Sonicwall - компания, производящая оборудование безопасности, сетевое оборудование и приложения для обеспечения кибербезопасности. Одной из интересных функций "из коробки" является возможность включения двухфакторной аутентификации с использованием одноразовых паролей, генерируемых различными провайдерами 2FA, такими как Google Authenticator, DUO Security (уже несколько лет как часть Cisco), Microsoft Authenticator и др.
Функция доступна 2FA может быть использована для запроса второго фактора у пользователей, подключающихся по SSL VPN. Кроме того, второй фактор можно также включить как для административного пользователя по умолчанию, так и для локальных пользователей, назначенных в группу администраторов.
Все тесты проведены на модели TZ 400, версии ПО 6.5.4.7. Эта модель и эта версия ПО имеет два вида пользователей: административный пользователь по умолчанию и локальные пользователи, которые могут быть добавлены в качестве администраторов устройства в соответствующую группу.
Для того, чтобы включить двухфакторную аутентификацию (далее ДФА) на административном пользователе по умолчанию, необходимо перейти в раздел System -- Administration.
В разделе Administrator Name & Password найти пункт One-Time Password Method, напротив которого будет стоять выпадающее меню. По умолчанию выбрано Disabled. Для включение ДФА с помощью провайдера выберите TOTP. Также имеется отправка одноразовых ключей на почту, но я эту функцию не тестировал. Предполагаю необходимость настройки SMTP-сервера.
После включения ДФА не забываем применить настройку, нажав Accept внизу страницы. Далее необходимо обязательно (!!!) разлогиниться, нажав logout в верхнем правом углу страницы, после чего залогиниться повторно с паролем и логином администратора. После ввода логина и пароля будет предложено считать QR-код для добавления ассоциации с каким-либо провайдером ДФА.
На этой же странице можно будет увидеть код для восстановления доступа в случае утери пароля или телефона с приложением для аутентификации. Не потеряйте его! Без него только полный сброс вашего межсетевого экрана позволит получить к нему доступ обратно.
Если все сделали верно, то аккаунт будет привязан к провайдеру ДФА, и при последующих попытках входа в веб-интерфейс вам будет предложено ввести дополнительно код из приложения.
Теперь посмотрим, как включается ДФА для локальных пользователей. В целом процедура полностью аналогична: необходимо перейти в раздел Users --- Local Users & Groups, добавить нового пользователя или же отредактировать уже имеющегося. В открывшемся окне в разделе Settings выбрать TOTP из выпадающего меню напротив пункта One-time password method.
Если наш пользователь создан только для того, чтобы использоваться для доступа к внутренним сетям через VPN, то можно добавить его в соответствующую группу в разделе Group в этом же окне. Группа по умолчанию SSLVPN Services. Далее пользователь должен зайти на веб-порта для SSL VPN и пройти процедуру входа на нем. Именно там он увидит окно с требованием привязать провайдера ДФА.
Если же наш пользователь должен администрировать межсетевой экран, то необходимо пройти еще несколько шагов. Во-первых, пользователя добавляют в группу SonicWALL Administrators.
Во-вторых, необходимо перейти в раздел Users --- Local Users & Groups --- Local Groups и выбрать группу SonicWall Administrators.
Перейти в раздел Administration, и выбрать галочку Members go straight to the management UI on web login.
Последнее действие для включения возможности множества административных аккаунтов - переход в раздел System --- Administration, найти пункт Multiple Administrators, выбрать Log out и Enable Multiple Administrative Roles.
Обязательно применять все выполненные настройки, нажимая Accept на каждом шаге. Если все выполнено верно, то после включения данных функций вновь созданный локальный пользователь должен выполнить попытку входа в систему под своим логином. Ему будет предложено привязать аккаунт к провайдеру ДФА, как и в случае с дефолтным администратором. Ну а далее он сможет входить в систему для администрирования, используя свой постоянный логин и пароль и одноразовый пароль ДФА.
Комментариев нет:
Отправить комментарий