Fonctionnement et limitations
Authentifications du firewall SNS compatibles avec la solution TOTP
La solution TOTP permet d'accroître la sécurité des authentifications du firewall SNS suivantes :
-
Portail captif,
-
Tunnels VPN SSL (technologie OpenVPN seulement),
-
Interface Web d'administration,
-
Console ou SSH,
-
Tunnels VPN IPsec IKEv1 (méthode Xauth uniquement),
-
Tunnels VPN IPsec IKEv2 (méthode EAP, à partir de la version SNS 4.8).
Solution TOTP intégrée et indépendante sur chaque firewall SNS
La solution TOTP est intégrée et indépendante sur chaque firewall SNS, sauf dans le cas d'un cluster de firewalls en haute disponibilité. Un utilisateur qui s'authentifie sur plusieurs firewalls SNS bénéficiant de la solution TOTP doit s'enrôler au préalable sur chaque firewall concerné et utiliser un code TOTP correspondant au firewall concerné pour s'authentifier.
Principe des mots de passe à usage unique basés sur le temps
La solution TOTP repose sur l'utilisation de mots de passe à usage unique basés sur le temps, appelés codes TOTP. Un code TOTP n'est valide que pour une période de temps prédéfinie et ne peut être utilisé que pour une seule authentification pendant toute cette période. Il n'est donc pas possible de réaliser successivement deux authentifications en utilisant le même code TOTP, par exemple pour se connecter en VPN puis en SSH. Il est nécessaire d'attendre qu'un nouveau code soit généré avant de réaliser la deuxième authentification.
Ce principe ne peut fonctionner que si l'heure et la date du firewall SNS et des Authenticator sont parfaitement synchronisées.
Gestion de la solution TOTP avec le compte admin du firewall SNS
Le compte admin du firewall SNS ne peut pas bénéficier de la solution TOTP. Cependant, être connecté au compte admin est indispensable pour réaliser certaines actions, comme réinitialiser l'enrôlement TOTP d'un administrateur ou l'enrôlement TOTP de tous les utilisateurs.