GRANDSTREAM IP-PBX Multi Factor Authentication

Zavedení
Funkce Multi-Factor Authentication (MFA) od Grandstream Networks, Inc. poskytuje další vrstvu zabezpečení systému IP-PBX. Pro přístup vyžaduje přihlašovací údaje a ověřovací kód ze zařízení MFA, což zvyšuje zabezpečení systému.

Virtuální aplikace MFA
Pro použití MFA si uživatelé mohou stáhnout a nainstalovat aplikace MFA ze svých obchodů s aplikacemi. Někteří exampMezi tyto soubory patří Google Authenticator pro Android a iOS, Twilio Authy 2-factor Authenticator a Authenticator od Microsoftu.

Návod k použití produktu

Povolení vícefaktorové autentizace (MFA)
Superadministrátoři a administrátoři mohou aktivovat MFA pro své účty takto:

1. Přihlášení do systému IP-PBX
2. Přejděte do nastavení účtu
3. Najděte přepínač MFA a povolte jej pro účet

Použití virtuálního zařízení MFA

1. Stáhněte si aplikaci MFA ze svého obchodu s aplikacemi (např. Google Play Store nebo Apple App Store)
2. Nainstalujte a nastavte aplikaci MFA na svém mobilním zařízení nebo tabletu
3. Při přihlašování do IP-PBX zadejte své přihlašovací údaje a za nimi šestimístný kód vygenerovaný aplikací MFA

Použití fyzického zařízení MFA

1. Kupte si fyzické zařízení MFA, které podporuje standard TOTP nebo FIDO U2F, od dodavatele třetí strany
2. Nastavte fyzické MFA zařízení podle pokynů dodavatele
3. Při přihlašování do IP-PBX zadejte své přihlašovací údaje a za nimi šestimístný kód vygenerovaný fyzickým zařízením MFA

ZAVEDENÍ

• Funkce IP-PBX Multi-Factor Authentication (MFA) přidává jednoduchou a bezpečnou metodu ochrany systému kromě požadavku uživatelského jména a hesla pro přihlášení. Pokud je povoleno, IP-PBX bude vyžadovat přihlašovací údaje (1. faktor) a ověřovací kód z MFA zařízení (2. faktor), čímž se zvýší bezpečnost systému IP-PBX.
• Pro použití MFA si uživatelé budou muset nainstalovat virtuální MFA aplikaci nebo zakoupit fyzické MFA zařízení. MFA se konfiguruje a používá pro účet, nikoli pro všechny účty.

Poznámka:
Termín IP-PBX v této příručce odkazuje na řadu UCM63xx, CloudUCM a SoftwareUCM.

Virtuální zařízení MFA

• Virtuální zařízení MFA označují softwarové aplikace, které jsou spuštěny na mobilních zařízeních nebo jiných, které nahrazují fyzická zařízení MFA. Aplikace MFA vygeneruje šestimístný kód pomocí algoritmu jednorázového hesla (TOTP) založeného na čase.
• Tento kód bude vyžadován při přihlašování do IP-PBX. Virtuální zařízení MFA přiřazené každému uživateli musí být jedinečné. Uživatel nemůže k přihlášení do svého účtu použít kód ze zařízení nebo aplikace MFA jiného uživatele.
• Protože aplikace MFA mohou běžet na nezabezpečeném hardwaru, nemusí poskytovat stejnou úroveň zabezpečení jako fyzická zařízení MFA.

Fyzické zařízení MFA
Fyzické zařízení MFA vygeneruje šestimístný kód pomocí algoritmu jednorázového hesla (TOTP) založeného na čase. Tento kód bude vyžadován při přihlašování do IP-PBX. Fyzické zařízení MFA přiřazené každému uživateli musí být jedinečné. Uživatel nemůže k přihlášení do svého účtu použít kód ze zařízení nebo aplikace MFA jiného uživatele.

