Zwei-Faktor-Authentisierung für hybride VPNs
Passwort mit Benefits
Passwörter sind auch 2015 im beruflichen und privaten Alltag allgegenwärtig. Doch der Einsatz ist fehleranfällig und unbequem. Zudem werden immer mehr Sicherheitsvorfälle bekannt, bei denen den Unternehmen und Behörden im großen Stil Passwortdateien entwendet werden. Es ist höchste Zeit für Zwei-Faktor-Authentisierung, um die VPN-Zugänge vor unbefugtem Zugriff zu schützen.
Um das betagte Prinzip "Passwort" zukunftsfähig zu machen, muss man keine bahnbrechend neue Technik erfinden. Zwei-Faktor- oder Multi-Faktor-Authentisierung (2FA, MFA) sind seit Langem bekannt und kommen - vor allem im Unternehmensumfeld - im Zuge der wachsenden Sicherheitsrisiken immer öfter zum Einsatz. 2FA fügt der wissensbasierten Authentisierung ("Ich weiß mein Passwort") einen besitzbasierten Faktor hinzugefügt ("Ich habe etwas, das ich zur Anmeldung benötige") hinzu. Nicht nur Unternehmen, auch viele endnutzerzentrierte Web-Angebote, bei denen Sicherheit ernst genommen wird, offerieren mittlerweile einen zweiten Faktor zur Sicherung ihrer Zugänge. Microsoft (Onedrive, Word.com, etc.) und Facebook bieten diese Möglichkeit, auch Dropbox lässt sich mit einem zweiten Anmeldefaktor absichern. Und das neue, in diesen Tagen weltweit verteilte Microsoft-Betriebssystem Windows 10, unterstützt ebenfalls Multi-Faktor-Authentisierung.
In den letzten Jahren hat sich schon einiges im Bewusstsein der Unternehmen getan, was die Authentisierung mit mehreren Faktoren angeht. Die IDC-Studie "Mobile Security in Deutschland 2015" vom Mai dieses Jahres stellt fest, dass über 40 Prozent der befragten Unternehmen zwei Faktoren bei der Absicherung mobiler Zugänge zum Netz verwenden. Der Fokus der Studie lag auf den mobilen Endgeräten Tablet und Smartphone, sodass häufig deren standardmäßig eingebaute biometrische Fingerabdrucksensoren zum Einsatz kamen.
Aber MFA ist nicht auf Biometrie beschränkt, sondern kann eine Vielzahl von Faktoren zur Identifizierung einbinden. Oft kommt ein Token zum Einsatz, ein kleines Gerät mit Display, das zum Log-in-Vorgang eine Zahl anzeigt. Dieses One-Time-Passwort (OTP) muss der Benutzer zusätzlich eingeben. Tokens gelten als sicher, sind aber kostspielig. Sie wollen konfiguriert, an die Benutzer verteilt und verwaltet sein. Zudem können Tokens verloren gehen oder defekt sein - jedes Mal entsteht Administrationsaufwand.
Alternativen zum Hardware-Token
Darum gibt es zahlreiche Lösungen auf dem Markt, die als Token einen USB-Stick, eine Smartcard oder ein technisches Merkmal eines persönlichen Endgeräts des Anwenders nutzen. Laut IDC-Studie planen 40 Prozent der Unternehmen, die heute 2FA im Einsatz haben, im nächsten Jahr eine Authentifizierung mittels Wearable Device zu ermöglichen. So müssten Mitarbeiter beispielsweise eine auf dem Smartphone initiierte Transaktion auf ihrer Smart Watch final bestätigen. Nach wie vor sind aber Umsetzungen sehr verbreitet, die auf einem Handy oder Smartphone basieren. Sie verwenden Soft-Tokens wie eine SMS oder eine E-Mail auf das Handy oder ein durchgesagtes Kennwort per Telefonanruf als OTP. Die meisten Lösungen lassen das Mischen der Faktoren zu, sodass sich für jede Betriebsumgebung die passende Schnittmenge aus Hard- und Soft-Tokens finden lässt.
VPN-Lösungen sind in besonderem Maß auf die Sicherung der Zugänge angewiesen. Wer einen VPN-Zugang erbeutet, kann aus der Ferne, ohne von Mitarbeitern gesehen und angesprochen zu werden, auf das Innerste des Netzes zugreifen - vorbei an Firewalls und anderen Filtermechanismen.
