Para dotarnos de mayor seguridad, se ha implementado en los accesos remotos por el túnel VPN de la UMA, el doble factor (2FA).
Eso significa que cada vez que entremos en el túnel VPN, además de nuestra identificación DUMA, se nos pedirá un código numérico que se enviará a nuestro móvil (también podremos confirmar con un ok desde nuestro dispositivo).
¿Cómo se activa?
Para poder activar el doble factor, deben enviarnos desde el SCI, un correo electrónico personalizado, en el que se incluyen las instrucciones para activarlo y un token personal.
Es necesario tener en cuenta que, como solemos disponer de varios alias de correo, para autenticarnos debemos utilizar siempre el marcado como principal, que aparecerá en el saludo del correo recibido.
El procedimiento es el siguiente:
- Descargar e instalar la app “FortiToken Mobile” en nuestro móvil (desde la App Store en Iphone, o la Play Store en móviles con Android), con el icono
- Esperar a recibir nuestra clave. Las claves se enviarán en diferentes tandas a las personas que tienen autorizado el uso de la VPN.
- Una vez recibido el email, arrancar la aplicación Fortitoken Mobile en el dispositivo móvil.
- Al pie de pantalla hay dos opciones: “SCAN BARCODE” o “ENTER MANUALLY”. Lo más cómodo es escanear el QR que se ha enviado adjunto en el correo, pero con la segunda opción se puede cargar el token de forma manual.
- Si elegimos la forma manual, hay que seleccionar después la opción Fortinet, y luego introducir la clave que se enviará por email en el campo “Key”.
¡¡MUY IMPORTANTE!!: La clave y el código QR tienen una caducidad de 24 horas. Eso significa que la activación en el dispositivo móvil, que describimos en el documento de instrucciones adjunto, deberá hacerse durante ese plazo. Si no es así, tendrán que solicitarse nuevas claves y reiniciar el proceso.
¿Cómo se usa?
Con esto ya tendremos activado el 2FA. A partir de entonces, cuando se haga login para acceder al túnel, se pide un código adicional para autenticar.
Recibiremos en nuestro móvil una notificación de la aplicación FortiToken, que debemos pinchar. Al hacerlo tenemos que teclear en Forticlient el código generado por la app, o directamente aceptar el mensaje que llega al móvil. Cualquiera de los dos sistemas es válido.
iPhone
En Iphone debe salirnos algo como esto:
Al pinchar en la notificación, se abrirá Fortitoken, y podemos aprobar (Approve) el mensaje que aparece. Si todo es correcto, la app enviará la información a Forticlient, y se conectará la VPN.
Android
En Android, al intentar activar la VPN se nos solicitará usar el 2FA:
En ese momento, saltará FortiToken:
Una vez que aprobemos la petición, pulsando sobre el botón Approve, se deberá activar la VPN:
¿Qué versiones de FortiClientVPN hemos testeado?
- En Windows 10 22H2/11 22H2, se ha probado con éxito todas las versiones entre 7.0.1 y 7.0.8.0427 (última versión disponible a 15/06/2023).
- En Android se han probado las versiones 6 y 7.
- En iPadOS (16.41 y 16.5) se han probado las versiones 6 y 7.2.0.0107 (última versión disponible a 15/06/2023).
¿Y si nos salta el 2FA sin estar activando la VPN?
Si nos salta una aprobación del 2FA mediante FortiToken sin que estemos activando voluntaria y conscientemente el túnel VPN, querrá decir que se está intentando activar la VPN desde otro dispositivo (u otro servicio conforme se vaya ampliando la cobertura del 2FA). Si estamos seguros/as de que no somos nosotros/as quienes estamos activando el túnel VPN (o el servicio que se nos indique mediante la notificación de FortiToken), querrá decir que nos han 'cazado' la contraseña de nuestra cuenta, por lo que deberemos rechazar la aprobación de FortiToken, deberíamos cambiar la contraseña inmediatamente y notificarlo a través de CAU.
Adjuntamos a la pregunta, un documento pdf con las instrucciones anteriores:
archivos adjuntos: 2FA Forti.pdf
Etiquetas: 2FA, acceso, acceso remoto, doble factor, red, remoto, teletrabajo, túnel, túnel vpn, vpn