【骨の髄まで】SophosUTM 2要素認証 -スマホでワンタイムパスワード- 1


今まで通信キャリアでデータセンターの仕事が多かったです。
IPFablic,VXLAN,BGP+ECMPなどの技術には詳しくなってきたものの、
実際エンタープライズで求められるセキュリティの機能って結構知らなくて
情シスになってみて改めてプロダクトを勉強するのは大事だなと思ったり。

VPN接続は現在SSLで証明書を事前にPCに仕込んで、っていうのが
一般的なのかな。今回2要素認証について実際会社でやるかもしれないので
手元にあるSophosUTMで検証してみました。

SophosUTM、ほんとなんでもできます。

■2要素認証とは
アカウントが盗まれた時でも安心、的なやつです。
最近よくあるんだけど、WEBページにアカウント入力すると
SMSでパスワードが送られてきて、それを入力したり、
スマホにワンタイムパスワードアプリを入れておいて、ワンタイムパスを
生成したりしますね。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~^

■事前準備

アカウント設定をいじるため、ミスると爆死です。

なのでWEBではなくCLIで何かあればすぐに復旧できる準備をしておきます。
CLIを起動しておきましょう。

スクリーンショット 2016-06-12 00.37.15

CLI上で以下を実行

backup.plx -l
 →現在のバックアップファイル一覧を表示

backup.plx  (オプション無し)
 →実行時点のConfigがバックアップファイルとして生成される

backup.plx -l
 →作成されたか確認する

ちなみに復元する手順は↓

cd /var/confd/var/storage/snapshots
 →ここに実ファイルが生成されている
backup.plx -i cfg_XXXXXXXXXXXXX
 →iオプションで復元

詳しくはこちら
Handling UTM configuration backups via command line
https://www.sophos.com/en-us/support/knowledgebase/119814.aspx

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~^

■設定手順

簡単ですが間違えるとログイン不能になるのでご注意を。


スクリーンショット 2016-06-12 00.30.33
認証サービス>ワンタイムパスワード>トグルスイッチON


スクリーンショット 2016-06-12 00.30.40
・全ユーザ~のチェックを外す
・ユーザを追加する(下画像参照)
・ユーザ用にOTPトークン~のチェックを入れる
・2要素認証したいログインにチェックを入れる。ひとまずVPN接続を強化したいので、ポータルとSSLに。


スクリーンショット 2016-06-12 00.52.11
ユーザ追加は最低限の項目だけでOKです。
既存ユーザを追加すると変な動きになった気がします。
この時点で新規ユーザを作成しましょう。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~^

■接続

1
まずAndroidなら”Google認証システム”、iosなら”Google Authenticator”で
ストアを検索し、Googleのワンタイムパスアプリをインストールしておきます。

2
スクリーンショット 2016-06-12 01.14.33
SSLの設定でユーザを追加しておきます。


スクリーンショット 2016-06-12 01.17.51

スクリーンショット 2016-06-12 01.17.59
ユーザ作成時に設定したアカウントで、ユーザポータルにログインします。
QRコードが表示されるので、スマホにDLした認証アプリでQRコードを読み取ります。


screenshotshare_20160612_011947
ワンタイムパスが発行されるようになりました。


スクリーンショット 2016-06-12 01.20.16
さきほどのWEB画面で続行ボタンをクリックすると、通常のポータルログイン画面が
再度表示されます。この時点で既にワンタイムパスが有効になっているので注意してください。

 ログインID vpntest1
 パスワード XXXXX + ワンタイム数字6桁

を入力します。
他のWEBサイトだと、アカウント入力後にワンタイムパス入力画面に遷移するのが通常ですが
SophosUTMはその辺手抜きシンプルです。


スクリーンショット 2016-06-12 01.23.33
SSL-VPNで接続するためのプロファイルをDLをインストールします。
僕はこの時点で、PCにクライアントはインストール済みのため、
上から2番めを選択肢、プロファイルだけ追加することにしました。

※注意
・オレオレ証明書を使っている場合、IEだと危険ファイルと見なされDLできません
 またNortonを入れてる場合もDL後、ブロックされるのでポップアップがでるので
 信頼済みに変更しインストーラーを実行します


スクリーンショット 2016-06-12 01.27.17
インストール後に接続してみます。


SSL-VPN接続時にアカウント入力のポップアップが表示されるので

 ログインID vpntest1
 パスワード XXXXX + ワンタイム数字6桁

を入力します。

おわり

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

おまけ

デフォルトだと、ユーザポータルにログインすればQRコードを
再度表示させることが可能です。企業の運用を考えた時、ユーザがこのQRコードの
バックアップをPCのデスクトップに保存しているとセキュリティ上よろしくないので
非表示にさせるのがよいかとおもいます。

スクリーンショット 2016-06-12 01.20.54

スクリーンショット 2016-06-12 01.21.07


Leave a comment

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

One thought on “【骨の髄まで】SophosUTM 2要素認証 -スマホでワンタイムパスワード-