Avviso importante: |
La serie di firewall Zyxel offre la possibilità di un'autenticazione 2FA via SMS per l'accesso VPN e l'amministrazione. È possibile utilizzare gli utenti locali del firewall e gli utenti AD o Radius.
1. PORTALE eCall
2. Server di notifica
3. Autenticazione a due fattori
4. Criteri di sicurezza
5. Installazioni HTTPS
6. Gateway VPN
1. PORTALE ECALL
Un conto eCall può essere aperto su https://portal.ecall-messaging.com/ecall/. L'apertura dell'account avviene in breve tempo.
Una volta aperto l'account, l'indirizzo del mittente del firewall può essere inserito in Interfacce > Interfaccia e-mail tramite il pulsante "Aggiungi indirizzo". Inoltre, è necessario attivare l'opzione "Consento l'invio di messaggi via e-mail attraverso il mio account eCall".
Non sono necessarie altre impostazioni.
Server di notifica
Configurazione > Sistema > Notifica
- Server di posta elettronica
Innanzitutto, configurare un server di posta elettronica per l'invio di messaggi. Di solito, per l'invio si utilizza la porta 587 e, se necessario, la sicurezza TLS e STARTLS. Ad esempio, è possibile verificare se il server di posta è impostato correttamente inviando un rapporto giornaliero.
- SMS
Le seguenti impostazioni possono essere utilizzate per eCall:
| Abilita SMS |
attivare |
| Codice paese predefinito per il numero di telefono: | 41 per la Svizzera |
| Dominio del provider: | sms.ecall.ch |
| Aggiunta automatica a "mail to" | attivare |
| Oggetto della mail: | +$numero_mobile$ |
| Posta da: | L'indirizzo e-mail viene registrato nel portale eCall. Idealmente, è identico all'indirizzo e-mail delle impostazioni del server di posta. |
| Posta a: | +$numero_mobile$ |
Il codice paese predefinito per il numero di telefono" può anche essere "0". Tuttavia, il numero di telefono dell'utente deve essere definito con il prefisso "+xx", ad esempio +41761234567.
- Impostazioni utente
Configurazione > Oggetto > Utente/Gruppo > Utente
All'utente viene aggiunto un numero di cellulare nel formato 0761234567.
Inoltre, viene attivata la 2FA.
Autenticazione a due fattori
Configurazione > Oggetto > Aut. Metodo > Autenticazione a due fattori > Accesso VPN
La funzione deve essere attivata come requisito di base. Successivamente, si stabilisce per chi e per quale connessione deve essere attiva la 2FA. L'"URL del collegamento autorizzato" è l'indirizzo definito nel messaggio SMS. L'accesso dall'esterno deve essere possibile tramite la porta specificata. Per eCall è necessario utilizzare l'opzione "Usa file multilingue".
Il file modello può essere ottenuto e adattato tramite il link di download.
Il file può essere caricato sul firewall.
Il file deve contenere il segnaposto
È possibile utilizzare i seguenti segnaposto:
Tempo valido > Tempo in cui il client può autenticarsi.
Criterio di sicurezza
Configurazione > Criteri di sicurezza > Controllo criteri
È necessario creare un criterio di sicurezza per l'autenticazione tramite 2FA.
Da: wan
A: ZyWALL
Sorgente: può essere limitata se necessario, ad esempio alla Svizzera.
Servizio: Wiz_2FA (la porta si adatta dinamicamente quando viene modificata nel menu 2FA))
Azione: consentire
Installazioni HTTPS
Configurazione > Sistema > WWW > HTTPS > Controllo servizio utente
Per "Controllo servizi utente", è necessario consentire l'accesso dalla zona "WAN" o "ALL".
Gateway VPN
Configurazione > VPN > IPSec VPN > Gateway VPN
Per la VPN IPSec (L2TP/IKEv1/IKEv2), è necessario attivare la 2FA nel gateway VPN.