2FA für VPN, IPSec & SSL

Warum Sie eine 2FA für VPN und Remote Access benötigen

VPN ist eine einfache Möglichkeit für Mitarbeiter von Außen auf die vorhandenen Ressourcen und Anwendungen im Büronetzwerk (LAN) zuzugreifen, so als würde man selber im Büro sitzen. Das einzige das man benötigt ist ein Laptop, einen VPN Client oder Browser, eine Internetverbindung, Benutzername und Passwort. Das ist sehr einfach. Der Nachteil ist, dass jeder, der ein gültiges Benutzerpasswort findet (i.e durch erraten, hacken, lauschen, Phishing ……) einen vollständigen Zugang auf das Büronetzwerk, mit allen vorhandenen Ressourcen, hat. Zunächst hat ein Angreifer nur die gleichen Zugriffsrechte wie der Benutzer, da er sich aber als diesen Benutzer ausgeben kann, wird er schnell feststellen, wie man mehr Rechte erhält.

Als Domain Administrator oder IT-Security Mitarbeiter haben Sie daher zwei Möglichkeiten. Entweder bitten Sie die Benutzer, ihre Passwörter sehr oft zu ändern und komplexe Passwörter wie zB d0*#g17!Bk zu verwenden oder Sie setzen eine reibungslose 2FA-Lösung ein, die eine zusätzliche Sicherheitsebene hinzufügt und einen Angriff verhindert, selbst wenn das Benutzerpasswort herausgefunden wurde. Mit einer 2FA können, bei gleicher Sicherheit, viel einfachere Passwörter gewählt und der Anmeldeprozess für den Benutzer reibungsloser gestaltet werden. Was glauben Sie, welche Option Ihre Benutzer bevorzugen werden.

Ist inWebo MFA mit meinem VPN oder Remote Access einsetzbar?

Ja, das ist es. Im Laufe der Jahre haben unsere Partner und Kunden inWebo Zwei-Faktor-Authentifizierung mit den meisten VPN (beziehungsweise, Reverse Proxie, Firewall, Access Gateway), IPSec und SSL Herstellern, inklusive Cisco ASA und AnyConnect, Juniper (jetzt Pulse Secure), Meraki (jetzt Cisco), Palo Alto Networks, F5 Big-IP, OPenVPN, CheckPoint, Barracuda Networks, SonicWall, Fortinet eingesetzt. Mit anderen Herstellern sind wir mit großer Wahrscheinlichkeit kompatibel, da unsere Radius und SAML 2.0 Schnittstellen Out-of-the-Box arbeiten. Verbindungsmodi und Authentifizierungsoptionen können variieren, da sie von den Fähigkeiten der Gateways abhängen. Trotzdem aber sind wir bisher noch auf keine Konfiguration gestoßen, die wir nicht unterstützen konnten.

inWebo 2FA für VPN und Remote Access Lösungen

Bei der Anmeldung an das VPN mit inWebo 2FA muss der legitime Benutzer bestätigen, dass er die Zugriffsanforderung eingeleitet hat. Dies kann er durch die Eingabe eines Einmalpasswort , den er in einem Kurztext empfangenen, mit der inWebo Authenticator App erzeugt hat oder im Browser angezeigt wird. Alternativ und noch bequemer kann er es durch ein einfaches Bestätigen der Zugriffsanforderung in der inWebo Authenticator App oder sogar in dem Browser , mit dem die Anmeldung stattfindet (bei SSL VPN). Die letztere Variante macht den gesamten Anmeldeprozess reibungslos, besonders für Benutzer die kein Telefon nutzen können (siehe inWebo 2FA Optionen für weitere Details

Wie wird eine inWebo 2FA für VPN und Remote Access implementiert?

Das ist relativ einfach:

  • Erstellen Sie zuerst ein inWebo Konto für Ihr Unternehmen (eine Weiterleitung zur kostenlosen Anmeldung finden Sie weiter unten).
  • Konfigurieren Sie dann Ihr inWebo Konto und VPN Gateway, damit sich beide Anwendungen gegenseitig vertrauen. Eine sichere Methode, die mit allen VPN Lösungen und Versionen funktioniert, ist die Nutzung des Radius Protokoll, wobei Ihr VPN als Radius Client und inWebo als Radius Server konfiguriert wird (hier finden Sie eine entsprechende Dokumentation dafür). Da immer mehr VPN Gateways auch SAML 2.0 unterstützen, kann dieser alternativ als SAML 2.0 Relying Party (RP) und inWebo als SAML 2.0 Identity Provider (IdP) konfiguriert werden.
  • Schließlich passen Sie die Authentifizierungsrichtlinien und On-Boarding-Regeln für die Benutzer in der InWebo-Administrationskonsole an. Sollte die Anmeldeseite Ihres SSL VPN sich anpassen lassen, können Sie auch die sehr benutzerfreundliche inWebo Browser-basierte Authentifizierungmethode aktivieren (weitere Informationen finden Sie hier)

Es sind weder Server noch Proxy zu installieren oder zu konfigurieren, daher sparen Sie Zeit für andere Projekte. Sollten Sie hierbei auf weitere Fragen stoßen, stehen Ihnen auch gerne unsere Mitarbeiter vom Support zur Verfügung.

Gerätezertifikate oder inWebo MFA?

Eine schwierige Frage, aber es gibt entscheidende Gründe, warum Sie sich für inWebo entscheiden sollten:

  • Installation und Administration : inWebo 2FA unterstützt zwar Ihr VPN, ist aber ein separater und sofort verfügbarer Service. Anders als bei einer PKI müssen Sie keine Software installieren oder Gerätezertifikate ausrollen. Sie können insbesondere externen Mitarbeitern oder Partnern einen VPN Zugang ermöglichen die ihre eigenen Geräte mitbringen.
  • Unabhängigkeit : inWebo MFA ist weitaus universeller und unterstützt viele weitere Anwendungen. Es werden nicht nur VPNs, sondern auch SaaS Anwendungen (wie Office 365, Google Suite), Remote Access, SSO, CMS, Windows Logon, usw. Unterstützt.
  • Sicherheit und Performance : inWebo MFA läuft parallel in 3 unabhängigen und zertifizierten Rechenzentren, der Service ist somit immer verfügbar. Die Authentifizierung wird in zertifizierten Hardware Security Modulen (HSM) ausgeführt. Zudem wurde inWebo von einer BSI-Partnerbehörde zertifiziert.

Was nun?

Sie sind am Zug. Vielleicht können wir Ihnen die Entscheidung einfacher machen.

  • Erstellen Sie ein kostenloses Basic-Konto (mit 10 Benutzerlizenzen) und implementieren Sie inWebo MFA für Ihre Office 365 Domäne. Sie können diese Konto jederzeit upgraden, um mehr Lizenzen oder Optionen zu erhalten. Es gibt nichts zu verlieren, also können Sie sofort loslegen.
  • Testen Sie inWebo kostenlos und ohne Verpflichtungen für 30 Tage. Diese Variante mag eventuell zögerlich klingen, allerdings ist MFA ein ernstes Thema und muss gut überlegt sein. Sie können sich daher die erforderliche Zeit nehmen um zu überprüfen, ob inWebo die richtige Lösung für Sie ist. Beachten Sie, dass wir Projektmanagement-, Beratungs- und Integrationspartner in unseren Lösungen geschult haben, die Sie für einen Test oder PoC unterstützen können.
  • Fordern Sie eine Demo nach Ihren Anforderungen an Wir freuen uns Ihnen die Grundlagen unserer Lösung zu zeigen und Ihre Fragen zu beantworten.