SPECIFIKACE ZAŘÍZENÍ MFA

	Virtuální MZV Zařízení	Fyzikální MZV Zařízení
Zařízení	Viz tabulka aplikací virtuálních MFA níže	TOTP Železářské zboží Žeton	Bezpečnostní klíč FIDO
Náklady	Uvolnit	Cena je určena dodavatelem třetí strany	Cena je určena dodavatelem třetí strany
Specifikace zařízení	Jakékoli mobilní zařízení nebo tablet, který umí instalovat a spouštět aplikace podporující standard TOTP	Zařízení třetí strany, které podporuje TOTP Standardní zařízení, jako jsou zařízení Microcosm MFA	Zařízení, která podporují otevřený standard ověřování FIDO U2F.
Aplikační scénář	Na jednom zařízení lze podporovat více tokenů	Mnoho finančních institutů a podnikových IT organizací používá stejný typ zařízení	Prosazovat metody ověřování plateb a posilovat bezpečnost transakcí elektronického obchodu.

VIRTUÁLNÍ APLIKACE MFA
Přejděte do obchodu s aplikacemi svého mobilního zařízení nebo tabletu a stáhněte si a nainstalujte aplikace MFA. Níže uvedená tabulka uvádí některé example aplikace.

Mobilní zařízení Android™	Google Authenticator Dvoufaktorové ověřování Twilio Authy
Mobilní zařízení iOS™	Google Authenticator Dvoufaktorové ověřování Twilio Authy
Zařízení Windows™ Mobile	Authenticator (od společnosti Microsoft)

POUŽÍVÁNÍ ZAŘÍZENÍ MFA

Důrazně se doporučuje nakonfigurovat Multi-Factor Authentication (MFA) pro zajištění vyšší úrovně zabezpečení systému IP-PBX. Superadministrátoři a administrátoři mohou přepínat MFA pro své účty, ale ne pro účty ostatních.

Použití virtuálního zařízení MFA
Nejprve si stáhněte aplikaci MFA z obchodu s aplikacemi (např. Apple App Store nebo Google Play Store). Viz tabulka 3, napřampméně dostupných aplikací MFA.

Poznámka
Pro správnou konfiguraci MFA musí být nastaveny e-mailové adresy pro IP-PBX a požadovaný účet správce. Toto je jediný způsob, jak deaktivovat MFA bez přihlášení k účtu. Pokud není nakonfigurována žádná e-mailová adresa, účet se nebude moci přihlásit.

Při konfiguraci MFA na IP-PBX postupujte takto:

1. Přihlaste se do portálu pro správu IP-PBX pomocí účtu superadmin. Přejděte do Nastavení systému → Nastavení e-mailu a nakonfigurujte platná nastavení e-mailu, která umožní IP-PBX odesílat e-maily. Ujistěte se, že je pole Typ nastaveno na Klient.
2.  Na IP-PBX web UI, přejděte na stránku Údržba → Správa uživatelů a kliknutím upravte informace o uživateli. Nakonfigurujte e-mailovou adresu pro správce.
3. Povolte vícefaktorové ověřování a ve výzvě vyberte aplikaci Authentication App. Poté klikněte na další.
4. Okno certifikace zařízení Virtual MFA poskytne podrobné pokyny, jak vše nastavit. Uživatelé mohou buď naskenovat QR kód, nebo ručně zadat klíč prostřednictvím své aplikace MFA.
5. Otevřete svou virtuální aplikaci MFA a postupujte podle níže uvedených kroků.
   • Pokud vaše aplikace MFA podporuje QR kód, naskenujte poskytnutý QR kód. Některá mobilní zařízení mohou skenovat a detekovat QR kódy pomocí aplikace fotoaparátu.
   • Pokud vaše aplikace MFA nepodporuje QR kód, klikněte na „Zobrazit klíč“ a poté ručně zadejte klíč do aplikace MFA. Pokud MFA vyžaduje výběr způsobu generování kódu, vyberte „Na základě času“.
   • Poznámka
     Pokud virtuální aplikace MFA podporuje více zařízení nebo účtů MFA, vyberte přidání nového zařízení/účtu MFA a vytvořte nové zařízení nebo nový účet.
6. MZV bude periodicky generovat jednorázová hesla. Do pole Kód 1 zadejte zobrazené jednorázové heslo zobrazené v aplikaci MFA. Počkejte přibližně 30 sekund, než aplikace vygeneruje další jednorázové heslo. Zadejte toto nové heslo do pole Kód 2.
7.  Klikněte na spustit ověřování. Po provedení ověření klikněte na tlačítka Uložit a Použít změny, aby se nastavení projevilo. Účet byl nyní úspěšně svázán s virtuálním zařízením MFA. Pro přihlášení k účtu bude nyní vyžadován kód MFA.
   1. Odešlete svůj požadavek ihned po vygenerování kódu. Jinak platnost TOTP (jednorázové heslo založené na čase) brzy vyprší. Pokud jeho platnost vypršela, začněte znovu.
   2. Jeden uživatel může být vázán pouze na jedno zařízení MFA.

