IP-VPN-AuthentifizierungDie Identität eines VPN-Teilnehmers eindeutig zu verifizieren ist besonders wichtig, da mit der VPN-Verbindung ein direkter Zugriff aufs Unternehmensnetz gewährt wird. Eine simple Authentifizierung mit User und Passwort ist hierzu nicht ausreichend.
Anforderungsprofil:
Der VPN-Zugang soll den neusten Sicherheitsstandards genügen und gleichzeitig möglichst einfach für den Endanwender gestaltet sein. Als VPN-Software soll der Windows native VPN-Client eingesetzt werden, um evt. auftretende Inkompatibilitäten zwischen Softwarekomponenten und Betriebssystem zu vermeiden.
Lösungsansatz:
Die Authentisierung des VPN-Benutzers erfolgt mit einem X.509 Zertifikat, welches auf einem etoken generiert und von einer CA (Certificate Authority) gesigned wird. Maximale Sicherheit wird durch die 2 Faktor Authentifizierung erzielt.
2 Faktor Authentifizierung:
Für eine erfolgreiche Authentifizierung benötigt der User zum einen den Besitz z.B. einer Smart Card oder eines etokens zum anderen das Wissen, z.B. einen Pin Code. Fehlt eine der beiden Komponenten, ist eine Authentifizierung nicht möglich. Dieses 2 Faktor Prinzip ist optimal geeignet, um sensible Vorgänge optimal abzusichern. Des Weiteren lässt sich dieses Prinzip sehr einfach und effizient mit Lösungen für ein single sign on kombinieren.
X.509 Zertifikate:
Der Einsatz von Zertifikaten gegenüber herkömmlichen Passwörtern hat die folgenden Vorteile:
Ein Zertifikat kann eindeutig einem Hardwaredevice zugeordnet werden
Ein Zertifikat hat eine endliche Gültigkeitsdauer
Die Sperrung von Zertifikaten kann zentral über sogenante Revocation Listen gemanaged werden
Die Generierung des Zertifikats auf einem nicht manipulierbaren Hardwaredevice schützt zuverlässig vor Missbrauch.
Vorteile:  | Zertifikatsmanagement innerhalb der ADS Struktur
mittels einer CA
| | IPSEC/L2TP ist „Firewall freundlich“ d.h. es werden
minimale Anforderungen an IT-Strukturen wie
Firewall, DSL-Router etc. gestellt
| | RFC konform – Einsatz von anerkannten
Internetprotokollen statt proprietären Protokollen
| | Sehr hohe Sicherheit durch 2 Faktor Authentifizierung
| | Auslagerung auf das nicht manipulierbare
auslesbare Medium etoken.
| | Hoher Investitionsschutz
| | Nutzung des etokens mit mehreren Zertifikaten
für unterschiedliche Applikationen
| | Nutzung des etokens für andere Applikationen möglich |
Voraussetzung:
Client: Windows XP
Zentrale:
M-VPN-Server
Microsoft ADS-Infrastruktur**
**Sowohl der Radius als auch die CA sind Bestandteile
des Windows Serverbetriebssystems (ab Windows 2000 Server)
Alternativ sind sowohl die CA als auch der
Radius Server unter Linux implementierbar.
|
