FortiToken:FAQ: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
Zeile 3: | Zeile 3: | ||
[[Category:Fortinet]] | [[Category:Fortinet]] | ||
<font size="6">'''24 X 7 <span style="color: #FF0000;">PROMOTION</span> bis | <font size="6">'''24 X 7 <span style="color: #FF0000;">PROMOTION</span> bis 31. Dezember 2015</font> | ||
<font size="2">[[Fortinet:24x7Promotion|'''Weitere Informationen finden Sie hier!''']]</font> | <font size="2">[[Fortinet:24x7Promotion|'''Weitere Informationen finden Sie hier!''']]</font> |
Version vom 2. Juli 2015, 14:57 Uhr
FortiToken:FAQ
24 X 7 PROMOTION bis 31. Dezember 2015 Weitere Informationen finden Sie hier!
Vorwort
Nachfolgende Artikel beschreiben die Vorgehensweise/Probleme die auftreten können für FortiToken's.
Datenschutz
********************************************************************* * * * THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY * * PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, * * DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM * * ALSO SCHWEIZ AG SWITZERLAND. * * * ********************************************************************* "Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht bekannt gemacht werden"
FAQ
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiToken Devices:
Fortinet:ProduktInfo
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:
http://docs.fortinet.com/auth.html
Datei:Fortitoken-200-quickstart.pdf (Quickstart Guide)
Datei:FortiToken-Mobile-Admin-Guide-10.pdf (FortiToken Mobile 1.0 Admin Guide) Datei:FortiToken-Mobile-User-Guide-10.pdf (FortiToken Mobile 1.0 User Guide)
Datei:FortiToken-Mobile-User-Guide-20-for-IOS.pdf (FortiToken Mobile 2.0 User Guide for IOS) Datei:FortiToken-Mobile-User-Guide-220-for-IOS.pdf (FortiToken Mobile 2.2 User Guide for IOS)
Datei:FortiToken-Mobile-User-Guide-20-for-Android.pdf (FortiToken Mobile 2.0 User Guide for Android)
Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?
http://pub.kb.fortinet.com/index/
FortiToken Allgemein
Haben die Token von FortiToken ein "Expiration Date"?
Im Gegensatz zu anderen Herstellern (zB RSA) laufen die FortiToken nicht ab dh. diese haben kein "Expiration Date"!
Welche Token "Arten" werden durch den FortiToken unterstützt?
Für FortiToken existieren folgende Arten von Token:
NOTE Diese Token Arten werden ebenfalls vollumfänglich durch den FortiAuthentcator 3.1 GA unterstützt!
• Physischer Token: FortiToken 200 OATH Kompatibel TOTP (RFC 6238). Diese Token benützen einen 30 - 60 Sekunden Intervall und benützen einen 6 Zeichen Code. • Physischer Speicher Token: FortiToken 300; Dieser PIN geschützte Token basiert auf einem x.509 Zertifikat geschützten USB Speicher. Der Speicher unterstützt PKCS#11 Protokolle. Wird hauptsächlich benützt im IPSec/SSL VPN Bereich um Zertifikat basierende Authentifizierung zu schützen. • Software Token: FortiToken Mobile OATH Kompatibel TOTP (RFC 6238). Diese Token benützen einen 30 - 60 Sekunden Intervall und benützen einen 6 -8 Zeichen Code sowie unterstützen IOS und Android Geräte. • Ohne Token: Email und SMS "event" basierender Token (ODA = On Demand)
Wie funktioniert eine Two-Factor (TOTP) Zeit basierende Authentifizierung für FortiToken?
Wenn der Token wie zB FortiToken 200 benützt wird so benützt dieser den "Open TOTP Standard" (TOTP) definiert in RFC 6238. Nachfolgend eine Uebersicht wie dies funktioniert:
Wie und wo werden die FortiToken "Seeds" eines FortiToken gespeichert/gesichert?
Den Token Seeds kommt Allgemein eine wichtige Rolle zu. FortiTooken Seeds werden folgendermassen seitens Fortinet gespeichert/gesichert:
Fortinet schützt die Token Seeds auf verschiedene Art und Weise. Die FortiToken zB FortiToken 200 mit deren Informationen resp. Seeds werden "initial" in der FortiCare Datenbank gespeichert. Wenn diese FortiToken 200 über den FortiAuthenticator und/oder FortiGate registriert werden (Aktiviert) so werden die Seeds aus der FortiCare Datenbank entfernt. Dies wird durchgeführt um das Risiko zu minimieen, dass diese Seeds zukünftig kompromitiert werden. Im Hintergrund wird jedoch durch die Registrierung -anhand der Serial Nummer- auf dem Device dh. FortiAuthenticator/FortiGate der FortiToken mit dem Device registriert und somit kann der FortiToken nicht zusätzlich auf einem anderen Device zB FortiGate registriert werden. Möchte man einen FortiToken auf einem neuen System sei es FortiGate/FortiAuthenticator registrieren muss dieser "re-provisioned" werden dh. es benötigt ein Support Ticket über Customer Center um in der FortiCare Database diesen FortiToken (Seed) erneut zu speichern (Activation Flag). Dazu wird eine "offline" Kopie des Token benutzt da durch die Erst-Registrierung der Seed aus der Datenbank von FortiCare gelöscht wurde. Somit wird ein FortiToken 200 Seed nur bis zur Registrierung in der Datenbank von FortiCare gespeichert. Ein FortiToken Mobile wird in der Datenbank von FortiCare resp. dessen Seed solange gespeichert, bis der "Seed" runtergeladen wurde. Ist dies der Fall wird ebenfalls dieser Seed aus der Datenbank von FortiCare gelöscht. Es ist möglich diesen Vorgang der Speicherung des Seed's in der FortiCare Datenbank zu konfigurieren.
Wenn für "Enterprise" Kunden dieser oben beschriebene Weg "kein" gangbarer Weg ist da der Seed in der Datenbank von FortiCare gespeichert wird, kann der Kunde folgendes Produkt beziehen:
FTK200CD-X (Anzahl 10, 20, 50 100) NOTE Bei dieser offiziellen SKU von Fortinet handelt es sich um eine FortiToken 200 CD die deren "Seeds" verschlüsselt enhält und somit nicht in der FortiCare Datenbank gespeichert werden!
Es besteht ebenfalls die Möglichkeit bei "sehr grossen" Umgebungen das "self-provisioning" der Tokens selbst durchzuführen. Dazu benötigt man jedoch das "Provisioning Tool" von Fortinet. Dieses "Provisioning Tool" ermöglicht es "zufällige" Seed's selbst zu erstellen. Für ein allfäliges Pricing und minium Volumen muss Fortinet kontaktiert werden. Weitere Informationen im Zusammenhang mit den FortiToken findet man im FAQ des FortiAuthenticator:
Datei:FortiAuthenticator FAQ.pdf
Wie verschiebe ich einen registrierten FortiToken auf einer FortiGate von einer VDOM zu einer anderen VDOM?
Wenn ein FortiToken auf einer FortiGate registriert ist kann dieser nicht auf einer anderen FortiGate registriert werden. Um dies zu erreichen, muss über Customer Service ein Ticket eröffnet werden und der FortiToken der auf einer FortiGate registriert ist per Auftrag über Customer Service gelöscht werden. Danach kann der FortiToken auf der neuen FortiGate registriert werden. Als Ausnahme gilt die Registrierung auf einer FortiGate in einer bestimmten VDOM. Soll der FortiToken auf einer anderen VDOM -auf der gleichen FortiGate- registriert werden so muss folgendermassen vorgegangen werden:
1. Gehe auf die VDOM auf der der FortiToken momentan registriert ist. 2. Kopiere/Sichere die Serial Nummer des FortiToken. 3. Löschen nun den Eintrag des FortiToken auf der VDOM. NOTE Soll die Konfiguration über CLI durchgeführt werden gebe in der CLI folgendes ein: # config vdom # edit [Name der VDOM] # config user fortitoken # get # delete [Wähle den entsprechenden Eintrag der zu löschen ist] # end 4. Gehe auf die "neue" VDOM auf der der FortiToken registriert werden soll. 5. Wähle auf der "neuen" VDOM "Create New": --> Wähle "Hard Token" --> Gebe die "gesicherte Serial Nummer" ein --> Bestätige durch "OK" NOTE Soll die Konfiguration über CLI durchgeführt werden gebe in der CLI folgendes ein: # config vdom # edit [Name der VDOM] # config user fortitoken # edit [FortiToken Nummer] # end
FortiToken Divers
Wie wird ein FortiToken Aktiviert und Synchronisiert?
Ein FortiToken muss nicht über das Customer Center registriert werden sondern kann auf dem zuständigen Device direkt aktiviert werden und zwar folgendermassen:
NOTE Wichtig bei diesem Vorgang ist, dass der Device die richtige Zeit zeigt sowie NTP (Network Time Protocoll) korrekt konfiguriert ist. Ebenso muss gewährleistet sein, dass der Device Zugriff hat auf den FDN (Fortinet Distribution Network) resp. FortiGuard Service! Ein FortiToken kann nicht auf vers. Device Registriert werden. Der Grund dafür und was zu tun ist kann folgenden Artikel entnommen werden: FortiToken:FAQ#Wie_und_wo_werden_die_FortiToken_.22Seeds.22_eines_FortiToken_gespeichert.2Fgesichert.3F
--> Logge Dich ein auf dem Management Web Interface (Beispiel FortiGate) --> Danach wähle "User > FortiToken > FortiToken --> Wähle "Create New" und gebe dann die Serien Nummer des FortiToken ein und bestätige die Eingabe mit "OK" --> Durch die Bestätigung mit "OK" wird eine Anfrage zum FDN abgesetzt um den FortiToken zu aktivieren --> Wenn man nach einigen Sekunden auf "Refresh" geht sollte das Status Feld auf "Active" wechseln --> Nun selektiere den "Active" FortiToken und in der Toolbar selektiere "Synchronization" --> Nun erscheint ein neuer Dialog um den FortiToken zu Synchronisieren --> Klicke auf "Start" auf dem FortiToken und gebe im Dialog den "6-digit token password" im ersten "Code" Feld ein --> Warte bis dieses erste "6-digit token password" abgelaufen ist und klicke abermals auf "Start" auf dem FortiToken --> Gebe nun wiederum das angezeigte "6-digit token password" im zweiten "Code" Feld ein und bestätig mit "OK"
Die Konfiguration resp. die Aktivierung des FortiToken ist abgeschlossen. Weitere Auskunft über diesen Vorgang gibt folgendes Dokument:
Datei:Fortitoken-200-quickstart.pdf
Ein FortiToken kann nicht Aktiviert werden; Was ist zu berücksichtigen?
Ein FortiToken wird über den FortiGuard Service aktiviert dh. die Limitierung bestand darin, dass ein FortiToken "nur" auf einem Device (zB FortiGate) aktiviert werden kann. Will man zB ein FortiToken von einem Device zu einem anderen Device verschieben, funktionierte dies nicht und die Aktivierung auf dem neuen Device kann nicht durchgeführt werden. Detailliert Informationen wieso dem so ist kann im nachfolgenden Artikel nachgelesen werden:
FortiToken:FAQ#Wie_und_wo_werden_die_FortiToken_.22Seeds.22_eines_FortiToken_gespeichert.2Fgesichert.3F
Wenn so ein Fall eintrifft muss ein "Customer Care" Ticket eröffnet werden damit Fortinet das "Activation Flag" zurücksetzt und somit der FortiToken auf dem neuen Device erfolgreich aktiviert werden kann. Bei Problemen mit der Aktivierung kontrolliere als Erstes ob die Zeit auf dem zuständigen Device einwandfrei stimmt (NTP). Wenn dies der Fall ist führe folgendes aus:
NOTE Wenn FortiToken als Package bezogen werden zB 5er Package und man in der ersten Phase 2 Token's benutzt und die restlichen beiseite legt werden die restlichen FortiToken aus Sicherheitsgründen automatisch deaktiviert. Der Zeitraum der Deaktivierung liegt ca. bei 4 - 6 Monaten. Diese Information stammt vom "Customer Care Center" der Fortinet. In so einem Fall muss für den Device auf dem die FortiToken aktiviert werden möchten ein "Customer Care" Ticket eröffnet werden mit der Bitte das "Activation Flag" des entsprechenden FortiToken's wiederum zu aktivieren!
# diag debug app fdsmgmt 255 # diag debug enable # exe fortitoken activate FTK20014K2P[Serial Nummer FortiToken]
Ein Beispiel-Output einer erfolgreichen Aktivierung sieht folgendermassen aus:
Activating FortiToken(s) 02:03:49 fdsm_fsm.c[586] fdsm_fsm_task_signal - got task signal 02:03:49 fdsm_fsm.c[220] __run - type=0 state=idle 02:03:49 fdsm_fsm.c[49] __change_state - (idle -> start) 02:03:49 fdsm_task.c[331] fdsm_task_set_status - [47]new -> received 02:03:49 fdsm_fsm.c[250] __run - processing task (id=47) 02:03:49 fdsm_fsm.c[49] __change_state - (start -> get-server) 02:03:49 fdsm_svr.c[223] __get_next_fds - got FDS 216.156.209.22:443 02:03:49 fdsm_comm.c[210] __ssl_create - SSL create context 02:03:49 fdsm_fsm.c[49] __change_state - (get-server -> tcp-connect) 02:03:49 fdsm_fsm.c[201] __add_timer - added timer (30 sec) 02:03:49 fdsm_fsm.c[508] __handle_poll_event - state=tcp-connect 02:03:49 fdsm_fsm.c[85] __del_timer - cancelled timer 02:03:49 fdsm_fsm.c[220] __run - type=0 state=tcp-connect 02:03:49 fdsm_fsm.c[296] __run - TCP connected to server 02:03:49 fdsm_comm.c[293] __ssl_prepare - ready to connect SSL 02:03:49 fdsm_fsm.c[49] __change_state - (tcp-connect -> ssl-connect) 02:03:49 fdsm_comm.c[335] __ssl_connect - SSL connect - want read 02:03:49 fdsm_fsm.c[201] __add_timer - added timer (30 sec) 02:03:50 fdsm_fsm.c[508] __handle_poll_event - state=ssl-connect 02:03:50 fdsm_fsm.c[85] __del_timer - cancelled timer 02:03:50 fdsm_fsm.c[220] __run - type=0 state=ssl-connect 02:03:50 fdsm_comm.c[335] __ssl_connect - SSL connect - want read 02:03:50 fdsm_fsm.c[201] __add_timer - added timer (30 sec) 02:03:50 fdsm_fsm.c[508] __handle_poll_event - state=ssl-connect 02:03:50 fdsm_fsm.c[85] __del_timer - cancelled timer 02:03:50 fdsm_fsm.c[220] __run - type=0 state=ssl-connect 02:03:50 fdsm_comm.c[335] __ssl_connect - SSL connect - want read 02:03:50 fdsm_fsm.c[201] __add_timer - added timer (30 sec) 02:03:50 fdsm_fsm.c[508] __handle_poll_event - state=ssl-connect 02:03:50 fdsm_fsm.c[85] __del_timer - cancelled timer 02:03:50 fdsm_fsm.c[220] __run - type=0 state=ssl-connect 02:03:50 fdsm_comm.c[326] __ssl_connect - SSL connected 02:03:50 fdsm_cmd.c[3893] __ftk_activate_build_request - FCPC for FortiToken Activation is: Protocol=3.2|Command=Update|Firmware=FGT1KB-FW-4.00-482|SerialNumber=FGT1KB390xxxxxxx|TokenItem=FTK200140D0xxxxx 02:03:50 fdsm_cmd.c[217] __build_fcpc_request - built request (len=310) 02:03:50 fdsm_comm.c[482] fdsm_comm_send_request - POST http://216.156.209.22:443/FDSService/token HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Host: 216.156.209.22:443 Cache-Control: no-cache Connection: close Content-Type: application/octet-stream Content-Length: 310 02:03:50 fdsm_comm.c[539] fdsm_comm_send_request - wrote request (len=310) 02:03:50 fdsm_fsm.c[49] __change_state - (ssl-connect -> wait-resp-header) 02:03:50 fdsm_fsm.c[201] __add_timer - added timer (30 sec) 02:03:50 fdsm_fsm.c[508] __handle_poll_event - state=wait-resp-header 02:03:50 fdsm_fsm.c[85] __del_timer - cancelled timer 02:03:50 fdsm_fsm.c[220] __run - type=0 state=wait-resp-header 02:03:50 fdsm_comm.c[580] fdsm_comm_recv_header - read 124 bytes, cnt 124 bytes 02:03:50 fdsm_comm.c[593] fdsm_comm_recv_header - HTTP response code=200 02:03:50 fdsm_comm.c[616] fdsm_comm_recv_header - Got header: resp=200 content=560 bufcnt=0 02:03:50 fdsm_fsm.c[49] __change_state - (wait-resp-header -> wait-resp-data) 02:03:50 fdsm_fsm.c[201] __add_timer - added timer (30 sec) 02:03:50 fdsm_fsm.c[508] __handle_poll_event - state=wait-resp-data 02:03:50 fdsm_fsm.c[85] __del_timer - cancelled timer 02:03:50 fdsm_fsm.c[220] __run - type=0 state=wait-resp-data 02:03:50 fdsm_cmd.c[409] __recv_fcpr_pkg - got rsp header 02:03:50 fdsm_cmd.c[460] __verify_fcpr - FCPR obj: Protocol=3.2|Response=204|Firmware=FPT033-FW-3.21-0766|SerialNumber=FPT-FDS-DELL0007|Server=FDSG|Persistent=f alse|ResponseItem=01000000FTSI00000:200 02:03:50 fdsm_cmd.c[478] __verify_fcpr - invalid FCPR response code: expected 300, received 204 02:03:50 fdsm_cmd.c[1059] __update_parse_response - Parsing object(s) for request 13 02:03:50 fdsm_cmd.c[1067] __update_parse_response - Processing object FTSI... 02:03:50 fdsm_cmd.c[878] __update_process_ftsr - FTK200140D0xxxxx 02:03:50 fdsm_cmd.c[1092] __update_parse_response - Processed obj FTSI (code=200) 02:03:50 fdsm_cmd.c[435] __recv_fcpr_pkg - Processed fcpr 02:03:50 fdsm_task.c[331] fdsm_task_set_status - [47]received -> complete 02:03:50 fdsm_fsm.c[439] __run - Task completed 02:03:50 fdsm_fsm.c[163] __reset - FSM RESET 02:03:50 fdsm_comm.c[195] __reset - COMM RESET 02:03:50 fdsm_comm.c[378] __ssl_close - Closed 02:03:50 fdsm_task.c[348] fdsm_task_free - task freed 02:03:50 fdsm_fsm.c[49] __change_state - (wait-resp-data -> idle) Done. # diag debug disable # diag debug reset
Wenn die Aktivierung nicht erfolgreich ist, sollte dieser Output benützt werden um bei Fortinet ein Ticket zu eröffnen (Customer Service)!
Kann ich auf einer FortiGate mehrere FortiToken einem User zuweisen?
Wenn man zB einem User einen FortiToken sowie einen Mobile Token zuweisen möchte ist das so nicht möglich. Dies bedeutet: Einem User kann nur ein Token sei es FortiToken oder Mobile Token zugewiesen werden.