Fortinet SSL-VPN mit "DUO Security"-Multi-Faktor-Authentifizierung

Die Appliances des Security-Herstellers Fortinet bieten über die SSL-VPN Funktionalität ein sehr beliebtes Werkzeug, um mobilen Mitarbeitern abgesicherten Zugriff auf Unternehmensressourcen zu schaffen. Es ist zu empfehlen, solch einen sicherheitskritischen Zugang in das interne Unternehmensnetz durch eine starke Authentifizierung abzusichern. Hier stößt man unweigerlich auf das Thema der 2-Faktor-Authentifizierung (2FA). Fortinet bietet hier mit dem Produkt „Fortitoken“ unterschiedliche Methoden an, diese Securityanforderung auch direkt über Bordmittel auf der Firewall umzusetzen.

DUO Security als Alternative

Alternativ zum Fortitoken ist es aber auch möglich, eine 2-Faktor-Autentifizierung mit 3rd-Party-Lösungen aufzubauen. Mögliche Gründe hierfür sind vielfältig: Entweder soll eine 2FA-Lösung, die bereits vorhanden ist, weiter genutzt werden, oder man plant eine umfängliche 2FA-Lösung neu aufzusetzen, die nicht nur für den VPN-Zugang, sondern auch für andere Applikationen verwendet werden soll. Eine sehr moderne Variante bietet hier das Produkt „DUO Security“, das seit Herbst des vergangenen Jahres zum Cisco Systems Konzern gehört.
DUO setzt auf das Smartphone als permanent greifbares „geheimnishütende“ Gerät, um den zweiten Faktor neben dem Passwort als Wissensfaktor abzubilden. DUO zeigt sich besonders benutzerfreundlich, da es die Push-Notification-Infrastruktur von Apples iOS und Googles Android nutzt, um den Besitz des zweiten Faktors über lediglich einen Touch zu autorisieren. Das Abtippen von mehrstelligen OTP-Tokens entfällt und spielt maximal als Fallback-Lösung eine Rolle. In Verbindung mit in aktuellen Smartphones enthaltenen biometrischen Sensoren wie Fingerabdruckscannern oder einer Gesichtserkennung wie „FaceID“ lässt sich über diese Lösung sehr komfortabel eine Multifaktor-Authentifizierung (MFA) einrichten.

Die erweiterte Lizenzoption „Duo Access“ bietet zusätzlich die Möglichkeit, die Sicherheit über Geräterichtlinien noch weiter zu erhöhen. Diese Geräterichtlinien fragen unter anderem die Version des Betriebssystems oder die Zeit, nach der sich das Smartphone selbst sperrt, ab und gestatten den Zugriff auf das Firmennetz nur, wenn die konfigurierten Parameter auf dem Smartphone gegeben sind.

Zeitgemäßer Cloud-Service

DUO ist ein Cloud-Service, der grundsätzlich keine zusätzliche Hardware- oder Softwarekomponente im Rechenzentrum benötigt; jedoch wird für die Integration in die SSL-VPN Lösung von Fortinet ein Radius-Proxy benötigt, der für verschiedene Betriebssysteme zum Download angeboten wird. DUO kann 30 Tage kostenlos getestet werden. Nach der Registrierung auf der Website und der Installation der entsprechenden Smartphone-App aus dem App- oder Playstore muss im Verwaltungs-Portal eine Applikation des Typs „Fortinet FortiGate SSL VPN“ angelegt werden. DUO liefert eine ausführliche Installationshilfe, die alle Schritte zur Installation und Konfiguration des Radius-Proxys sowie die notwendigen Konfigurationsschritte auf der Fortigate-Firewall enthält.
Das Anlegen der User-Accounts kann über einen CSV-Import oder durch eine Kopplung mit dem Verzeichnisdienst des Unternehmens erfolgen. Für das Enrollment der Software ist ein leichtverständlicher Self-Service-Mechanismus integriert, über den die notwendigen Instruktionen an die Mitarbeiter per eMail oder SMS verteilt werden. Der Software-Rollout kann dann innerhalb des Portals gemonitort werden.
Haben Sie Fragen zu SSL-VPN oder anderen Themen aus dem Bereich Vernetzung? Wir helfen Ihnen gerne weiter!
 
(© WrightStudio – stock.adobe.com)

EU Efre Dekra