USG/ATP/VPN - VPN 2FA med SMS (eCall)

Opprettet - Oppdatert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er nøyaktig oversatt. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du lese originalartikkelen her:Originalversjon

Zyxel-brannmurserien tilbyr muligheten for 2FA-autentisering via SMS for VPN- og administratortilgang. Lokale brannmurbrukere kan brukes, i tillegg til AD- eller Radius-brukere.

1. PORTAL eCall

2. Varslingsserver

3. To-faktor autentisering

4. Sikkerhetspolicy

5. HTTPS-innstillinger

6. VPN-gateway

1. ECALL-PORTAL

Du kan åpne en eCall-konto på https://portal.ecall-messaging.com/ecall/. Åpningen av kontoen gjøres i løpet av kort tid.

Når kontoen er åpnet, kan avsenderadressen til brannmuren legges inn under Grensesnitt > E-postgrensesnitt via knappen "Legg til adresse". I tillegg må alternativet "Jeg tillater at meldinger sendes via e-post gjennom eCall-kontoen min." aktiveres.

Bare så du vet det, er det ikke nødvendig med ytterligere innstillinger.
mceclip0.png

Varslingsserver

Konfigurasjon > System > Varsling

  • E-postserver

mceclip1.png

Først må du konfigurere en e-postserver for sending av e-post. Vanligvis brukes port 587 for sending, samt TLS-sikkerhet og STARTLS om nødvendig. Om e-postserveren er riktig konfigurert, kan for eksempel kontrolleres ved å sende en daglig rapport.

  • SMS

Følgende innstillinger kan brukes for eCall:

Aktiver SMS
aktivere
Standard landskode for telefonnummer: 41 for Sveits
Leverandørens domene: sms.ecall.ch
Automatisk tillegg til "e-post til" aktiveres
Emne for e-post: +$mobile_number$$
Mail fra: E-postadressen registreres i eCall-portalen. Ideelt sett er denne identisk med e-postadressen i innstillingene for e-postserveren.
E-post til: +$mobile_number$$

Standard landskode for telefonnummer" kan også være "0". Da må imidlertid brukerens telefonnummer defineres med prefikset "+xx", f.eks. +41761234567.

  • Brukerinnstillinger

Konfigurasjon > Objekt > Bruker/gruppe > Bruker

Et mobilnummer i formatet 0761234567 legges til brukeren.

mceclip0.png

I tillegg aktiveres 2FA.

mceclip1.png

Tofaktorautentisering

Konfigurasjon > Objekt > Auth. Metode > To-faktor autentisering > VPN-tilgang

mceclip2.png

Funksjonen må være slått på som et grunnleggende krav. Deretter bestemmes det for hvem og hvilken tilkobling 2FA skal være aktiv. "Authorized Link URL" er adressen som er definert i SMS-meldingen. Tilgang fra utsiden må være mulig via den angitte porten fra utsiden. For eCall må alternativet "Use Multilingual file" brukes.

Malfilen kan hentes og tilpasses via nedlastingslenken.
Filen kan deretter lastes tilbake til brannmuren.

Filen må inneholde plassholderen .

Følgende plassholdere kan brukes:

Autorisasjonslenke URL-adresse

Bruker som har registrert seg for 2FA

Navn på brannmuren (Konfigurasjon > System > Vertsnavn)

Gyldig tid > Tid hvor klienten kan autentisere seg selv.

Sikkerhetspolicy

Konfigurasjon > Sikkerhetspolicy > Policykontroll

Det må opprettes en sikkerhetspolicy for autentisering med 2FA.

mceclip3.png

Fra: wan

Til: ZyWALL

Kilde: kan begrenses om nødvendig, f.eks. til Sveits

Tjeneste: Wiz_2FA (porten justeres dynamisk når den endres i 2FA-menyen))

Handling: Tillat

HTTPS-innstillinger

Konfigurasjon > System > WWW > HTTPS > Kontroll av brukerservice

For "User Service Control" må tilgang fra sonen "WAN" eller "ALL" være tillatt.

mceclip4.png

VPN-gateway

Konfigurasjon > VPN > IPSec VPN > VPN-gateway

For IPSec VPN (L2TP/IKEv1/IKEv2) må 2FA være aktivert i VPN-gatewayen.
mceclip5.png

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
0 av 0 syntes dette var nyttig
Del

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.