Da noch immer viele Mitarbeiter von zuhause im Home-Office arbeiten, stellt sich die Frage, wie der Zugriff auf die Infrastruktur im Unternehmen noch sicherer werden kann. In unserem letzten Blog Beitrag wurde aufgezeigt, wie man den Zugriff von Extern mit einer zweiten Firewall-Stufe absichern kann.
Eine von uns realisierte Lösung besteht darin, eine 2-Faktor-Authentifizierung (2FA) mit OTP (One-Time-Password) zu benutzen. Hierbei wird der VPN-Zugriff mittels OTP von einer zusätzlichen Maschine abgesichert. Für die Verwaltung der OTP-Token und der Benutzerzuordnung haben wir uns für das OpenSource Tool privacyIdea (https://www.privacyidea.org/) entschieden.
Die Benutzerverwaltung wird mittels LDAP mit einem bestehenden Active-Directory Server abgeglichen. Sobald die Verbindung über LDAP authentifiziert ist, kann sich der Mitarbeiter mit seinen Windows-Benutzerdaten an der privacyIdea Web-GUI anmelden um seinen OTP-Token zu erstellen. privacyIdea unterstützt alle gängigen Soft- und Hardwaretoken. So kann ein Mitarbeiter z.B. sein Smartphone mit dem privacyIdea Authentificator über QR-Code einrichten.
Für viele Anwendungen bietet privacyIdea Plugins an, zudem wird das RADIUS Protokoll über das Paket freeradius unterstützt. So können z.B. VPN Anbieter wie z.B. OpenVPN und Fortinet einfach mit einer weiteren Authentifizierungsstufe erweitert werden. Dabei wird beim Aufbau der VPN-Verbindung das OTP abgefragt.