[Cisco DUO][#6]- fortigate admin 페이지 cisco DUO 2FA

안녕하세요. 

 

이번에는 [Cisco DUO][#6]- fortigate admin 페이지 cisco DUO 2FA에 대해서 알아보겠습니다. 

 

테스트 환경은 아래와 같습니다.

 

윈도우서버 2022 Datacenter

IP: 192.168.152.111
Domain: xxxxx.local

 

포티넷 LAN IP: 192.168.152.251

 

1. DUO Cloud 접속 후 Application 에서 Radius를 추가 합니다. 

 

2. 그리고 모든 DUO User가 RADIUS를 사용할수 있게 아래처럼 Enable for All users로 수정 합니다.

아래 정보들도 따로 메모장에 붙여넣기 합니다. 추후에 윈도우 서버에 Duo proxy를 설치 한다음에 연동 할때 필요합니다. 

 

3. 아래 RADIUS documentation 링크를 클릭합니다. 이유는 Duo Proxy를 파일을 다운로드 받기 위해서 입니다. 

 

4. 아래 다운로드 링크를 복사합니다. 

 

5. 윈도우 서버2022 로그인 합니다.

cisco duo proxy를 다운로드 받고 설치 합니다.

[ad_client] host=192.168.152.111  --> AD 서버 IP 또는 127.0.0.1도 가능  service_account_username=administrator service_account_password=xxxxxxxxxxxxx  - administrator@xxxxxx.local 패스워드 입력 search_dn=DC=xxxxx,DC=local [radius_server_auto] ikey=DIJ3E3xxxxxxxxxxxxx skey=LaK4ag9MtmtGlEKxxxxxxxxxxxxxxxxxxxxx api_host=api-f92fdb6e.dxxxxxxxxxxxxxxx radius_ip_1=192.168.152.251      - 포티넷 LAN IP - 이 IP로 전송된 RADIUS Client 패킷만 허용 radius_secret_1=XXXXXXXXXXX   -  포티넷에서 RADIUS 서버 등록할때 key - 임의로 설정 failmode=safe client=ad_client port=1812

 

6. Validate 버튼 실행 후 Save 버튼 클릭

 

7. 그리고 서비스 시작 누르고 아래처럼 이상없이 running 나오면 됩니다. 

 

8. 포티넷에 접속 합니다. 

User & Device -> RADIUS Servers -> Create New를 클릭 합니다. 

 

9. 아래처럼 입력합니다. 
NAS IP - 어떤 IP로 RADIUS CLIENT 주소로 사용 할것인지 입력합니다. 

그리고 아래처럼 서버 connection status 확

 

저는 Active Directory에 User를 아래처럼 생성 하였습니다.

username: kevin 

passwrd: xxxxxx
role: administrator

 

휴대폰에 cisco duo push 메시지 받고 approve버튼 누르면 아래처럼 successful 나오면 끝. 

 

10. System -> Administrator -> Create New

 

Username: kevin --- 저는 이미 생성되어서 example로 만들기 위해서 kevin1로 입력
Type: Match a user on a remote server group
Backup Pasword: 이 부분은 2fa서버가 이상있으면 백업 패스워드로 로그인가능하게 설정합니다. 
Confirm Password: 

Administrator profile: super_admin

Remote User Group: Duo_Admin_Group 

 

저장하면 아래처럼 kevin이 생성 되었습니다. 

 

로그아웃 후 테스트를 진행합니다. 

active directory 계정과 비밀번호를 입력합니다. 

 

그리고 휴대폰에 push 승인 하면 로그인 됩니다. 

 

****** 아래 기본 admin 계정은 삭제하기 보다는 Trusted Hosts에 특정 IP대역만 접속 가능 하게 하고 비밀번호를 엄청 어렵게 변경합니다. **** 만약에 대비해서 2fa랑 기타등등 변수로 로그인이 잘 안되면 admin 로컬 계정으로 로그인 합니다. 

 

그리고 fortigate에서 디폴트로 5초인가 너무 짧은 시간안에 승인이 되어야해서 push 승인 버튼 누르기도 전에 로그인 실패하는 것을 방지 하기 위해서 아래처럼 포티넷 CLI에서 변경합니다.

 

30초 동안 기다리게 합니다.

config system global set remoteauthtimeout 30 end

 

그리고 디폴트로 계정 연속 3번 틀리면 1분 계정 잠기는 기능이 기본으로 enable되어져 있습니다. 

2FA인증으로 인하여 보안을 강화 하였습니다. 저는 10번으로 변경 하겠습니다.

 

아래처럼 10번 연속 계정 틀리면 1분 계정을 잠그기. 

config system global     set admin-lockout-threshold 10     set admin-lockout-duration 60 end

 

지금까지 [Cisco DUO][#6]- fortigate admin 페이지 cisco DUO 2FA 글을 읽어주셔서 감사합니다.