Fortinet SSL-VPN mit “DUO Security”-Multi-Faktor-Authentifizierung

Die Appli­ances des Secu­rity-Herstel­lers Fortinet bieten über die SSL-VPN Funktionalität ein sehr beliebtes Werk­zeug, um mobilen Mitar­bei­tern abge­si­cherten Zugriff auf Unter­neh­mens­res­sourcen zu schaffen. Es ist zu empfehlen, solch einen sicher­heits­kri­ti­schen Zugang in das interne Unter­neh­mens­netz durch eine starke Authen­ti­fi­zie­rung abzu­si­chern. Hier stößt man unwei­ger­lich auf das Thema der 2-Faktor-Authen­ti­fi­zie­rung (2FA). Fortinet bietet hier mit dem Produkt „Forti­token“ unter­schied­liche Methoden an, diese Secu­rit­y­an­for­de­rung auch direkt über Bord­mittel auf der Fire­wall umzusetzen.

DUO Secu­rity als Alternative

Alter­nativ zum Forti­token ist es aber auch möglich, eine 2-Faktor-Auten­ti­fi­zie­rung mit 3rd-Party-Lösungen aufzu­bauen. Mögliche Gründe hierfür sind viel­fältig: Entweder soll eine 2FA-Lösung, die bereits vorhanden ist, weiter genutzt werden, oder man plant eine umfäng­liche 2FA-Lösung neu aufzu­setzen, die nicht nur für den VPN-Zugang, sondern auch für andere Appli­ka­tionen verwendet werden soll. Eine sehr moderne Vari­ante bietet hier das Produkt „DUO Secu­rity“, das seit Herbst des vergan­genen Jahres zum Cisco Systems Konzern gehört.
DUO setzt auf das Smart­phone als perma­nent greif­bares “geheim­nis­hü­tende” Gerät, um den zweiten Faktor neben dem Pass­wort als Wissens­faktor abzu­bilden. DUO zeigt sich beson­ders benut­zer­freund­lich, da es die Push-Noti­fi­ca­tion-Infra­struktur von Apples iOS und Googles Android nutzt, um den Besitz des zweiten Faktors über ledig­lich einen Touch zu auto­ri­sieren. Das Abtippen von mehr­stel­ligen OTP-Tokens entfällt und spielt maximal als Fall­back-Lösung eine Rolle. In Verbin­dung mit in aktu­ellen Smart­phones enthal­tenen biome­tri­schen Sensoren wie Finger­ab­druck­scan­nern oder einer Gesichts­er­ken­nung wie „FaceID“ lässt sich über diese Lösung sehr komfor­tabel eine Multi­faktor-Authen­ti­fi­zie­rung (MFA) einrichten.

Die erwei­terte Lizenz­op­tion „Duo Access“ bietet zusätz­lich die Möglich­keit, die Sicher­heit über Gerä­te­richt­li­nien noch weiter zu erhöhen. Diese Gerä­te­richt­li­nien fragen unter anderem die Version des Betriebs­sys­tems oder die Zeit, nach der sich das Smart­phone selbst sperrt, ab und gestatten den Zugriff auf das Firmen­netz nur, wenn die konfi­gu­rierten Para­meter auf dem Smart­phone gegeben sind.

Zeit­ge­mäßer Cloud-Service

DUO ist ein Cloud-Service, der grund­sätz­lich keine zusätz­liche Hard­ware- oder Soft­ware­kom­po­nente im Rechen­zen­trum benö­tigt; jedoch wird für die Inte­gra­tion in die SSL-VPN Lösung von Fortinet ein Radius-Proxy benö­tigt, der für verschie­dene Betriebs­sys­teme zum Down­load ange­boten wird. DUO kann 30 Tage kostenlos getestet werden. Nach der Regis­trie­rung auf der Website und der Instal­la­tion der entspre­chenden Smart­phone-App aus dem App- oder Plays­tore muss im Verwal­tungs-Portal eine Appli­ka­tion des Typs „Fortinet Forti­Gate SSL VPN“ ange­legt werden. DUO liefert eine ausführ­liche Instal­la­ti­ons­hilfe, die alle Schritte zur Instal­la­tion und Konfi­gu­ra­tion des Radius-Proxys sowie die notwen­digen Konfi­gu­ra­ti­ons­schritte auf der Forti­gate-Fire­wall enthält.
Das Anlegen der User-Accounts kann über einen CSV-Import oder durch eine Kopp­lung mit dem Verzeich­nis­dienst des Unter­neh­mens erfolgen. Für das Enroll­ment der Soft­ware ist ein leicht­ver­ständ­li­cher Self-Service-Mecha­nismus inte­griert, über den die notwen­digen Instruk­tionen an die Mitar­beiter per eMail oder SMS verteilt werden. Der Soft­ware-Rollout kann dann inner­halb des Portals gemo­nitort werden.
Haben Sie Fragen zu SSL-VPN oder anderen Themen aus dem Bereich Vernet­zung? Wir helfen Ihnen gerne weiter!
 
(© Wright­Studio – stock.adobe.com)

Schreibe einen Kommentar

Cookie Einstellungen
Diese Website verwendet Cookies, um die bestmögliche Funktionalität zu gewährleisten. Mehr lesen

Akzeptiere alle Cookies Speichern