Der Zugriff auf die Management-Protokolle (z. B. WEBconfig, SSH, Telnet) kann per Zwei-Faktor-Authentifizierung (2FA), zusätzlich zum normalen Passwort, abgesichert werden. Dabei kann die Funktion für weitere Administratoren oder für den standardmäßigen Root-Benutzer getrennt konfiguriert werden.
In bestimmten Fällen ist es erforderlich, dass Management-Protokolle über unsichere Kanäle, z. B. das Internet, erlaubt werden müssen. Um diese Wege zusätzlich abzusichern und das Gerät vor Brute-Force-Angriffen zu schützen, kann die Zwei-Faktor-Authentifizierung für verschiedene Wege granular aktiviert werden.
Dabei werden die bekannten Authenticator-Apps für mobile Geräte wie Smartphones unterstützt.
Es ist zu beachten, dass im Fall eines Verlusts des Authenticators im schlimmsten Fall nur ein vollständiger Geräte-Reset möglich ist. Daher wird empfohlen nicht für alle Konfigurationswege 2FA anzufordern, z. B. nicht für den Zugriff per serieller Schnittstelle oder den Zugriff aus dem LAN heraus, so dass bei Verlust oder Fehlkonfiguration der Zugriff auf normalem Wege auch ohne 2FA weiterhin möglich ist.
Insbesondere wird der 2FA-Schutz für den Zugriff über die WAN-Schnittstelle inkl. der Nutzung von nur verschlüsselten Protokollen wie HTTPS oder SSH empfohlen.
Die Nutzung der 2FA setzt eine korrekte Uhrzeit des Geräts voraus. Daher sollte in jedem Fall der Zeitbezug per NTP-Client auf dem Router konfiguriert werden in LANconfig unter .
- Erzeugung eines Eintrags in der Tabelle "Admin-OTPs" (LANconfig: ) unter Angabe des Administrator-Account-Namens für den dieser Eintrag gelten soll
- Aufruf der WEBconfig unter. Von dort kann der erzeugte QR-Code für den Benutzer anzeigt, gespeichert oder von der externen Authenticator-App eingescannt werden
- Beim Aufruf der Managementverbindung des Admin-Benutzers wird dieser nach dem Passwort zur Eingabe des Einmalpassworts (OTP) aufgefordert
Erzeugung von QR-Codes für Verbindung mit dem Authenticator
Die Erzeugung der QR-Codes für die Verbindung des Authenticators mit dem Gerät erfolgt über die WEBconfig unter oder alternativ über die CLI via "show Admin-OTP-QR".
Show-Kommandos
- Admin-OTP – Zeigt die Administrator-OTP-Profile
- Admin-OTP-CODES – Zeigt die Administrator-OTP-Profile (codes only)
- Admin-OTP-QR – Zeigt die Administrator-OTP-Profile (QR code only)
- Admin-OTP-URI – Zeigt die Administrator-OTP-Profile (URI only)
