Zwei-Faktor-Authentifizierung Sophos UTM
Um die Sicherheit des Netzwerkes weiter zu erhöhen, bietet die Sophos UTM die Funktion Einmaliges Kennwort (OTP) an. Diese kann man mit den Zwei-Faktor-Authentifizierungen vergleichen, wie man Sie von diversen Online-Portalen kennt (u. a. in Verbindung mit den Apps Authy & Google Authenticator).
Einmalige Kennwörter erhöhen die kennwortbasierte Authentifizierung erheblich, da ein Angreifer nicht nur das Benutzerkennwort besitzen muss, sondern auch das Einmal-Kennwort. Weiterhin senkt man so auch die Gefahren von zu schwachen Benutzerkennwörtern – Kennwort-Richtlinien werden von den Endanwendern ja nicht so gerne gesehen :).
Einmal-Kennwörter werden automatisch, anhand eines Algorithmuses, in bestimmten Zeitabständen geändert. Dies funktioniert auch ohne weitere Kosten (Hardware- bzw. Sicherheitstoken) – sobald der Endanwender ein Smartphone (inkl. der App Sophos bzw. Google Authenticator) besitzt, kann man das einmalige Kennwort generieren. Hierzu muss man im Benutzerportal der Sophos UTM nach dem Login einfach den QRCode scannen. Danach muss das jeweilige Einmal-Kennwort immer hinter das eigentliche Benutzerkennwort eingegeben werden – wenn das Benutzerkennwort z. B. Passwort2017 und das Einmal-Kennwort 123456, dann lautet das komplette Kennwort Passwort2017123456.
Selbstverständlich kann der Administrator auch Kennwörter generieren, welche aber nur im Ausnahmefall genutzt werden sollten.
Einschalten / Konfiguration von Einmal-Kennwörtern
Zuerst muss man natürlich die Funktion OTP grundsätzlich einschalten (Unter Definitionen & Benutzer -> Authentifizierungsdienste). Sollten Hardwaretokens verwendet werden, kann man diese im Bereich OTP-Token importieren.
Unter den Authentifizierungseinstellungen sollten die Haken Alle Benutzer müssen einmalige Kennwörter (OTP) verwenden und OTP-Token automatisch für Benutzer erstellen angehakt sein. Weiterhin wird hier noch der zu verwendende Hash-Algorithmus angegeben. Nun gibt man hier noch die Module an, in denen das Einmal-Kennwort angewandt werden soll. Da ich den OTP-Token automatisch generieren lasse, muss auch das Benutzerportal mit einem Einmal-Kennwort abgesichert werden.
Achtung: Bei dem Absichern des WebAdmin- bzw. Shell-Zugangs muss man sicherstellen, dass man im Besitz der Einmal-Kennwörter ist. Sonst sperrt man sich evtl. komplett selbst aus.
Unter den Zeitschritteinstellungen müssen noch der Standard-Token-Zeitschritt, das maximale Passcode Offset & maximale initiale Passcode-Offset angegeben werden. Hier habe ich mit den Standardwerten gearbeitet, kann aber nach persönlichen Wünschen und/oder an Hardwaretokens angepasst werden.