Belangrijke mededeling: |
De Zyxel firewall serie biedt de mogelijkheid van een 2FA authenticatie via SMS voor VPN en admin toegang. Er kunnen lokale firewallgebruikers worden gebruikt, maar ook AD- of Radius-gebruikers.
1. PORTAL eCall
2. Meldingsserver
3. Authenticatie met twee factoren
4. Beveiligingsbeleid
5. HTTPS-instellingen
6. VPN-gateway
1. ECALL PORTAAL
Een eCall account kan worden geopend op https://portal.ecall-messaging.com/ecall/. Het openen van de account is in korte tijd gebeurd.
Nadat de account is geopend, kan het afzenderadres van de firewall worden ingevoerd onder Interfaces > E-mail interface via de knop "Adres toevoegen". Daarnaast moet de optie "Ik sta toe dat berichten via e-mail worden verzonden via mijn eCall account." worden geactiveerd.
Het is maar dat je het weet, er zijn geen extra instellingen nodig.
Meldingsserver
Configuratie > Systeem > Melding
- E-mailserver
Stel eerst een e-mailserver in voor het verzenden van e-mail. Meestal wordt poort 587 gebruikt voor het verzenden, evenals TLS-beveiliging en STARTLS indien nodig. U kunt bijvoorbeeld controleren of de mailserver correct is ingesteld door dagelijks een melding te verzenden.
- SMS
De volgende instellingen kunnen worden gebruikt voor eCall:
| SMS inschakelen |
activeren |
| Standaard landcode voor telefoonnummer: | 41 voor Zwitserland |
| Provider domein: | sms.ecall.ch |
| Automatisch toevoegen aan "mail naar | activeren |
| Mail onderwerp: | +$mobiel_nummer$ |
| Mail van: | Het e-mailadres wordt vastgelegd in het eCall portaal. Idealiter is dit identiek aan het e-mailadres in de mailserverinstellingen. |
| Mail Naar: | +$mobiel_nummer$ |
De standaard landcode voor telefoonnummer" kan ook "0" zijn. Het telefoonnummer van de gebruiker moet dan echter worden gedefinieerd met het voorvoegsel "+xx", bijvoorbeeld +41761234567.
- Gebruikersinstellingen
Configuratie > Object > Gebruiker/Groep > Gebruiker
Een mobiel nummer in het formaat 0761234567 wordt toegevoegd aan de gebruiker.
Daarnaast wordt 2FA geactiveerd.
Authenticatie met twee factoren
Configuratie > Object > Auth. Methode > Authenticatie met twee factoren > VPN-toegang
De functie moet als basisvereiste worden ingeschakeld. Vervolgens wordt bepaald voor wie en welke verbinding 2FA actief moet zijn. "Geautoriseerde link URL" is het adres dat is gedefinieerd in het SMS-bericht. Toegang van buitenaf moet mogelijk zijn via de opgegeven poort van buitenaf. Voor eCall moet de optie "Meertalig bestand gebruiken" worden gebruikt.
Het sjabloonbestand kan worden verkregen en aangepast via de downloadlink.
Het bestand kan vervolgens weer in de firewall worden geladen.
Het bestand moet de placeholder
De volgende placeholders kunnen worden gebruikt:
Geldige tijd > Tijd waarbinnen de client zich kan authenticeren.
Beveiligingsbeleid
Configuratie > Beveiligingsbeleid > Beleidscontrole
Er moet een beveiligingsbeleid worden aangemaakt voor authenticatie met 2FA
Van: wan
Naar: ZyWALL
Bron: kan indien nodig worden beperkt, bijv. tot Zwitserland
Service: Wiz_2FA (poort past zich dynamisch aan wanneer veranderd in 2FA menu))
Actie: toestaan
HTTPS-instellingen
Configuratie > Systeem > WWW > HTTPS > Gebruikersdienstenbeheer
Voor "User Service Control" moet toegang vanuit de zone "WAN" of "ALL" zijn toegestaan.
VPN-gateway
Configuratie > VPN > IPSec VPN > VPN-gateway
Voor IPSec VPN (L2TP/IKEv1/IKEv2) moet 2FA geactiveerd zijn in de VPN-gateway.