「Sophos UTM」と「Google Authenticator」でSSL VPN接続してみた

sophos

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

こんにちは、あべいかです。
こちらの記事にあるように、「Sophos UTM」では、Windowsクライアントでユーザ名とパスワードを使ったSSL-VPN接続を行う事が出来ます。
今回は、ユーザのパスワードと「Google Authenticator」が生成するワンタイムパスワードを使った2要素認証をご紹介します。

前提条件

【AWS】統合脅威管理「Sophos UTM」を使ってVPCへSSL-VPN接続する(Windows7編)
上記ページの設定が完了し、ユーザ名/パスワードでSSL-VPN接続出来ることが前提となります。

1

設定手順

OTP(ワンタイムパスワード)の有効化

管理者ユーザでWebコンソールに接続します。
[マネジメント]-[定義とユーザ]-[認証サービス]を選択します。
トグルスイッチがオフ=OTPは無効である事がわかります。OTPを有効化する前に、デフォルトの設定を確認してみましょう。

2

認証設定のデフォルト値を確認します。
[ユーザ用にOTPトークンを自動生成]にチェックが入っている場合、ユーザが次回ポータルにログインした時に、Google AuthenticatorなどのOTPソフトウェアを設定するためのQRコードが表示されます。
SSL-VPNに使用する「ユーザポータル」と「SSL VPN リモートアクセス」にチェックが入っています。
デフォルト設定のままで問題ないようです。

3

タイムステップ設定のデフォルト値を確認します。
更新間隔をトークンデバイスと合わせるように促すメッセージが表示されています。
Google Authenticatorは、30秒間隔で異なるパスワードを表示します。こちらもデフォルト設定で問題ないようです。

4

トグルスイッチをONにし、OTPを有効にします。

Google Authenticatorのセットアップ

SSL-VPN接続を行う一般ユーザでポータルにログインすると、QRコードが表示されます。
Google AuthenticatorでQRコードを読み込みます。

5

[ログインを続行する]を選択すると、ポータルのログイン画面に戻ります。
ユーザのパスワードに続いて、Google Authenticatorに表示されるパスワードを入力します。
ポータルにログインする事が出来れば、成功です。

6

SSL-VPN接続

SSL-VPN接続を行うには、クライアントソフトが必要です。
まだ設定を行っていない場合、こちらの記事の「Windows7からの接続」をご確認ください。

クライアントのVPN接続画面を開きます。
ユーザのパスワードに続いて、Google Authenticatorに表示されるパスワードを入力すると、SSL-VPN接続が開始されます。

7

参考資料

Sophos UTM 管理ガイド

検証環境

以下の環境で動作を確認しました。

  • クライアント:Windows8
  • Sophos UTM:9.352-6

さいごに

Sophos-UTMでは、パスワードとOTPの2要素認証が可能である事がわかりました。
OTPを有効することで、より安全な運用が出来ると思います。