Ważna informacja: |
Seria zapór Zyxel oferuje możliwość uwierzytelniania 2FA za pomocą wiadomości SMS dla VPN i dostępu administratora. Można używać lokalnych użytkowników zapory, a także użytkowników AD lub Radius.
1. PORTAL eCall
2. Serwer powiadomień
3. Uwierzytelnianie dwuskładnikowe
4. Polityka bezpieczeństwa
5. Ustawienia HTTPS
6. VPN Gateway
1. PORTAL ECALL
Konto eCall można otworzyć na stronie https://portal.ecall-messaging.com/ecall/. Otwarcie konta zajmuje niewiele czasu.
Po otwarciu konta adres nadawcy zapory sieciowej można wprowadzić w obszarze Interfaces > E-mail interface (Interfejsy > Interfejs e-mail) za pomocą przycisku "Add address" (Dodaj adres). Ponadto należy aktywować opcję "Zezwalam na wysyłanie wiadomości e-mail za pośrednictwem mojego konta eCall".
Nie są wymagane żadne dodatkowe ustawienia.
Serwer powiadomień
Konfiguracja > System > Powiadomienia
- Serwer poczty
Najpierw należy skonfigurować serwer poczty e-mail do wysyłania wiadomości. Zwykle do wysyłania używany jest port 587, a także zabezpieczenia TLS i STARTLS, jeśli to konieczne. Na przykład, czy serwer pocztowy jest skonfigurowany prawidłowo, można sprawdzić wysyłając codzienny raport.
- SMS
Następujące ustawienia mogą być używane dla eCall:
| Włącz SMS |
aktywuj |
| Domyślny numer kierunkowy kraju dla numeru telefonu: | 41 dla Szwajcarii |
| Domena dostawcy: | sms.ecall.ch |
| Automatyczne dołączanie do "mail to" | aktywuj |
| Temat wiadomości: | +$mobile_number$ |
| Mail from: | Adres e-mail jest rejestrowany w portalu eCall. W idealnym przypadku jest on identyczny z adresem e-mail w ustawieniach serwera poczty. |
| Mail To: | +$mobile_number$ |
Domyślnym numerem kierunkowym kraju dla numeru telefonu może być również "0". Jednak numer telefonu użytkownika musi być wtedy zdefiniowany z prefiksem "+xx", np. +41761234567.
- Ustawienia użytkownika
Konfiguracja > Obiekt > Użytkownik/Grupa > Użytkownik
Do użytkownika dodawany jest numer telefonu komórkowego w formacie 0761234567.
Ponadto aktywowane jest uwierzytelnianie dwuskładnikowe.
Uwierzytelnianie dwuskładnikowe
Configuration > Object > Auth. Method > Two-factor Authentication > VPN Access.
Funkcja musi być włączona jako wymóg podstawowy. Następnie określa się, dla kogo i które połączenie 2FA powinno być aktywne. "Authorized Link URL" to adres zdefiniowany w wiadomości SMS. Dostęp z zewnątrz musi być możliwy przez określony port z zewnątrz. W przypadku eCall należy użyć opcji "Użyj pliku wielojęzycznego".
Plik szablonu można uzyskać i dostosować za pośrednictwem łącza pobierania.
Plik można następnie załadować z powrotem do firewalla.
Plik musi zawierać symbol zastępczy
Można użyć następujących symboli zastępczych:
Valid Time > Czas, w którym klient może się uwierzytelnić.
Polityka bezpieczeństwa
Konfiguracja > Polityka bezpieczeństwa > Kontrola polityki
Należy utworzyć politykę bezpieczeństwa dla uwierzytelniania przy użyciu 2FA
Od: wan
Do: ZyWALL
Źródło: w razie potrzeby można ograniczyć, np. do Szwajcarii
Usługa: Wiz_2FA (port dostosowuje się dynamicznie po zmianie w menu 2FA))
Działanie: zezwól
Ustawienia HTTPS
Konfiguracja > System > WWW > HTTPS > Kontrola usługi użytkownika
W przypadku "User Service Control" dostęp ze strefy "WAN" lub "ALL" musi być dozwolony.
Brama VPN
Konfiguracja > VPN > IPSec VPN > Brama VPN
W przypadku IPSec VPN (L2TP/IKEv1/IKEv2), 2FA musi być aktywowane w bramie VPN.
Komentarze
Komentarze: 0Zaloguj się, aby dodać komentarz.