Sophos XG OTP ( One-Time Password ) Konfigürasyonu

Sophos XG cihazlarla birlikte güvenliği artırmak amacıyla two-factor-authentication meka-nizması desteklenmektedir.

Aşağıda adım adım nasıl yapılandırılacağını göreceğiz.

Özellikle VPN erişimlerinde, sisteme giriş sağlayacak kullanıcıların kullanıcı isimleri ve şifreleri başkaları tarafından ele geçirilme ihtimaline karşı daha güvenli bir mekanizma ile koruma altına alınmalıdır. OTP ile, mevcut kullanıcı isimleri ve şifrelerinin yanında , Sophos Authenticator yazılımı ile her kullanıcı için sistem 6 haneli bir kod üretir ve bunu her kullanıcı için unique olarak üretir,kullanıcılar sisteme giriş sağlarken kendilerine verilen şifrelerin so-nuna yazılımın kendileri için ürettiği kodu da ekleyerek güvenli bir bağlantı sağlamış olurlar.

Öncelikle firewall üzerinde Configure > Authentication > One-Time Password kısmına geliyoruz ve bu menüde Settings kısmına tıklıyoruz.

Öncelikle , OTP mekanizmasının hangi kullanıcılara uygulanacağını belirlemek için, One-Time Password service status kısmından ilgili kullanıcıları seçiyoruz. Eğer sistemde bulunan bütün kullanıcılar için aktif olmasını istiyorsak OTP for all users kısmını aktif ediyoruz. Her kullanıcı için sistemde en az 32 karakterden oluşan token oluşturulması gerekiyor ve bu tokenları sistemin kendisinin oluşturması için Auto-create OTP tokens for users kısmını da işaretleyerek bunu otomatize edebiliriz.

İkinci aşama olarak OTP mekanizmasının hangi erişimlerde uygulanacağını belirliyoruz. Eğer User portal erişimi için istiyorsak sadece User Portal kutucuğunu, SSL VPN erişimi için uygulanmasını istiyorsak SSL VPN Remote Access kutucuğunu işaretlememiz yeterli olacaktır.

Alt kısımda , Sophos Authenticator yazılımının bize üreteceği 6 haneli kodun geçerlilik süresi-ni yapılandıracağımız bölümü görebiliriz. Bu süre default olarak 60 saniye gelecektir. 10 saniye ile 300 saniye arasında değer girebiliriz.

Son olarak, sayfanın en başında bulunan One-Time Password sekmesini de On konuma getirdikten sonra sayfanın en alt kısmından Apply deyip ayarları kaydediyoruz.

Bu aşamada OTP kullanımını test etmek için User Portal ve SSL VPN Remote Access seçeneklerini işaretledik ve sisteme SSL VPN bağlantısını test edeceğiz.

SSL VPN bağlantısı için öncelikle User Portal’a erişip vpn client yazılımını ve konfigürasyon dosyasını indirmemiz gerekiyor.

Yukarıdaki resimde göreceğiniz üzere, OTP uygulanmamış bir firewall üzerinde User Portal’a giriş yaptığınızda menü bu şekilde görünecektir. Aşağıdaki resimde ise OTP aktif edilmiş bir firewall üzerinde sisteme giriş yapan kullanıcıya gelen ekranı görüyoruz.

Görüldüğü üzere, kullanıcı adı ve şifre ile giriş yapıldığında sistem, User Portal üzerinde erişilebilecek menülerin hiçbirini görüntülemeye izin vermedi ve QR Code okutulması için bir ekran karşımıza getirdi.

Bu aşamada yapmamız gereken işlem , Android yada iOS cihazlarda Sophos Authenticator yazılımını App Store yada Google Play Store üzerinden bulup indirmek.

Uygulamayı indirip çalıştırdıktan sonra Scan QR kısmına tıklıyor ve kamera erişimini aktif ediyoruz.User Portal’da QR code kısmını tarattırdıktan sonra yazılım otomatik olarak o kullanıcı için bir token ve sisteme giriş yapması için 6 haneli kodu üretecektir.

 

Yukarıdaki resimde de görüldüğü üzere QR kod taratıldıktan sonra ilgili kullanıcı için yazılım bize 6 haneli bir kod üretti ve bu kod 60 saniye içinde kullanılması gerekiyor. Cep telefonunuzdaki Sophos Authenticator yazılımını kapatmayın ve bilgisayarınızdan User Portal ekranına geri dönün. Sol üst köşede Proceed to Login butonuna tıklayın ve sistem size ana ekrana geri gönderecektir.

Bu aşamada , eğer kullanıcı adı ve şifre soran ekrana yine size verilen kullanıcı adı ve şifreyi girersek yine QR kod göreceğimiz ekran karşımıza gelecektir.

Örnek vermek gerekirse, test yaptığımız kullanıcı bilgileri;

Username : teknik1

Şifre :12345678 olsun.

Eğer şifre kısmına sadece 12345678 yazarsak bizi QR kod soran ekrana atacaktır. Fakat biz Sophos Authenticator yazılımı ile QR kodu taradık ve elimizde 6 haneli kod mevcut. Dolayısıyla sisteme giriş yaparken ;

Username : teknik1

Şifre  :12345678 + (6 haneli kod) şeklinde olacaktır.

 

Eğer 60 saniye içerisinde user portala giriş yaparken Sophos Authenticator yazılımının size ürettiği 6 haneli kodu giremezseniz lütfen acele etmeyin ve yazılımın size yeni bir kod üretmesini bekleyin ve o kodu kullanın.

  1. aşamada , OTP’nin hangi servisler için kullanılacağını belirlemiştik. Sadece User Portal sekmesini işaretlediysek , yukarıdaki aşamaları yapmamız gerekecek ve SSL VPN için client ve konfigürasyon dosyasını indirdikten sonra vpn bağlantısı yapmamız için sistem bize tekrar kullanıcı adı ve şifre soracaktır. İşte bu aşama çok önemli. Eğer sadece OTP kısmında sadece User Portal seçeneği işaretlenmiş ise ve SSL VPN Remote Access seçeneği işaretlenmemiş ise, bunun anlamı sadece User Portala giriş yapabilmek için 6 haneli koda ihtiyacımız var, VPN bağlantısı için ise şifremizin sonuna 6 haneli kod eklememize gerek yok anlamına gelir.

Fakat hem User Portal hem de SSL VPN Remote Access seçeneğini işaretlemişsek, SSL VPN bağlantısı yaparken sistemin bizden istediği kullanıcı adı ve şifre kısmında , şifre bölümüne yine ;

12345678 + (6 haneli kod) yazmamız gerekecek.

Bu aşamada yine önemli bir konu da, VPN bağlantısı için şifre kısmının sonuna eklenecek 6 haneli kod, bir önceki aşamada user portal’a giriş yaparken kullanılan 6 haneli kod mu olacak? Cevap : HAYIR !!!

Çünkü , daha önce de belirttiğimiz gibi ,her kod 60 saniyeliğine geçerlidir ve 60 saniye sonunda yeni kod üretilir. Dolayısıyla 60 saniye içinde hem user portala girip hem cliet yazılımını indirip hem de VPN bağlantsını yapmak mümkün olmayacağında , VPN bağlantısını yapmak istediğimiz zaman cep telefonunuzda bulunan yazılımı açın ve yeni kodu şifrenizin sonuna ekleyin.

Bu değerli paylaşım için Emrah INCEDAL arkadaşıma teşekkür ederim.