Použití fyzického zařízení MFA

Uživatelé si budou muset zakoupit fyzické MFA zařízení a potvrdit, že IP-PBX má platná nastavení e-mailu nakonfigurovaná s polem Typ nastaveným na Klient. Účet, který se nastavuje pro MFA, musí mít také nakonfigurovanou platnou e-mailovou adresu.

Poznámka
Pro správnou konfiguraci MFA musí být nastaveny e-mailové adresy pro IP-PBX a požadovaný účet správce. Toto je jediný způsob, jak zakázat MFA bez přihlášení k účtu. Pokud není nakonfigurována žádná e-mailová adresa, účet se nebude moci přihlásit.

Nakonfigurujte hardwarový token TOTP
Níže jsou uvedeny kroky ke konfiguraci hardwarového tokenu TOTP (time-based-one-time password) na IP-PBX.

1. Přihlaste se do portálu pro správu IP-PBX pomocí účtu superadmin. Přejděte do Nastavení systému→ Nastavení e-mailu a nakonfigurujte platná nastavení e-mailu, která umožní IP-PBX odesílat e-maily. Ujistěte se, že je pole Typ nastaveno na Klient.
2. Na IP-PBX web UI, přejděte na stránku Údržba→Správa uživatelů a kliknutím upravte informace o uživateli. Nakonfigurujte e-mailovou adresu pro správce.
3. Povolte vícefaktorové ověřování a v následující výzvě vyberte hardwarový token TOTP. Poté klikněte na Další.
4. Zobrazí se následující okno certifikace hardwarového MFA zařízení:
5. Zadejte tajný klíč zařízení. Chcete-li získat tajný klíč, kontaktujte svého dodavatele.
   Poznámka
   Tajný klíč musí být výchozí hex semena (seeds.txt) nebo semena base32. Napřampten:
   HEX SEED: B12345CCE6DA79B23456FE025E425D286A116826A63C84ACCFE21C8FE53FDB22 BASE32 SEED: WNKYUTRG3KE3FFTZ7UIO4QS5FBVBC2HJKY6IJLCP4QOH7ZJ12YUI====
6. Do pole Kód 1 zadejte šestimístný kód zobrazený na zařízení MFA. Pro zobrazení kódu budete muset stisknout tlačítko na přední straně zařízení MFA. Počkejte přibližně 30 sekund, než zařízení vygeneruje nový kód. Zadejte tento druhý šestimístný kód do pole Kód 2.
7. Klikněte na spustit ověřování. Po autentizaci klikněte na uložit a použít, aby se nastavení projevilo. Nyní je váš účet úspěšně navázán na zařízení MFA. Aby se uživatel mohl úspěšně přihlásit, musí být zadán kód zařízení MFA.
   Poznámky
   1. Odešlete svůj požadavek ihned po vygenerování kódu. V opačném případě může platnost jednorázového hesla vypršet. Pokud jeho platnost vypršela, začněte znovu.
   2. Každý uživatel může být vázán pouze na jedno MFA zařízení.

Konfigurace bezpečnostního klíče FIDO (pouze CloudUCM)
Při konfiguraci ověřování bezpečnostního klíče FIDO pro CloudUCM postupujte podle následujících kroků:

1. Přihlaste se do portálu pro správu CloudUCM pomocí účtu superadmin. Přejděte do Nastavení systému→ Nastavení e-mailu a nakonfigurujte platná nastavení e-mailu, která umožní službě CloudUCM odesílat e-maily. Ujistěte se, že je pole Typ nastaveno na Klient.
2. Na CloudUCM web UI, přejděte na stránku Údržba→Správa uživatelů a kliknutím upravte informace o uživateli. Nakonfigurujte e-mailovou adresu pro správce.
3. Povolte vícefaktorové ověřování a v následující výzvě vyberte bezpečnostní klíč FIDO. Poté klikněte na Další.
4. Vyberte, kam uložit přístupový klíč: na iPhone, iPad, zařízení Android nebo fyzický bezpečnostní klíč.
5. Pokud je vybráno zařízení iPhone, iPad nebo Android, na další obrazovce se zobrazí QR kód, který se naskenuje pomocí fotoaparátu zařízení. Pokud zvolíte bezpečnostní klíč, bude nutné klíč vložit do USB portu počítače.
6. Postupujte podle pokynů na základě zvolené metody. Po dokončení se objeví potvrzovací okno pro ověření, že autentizace FIDO byla úspěšně povolena.

