Herkese merhaba,
Daha önceki yazımızda, Sophos Connect uygulaması ile SS VPN bağlantısı yapılandırması hakkında ilgi vermiştik. SSL VPN bağlantılarında Sophos Connect uygulaması kullanılmasının en büyük avantajlarından bir tanesi olarak kullanıcı adı ve şifre kaydetme özelliği olduğundan bahsetmiştik. Bu yazımızda ise yine Sophos Connect uygulaması ile SSL VPN bağlantısı gerçekleştirirken MFA yani multi-factor authentication özelliğinin kullanılmasından bahsedeceğiz.
Bağlantılarımızı daha güvenli bir şekilde gerçekleştirmek adına, kullanıcı adı ve şifre bilgilerine ek olarak 6 haneli doğrulama kodu kullanılması ve bu kodların her bağlantıda yenilenerek daha güvenli bir bağlantı yapılması temeline dayanan MFA özelliği, Sophos XG cihazlarla birlikte sunulan ve herhangi bir ek lisansa ihtiyaç duymayan bir özeliiktir.
1-) MFA Özelliğinin Aktif Edilmesi
İlk aşama olarak, SSL VPN kullanıcıları için MFA özelliğinin aktif edilmesi gerekecektir.
Bu işlem için Authentication > One-time password > Settings bölümüne geliyoruz.
Yukarıdaki ekran görüntüsünde göreceğimiz bölüm karşımıza gelecektir.
One-time password : Bu bölümü “On” konuma getirerek MFA özelliğini aktif ediyoruz.
OTP for all users : Bu bölümde hangi kullanıcılar için MFA özelliğinin kullanılacağını belirliyoruz. “On” konumuna getirdiğimizde otomatik olarak bütün kullanıcılarda geçerli olacaktır, “Off” konumda seçildiğinde hemen alt kısımda istediğimiz kullanıcıları elle seçme imkanımız olacaktır.
Auto-create OTP tokens for users : Kullanıcılar için otomatik olarak token oluşturma özelliği için kullanılır ve “On” konumda kalması tercih edilir.
Enable OTP for facilities : Bu bölümde OTP özelliğinin hangi bölümlerde kullanılacağını belirliyoruz.
Web Admin : Web admin arayüzüne giriş yaparken kullanılmasını istetrsek bu özelliği aktif ediyoruz. Yalnızca admin yetkili kullanıcılar bu özelliği kullanabilir, user yetkili kullanıcılarda aktif edilemez.
User portal : user portala giriş için kullanılmasını istediğimizde bu bölümü aktif ediyoruz.
SSL VPN remote access : SSL VPN bağlantılarında kullanılması için aktif ediyoruz.
IPSec remote access : IPSec remote access vpn bağlantısı tercih edildiği durumlarda aktif ediyoruz.
Default token timestep in seconds : Üterilen 6 haneli kodun geçerlilik süresidir.
Maximum passcode offset steps : 6 haneli kodun belirlenen geçerlilik süresi içinde kaç kez kullanılabileceğini belirliyoruz. Örneğimizde timestep 30 saniye ve passcode step 1 olarak seçilmiş. Üretilen 6 haneli kod, 30 saniye içinde en fazla 1 kez kullanılabilir anlamına gelmektedir.
2-) MFA için Kod Oluşturma
İlk aşamada belirlenen işlemleri yaptıktan sonra artık kullanıcılarımızın MFA aşamasında kullancakları 6 haneli kodların oluşturulması aşamasına geçebiliriz.
Bir önceki bölümde , User portal ve SSL VPN remote access özelliklerini seçmiştik. Bu sebepten öncelikle user portala gidiyoruz ve seçtiğimiz kullanıcı ile user portala giriş yapıyoruz.
Yukarıda görüleceği üzere User Portal’a bir önceki adımda seçtiğimiz user1 kullanıcı bilgileri ile giriş yapıyoruz.