Unternehmen haben ein besonders geschärftes Bewusstsein, wenn es um dieses Einfallstor ins Netzwerk geht. Nachdem heute sehr oft Hybrid-VPN-Lösungen Verwendung finden, die sowohl Verbindungen über IPSec mit einem installierten Client als auch per SSL anbieten, muss die 2FA- oder MFA-Lösung in der Lage sein, beide Zugangsvarianten abzusichern.
Der klassische Weg über IPSec ist in der Regel einfacher zu bewerkstelligen. IPSec erfordert einen Software-Client auf dem Endgerät, der in der Regel vom Hersteller des VPN-Gateways oder einem eng verbundenen Drittanbieter bereitgestellt wird. Die von einer MFA-Lösung zur Integration in das VPN-System benötigten Schnittstellen stehen zur Verfügung, sind dokumentiert und MFA und VPN lassen sich optimal miteinander verknüpfen.
SSL-Implementierung zählt
Bei der Verbindungssicherung über SSL kommt es auf die Art der eingesetzten Absicherung an. SSL-VPN-Systeme, die nur den Zugriff auf Web-Anwendungen mit einem Web-Browser ermöglichen, aber keine Anwendungen über Netzwerkprotokolle bereitstellen können, melden den Benutzer über eine Webseite an. Auch Nicht-Web-Applikationen werden in der Regel über dieses Portal gestartet. In diesem Fall muss die MFA-Lösung eingehende Zugangsanfragen vom Web-Portal entgegennehmen und über den zweiten Kanal an den Benutzer verschicken können.
Viele Hersteller, darunter auch NCP, gehen bei ihren Hybrid-VPN-Servern diesen Weg und unterstützen über SSL den Zugriff auf interne Web-Anwendungen sowie Microsoft Netzlaufwerke. Die zweite große Gruppe der SSL-VPNs unterscheidet sich vom klassischen VPN nur durch das Übertragungsprotokoll. Sie arbeiten ähnlich wie andere VPN-Techniken (IPSec, L2TP, PPTP), nutzen aber SSL zur Datenübertragung. Bei dieser Variante werden komplette IP-Pakete eingekapselt, für den Benutzer verhält sich die Verbindung genauso wie bei einem IPSec-Tunnel über einen Software-Client. Die dabei zum Einsatz kommenden Authentisierungsmechanismen sind allerdings proprietär.
Mehrere MFA-Varianten notwendig
Entscheidend ist, dass der VPN-Anbieter bei der Wahl des MFA-Systems mehrere Optionen erlaubt. Neben einer eingebauten Lösung als Bestandteil des VPN-Servers beispielsweise über SMS sollte die Software auch wichtige Drittanbieter wie SMS Passcode, RSA oder Nordic Edge unterstützen. Die Authentisierung über SMS bietet im Gegensatz zu Lösungen mit Hardware-Tokens zwei Vorteile. Zum einen ist sie günstiger, weil Benutzer in der Regel bereits ein Handy haben, zum anderen ist sie sehr sicher, da das System ein dem Anwender mitgeteiltes Einmalpasswort erst passend zum Zeitpunkt der Anmeldung zufällig generiert.
Im Gegensatz dazu ist bei einer Token-basierten Lösung am Authentisierungs-Server eine Tabelle vorzuhalten, die zu jedem einzelnen Token in Abhängigkeit zur Uhrzeit das entsprechende Einmalpasswort enthält. Daraus ergibt sich ein Risiko, falls der Authentisierungs-Server kompromittiert wird oder diese Tabelle in die falschen Hände gerät. Des Weiteren entsteht bei derartigen Lösungen der Nachteil, dass die verwendeten Hardware-Tokens nach einer gewissen Zeit auszutauschen sind, was zusätzliche Kosten verursacht. Für die Authentisierung via SMS genügt ein einfaches Mobiltelefon, ein modernes Smartphone ist nicht notwendig.
Die Zeit ist reif für Multi-Faktor-Authentisierung
Große Unternehmen zeigen, wo die Reise hingeht. Je mehr Schwergewichte wie Microsoft, Twitter und Google eine Multi-Faktor-Authentisierung einsetzen, desto gebräuchlicher und selbstverständlicher wird die Technik für Benutzer werden. Im kommerziellen Bereich gehören Tokens oder One-Time-Passwörter ohnehin schon zum Arbeitsalltag. Und mit Herstellern, die Zwei-Faktor-Authentisierung nahtlos und ohne Zusatzaufwand für den Administrator in ihre Lösungen integrieren, gewinnen Firmen und Anwender gleichermaßen an Produktivität und Sicherheit.
Lesen Sie mehr zum Thema
