Speichern von geheimen OTP-Daten in einem verschlüsselten Format

Ab Citrix ADC Version 13.0 Build 41.20 können die geheimen OTP-Daten in einem verschlüsselten Format statt Klartext gespeichert werden.

Zuvor hat die Citrix ADC Appliance OTP-Geheimnis als Nur-Text in AD gespeichert. Das Speichern von OTP-Geheimnissen im Klartext stellt eine Sicherheitsbedrohung dar, da ein böswilliger Angreifer oder ein Administrator die Daten ausnutzen kann, indem er das gemeinsame Geheimnis anderer Benutzer anzeigt.

Der Verschlüsselungsparameter aktiviert die Verschlüsselung des OTP-Geheimnisses in AD. Wenn Sie ein neues Gerät mit Citrix ADC Version 13.0 Build 41.20 registrieren und den Verschlüsselungsparameter aktivieren, wird der OTP-Schlüssel standardmäßig in einem verschlüsselten Format gespeichert. Wenn der Verschlüsselungsparameter jedoch deaktiviert ist, wird der OTP-Schlüssel im Nur-Text-Format gespeichert.

Für Geräte, die vor 13.0 Build 41.20 registriert sind, müssen Sie die folgenden Schritte ausführen:

  1. Aktualisieren Sie die 13.0 Citrix ADC Appliance auf 13.0 Build 41.20.
  2. Aktivieren Sie den Verschlüsselungsparameter auf der Appliance.
  3. Verwenden Sie das geheime OTP-Migrationstool, um geheime OTP-Daten vom Nur-Text-Format in ein verschlüsseltes Format zu migrieren.

Weitere Informationen zum geheimen OTP-Migrationstool finden Sie unter OTP-Verschlüsselungstool.

Wichtig

Citrix empfiehlt Ihnen als Administrator, um sicherzustellen, dass die folgenden Kriterien erfüllt sind:

  • Ein neues Zertifikat muss so konfiguriert werden, dass OTP-Geheimnisse verschlüsselt werden, wenn Sie KBA nicht als Teil der Self-Service-Kennwortrücksetzfunktion verwenden.

    • Um das Zertifikat an VPN global zu binden, können Sie den folgenden Befehl verwenden:

      bind vpn global -userDataEncryptionKey c1

  • Wenn Sie bereits ein Zertifikat zum Verschlüsseln von KBA verwenden, können Sie dasselbe Zertifikat zum Verschlüsseln von OTP-Geheimnissen verwenden.

So aktivieren Sie OTP-Verschlüsselungsdaten mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

set aaa otpparameter [-encryption ( ON | OFF )]

Beispiel

set aaa otpparameter -encryption ON

So konfigurieren Sie die OTP-Verschlüsselung mit der GUI

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr, und klicken Sie im Abschnitt Authentifizierungseinstellungen auf Authentifizierung AAA OTP-Parameter ändern.
  2. Wählen Sie auf der Seite AAA OTP-Parameter konfigurieren die Option OTP Secret encryption aus.
  3. Klicken Sie auf OK.

Konfigurieren der Anzahl der Endbenutzergeräte für den Empfang von OTP-Benachrichtigungen

Administratoren können nun die Anzahl der Geräte konfigurieren, die ein Endbenutzer für den Empfang von OTP-Benachrichtigungen oder -Authentifizierung registrieren kann.

So konfigurieren Sie die Anzahl der Geräte in OTP mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

set aaa otpparameter [-maxOTPDevices <positive_integer>]

Beispiel

set aaa otpparameter -maxOTPDevices 4

So konfigurieren Sie die Anzahl der Geräte mit der GUI

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr, und klicken Sie im Abschnitt **Authentifizierungseinstellungen auf AuthentifizierungAAA OTP-Parameter ändern**.
  2. Geben Sie auf der Seite AAA OTP-Parameter konfigurieren den Wert für Max. OTP-Gerät konfiguriert ein.
  3. Klicken Sie auf OK.

    lokalisiertes Bild