Burada Kullanıcı adı : user1, Şifre : Sophos123 olarak giriş yapıyoruz.
User portala giriş yaptıktan sonra yukarıdaki gibi bir ekranla karşılaşacağız. Burada kullanıcı için 6 haneli kod oluşturma işlemi için gerekli adımları takip etmemiz gerekecektir. Bu işlem için telefon yada tablet bilgisayarınızda Sophos yada Google Authenticator uygulaması yüklü olmalıdır ve Scan QR code bölümünde ekranda gördüğünüz QR kodu tarattığınızda, uygulama kullanıcı için 6 haneli kod üretecektir.
Uygulama üzerinde QR kodu tarattıktan sonra ilgili kullanıcı için uygulama üzerinde 30 saniye geçerli 6 haneli kod görünecektir. Daha sonra user portal ekranında gördüğümüz Proceed to login butonuna tıklıyoruz ve sistem bizi tekrar user portal giriş ekranına yönlendirecektir.
Burada dikkat etmemiz gereken nokta ;
Kullanıcı adı : user1
Şifre : Sophos123 + <6 haneli kod> şeklinde olacaktır. Yani kısacası, şifremizin sonuna bitişik bir şekilde uygulama ekranında gördüğümüz 6 haneli kodu yazmamız gerekecektir. Aksi takdirde kullanıcı adı/şifre hatası uyarısı alacağız.
ÖNEMLİ : OTP sisteminin düzgün çalışması için XG firewall cihazınızın saat/tarih ayarı mutlaka güncel olmalıdır.
Yukarıdaki ekran görüntüsünde görüldüğü üzere , başarılı bir şekilde giriş yaptıktan sonra user portal üzerinde SSL VPN için konfigürasyon dosyamızı indirebiliriz.
3-) MFA ile SSL VPN Bağlantı Yapılması
Daha önceki yazımızda da bahsettiğimiz gibi, SSL VPN bağlantısını kullanıcı adı ve şifre kaydetme özelliğinden ötürü Sophos Connect uygulaması ile gerçekleştirmiştik ve user portal üzerinde uygun konfigürasyon dosyasını indirmiştik. Bu yazımızda da yine Sophos Connect uygulamasını kullanacağız.
İlgili konfigürasyon dosyasını indirip Sophos Connect uygulaması üzerine import ettikten sonra VPN bağlantısı için sistem bizden tekrar kullanıcı adı ve şifre bilgisi soracaktır.
İlk yapılandırmada hatırladığımız üzere, MFA özelliğini SSL VPN remote access için de işaretlemiştik yani SSL VPN bağlantısı yaparken de 6 haneli koda ihtiyacımız olacaktır.
Yukarıda göreceğimiz üzere uygulama SSL VPN bağlantısı için bizden kullanıcı adı ve şifre bilgilerimizi talep ediyor.
Burada;
kullanıcı adı : user1
şifre : Sophos123+<6 haneli kod> formatında olmalıdır ve bağlantımız ancak bu şekilde sağlanacaktır.
ÖNEMLİ : Sophos Connect uygulaması üzerinde Save user name and password kutucuğunu işaretlersek eğer, bağlantımızı kesip tekrar bağlan dediğimizde uygulama üzerinden başarılı bir şekilde bağlantı yapılamayacaktır. Bunun sebebi, uygulama, şifre bilgisi olarak Sophos123+<6 haneli kod> bilgisini kaydetti fakat bildiğiniz üzere 6 haneli kodun geçerlilk süresi 30 saniye ve 1 kullanımlıktı. Dolayısıyla, Sophos Connect uygulaması üzerinde MFA aktif iken kullanıcı adı ve şifre kaydetme özelliği kullanılabilir olmayacaktır.
Eğer yine Sophos Connect uygulaması üzerinde hem MFA aktif hem de kullanıcı adı ve şifre kaydetme özelliğini birlikte kullanmak istersek, bir sonraki yazımızda izlenmesi gereken adımları bulabilirsiniz.
