GlobalProtect: Einmalige passwortbasierte Zwei-Faktor-Authentifizierung
Resolution
Von Sivasekharan Rajasekaran
Hintergrund
Unternehmen benötigen stärkere Authentifizierungsmethoden wie One-Time-Passwörter (OTPs), bevor Sie den Nutzern den Zugriff auf Unternehmensressourcen ermöglichen. Durch die Anforderung OTP einer basierten Authentifizierung können Unternehmen Angreifer daran hindern, gestohlene Benutzeranmeldeinformationen zu verwenden und nicht autorisierten Zugriff zu erhalten. Jede Bereitstellung, die erforderlich ist, wird jedoch OTP von Endbenutzern zurückgedrängt, da sie OTPs als schmerzhafte Benutzererfahrung betrachten.
Ziel
GlobalProtect unterstützt OTP die basierte Authentifizierung und bietet auch Möglichkeiten, die Benutzerfreundlichkeit zu verbessern. Das Ziel dieses Dokuments besteht darin, Unternehmensadministratoren Informationen zu verschiedenen OTP Authentifizierungsworkflows in bereitzustellen GlobalProtect und ihnen bei der Entscheidung über das Authentifizierungsszenario zu helfen, das ihren GlobalProtect Sicherheits- und Compliance-Anforderungen entspricht und gleichzeitig die Benutzerfreundlichkeit einfach und einfach hält.
OTP Authentifizierung für GlobalProtect
GlobalProtect unterstützt OTP die basierte Authentifizierung über oder und RADIUS SAML dies ermöglicht GlobalProtect es, vollständig agnostisch für den Anbieter zu OTP sein. GlobalProtect kann mit jedem Kreditor zusammenarbeiten, OTP solange er ihn mit oder RADIUS SAML aktiviert. Je nachdem, wie OTP der Dienst konfiguriert ist, authentifizieren sich Benutzer mithilfe eines der folgenden beiden Arbeitsabläufe:
- Der Benutzer stellt zuerst Benutzername und Kennwort und dann erst nach der Herausforderung die OTP . kann entweder Push zu genehmigen oder OTP SMS Token-Code sein.
- Der Benutzer stellt Benutzername und/oder Passwort auf einmal bereit, OTP ohne auf eine Herausforderung zu warten
GlobalProtect unterstützt beide Arbeitsabläufe.
Für eine RADIUS Beispielkonfiguration auf Duo, um diese beiden Arbeitsabläufe zu erreichen, verweisen Sie "Duo ConfigurationExample" am Ende des Abschnitts.
Authentifizierung OTP im Always-On-Modus anfordern – Siehe hier
Erfordern OTP einer basierten Authentifizierung im On-Demand-Modus
Wenn er GlobalProtect im On-Demand-Modus bereitgestellt wird, stellt der Benutzer bei Bedarf manuell eine Verbindung GlobalProtect her. Dieser Modus ist der typische Sichere RAS-Anwendungsfall, bei dem Remotebenutzer Tunnel einrichten, VPN um Zugriff auf Unternehmens-Rechenzentrumsressourcen zu erhalten und die Verbindung zu VPN trennen, wenn sie keinen Zugriff mehr auf ein internes Rechenzentrumsnetzwerk benötigen.
Anwendungsfall 1: OTP Authentifizierung GlobalProtect im On-Demand-Modus mit RADIUS
In einer On-Demand-Verbindungsmethode GlobalProtect authentifiziert sich der Agent immer zuerst beim Portal und dann jedes Mal beim Gateway, wenn der Benutzer die Verbindung zu GlobalProtect initiiert. Die Anforderung der Authentifizierung sowohl auf dem Portal als auch im OTP Gateway würde bedeuten, dass der Benutzer zweimal aufgefordert wird OTP (einmal vom Portal und dann vom Gateway). GlobalProtect(beginnend mit PAN OS 7.1 und GlobalProtect 3.1) bietet jedoch Authentifizierungsüberschreibung, eine Funktion, die die Häufigkeit minimiert, mit der ein Benutzer zur Authentifizierung aufgefordert wird. Weitere Informationen zur Authentifizierungsüberschreibung finden Sie unter: Erweiterte Zwei-Faktor-Authentifizierung
Empfohlene Konfiguration:
- OTPAuthentifizierung für Portal und Gateway erforderlich
- Im Portal,
- Set speichern Sie Benutzerberechtigungen, um "nur Benutzername zu speichern"
- Aktivieren Sie die Authentifizierung überschreiben und aktivieren Sie beide Cookie für die Authentifizierung überschreiben und akzeptieren Sie Cookie für die Authentifizierung.
- Legen Sie die Cookie-Lebensdauer auf ' N ' Stunden fest. ' N ' Stunden ist, wie lange benutzer nicht erneut zur Eingabe von Anmeldeinformationen aufgefordert wird. Wählen Sie ' N ' basierend auf der Benutzererfahrung, die Sie bereitstellen möchten.
- Im Tor,
- Aktivieren Sie die Authentifizierung überschreiben und aktivieren Sie beide Cookie für die Authentifizierung überschreiben und akzeptieren Sie Cookie für die Authentifizierung.
- Legen Sie die Cookie-Lebensdauer auf ' N ' Stunden fest.
- Vergewissern Sie sich, dass Sie das gleiche Zertifikat verwenden, um Cookies sowohl im Portal als auch im Gateway zu verschlüsseln/zu entschlüsseln.
