Der Zugriff von extern auf das Unternehmensnetzwerk wird immer wichtiger und da die Vertraulichkeit hier höchste Priorität hat, ist der Einsatz von Verschlüsselung beim Datentransfer Pflicht. Daneben neigen aber viele Nutzer dazu Passwörter wiederzuverwenden und melden sich bei mehren Diensten mit dem gleichen Passwort an. Kommt es zu einer Kompromittierung der Nutzerkonten bei einem dieser Dienste, können Angreifer versuchen mit Hilfe der gesammelten Daten in das interne Firmennetzwerk einzudringen. Simple Passwörter sind besonders bei VPN Verbindungen kritisch, denn Angreifer könnten sich so Zugriff auf das firmeninterne Netzwerk verschaffen und auf sensible Ressourcen zugreifen. Administratoren haben es oft schwer, sichere Passwörter durchzusetzen und die Nutzer haben es schwer sich alle paar Wochen neue komplexe Passwörter zu merken. Das Firmen-Netzwerk ist nur so sicher wie das schwächste Passwort.
Eine Zwei-Faktor Authentifizierung umgeht dieses Problem, da im Falle der VPN Absicherung neben dem Nutzernamen und Passwort, der Login zusätzlich mit dem Smartphone bestätigt werden muss. Angreifer haben so keine Chance Credentials zu erraten oder unsichere Passwörter auszunutzen.
SecSign ID schützt dabei nicht nur den Login, sondern auch den 2. Faktor – das Smartphone. Die Authentifizierung kann nur auf dem Smartphone bestätigt werden, wenn der Nutzer seinen PIN eingibt oder seinen Fingerabdruck scannt. Anschließend kann er IP Adresse, Service Namen usw. einsehen und hat so jederzeit die volle Kontrolle, für welche Services er die Authentifizierung bestätigt.
Durch diese beiden Sicherheitsstufen ist es ausgeschlossen, dass ein Angreifer der das Passwort gestohlen hat Zugriff zum geschützten Netzwerk erlangt. Den selbst wenn auch das Smartphone mit der SecSign ID gestohlen wurde, müsste der Angreifer noch den Zugriffsschutz der SecSign ID umgehen: also entweder den PIN des Nutzers wissen oder seinen Fingerabdruck haben.
Daneben kann der Benutzer im Falle eines Verlustes seines Smartphones immer seine SecSign ID über die Verwaltungsoberfläche sperren lassen.
Eine abstrakte Authentifizierung mit der SecSign ID sieht wie folgt aus:

Eine viel genutzte Sicherheitsanwendung ist die Cisco ASA Reihe. Eine externe Firewall, welche die Verbindung zwischen zwei Netzen kontrolliert und dazu dient, den Netzwerkzugriff zu beschränken, basierend auf Absender- oder Zieladresse und genutzten Diensten. Sie überwacht den durch die Firewall laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden oder nicht. Auf diese Weise versucht sie, unerlaubte Netzwerkzugriffe zu unterbinden. Die ASA Box ist in der Lage das VPN mittels IPsec und/oder mittels SSL abzusichern.
Bei einer Verbindung zweier Unternehmen gibt es keine kostengünstigere Variante als das IPsec-VPN. Dabei wird meist auf beiden Firewalls ein entsprechender Tunnel für die Gegenseite konfiguriert. Damit ist die gesamte Strecke von Firewall A zu Firewall B verschlüsselt. Ein entsprechendes Regelwerk auf beiden Seiten beschränkt den Zugriff der Gegenseite auf die notwendigen Ressourcen und Zugriffe.
SSL unterscheidet sich zwischen Clientless und Fat Client. Clientless SSL VPN ermöglicht eine sichere Verbindung zu Ressourcen im Firmennetzwerk mittels SSL/TLS und Web-Browser aufzubauen. Es erzeugt einen Fernzugriff mittels VPN Tunnel zu einem ASA Gerät und bis auf den Web-Browser wird vom Nutzer keine weitere Software benötigt. Es können so auf einfache Weise Web-Anwendungen im Intranet, Datenaustausch über NT/Active Directory, Email Proxies usw. bereit gestellt werden. Der Fat Client muss auf dem jeweiligen Clientsystem installiert werden und ermöglicht mehr Funktionalitäten, wie das Setzen von statischen Routen, die Implementierung virtueller Netzwerkkarten oder Portumleitungen.
AnyConnect Secure Mobility Client ist der wohl am häufigsten genutzte VPN Client von Cisco und ist als Desktopvariante für Windows, Linux und Mac sowie als mobile Version für Windows Phone, Android und IOS verfügbar. Im folgenden Beispiel wird eine ASA Box genutzt, um ein virtuelles privates Netzwerk zu sichern. Die zusätzliche Integration der SecSign ID ermöglicht ein deutlich höheres Maß an Sicherheit, denn ein externer AnyConnect Secure Mobility Client muss nicht nur den regulären Nutzernamen und sein Passwort eingeben, sondern auch den Login auf seinem Smartphone bestätigen.


