfél hitelesíteni tudja magát.
Biztonsági házirend
Konfiguráció > Biztonsági házirend > Házirend vezérlés
A 2FA használatával történő hitelesítéshez biztonsági házirendet kell létrehozni.
From: wan
To: ZyWALL
Forrás: szükség esetén korlátozható, pl. Svájcra.
Szolgáltatás: Wiz_2FA (a port dinamikusan állítható be, ha a 2FA menüben megváltoztatják)))
Művelet: engedélyezés
HTTPS beállítások
Konfiguráció > Rendszer > WWW > HTTPS > Felhasználói szolgáltatásvezérlés
A "Felhasználói szolgáltatásvezérlés" esetében a "WAN" vagy "ALL" zónából való hozzáférést engedélyezni kell.
VPN átjáró
Konfiguráció > VPN > IPSec VPN > VPN átjáró
IPSec VPN (L2TP/IKEv1/IKEv2) esetén a 2FA-t aktiválni kell a VPN átjáróban.