Firmenbrief

19.06.2013

Two-Factor-Authentication für VPN mit CoreBiz und YubiKeys


Viele Unternehmen haben Mitarbeiter/Innen im Außeneinsatz - seien es Techniker, die vor Ort beim Kunden Probleme lösen oder Vertriebsprofis, die dem Kunden aktuelle Branchenlösungen präsentieren. Damit Kollegen/Kolleginnen von außen auf das Firmennetzwerk zugreifen können, empfiehlt sich der Einsatz eines VPN-Servers mit den entsprechenden VPN-Clients.

VPN-Zugriff mit Benutzername, Kennwort und OTP

Mit einer VPN-Verbindung wird beispielsweise ein Notebook durch einen Netzwerktunnel mit den Firmen-Servern verbunden - der Client steht dann als „normaler" Teilnehmer im Firmennetzwerk und kann auf die wichtigen Dienste zugreifen.

Damit ein VPN-Zugriff von externen Quellen noch sicherer gestaltet werden kann, ist der Einsatz einer Two-Factor-Authentication-Methode sinnvoll. Durch einen zusätzlichen Faktor (neben dem Kennwort) kann sich ein Benutzer z. B. durch einen frisch generierten und einmalig gültigen Token (auch OTP, also „One Time Password" genannt) ausweisen.

Zum Generieren dieses zusätzlichen Einmalpassworts verwenden die Engineers YubiKeys. YubiKeys wirken auf dem ersten Blick wie schlanke USB-Sticks, beherbergen jedoch eine Druckstelle für die eigenen Finger. Steckt der YubiKey in einen USB-Port in einem PC/Laptop oder sonstigem Gerät und drückt man auf die ausgewiesene Stelle, sendet das Hardware-Token wie eine Tastatur eine Zeichenkette in das aktuelle Eingabefeld. Auf diese Weise wird ein zufälliger Token generiert, der für die Authentifizierung - neben dem Kennwort - verwendet werden kann.

Kettenreaktion

Der Benutzer kann also auf seinem Gerät einen VPN-Client starten und wie gewöhnlich seinen Benutzernamen sowie Kennwort eingeben. Bevor jedoch auf „Ok" geklickt wird, drückt der User einmal seinen YubiKey - die Ausgabe wird dann einfach an das Passwort angehängt. Das Kennwort verlängert sich somit um 12 + 32 Zeichen, insgesamt also 44. Die ersten 12 Zeichen sind immer gleich und gelten als eine Art Seriennummer für den YubiKey, demzufolge lässt sich auch jeder YubiKey einem Benutzer-Account zuweisen. Die restlichen 32 Zeichen stellen das einmalig gültige und zufällig generierte Token dar.

Der Benutzer kann dann den Login-Vorgang starten. Der VPN-Client verbindet sich hierfür mit dem VPN-Server im Firmennetzwerk. Der VPN-Server erkennt durch ein Plugin den YubiKey und erfragt bei einem Radius-Server im Kundennetzwerk, ob die „normalen" Benutzer-Credentials (also Benutzername und Kennwort) gültig sind und sendet gleichzeitig die 12 + 32 Zeichen des YubiKeys an den Yubicon Validation Server.

Der Yubicon Validation Server erkennt den verwendeten YubiKey anhand der ersten 12 Zeichen und kann damit prüfen, ob dieser YubiKey tatsächlich zum verwendeten Benutzernamen gehört. Die 32 zufällig generierten Zeichen prüft der Yubicon Validation Server zusätzlich mit einem Algorithmus auf Gültigkeit. Können alle Angaben bestätigt werden, wandert das „Ok" vom Yubicon-Server die Kette zurück bis zum VPN-Client und erlaubt den Login ins Firmennetzwerk.

Mehr Sicherheit durch zusätzliche Faktoren

Durch den Einsatz eines Hardware-Tokens erhöht sich merklich die Sicherheit für Login-Vorgänge - jeder YubiKey ist fest einem Benutzer zugeordnet. Selbst wenn ein Angreifer - aus welchen Gründen auch immer - also an Login-Daten eines Benutzers kommt, ist ein unerlaubter Login durch den Angreifer nicht möglich. Abhanden gekommene oder obsolete YubiKeys können natürlich jederzeit gesperrt werden.

Verwaltung durch komfortable Web-Oberfläche - alles Open Source!

Neben den YubiKeys benötigt man, wie oben bereits beschrieben, noch einige YubiCon-Komponenten für Authentifizierung und Validierung. Diese Software-Pakete können beim Kunden auf virtuelle Maschinen installiert werden - man benötigt also keine teure Hardware-Box oder -Appliance, die sich um Token kümmert. Selbstverständlich setzen die Techniker von LIS-Linuxland mit YubiCon auf ausgereifte Open-Source-Software.

Integration in CoreBiz

Die Techniker von LIS-Linuxland können die YubiCon-Anwendungen selbstständig im Kundennetzwerk einrichten oder bei Bedarf mit einer CoreBiz-Umgebung verschmelzen. Auf diese Weise können die normalen Benutzer-Accounts im CoreBiz Directory auch für die Anmeldung mit YubiKeys verwendet werden.

Preislich unschlagbar

Im Vergleich zu gängigen Security-Appliances sparen Anwender von YubiCon bares Geld, da die Software kostenfrei ist. Lediglich für die Hardware-Token fallen - je nach Abnahmemenge - mit 12 bis 15 Euro das Stück geringe Kosten an.

Weitere Einsatzmöglichkeiten

Die Zwei-Faktoren-Authentifizierung kann neben VPN-Verbindungen auch viele weitere Logins absichern. Prinzipiell können alle gängigen Linux-Dienste, wie beispielsweise SSH-Server, um einen Login-Faktor erweitert werden. Aber auch CoreBiz Groupware Zarafa kann modifiziert werden, so dass ein Login mit YubiKeys möglich ist.

Simpler Start, schnelle Umsetzung

Wussten Sie, dass YubiCon auch von großen IT-Konzernen eingesetzt wird? YubiKeys sind stärker verbreitet als man denkt - dementsprechend ausgereift ist auch die Software, die hinter der Authentifizierung steckt.

Die Techniker von LIS-Linuxland können die zusätzliche Authentifizierung mittels YubiKeys schnell umsetzen - sprechen Sie uns einfach an!