- Hinweis: Die Verwendung eines dedizierten Zertifikats für die Verschlüsselung und Entschlüsselung von Authentifizierungscookies bietet Flexibilität, wenn das für die Authentifizierungsüberschreibung verwendete Zertifikat jemals widerrufen werden muss.
Wenn der Endbenutzer bei dieser Konfiguration manuell die Verbindung zu GlobalProtect initiiert, würde die Endbenutzererfahrung wie:
Arbeitsablauf – 1
Arbeitsablauf – 2
Anwendungsfall 2: OTP Authentifizierung GlobalProtect im On-Demand-Modus mit SAML
Beginnend mit PAN OS 8.0 und GlobalProtect 4.0, GlobalProtect unterstützt die SAML Authentifizierung. Bei der Verwendung SAML von öffnet agent einen GlobalProtect Web-View / embedded Browser, um die Anmeldeseite von IdP zu bedienen SAML und dem Benutzer die Authentifizierung zu ermöglichen. Da es sich um einen anderen Browser (eingebetteter Browser) handelt,
unterstützen Hinweis: GlobalProtect App 5.2+ und Pan-OS 8.1.17,9.0.11,9.1.6,10.0+ und spätere Versionen die Möglichkeit, Standardsystembrowser anstelle eines eingebetteten Browsers zu starten, wenn SAML die Authentifizierung verwendet wird.Weitere Informationen finden Sie hier.
- SAML Cookie, das durch Authentifizieren erhalten wird, GlobalProtect kann nicht für andere aktivierte Anwendungen verwendet werden und SSO SAML umgekehrt.
- SAML Cookie, das durch Die Authentifizierung erhalten GlobalProtect wird, bleibt bei Neustarts und Abmeldungen nicht erhalten.
Um eine transparente Authentifizierung auch bei Verwendung über zu erreichen, wird die OTP SAML konfiguration empfohlen:
- SAMLAuthentifizierung für Portal und Gateway erforderlich
- Die IdP-Konfiguration entscheidet, wie lange das SAML Cookie gültig ist. Solange das SAML Cookie erhalten bleibt und gültig ist, wird die transparente Authentifizierung durch den Benutzer auf GlobalProtect .
Informationen zum Konfigurieren der SAML Authentifizierung für GlobalProtect die Verwendung von Okta finden Sie hier.
Um eine transparente Authentifizierung über Neustarts und Abmeldungen hinweg bereitzustellen, verwenden Sie die Authentifizierungsüberschreibungsfunktion von GlobalProtect
- Im Portal,
- Set speichern Sie Benutzerberechtigungen, um "nur Benutzername zu speichern"
- Aktivieren Sie die Authentifizierung überschreiben und aktivieren Sie beide Cookie für die Authentifizierung überschreiben und akzeptieren Sie Cookie für die Authentifizierung.
- Legen Sie die Cookie-Lebensdauer auf ' N ' Stunden fest. ' N ' Stunden ist, wie lange benutzer nicht erneut zur Eingabe von Anmeldeinformationen aufgefordert wird. Wählen Sie ' N ' basierend auf der Benutzererfahrung, die Sie bereitstellen möchten.
- Im Tor,
- Aktivieren Sie die Authentifizierung überschreiben und aktivieren Sie beide Cookie für die Authentifizierung überschreiben und akzeptieren Sie Cookie für die Authentifizierung.
- Legen Sie die Cookie-Lebensdauer auf ' N ' Stunden fest.
- Vergewissern Sie sich, dass Sie das gleiche Zertifikat verwenden, um Cookies sowohl im Portal als auch im Gateway zu verschlüsseln/zu entschlüsseln.
- Hinweis: Die Verwendung eines dedizierten Zertifikats für die Verschlüsselung und Entschlüsselung von Authentifizierungscookies bietet Flexibilität, wenn das für die Authentifizierungsüberschreibung verwendete Zertifikat jemals widerrufen werden muss.
- Im Portal,
Empfehlungen für die OTP Authentifizierung im GlobalProtect Always-On-Modus finden Sie imnächsten Teil dieser Serie hier.
Beispiel für Duo-Konfiguration
Die Beispielkonfiguration für Duo, um die 2 Arbeitsabläufe zu erreichen:
Ausführlichere Informationen zum Einrichten von Duo zum Bereitstellen der OTP Authentifizierung für GlobalProtect finden Sie hier.
Arbeitsfluss 1: Der Benutzer stellt zuerst Benutzername und Kennwort bereit und dann erst, nachdem die herausgeforderte Option die OTP . OTP entweder Push-to-Approve SMS oder Token-Code sein könnte.
Work Flow 2: Benutzer liefert Benutzername OTP und/oder Passwort auf einmal, ohne auf eine Herausforderung zu warten
[ad_client]
host= AD- Server>
service_account_username =<administrator></administrator>
service_account_password =<administrator’s password=""></administrator’s>
search_dn= DC =acme, DC =com
[duo_only_client]
[radius_server_challenge]
iKey =<duo-integration-key></duo-integration-key>
skey =<duo-security-key></duo-security-key>
api_host =<duo-host-name></duo-host-name>
radius_ip_1= firewall -mgmt-ip>
radius_secret_1 =<radius-secret></radius-secret>
Client = ad_client
failmode = sicher
Port = 1812