FortiGate

Autenticación de Doble Factor en FortiGate

FortiGate puede forzar la autenticación con doble factor para proteger el acceso a ciertos recursos. Estos recursos pueden ser, además de HTTP, Telnet, FTP y HTTPs. Se describe en detalle en https://help.fortinet.com/fos50hlp/56/Content/FortiOS/fortigate-authentication/Auth_Access.htm#enable_auth_protocols

Existe un doble condicionante:

  1. El tráfico tiene que ser procesado por una política que incluya identificación de usuarios
  2. No debe haber otra regla, sin identificación de usuarios, que pueda procesar dicho tráfico
  3. El usuario debe de tener habilitado el doble factor de autenticación.

Mostramos un ejemplo práctico. Para obligar a que un usuario que se conecte vía telnet a la gestión de un firewall interno, hay que seguir los siguientes pasos

  1. Definir el usuario con doble factor de autenticación y añadirlo a un grupo
  2. Crear la política, habilitando el protocolo que se quiere usar para la doble autenticación (telnet en este caso).
  3. Verificar que ese mismo tráfico no se va a procesar por otra política.

Definir el usuario con doble factor de autenticación (user & device -> User Definition)

Crear la política y verificar que el tráfico no se puede procesar por ninguna otra política sin identificación de usuarios.

Ahora, si se intenta acceder vía telnet al servidor (en este caso un firewall), primero habrá que autenticarse con el usuario definido , no con el usuario admin
Tras introducir el password correcto, el firewall pide que el usuario introduzca el token
Tras autenticar correctamente, se recibe el mensaje:
Y la siguiente autenticación sí que se hace contra el servidor final:
Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *