MFA für eine Firebox konfigurieren

Sie können AuthPoint als Authentifizierungsserver zu Fireboxen hinzufügen, auf denen Fireware v12.7 oder höher ausgeführt wird. Dies erleichtert die Konfiguration von AuthPoint MFA für:

  • Mobile VPN with SSL
  • Mobile VPN with IKEv2
  • Firebox Web UI
  • Firebox-Authentifizierungsportal

Um AuthPoint als Authentifizierungsserver auf einer Firebox zu aktivieren, müssen Sie eine Firebox-Ressource in AuthPoint hinzufügen. Nachdem Sie eine Firebox-Ressource in AuthPoint konfiguriert haben, ist der AuthPoint-Authentifizierungsserver auf Ihrer Firebox aktiviert.

Wenn Sie eine Firebox-Ressource konfigurieren, um MFA zu einer Firebox hinzuzufügen, erhält AuthPoint die IP-Adresse des Endnutzers, sodass Regelobjekte des Netzwerkstandortes gelten, wenn sich ein Benutzer mit einem VPN-Client authentifiziert.

Sie müssen eine Firebox-Ressource nicht zu Ihrer Gateway-Konfiguration hinzufügen, auch wenn die Firebox-Ressource MS-CHAPv2 aktiviert hat. In diesem Szenario validiert die Firebox das Benutzerpasswort mit NPS und AuthPoint authentifiziert den Benutzer mit MFA.

Ihre Firebox muss Fireware v12.7.1 oder höher ausführen, um Azure Active Directory-Benutzer mit dem AuthPoint-Authentifizierungsserver zu authentifizieren.

Bevor Sie loslegen

Bevor Sie AuthPoint als Authentifizierungsserver auf Ihrer Firebox hinzufügen, stellen Sie sicher, dass Sie das Gerät bei WatchGuard Cloud als lokal verwaltete Firebox registriert und verbunden haben. Die AuthPoint-Integration wird für cloud-verwaltete Fireboxen nicht mit unterstützt.

Detaillierte Anweisungen zur Registrierung und Verbindung Ihrer Firebox mit WatchGuard Cloud finden Sie unter Hinzufügen einer lokal verwalteten Firebox zu WatchGuard Cloud.

Authentifizierungs-Workflow

Wenn Sie AuthPoint als Authentifizierungsserver für Mobile VPN with SSL, Mobile VPN with IKEv2, das Firebox-Authentifizierungsportal oder Fireware Web UI Benutzer konfigurieren:

  1. Die Firebox leitet Authentifizierungsanfragen der Benutzer direkt an AuthPoint weiter.
  2. AuthPoint koordiniert die Multi-Faktor-Authentifizierung (MFA):
    • Lokale Benutzer — AuthPoint validiert den ersten Faktor (Passwort) und den zweiten Faktor (Push oder Einmalpasswort)
    • LDAP-Benutzer — AuthPoint weist die Firebox an, Active Directory zu kontaktieren, um den ersten Faktor (Passwort) zu validieren. AuthPoint validiert den zweiten Faktor (Push oder Einmalpasswort).
    • Azure Active Directory-Benutzer — AuthPoint kontaktiert Azure Active Directory, um den ersten Faktor (Passwort) zu validieren. AuthPoint validiert den zweiten Faktor (Push oder Einmalpasswort).
  3. Die Firebox fordert den Benutzer auf, eine Authentifizierungsoption auszuwählen:
    • Wenn der Benutzer die Push-Option auswählt, sendet AuthPoint eine Push-Anfrage an das Telefon des Benutzers.
    • Wenn der Benutzer die Option Einmalpasswort auswählt, fordert die Firebox den Benutzer auf, ein Einmalpasswort (OTP) anzugeben.

Der Authentifizierungs-Workflow hängt von der Fireware-Funktion ab:

  1. Der Benutzer initiiert eine VPN-Verbindung von einem Mobile VPN with SSL-Client zur Firebox.
  2. Die Firebox leitet die Anfrage an AuthPoint weiter.
  3. AuthPoint stellt fest, ob der Benutzer lokal ist und eine gültige MFA-Regel hat.
    • Für Push:
      1. AuthPoint sendet eine Push-Benachrichtigung an das Mobiltelefon des Nutzers.
      2. Der Benutzer empfängt die Push-Benachrichtigung und genehmigt sie.
      3. AuthPoint erhält die Push-Genehmigung und kontaktiert die Firebox.
      4. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich mit dem VPN zu verbinden.
    • Für OTP:
      1. AuthPoint validiert das OTP.
      2. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich mit dem VPN zu verbinden.
  1. Der Benutzer initiiert eine VPN-Verbindung von einem Mobile VPN with SSL-Client zur Firebox.
  2. Die Firebox leitet die Anfrage an AuthPoint weiter.
  3. AuthPoint ermittelt, ob der Benutzer ein Active Directory-Benutzer ist.
  4. AuthPoint teilt der Firebox mit, dass der Active Directory-Server den Benutzer validieren muss.
  5. Die Firebox sendet die Benutzerzugangsdaten an den Active Directory-Server (LDAP-Bind-Anfrage).
  6. Active Directory validiert die Benutzerzugangsdaten und antwortet der Firebox.
  7. Die Firebox sendet eine MFA-Anfrage an AuthPoint.
  8. AuthPoint überprüft, ob der Benutzer eine gültige MFA-Regel hat.
    • Für Push:
      1. AuthPoint sendet eine Push-Benachrichtigung an das Mobiltelefon des Nutzers.
      2. Der Benutzer empfängt die Push-Benachrichtigung und genehmigt sie
      3. AuthPoint erhält die Push-Genehmigung und kontaktiert die Firebox.
      4. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich mit dem VPN zu verbinden.
    • Für OTP:
      1. AuthPoint validiert das OTP.
      2. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich mit dem VPN zu verbinden.
  1. Der Benutzer initiiert eine VPN-Verbindung von einem Mobile VPN with SSL-Client zur Firebox.
  2. Die Firebox leitet die Anfrage an AuthPoint weiter.
  3. AuthPoint ermittelt, ob der Benutzer ein Azure Active Directory-Benutzer ist.
  4. AuthPoint kontaktiert Azure Active Directory, um den ersten Faktor (Passwort) zu validieren.
  5. AuthPoint überprüft, ob der Benutzer eine gültige MFA-Regel hat und authentifiziert den Benutzer.
    • Für Push:
      1. AuthPoint sendet eine Push-Benachrichtigung an das Mobiltelefon des Nutzers.
      2. Der Benutzer empfängt die Push-Benachrichtigung und genehmigt sie.
      3. AuthPoint erhält die Push-Genehmigung und kontaktiert die Firebox.
      4. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich mit dem VPN zu verbinden.
    • Für OTP:
      1. AuthPoint validiert das OTP.
      2. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich mit dem VPN zu verbinden.
  1. Der Benutzer initiiert eine VPN-Verbindung von einem Mobile VPN with IKEv2-Client zur Firebox.
  2. Die Firebox leitet die Anfrage an AuthPoint weiter.
  3. AuthPoint stellt fest, ob der Benutzer lokal ist und eine gültige MFA-Regel hat.
  4. AuthPoint authentifiziert den Benutzer.
    • Für Push:
      1. AuthPoint sendet eine Push-Benachrichtigung an das Mobiltelefon des Nutzers.
      2. Der Benutzer empfängt die Push-Benachrichtigung und genehmigt sie.
      3. AuthPoint erhält die Push-Genehmigung und kontaktiert die Firebox.
      4. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich mit dem VPN zu verbinden.
    • Für OTP:
      1. AuthPoint validiert das OTP.
      2. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich mit dem VPN zu verbinden.
  1. Der Benutzer initiiert eine VPN-Verbindung von einem Mobile VPN with IKEv2-Client zur Firebox.
  2. Die Firebox leitet die Anfrage an AuthPoint weiter.
  3. AuthPoint ermittelt, ob der Benutzer ein Active Directory-Benutzer ist.
  4. AuthPoint teilt der Firebox mit, dass der NPS-Server den Benutzer validieren muss.
  5. Die Firebox sendet die Benutzerzugangsdaten zur Validierung an den NPS-Server (RADIUS-Protokoll). NPS ist für Active Directory-Benutzer erforderlich, die sich über einen IKEv2-Client anmelden.
  6. Der NPS-Server antwortet der Firebox.
  7. Die Firebox sendet eine MFA-Anfrage an AuthPoint.
  8. AuthPoint überprüft, ob der Benutzer eine gültige MFA-Regel hat.
  9. AuthPoint sendet eine Push-Benachrichtigung an das Mobiltelefon des Nutzers.
  10. Der Benutzer empfängt die Push-Benachrichtigung und genehmigt sie.
  11. AuthPoint erhält die Push-Genehmigung und kontaktiert die Firebox.
  12. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich mit dem VPN zu verbinden.
  1. Der Benutzer initiiert eine VPN-Verbindung von einem Mobile VPN with IKEv2-Client zur Firebox.
  2. Die Firebox leitet die Anfrage an AuthPoint weiter.
  3. AuthPoint ermittelt, ob der Benutzer ein Azure Active Directory-Benutzer ist.
  4. AuthPoint teilt der Firebox mit, dass der NPS-Server den Benutzer validieren muss.
  5. Die Firebox sendet die Benutzerzugangsdaten zur Validierung an den NPS-Server (RADIUS-Protokoll). NPS ist für Azure Active Directory-Benutzer erforderlich, die sich über einen IKEv2-Client anmelden.
  6. Der NPS-Server antwortet der Firebox.
  7. Die Firebox sendet eine MFA-Anfrage an AuthPoint.
  8. AuthPoint überprüft, ob der Benutzer eine gültige MFA-Regel hat.
  9. AuthPoint sendet eine Push-Benachrichtigung an das Mobiltelefon des Nutzers.
  10. Der Benutzer empfängt die Push-Benachrichtigung und genehmigt sie.
  11. AuthPoint erhält die Push-Genehmigung und kontaktiert die Firebox.
  12. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich mit dem VPN zu verbinden.
  1. Der Benutzer verbindet sich mit dem Firebox-Authentifizierungsportal an Port 4100.
  2. Der Benutzer gibt seine Zugangsdaten an und wählt die AuthPoint-Authentifizierungsdomäne aus.
  3. Die Firebox leitet die Anfrage an AuthPoint weiter.
  4. AuthPoint stellt fest, ob der Benutzer lokal ist und eine gültige Multi-Faktor-Authentifizierung (MFA)-Regel hat.
  5. Der Benutzer sieht eine Authentifizierungsseite, die die verfügbaren Authentifizierungsmethoden anzeigt.
  6. Der Benutzer wählt eine Authentifizierungsmethode aus.
  7. Die Firebox sendet eine MFA-Anfrage an AuthPoint.
    • Für Push:
      1. AuthPoint sendet eine Push-Benachrichtigung an das Mobiltelefon des Nutzers.
      2. Der Benutzer empfängt die Push-Benachrichtigung und genehmigt sie.
      3. AuthPoint erhält die Push-Genehmigung und kontaktiert die Firebox.
      4. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich anzumelden.
    • Für OTP:
      1. AuthPoint validiert das OTP.
      2. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich anzumelden.
  1. Der Benutzer verbindet sich mit dem Firebox-Authentifizierungsportal an Port 4100.
  2. Der Benutzer gibt seine Zugangsdaten an und wählt die AuthPoint-Authentifizierungsdomäne aus.
  3. Die Firebox leitet die Anfrage an AuthPoint weiter.
  4. AuthPoint ermittelt, ob es sich bei dem Benutzer um einen Active Directory-Benutzer handelt und der Benutzer eine gültige MFA-Regel hat.
  5. AuthPoint teilt der Firebox mit, dass der Active Directory-Server den Benutzer validieren muss.
  6. Die Firebox sendet die Benutzerzugangsdaten an den Active Directory-Server (LDAP-Bind-Anfrage).
  7. Active Directory validiert die Benutzerzugangsdaten und antwortet der Firebox.
  8. Der Benutzer sieht eine Authentifizierungsseite, die die verfügbaren Authentifizierungsmethoden anzeigt.
  9. Der Benutzer wählt eine Authentifizierungsmethode aus.
  10. Die Firebox sendet eine MFA-Anfrage an AuthPoint.
    • Für Push:
      1. AuthPoint sendet eine Push-Benachrichtigung an das Mobiltelefon des Nutzers.
      2. Der Benutzer empfängt die Push-Benachrichtigung und genehmigt sie.
      3. AuthPoint erhält die Push-Genehmigung und kontaktiert die Firebox.
      4. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich anzumelden.
    • Für OTP:
      1. AuthPoint validiert das OTP.
      2. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich anzumelden.
  1. Der Benutzer verbindet sich mit dem Firebox-Authentifizierungsportal an Port 4100.
  2. Der Benutzer gibt seine Zugangsdaten an und wählt die AuthPoint-Authentifizierungsdomäne aus.
  3. Die Firebox leitet die Anfrage an AuthPoint weiter.
  4. AuthPoint ermittelt, ob der Benutzer ein Azure Active Directory-Benutzer ist.
  5. AuthPoint kontaktiert Azure Active Directory, um den ersten Faktor (Passwort) zu validieren.
  6. Der Benutzer sieht eine Authentifizierungsseite, die die verfügbaren Authentifizierungsmethoden anzeigt.
  7. Der Benutzer wählt eine Authentifizierungsmethode aus.
  8. Die Firebox sendet eine MFA-Anfrage an AuthPoint.
    • Für Push:
      1. AuthPoint sendet eine Push-Benachrichtigung an das Mobiltelefon des Nutzers.
      2. Der Benutzer empfängt die Push-Benachrichtigung und genehmigt sie.
      3. AuthPoint erhält die Push-Genehmigung und kontaktiert die Firebox.
      4. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich anzumelden.
    • Für OTP:
      1. AuthPoint validiert das OTP.
      2. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich anzumelden.
  1. Der Benutzer stellt eine Verbindung zur Firebox Web UI her.
  2. Der Benutzer gibt seine Zugangsdaten an und wählt die AuthPoint-Authentifizierungsdomäne aus.
  3. Die Firebox leitet die Anfrage an AuthPoint weiter.
  4. AuthPoint stellt fest, ob der Benutzer lokal ist und eine gültige Multi-Faktor-Authentifizierung (MFA)-Regel hat.
  5. Dem Benutzer wird eine Authentifizierungsseite angezeigt, die die verfügbaren Authentifizierungsmethoden anzeigt.
  6. Der Benutzer wählt eine Authentifizierungsmethode aus.
  7. Die Firebox sendet eine MFA-Anfrage an AuthPoint.
    • Für Push:
      1. AuthPoint sendet eine Push-Benachrichtigung an das Mobiltelefon des Nutzers.
      2. Der Benutzer empfängt die Push-Benachrichtigung und genehmigt sie.
      3. AuthPoint erhält die Push-Genehmigung und kontaktiert die Firebox.
      4. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich anzumelden.
    • Für OTP:
      1. AuthPoint validiert das OTP.
      2. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich anzumelden.
  1. Der Benutzer stellt eine Verbindung zur Firebox Web UI her.
  2. Der Benutzer gibt seine Zugangsdaten an und wählt die AuthPoint-Authentifizierungsdomäne aus.
  3. Die Firebox leitet die Anfrage an AuthPoint weiter.
  4. AuthPoint ermittelt, ob es sich bei dem Benutzer um einen Active Directory-Benutzer handelt und der Benutzer eine gültige MFA-Regel hat.
  5. AuthPoint teilt der Firebox mit, dass der Active Directory-Server den Benutzer validieren muss.
  6. Die Firebox sendet die Benutzerzugangsdaten an den Active Directory-Server (LDAP-Bind-Anfrage).
  7. Active Directory validiert die Benutzerzugangsdaten und antwortet der Firebox.
  8. Der Benutzer sieht eine Authentifizierungsseite, die die verfügbaren Authentifizierungsmethoden anzeigt.
  9. Der Benutzer wählt eine Authentifizierungsmethode aus.
  10. Die Firebox sendet eine MFA-Anfrage an AuthPoint.
    • Für Push:
      1. AuthPoint sendet eine Push-Benachrichtigung an das Mobiltelefon des Nutzers.
      2. Der Benutzer empfängt die Push-Benachrichtigung und genehmigt sie.
      3. AuthPoint erhält die Push-Genehmigung und kontaktiert die Firebox.
      4. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich anzumelden.
    • Für OTP:
      1. AuthPoint validiert das OTP.
      2. Die Firebox empfängt die Genehmigung und erlaubt dem Benutzer, sich anzumelden.

Konvertieren von Konfigurationen aus Fireware 12.6.x oder niedriger

Dieser Abschnitt bezieht sich nur auf Konfigurationen, die einen manuell erstellten AuthPoint RADIUS-Authentifizierungsserver verwenden. Wenn Sie bereits AuthPoint MFA für Ihre Firebox mit einer RADIUS-Client-Ressource und einem RADIUS-Server auf der Firebox konfiguriert haben, folgen Sie den Schritten in diesem Abschnitt, um Ihre Konfiguration zur Verwendung des AuthPoint-Authentifizierungsservers umzuwandeln.

Konfigurationen, die vor Fireware v12.7 erstellt wurden und einen RADIUS-Authentifizierungsserver für das AuthPoint Gateway verwenden, funktionieren auch nach dem Upgrade auf Fireware v12.7.

Wenn Sie einen bestehenden Authentifizierungsserver namens AuthPoint haben, wird dieser Authentifizierungsserver automatisch in AuthPoint.1 umbenannt, wenn Sie:

  • Ihre Firebox auf Fireware v12.7 upgraden.
  • Verwenden Sie WSM oder Policy Manager v12.7 oder höher, um eine Firebox zu verwalten, auf der Fireware 12.6.x oder niedriger ausgeführt wird.

Wenn Ihr bestehender AuthPoint-Authentifizierungsserver umbenannt wird und nicht der Standard-Authentifizierungsserver ist, müssen die Benutzer den neuen Authentifizierungsserver-Namen (AuthPoint.1) eingeben, wenn sie sich anmelden und diesen Authentifizierungsserver verwenden.

So konvertieren Sie Ihre Konfiguration zur Verwendung des AuthPoint-Authentifizierungsservers:

  1. Führen Sie ein Upgrade Ihrer Firebox auf Fireware v12.7 oder höher durch.
  2. In AuthPoint:
    1. Fügen Sie eine Firebox-Ressource für Ihre Firebox hinzu.
    2. Eine Authentifizierungsregel für die neue Firebox-Ressource konfigurieren oder die Firebox-Ressource zu einer Ihrer vorhandenen Authentifizierungsregeln hinzufügen.
  3. In Fireware:
    • Um AuthPoint MFA für ein VPN zu konfigurieren, fügen Sie AuthPoint als primären Authentifizierungsserver für Mobile VPN with SSL- oder Mobile VPN with IKEv2-Konfiguration hinzu.
    • Um AuthPoint MFA für das Firebox-Authentifizierungsportal zu konfigurieren, geben Sie AuthPoint als Authentifizierungsserver für Benutzer und Gruppen an.
  4. Testen Sie MFA mit der neuen Konfiguration.
  5. Löschen Sie Ihre vorherige Konfiguration:
    1. Löschen Sie in AuthPoint die vorhandene RADIUS-Client-Ressource und entfernen Sie die RADIUS-Client-Ressource von Ihrem Gateway.
    2. Löschen Sie in Fireware den RADIUS-Server, den Sie für das AuthPoint Gateway konfiguriert haben.

Konfigurieren Sie eine Firebox-Ressource

Hinzufügen einer Firebox-Ressource:

  1. Wählen Sie im Navigationsmenü Ressourcen.
    Die Seite Ressourcen wird geöffnet.

  1. Wählen Sie in der Dropdown-Liste Ressourcentyp auswählen die Option Firebox. Klicken Sie auf Ressource hinzufügen.
    Die Seite Firebox-Ressource wird geöffnet.

Screenshot of the Firebox resource page.

  1. Geben Sie in das Textfeld Name einen beschreibenden Namen für die Ressource ein.
  2. Wählen Sie aus der Dropdown-Liste Firebox die Firebox oder den FireCluster aus, den Sie mit AuthPoint verbinden möchten. Diese Liste zeigt nur lokal verwaltete Fireboxen und FireClusters, die Sie zu WatchGuard Cloud hinzugefügt haben.

Screenshot of the Firebox resource page.

  1. Um die Firebox-Ressource so zu konfigurieren, dass sie MS-CHAPv2-Authentifizierungsanfragen akzeptiert, klicken Sie auf den Schalter MS-CHAPv2 aktivieren.
    Es erscheinen zusätzliche Textfelder.

    Sie müssen MS-CHAPv2 nicht aktivieren, wenn der IKEv2-VPN-Client nur von lokalen AuthPoint-Benutzern verwendet wird.

Screenshot of the Firebox resource page.

  1. Geben Sie in das Textfeld Vertrauenswürdige IP oder FQDN für NPS RADIUS-Server die IP-Adresse oder den voll qualifizierten Domänennamen (FQDN) des NPS RADIUS-Servers ein.
  2. Geben Sie in das Textfeld Port den Port ein, den NPS für die Kommunikation verwendet. Der Standard-Port ist 1812.
  3. Geben Sie in das Textfeld Timeout in Sekunden einen Wert in Sekunden ein. Der Timeout-Wert ist die Zeitspanne, nach der eine Push-Authentifizierung abläuft.
  4. Geben Sie in das Textfeld Gemeinsames Geheimnis den gemeinsamen geheimen Schlüssel ein, den der NPS und die Firebox für die Kommunikation verwenden werden.

Screenshot of the Firebox resource page.

  1. Klicken Sie auf Speichern.

Nachdem Sie die Firebox-Ressource in AuthPoint hinzugefügt haben, ist der AuthPoint-Authentifizierungsserver auf Ihrer Firebox aktiviert. Um eine MFA hinzuzufügen, müssen Sie die Firebox für die Verwendung des AuthPoint-Authentifizierungsservers konfigurieren.

Siehe auch

Über AuthPoint-Authentifizierungsregeln

Firebox Mobile VPN with SSL-Integration in AuthPoint

Firebox Mobile VPN with IKEv2-Integration in AuthPoint für Active Directory-Benutzer

Firebox Mobile VPN with IKEv2-Integration in AuthPoint für Azure Active Directory-Benutzer

Firebox Cloud Mobile VPN with IKEv2-Integration in AuthPoint für Azure Active Directory-Benutzer