Etwas Historie zu Beginn…

Mitte der 90er Jahre des letzten Jahrhunderts hatten IT Administratoren in großen Unternehmen einen überschaubaren Zuständigkeitsbereich.

Alle PCs befanden sich am gleichen Standort, die Vernetzung (wenn überhaupt) erfolgte über das lokale Netzwerk (LAN). Der Zugriff auf zentrale Ressourcen, z.B. Datenspeicher (File Server) oder E-Mail-Server wurde über die lokale Infrastruktur geregelt. Meist mit Hilfe eines Directory Servers für die Benutzerverwaltung, z.B. Microsoft AD (Active Directory) oder LDAP (Lightweight Directory Access Protocol).

Enterprise_01

Mit Beginn des neuen Jahrtausends wuchs der Wunsch und Bedarf von Benutzern nach Zugriff auf Informationen aus dem Internet. Durch die Realisierung des Internet-Zugriffs erfolgte der erste Aufbruch der geschlossenen Umgebung innerhalb der Unternehmen. Firewalls und Proxy-Server zur Regulierung des Zugriffs von Innen und Schutz gegen ein Eindringen von Außen wurden notwendig.

Der Zugriff aus dem Inneren des Netzwerks reichte aber nicht aus, Benutzer wollten auch aus Ihren Home Offices oder über mobile Geräte auf die Unternehmensdaten oder E-Mails zugreifen können.

Enterprise_Internet_Mobile

Dies führt zu einem Dilemma bei den Administratoren und Sicherheitsverantwortlichen der Unternehmen.

Einerseits soll der Zugriff von außerhalb des lokalen Netzwerks nur auf bestimmte Benutzer/Benutzergruppen zugelassen werden. Idealerweise gesteuert über die ohnehin vorhandene Benutzerverwaltung im AD oder LDAP Server.

Andererseits bestehen berechtigte Sicherheitsbedenken bei der Nutzung von Benutzernamen und Passwörtern und damit solch sensibler Daten außerhalb der sicheren lokalen Zone innerhalb des Unternehmens. Womöglich werden diese Daten auch noch über ungesicherte öffentliche Internetverbindung oder Internet-Cafés übertragen…

Beispiel: Zwei-Faktor-Authentifizierung mit Hilfe eines Passworttresors und dem SMS2-Dienst

Um die zu schützenden Benutzerdaten aus der AD oder dem LDAP in der lokalen Umgebung zu belassen, aber trotzdem den Zugriff von außerhalb zu ermöglichen gibt es für Unternehmen mehrere Möglichkeiten für eine sichere Authentifizierung.

Als Beispiel sehen wir uns die Zwei-Faktor-Authentifizierung des SMS2-Service an.

In diesem Beispiel in Zusammenarbeit mit dem Google Authenticator zur Erzeugung eines Einmal-Passwortes, z.B. auf dem Smartphone.

Der erste Faktor…

Hierbei wird ein Authentifizierungs-Server mit dem RADIUS-Protokoll (Remote Authentication Dial-In User Service) aufgesetzt auf dem die SMS2-Applikation installiert wird.

Enterprise_RADIUS_SMS2_01

In diesem Beispiel hat der SMS2 Dienst eine direkte Verbindung zum Active Directory Server und erhält eine vollständige Liste mit den Benutzernamen der AD. Passwörter sind nicht darin enthalten!

enterprise_radius_sms2_02

Innerhalb des SMS2 Dienstes befindet sich ein Tresor, in dem die Zuordnung der AD-Benutzer zu den Benutzern des SMS2 Dienstes gespeichert wird.

Der Benutzername innerhalb des SMS2 Dienstes wird synchron mit dem Benutzernamen der AD genutzt. Es kann aber auch ein alternativer Benutzername für die Authentisierung mittels SMS2 genutzt werden.

Für jeden Anwender, der den SMS2 Dienst nutzen möchte, wird ein PIN-Code vergeben, mit dessen Hilfe der Tresor geöffnet werden kann.

Der zweite Faktor…

Für den zweiten Teil der Authentifizierung kommt der Google Authenticator zum Einsatz.

Der Anwender lädt sich die App aus dem Apple AppStore (für IOS) oder dem Google PlayStore (für Android) auf sein mobiles Endgerät. Durch Auswahl der Konfigurationsart “Barcode scannen” wird die Verbindung zum SMS2 Dienst hergestellt.

Im Menüpunkt “Auth Options” der SMS2-Applikation (auf dem Server) wird die zweite Authentifizierungsmethode festgelegt. Nach der Eingabe oder Erzeugung eines Shared Secret Codes und dem Speichern der Konfiguration wird ein QR-Code angezeigt. Dieser kann mit der Google Authenticator App gescannt werden um die Dienste miteinander zu verbinden.

SMS2_QR-Code

enterprise_radius_sms2_googleauth_qr

Starten der gewünschten Anwendung

Der Anwender, der sich außerhalb des lokalen Unternehmensnetzwerks befindet, ruft die gewünschte Webseite in seinem Web-Browser auf. In die Eingabemaske trägt er seinen (SMS2-) Benutzernamen und den SMS2 PIN-Code ein.

netscaler_login_sms2

Die Google Authenticator App zeigt nach dem Aufruf ein aktuell erzeugtes Einmal-Passwort an. Dieses wird aus der aktuellen Zeit und dem Shared Secret erzeugt.

enterprise_radius_sms2_googleauth_

Google_Authenticator

Das Einmal-Passwort wird in die zweite Eingabemaske der Webseite als zweiter Faktor der Authentifizierung eingegeben.

NetScaler_Login_SMS2_GoggleAuth

Nach erfolgreicher Authentifizierung wird nachfolgend die gewünschte Webseite angezeigt, in diesem Beispiel die Storefront-Startseite.

Storefront

networking-cta-banner-synergy