Router/Firewall s 2FA pomocí SMS

Router/Firewall s 2FA pomocí SMS
« kdy: 10. 02. 2023, 15:52:10 »
Zdravím všechny !
Budu nahrazovat stávající router Zyxel USG, chtěl bych ho nahradit opět "krabičkou" ne počítačem s aplikací.

Bohužel i stávající USG neumí 2FA pomocí přístupové aplikace pro VPN SecuExtender (user by se musel se logovat prohlížečem, čemuž bych se rád vyhnul), nevíte někdo jestli existuje nějaký firewall, který má 2FA pomocí VPN aplikace do které se přímo vkládá SMS kód ?
Chtěl bych monitorovat VPN na jednom místě v routeru, jako dosud (takže bych nerad nějaký samostatný další produkt
který budu muset spravovat ... tedy pokud to půjde).

Děkuji !


Re:Router/Firewall s 2FA pomocí SMS
« Odpověď #1 kdy: 10. 02. 2023, 16:48:36 »
Dobry den,

pokud vam mohu poradit, tak si myslim, ze elegantnejsi reseni je pouzit vhodny radius server, autentizaci do remote access vpn oprit o tento radius server, jako backend datbaze radius serveru by bylo napr. Active Directory v dane firme nebo jina user DB jako treba LDAP apod. a 2FA bych resil na tom RADIUS serveru.

S pozdravem

T. Nohejl

Re:Router/Firewall s 2FA pomocí SMS
« Odpověď #2 kdy: 10. 02. 2023, 19:32:50 »
Měl by to umět Fortigate i Check Point. Ale pokud doposud používáte Zyxel, tak vám nemusí vyhovovat jejich cenové nastavení. Většinou je elegantnější 2FA řešit na Radius serveru, obvykle máte více možností, SMS nebo aplikaci do mobilu případně fyzickou klíčenku.

Re:Router/Firewall s 2FA pomocí SMS
« Odpověď #3 kdy: 10. 02. 2023, 23:02:28 »
Dobrý den.
Nativně vás asi nepotěším ale ani Fortigate, Check Point, Cisco či Sophos ani PaloAlto neumí odesílat SMS a to ani přse modem či Api. Co třeba ale Sophos umí přímo v boxu 2F na bázi TOTP/HOTP. Fortinet a Cisco je třeba opřít o Duo či podobnou aplikaci ( V ČR má třeba vlastní aplikaci Sonpo). Tyto apky se pak opírají o Radius či LDAP. Možnost doplnění o certifikát také zní dobře takovej 2.5 faktor. Nedávno jsem však zkoušel rozjet pfsense s freeradiusem a TOTP/HOTP autorizaci ale zatím jsem ve stavu nefunčniho produktu ale času není moc. Takže pokud chcete něco bez práce asi bych šel do Sophosu kde je přímo v boxu integrován 2F jak pro lokální účty tak pro LDAP a použití je triviální :)

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Router/Firewall s 2FA pomocí SMS
« Odpověď #4 kdy: 10. 02. 2023, 23:25:02 »
lol fortigate https://forum.root.cz/index.php?topic=26748.msg377726#msg377726

Každopádně se přiznám že mi nějak není jasné co tazatel chce. Aby uživatel při každém připojení k VPN opsal kód ze SMS? Jak je to pak implementované - vygeneruje se mu jednorázový IPSec klíč a po X hodinách se zneplatní? (to zní jako že by šlo snadno naskriptovat na normálním Linuxu, ale chápu že může být problém udělat user-friendly zejm. nelinuxového klienta, ale asi by šlo ohnout třeba Wireguard GUI pro Windows klienta)


lime

Re:Router/Firewall s 2FA pomocí SMS
« Odpověď #5 kdy: 14. 02. 2023, 10:09:38 »
Podla mna, kazdy NGFW to vie, cez externu sms branu. Napr. u checkpointu to ide cez DynamicID a bud pouzijes ich Check Point SMS provider (Infinity Portal), alebo externeho sms providera. Len, ako to tu bolo spominane cena ;).