「Sophos UTM」と「Google Authenticator」でSSL VPN接続してみた
はじめに
こんにちは、あべいかです。 こちらの記事にあるように、「Sophos UTM」では、Windowsクライアントでユーザ名とパスワードを使ったSSL-VPN接続を行う事が出来ます。 今回は、ユーザのパスワードと「Google Authenticator」が生成するワンタイムパスワードを使った2要素認証をご紹介します。
前提条件
【AWS】統合脅威管理「Sophos UTM」を使ってVPCへSSL-VPN接続する(Windows7編) 上記ページの設定が完了し、ユーザ名/パスワードでSSL-VPN接続出来ることが前提となります。
設定手順
OTP(ワンタイムパスワード)の有効化
管理者ユーザでWebコンソールに接続します。 [マネジメント]-[定義とユーザ]-[認証サービス]を選択します。 トグルスイッチがオフ=OTPは無効である事がわかります。OTPを有効化する前に、デフォルトの設定を確認してみましょう。
認証設定のデフォルト値を確認します。 [ユーザ用にOTPトークンを自動生成]にチェックが入っている場合、ユーザが次回ポータルにログインした時に、Google AuthenticatorなどのOTPソフトウェアを設定するためのQRコードが表示されます。 SSL-VPNに使用する「ユーザポータル」と「SSL VPN リモートアクセス」にチェックが入っています。 デフォルト設定のままで問題ないようです。
タイムステップ設定のデフォルト値を確認します。 更新間隔をトークンデバイスと合わせるように促すメッセージが表示されています。 Google Authenticatorは、30秒間隔で異なるパスワードを表示します。こちらもデフォルト設定で問題ないようです。
トグルスイッチをONにし、OTPを有効にします。
Google Authenticatorのセットアップ
SSL-VPN接続を行う一般ユーザでポータルにログインすると、QRコードが表示されます。 Google AuthenticatorでQRコードを読み込みます。
[ログインを続行する]を選択すると、ポータルのログイン画面に戻ります。 ユーザのパスワードに続いて、Google Authenticatorに表示されるパスワードを入力します。 ポータルにログインする事が出来れば、成功です。
SSL-VPN接続
SSL-VPN接続を行うには、クライアントソフトが必要です。 まだ設定を行っていない場合、こちらの記事の「Windows7からの接続」をご確認ください。
クライアントのVPN接続画面を開きます。 ユーザのパスワードに続いて、Google Authenticatorに表示されるパスワードを入力すると、SSL-VPN接続が開始されます。
参考資料
検証環境
以下の環境で動作を確認しました。
- クライアント:Windows8
- Sophos UTM:9.352-6
さいごに
Sophos-UTMでは、パスワードとOTPの2要素認証が可能である事がわかりました。 OTPを有効することで、より安全な運用が出来ると思います。
![[アップデート] AWS Fault Injection Service で実験レポートを作成するオプションが追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-c9900fd6c1edbd5976cb7da00877d262/2a0bdf16a60f0406f26746ba46d6343e/amazon-managed-grafana)
![[終了予告] AWS Elemental MediaStoreが2025年11月にサービス終了することがアナウンスされました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-0d7cc824916ee284e543662a91362e76/06a8531f8e1e156b91057ded791824da/aws-elemental-mediastore)
