验证篇(6.4) 01. FortiToken Mobile 用于 IPSec 登录 ❀ FortiGate 防火墙
【简介】当我们用FortiClient客户端远程登录防火墙的时候,通常只是输入用户名和密码,通过后可以访问内网,但是如果用户名和密码泄露了,那么谁都可以登录了,因此,我们需要除密码之外的另一层保护,那就是双因子认证FortiToken。
FortiToken 介绍
FortiToken 是一种基于时间同步技术的动态令牌身份认证设备,用于为应用系统提供高安全性的身份认证功能,保护用户的身份认证安全,防止攻击者通过身份盗用、身份冒用以及身份欺诈等方式实施非法操作,损害合法用户的利益。
FortiToken 采用时间同步的OTP技术,OTP全称叫One-time Password,也称动态口令,是根据专门的算法每隔60秒生成一个与时间相关的、不可预测的随机数字组合,每个口令只能使用一次,每天可以产生43200个密码。其原理是基于动态令牌和动态口令验证服务器的时间比对,基于时间同步的令牌,一般每60秒产生一个新口令,要求服务器能够十分精确的保持正确的时间,同时对其令牌的晶振频率有严格的要求,这种技术对应的终端是硬件令牌。
动态口令是一种安全便捷的帐号防盗技术,可以有效保护交易和登录的认证安全,采用动态口令就无需定期更换密码,安全省心,这是这项技术的一个额外价值,对企事业内部应用尤其有用。
FortiToken Mobile 是安装在移动设备上的、一次性口令的应用程序。作为Fortinet高安全客户端组件,可简易的、节省成本的实现用户的强认证需求。FortiToken Mobile 与硬件一次性口令功能完全相同,在实现高安全认证的同时,不需要携带硬件设备。
FortiToken Mobile 为终端用户提供快速、简便的安装方式,实现与硬件Token相同的安全级别。与设备绑定,确保Token不会被拷贝到其它设备。种子文件不会在互联网上传输,确保种子文件的高安全性。集中管理实现简便,通过FortiAuthenticator实现低开销的双因素认证解决方案。在超过错误次数后,PIN码自动删除,即使移动设备丢失也可以保证Token安全。支持移动端平台包括:iPhone、iPad、iPod Touch及Android。
FortiToken Mobile 下载
在官网上我们可以下载到FortiToken Mobile的安卓版本。
① 浏览器登录支持官网 https://support.fortinet.com 网页,点击【LOGIN】。
② 输入支持官网的帐号与密码,点击【LOGIN】。没有帐号的需要先注册。
③ 选择菜单【Download】-【Firmware Images】。
④ 产品选择【FortiToken】,点击【Download】,选择【FortiTokenMobileAndroid】。
⑤ 可以看到有两个版本的apk文件,在最新版本的apk文件右边选择【HTTPS】,开始下载文件。
⑥ 文件不大,只有6M多,因为是国外网站,下载速度会很慢。【提示】帐号里需要有注册设备,而且设备要在服务期内,才可以下载FortitToken Mobile。
FortiToken Mobile 安装
下载apk文件到电脑上后,我们需要上传到手机上进行安装,通常大家都会在手机和电脑上都使用QQ,那么就可以用QQ将文件从电脑上传送到手机上。
① 打开电脑版QQ,选择【联系人】,点击【我的设备】下的【我的Android手机】。
② 直接拖动文件到【我的Android手机】窗口中,或者点击文件夹图标,选择文件,点击【发送】,都可以将文件发送到手机中。
③ 手机上会弹出我的电脑传送文件的信息,点开。
④ 如果没的看到消息,也可以在手机上打开QQ,选择【联系人】,选择【设备】,选择【我的电脑】。
⑤ 可以看到从电脑QQ传来的apk文件,点击文件。
⑥ 可以看到FortiToken的Logo,点击【安装】。
⑦ 安装完成,点击【打开】。
⑧ 第一次使用的时候,需要扫描或输入密钥。这个密钥我们需要从防火墙上获得。
防火墙配置
首先我们需要在防火墙上配置邮件服务器,然后设置用户启用FortiToken,并发送密钥到用户邮箱上。
① 登录防火墙,选择菜单【系统管理】-【设置】,找到Email Service设置,启用【自定义配置】,输入SMTP服务器,启用【认证】,输入用户名称码。这里的邮箱需要用公司邮箱,象QQ、Hotmail等不能使用。发送不了邮件。
② 选择菜单【用户与认证】-【FortiToken】,可以看到有两个软件Token,状态为【可用】。每台防火墙都有两个免费的软件Token可用。
③ 选择菜单【用户与认证】-【设置用户】,点击【新建】。
④ 默认是新建本地用户,点击【下一步】。
⑤ 输入用户名和密码,点击【下一步】。
⑥ 启用【双因子认证】,Token选择其中一个软件Token,启用【发送激活动代码】,输入收件邮箱地址,会发送包含激活码的邮件到邮箱中,点击【下一步】。
⑦ 用户账户状态默认为【已启用】,暂时不加入用户组,点击【提交】。
⑧ 用户新建完成,可以看到有启用双因子认证,使用了一个软件Token。
⑨ 选择菜单【日志&报表】-【事件】,选择系统事件。
⑩ 可以看到有一条发送邮件的日志,并且显示了软件Token的激活码。。。。。那么有心的同学就可以直接在手机上手动输入激活码,就可以了。哈哈!
FortiToken 激活
假如我们没有看到那条日志,不知道激活码,那我们还是老老实实的去看收到的邮件吧。
① 收到的邮件里已经显示了激活码,如果我们懒得手动去输入的话,双击点开附件。
② 显示的是一个二维码。
③ 点击手机FortiToken的【扫码二维码】,对准电脑屏幕的二维扫描,就可以自动激活FortiToken了。激活后在手机屏幕上就会看到一个6位的编码,每分钟更新一次,手机屏蔽不能截屏。
FortiToken Mobile 验证
用户设置完成了,我们可以用FortiClient远程登录防火墙,来验证一下FortiToken是否有效。
① 选择菜单【虚拟专网】-【IPsec向导】,输入名称,选择【远程接入】,点击【下一步】。
② 流入接口选择宽带接口,注意不是内网接口,不要搞错了。输入预共享密钥,这个密钥是自定义的,后面在FortiClient客户端上也要输入同样的密钥。这里不能选择用户,只能选择用组户,由于我们只建了用户,并没有加入用户组,因此这里点击【新建】。
③ 输入一个新的组名,选择成员为启用软件Token的用户。点击【确认】。
④ 加入新建的用户名,点击【下一步】。
⑤ 本地接口选择允许远程访问的内网接口,本地址也只能用地址对象,如果没有的新建一个(和前面新建用户组一样),客户端地址范围输入一个不常用的IP地址网段。子网掩码为255.255.255.0,其它默认,点击【下一步】。
⑥ 默认启动保存密码,点击【下一步】。
⑦ IPsec配置完成,点击【完成】。
⑧ VPN建立成功。
⑨ 打开FortiClient,点击小菜单,选择【建立新连接】。
⑩ VPN选择【IPsec VPN】,输入连接名,远程网关为防火墙Wan口的IP址,也可以使用DDNS动态域名,输入共享密钥(和防火墙上设置的一样),点击【保存】。
⑾ 启动新的VPN连接,输入用户名和密码,这个用户是启用了软件Token的。
⑿ 用户名和密码通过后,要求输入Token,这个时候打开手机的FortiToken,上面显示6位数字,输入,点击【确认】。
⒀ 只有用户名、密码和Token都通过验证,VPN才能连接成功。Token每分钟更新一次密码,因此安全系数大大增加。
