今まで通信キャリアでデータセンターの仕事が多かったです。IPFablic,VXLAN,BGP+ECMPなどの技術には詳しくなってきたものの、実際エンタープライズで求められるセキュリティの機能って結構知らなくて情シスになってみて改めてプロダクトを勉強するのは大事だなと思ったり。VPN接続は現在SSLで証明書を事前にPCに仕込んで、っていうのが一般的なのかな。今回2要素認証について実際会社でやるかもしれないので手元にあるSophosUTMで検証してみました。SophosUTM、ほんとなんでもできます。
■2要素認証とは
アカウントが盗まれた時でも安心、的なやつです。最近よくあるんだけど、WEBページにアカウント入力するとSMSでパスワードが送られてきて、それを入力したり、スマホにワンタイムパスワードアプリを入れておいて、ワンタイムパスを生成したりしますね。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~^
■事前準備
アカウント設定をいじるため、ミスると爆死です。
なのでWEBではなくCLIで何かあればすぐに復旧できる準備をしておきます。CLIを起動しておきましょう。
CLI上で以下を実行
backup.plx -l
→現在のバックアップファイル一覧を表示
backup.plx (オプション無し)
→実行時点のConfigがバックアップファイルとして生成される
backup.plx -l
→作成されたか確認する
ちなみに復元する手順は↓
cd /var/confd/var/storage/snapshots
→ここに実ファイルが生成されている
backup.plx -i cfg_XXXXXXXXXXXXX
→iオプションで復元
詳しくはこちら
Handling UTM configuration backups via command line
https://www.sophos.com/en-us/support/knowledgebase/119814.aspx
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~^
■設定手順
簡単ですが間違えるとログイン不能になるのでご注意を。
1
認証サービス>ワンタイムパスワード>トグルスイッチON
2
・全ユーザ~のチェックを外す
・ユーザを追加する(下画像参照)
・ユーザ用にOTPトークン~のチェックを入れる
・2要素認証したいログインにチェックを入れる。ひとまずVPN接続を強化したいので、ポータルとSSLに。
3
ユーザ追加は最低限の項目だけでOKです。
既存ユーザを追加すると変な動きになった気がします。
この時点で新規ユーザを作成しましょう。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~^
■接続
1
まずAndroidなら”Google認証システム”、iosなら”Google Authenticator”でストアを検索し、Googleのワンタイムパスアプリをインストールしておきます。
2
SSLの設定でユーザを追加しておきます。
3
ユーザ作成時に設定したアカウントで、ユーザポータルにログインします。QRコードが表示されるので、スマホにDLした認証アプリでQRコードを読み取ります。
4
ワンタイムパスが発行されるようになりました。
5
さきほどのWEB画面で続行ボタンをクリックすると、通常のポータルログイン画面が再度表示されます。この時点で既にワンタイムパスが有効になっているので注意してください。
ログインID vpntest1
パスワード XXXXX + ワンタイム数字6桁
を入力します。
他のWEBサイトだと、アカウント入力後にワンタイムパス入力画面に遷移するのが通常ですがSophosUTMはその辺手抜きシンプルです。
6
SSL-VPNで接続するためのプロファイルをDLをインストールします。僕はこの時点で、PCにクライアントはインストール済みのため、上から2番めを選択肢、プロファイルだけ追加することにしました。
※注意
・オレオレ証明書を使っている場合、IEだと危険ファイルと見なされDLできません
またNortonを入れてる場合もDL後、ブロックされるのでポップアップがでるので
信頼済みに変更しインストーラーを実行します
7
インストール後に接続してみます。
8
SSL-VPN接続時にアカウント入力のポップアップが表示されるので
ログインID vpntest1
パスワード XXXXX + ワンタイム数字6桁
を入力します。
おわり
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
おまけ
デフォルトだと、ユーザポータルにログインすればQRコードを
再度表示させることが可能です。企業の運用を考えた時、ユーザがこのQRコードの
バックアップをPCのデスクトップに保存しているとセキュリティ上よろしくないので
非表示にさせるのがよいかとおもいます。
One thought on “【骨の髄まで】SophosUTM 2要素認証 -スマホでワンタイムパスワード-”