ODSTRANĚNÍ ZAŘÍZENÍ MFA
Pokud již MFA není potřeba, lze MFA pro účet kdykoli deaktivovat.

Odebrání MFA prostřednictvím správy uživatelů

1. Chcete-li deaktivovat MFA, přihlaste se k účtu správce. Přejděte na Údržba → Správa uživatelů a upravte příslušný účet.
2. Zrušte zaškrtnutí políčka Multi-Factor Authentication.

Odebrání MFA prostřednictvím přihlašovací stránky

1. Na přihlašovací stránce zadejte přihlašovací údaje účtu. Jakmile se zobrazí okno Multi-Factor Authentication, klikněte na odkaz Resetovat certifikaci pod tlačítkem Přihlásit.
2. Na přidruženou e-mailovou adresu uživatele bude odeslán e-mail o odstranění MFA. V e-mailu klikněte na tlačítko Obnovit nyní pro potvrzení a zakázání MFA.
3. Tento resetovací e-mail bude platný 10 minut a jeho platnost vyprší okamžitě poté, co na něj uživatel klikne.

PODPOROVANÁ ZAŘÍZENÍ
V následující tabulce jsou uvedeny všechny modely IP-PBX, které podporují funkci vícefaktorového ověřování:

Model	Minimální Firmware Verze	Autentičnost aplikace ion	TOTP Železářské zboží Žeton	FIDO Zabezpečení Klíč
UCM6301	Firmware 1.0.11.10 nebo vyšší
UCM6302	Firmware 1.0.11.10 nebo vyšší
UCM6304	Firmware 1.0.11.10 nebo vyšší
UCM6308	Firmware 1.0.11.10 nebo vyšší
UCM6300A	Firmware 1.0.11.10 nebo vyšší
UCM6302A	Firmware 1.0.11.10 nebo vyšší

UCM6304A	Firmware 1.0.11.10 nebo vyšší
UCM6308A	Firmware 1.0.11.10 nebo vyšší
CloudUCM	Firmware 1.0.25.13 nebo vyšší
SoftwareUCM	Firmware 1.0.27.13 nebo vyšší

FAQ

Ztracené nebo neplatné zařízení MFA
Pokud se vaše zařízení MFA ztratilo nebo již nefunguje, postupujte podle pokynů níže, abyste zařízení MFA odpojili a použili nové zařízení MFA.

1. Na přihlašovací stránce zadejte přihlašovací údaje účtu. Jakmile se zobrazí okno Multi-Factor Authentication, klikněte na odkaz Resetovat certifikaci pod tlačítkem Přihlásit.
2. Na přidruženou e-mailovou adresu uživatele bude odeslán e-mail o odstranění MFA. V e-mailu klikněte na tlačítko Obnovit nyní pro potvrzení a zakázání MFA.
3. Tento resetovací e-mail bude platný 10 minut a jeho platnost vyprší ihned po kliknutí na něj.

Otázka: Mohu použít stejné virtuální MFA zařízení pro více účtů?
Odpověď: Ne, každý uživatel musí mít z bezpečnostních důvodů přiřazené jedinečné virtuální MFA zařízení.

Otázka: Jsou virtuální MFA zařízení stejně bezpečná jako fyzická MFA zařízení?
Odpověď: Virtuální zařízení MFA mohou běžet na nezabezpečeném hardwaru, takže fyzická zařízení MFA jsou obecně považována za bezpečnější.

Dokumenty / zdroje

GRANDSTREAM IP-PBX Multi Factor Authentication [pdfUživatelská příručka Řada UCM63xx, CloudUCM, SoftwareUCM, vícefaktorová autentizace IP-PBX, IP-PBX, vícefaktorová autentizace, faktorová autentizace, autentizace

Reference

• Uživatelská příručka