FortiToken Informationen

Fortinet hat neu ein Einmalpasswort Token, der sogenannte FortiToken auf den Markt gebracht. Damit können das SSLVPN Portal, IPSec VPN Verbindungen, Firewall Policies und das WebGUI mit starker Authentifizierung abgesichert werden.

NTP Server einstellen

Da der Mechanismus der Token von Fortinet eine zeitbasierte Lösung ist, muss die Zeit auf der FortiGate möglichst konstant und genau funktionieren. Dazu hat Fortinet neu zwei eigene NTP Server eingerichtet, die unter Dashboard > Status > System Time angegeben werden können.

  • ntp1.fortinet.net
  • ntp2.fortinet.net

FortiToken importieren

Die FortiToken sind mit einer Seriennummer versehen. Um ein FortiToken zu importieren, muss die Seriennummer pro Token eingelesen werden.

  • Login aufs WebGUI der FortiGate
  • Menü User FortiToken FortiToken
  • Create New
  • Seriennummer eines oder mehrerer Token eingeben
  • “Automatically Send Activate Request to FortiGuard“ aktivieren

Analog dazu ist auch der Upload per File für mehrere Tokens möglich. Geben Sie dazu eine Seriennummer pro Zeile an. Bereits vorhandene Token werden dabei nicht überschrieben. Wird eine falsche Seriennummer angegeben, bricht der Import mit einer Fehlermeldung ab.

FTK2000BS5V4LM5S

FTK2000BTTC9BE61

FTK2000BJTRUDA93

Bei erfolgreicher Aktivierung ändert der Status von „New“ auf „Active“

Damit die FortiGate die genaue Zeit des Tokens kennt, muss dieser vor Benutzung synchronisiert werden.

  • Token auswählen
  • Synchronization drücken
  • Auf dem Token Einmalpasswort generieren und ins Feld „First Code“ eingeben
  • Warten, bis das Einmalpasswort abgelaufen ist
  • Ein weiteres Einmalpasswort generieren und ins Feld „Next Code“ eingeben

FortiToken für Administratoren

Der FortiToken kann für den Administrationszugriff auf die FortiGate genutzt werden.

  • Benutzer erstellen unter System Admin Administrators Create New
  • „Enable Two-factor Authentication” für diesen Benutzer aktivieren
  • FortiTokenSeriennummer auswählen

Beim Login auf das FortiGate WebGUI wird nach Eingabe des Passworts zusätzlich das Einmalpasswort vom FortiToken abgefragt.

FortiToken für User

  • Benutzer erstellen unter User User Create New
  • „Enable Two-factor Authentication” für diesen Benutzer aktivieren
  • FortiTokenSeriennummer auswählen

Email Token

Anstatt des Hardware Tokens kann ein Einmalpasswort auch per Email oder SMS an den jeweiligen Benutzer versandt werden.

Der Email Server wird unter Log & Report Alert E-Mail SMTP Server angegeben

Im Email wird das Einmallpasswort im Subject oder auch im Mailtext versandt.

Der Login Screen wird dabei um ein weiteres Einmalpasswort Feld ergänzt.

SMS Token

Damit ein SMS Token versandt werden kann, muss dieses über einen Email-to-SMS Provider verschickt werden. Dafür muss zuerst via CLI ein SMS Gateway für die Umwandlung des Emails in ein SMS angegeben werden:

FGT60B # config user sms-provider

FGT60B (sms-provider) # edit smsgate

new entry ‘smsgate’ added

FGT60B (smsgate) # set mail-server smsgate.provider.com

FGT60B (smsgate) # end

Dieser Server steht dann im WebGUI zur Verfügung und kann einem Benutzer zugeordnet werden.

Sobald sich dieser User mit seinem Passwort an der Fortigate anmeldet, schickt diese ein Email an den unter Log & Report -> Alert E-Mail -> SMTP Server angegebenen Mailserver. Dieser muss so konfiguriert sein, dass Mails von der Fortigate relayed werden dürfen, da der Mailserver das Mail an das vorher konfigurierte SMS-Gateway weitersendet. Der Email-Empfänger (MAIL TO:) setzt sich dabei zusammen aus <Phone Number>@<Mobile Provider>. Sobald das SMS-Gateway die Email erhält, wird es diese per SMS verschickt.

Der Login Screen wird dabei um ein weiteres Einmalpasswort Feld ergänzt.

8 thoughts on “FortiToken Informationen

  1. Patrick Frey Reply

    Wiedermal übernimmt Fortigate eine vorreiter Rolle. EMail / SMS Authentifizierung in einem Firmware Release. Einfach genial! Die Version 4.3 wird Hammer! Dann werden bei uns die Fortigate 60C sowie der Forti-AP installiert.

  2. Ralf Zenklusen Reply

    Hübsch, aber man müsste beim SMS ungedingt einen separaten Mailserver (mit Auth) angeben können

  3. Robert H Reply

    Nach Vorinformation hier im Blog haben wir 10 Fortitoken bestellt und 2 Stück seit einer Woche im Testbetrieb. Das bisheruge Fazit:

    *) einfache Einrichtung
    *) einfacher Betrieb
    *) guter Preis

    und das bei erhöhter Sicherheit.

    Thumbs up für Fortigate!

  4. Juerg Straeuli Reply

    Hoi Patrik
    Hast Du Fortigate mit eCall angebunden? Funktioniert alles reibungslos?

  5. Pingback:SMS Gateway Provider für FortiOS Two-Factor User Authentication « :: Boll – Tech Blog ::

Leave a Reply to Patrick Frey Cancel reply

Your email address will not be published. Required fields are marked *