Ist es möglich, dass auch die Cisco Clients wie zum Beispiel AnyConnect den üblichen SecSign ID Accesspass anzeigen?
Nein, wir haben leider keinen Einfluss darauf, dass die Clients übermittelte Grafiken oder ähnliches anzeigen. In diesem Fall wird kein Accesspass vergeben und der Login wird auf dem Smartphone ohne Accesspass bestätigt. Der Nutzer sieht auf seinem Smartphone nach Eingabe seines PIN oder dem Scannen seines Fingerabdruckes den Informationen über den Login, wie Service Namen, IP Adresse usw. Er hat so jederzeit die Kontrolle darüber für welchen Service er die Authentifizierung freigibt. Da zusätzlich auch Active Directory Nutzername und das dazugehörige Passwort evaluiert werden, ist dies ein Login in zwei Schritten mit 2FA. Der Accesspass kann daher vernachlässigt werden.
Das zu sichernde Netzwerk sollte über eine ASA oder ASAv Sicherheitsanwendung verfügen, welche den Zugriff über SSL- oder IPsec-VPN ermöglicht. Die ASA Sicherheitsanwendung sollte mit einem RADIUS Server kommunizieren, um Active Directory Nutzer zu authentifizieren. Gewährleisten Sie vor der Integration von SecSign ID, dass es kompatibel zur verwendeten ASA Version ist.
Melden Sie sich dazu an der Cisco ASDM Oberfläche an, und stellen Sie sicher, dass die ASA Firmware mindestens in der Version 8 zur Verfügung steht. Diese Integration kommuniziert mit dem SecSign ID Service über TCP Port 443.
Für die Kommunikation zwischen ASA Box und RADIUS Server, wird der SecSignID RADIUS Proxy benötigt. Mehr Informationen zum RADIUS Proxy kann im RADIUS Tutorial gefunden werden.
Die Cisco ASA Sicherheitsanwendung gibt es als Hardwareversion und als virtualisierte Software Variante. Die Virtualisierung der Cisco ASA Sicherheitsanwendung nennt sich ASAv und kann in virtuellen Umgebungen bequem eingebunden werden und wird zum Beispiel bei AmazonWebServices angeboten oder kann lokal im Testlab installiert werden. Mit einem Cisco Service Vertrag kann die virtuelle Variante der ASA Box bei Cisco heruntergeladen werden. Die Virtualisierung nutzt ihr eigens OS, weshalb es nötig ist die Virtualisierung auf einem Bare-Metal-Server und Hypervisor aufzubauen (VM Ware ESXi). Jegliche Software außer der ASAv Box ist auch als kostenlose Evaluierungsversion erhältlich:

1Für die Virtualisierung in einem Testlab müssen wir zuerst VM Ware Fusion installieren und fügen als virtuelle Maschine den VMware vSphere Hypervisor (ESXi) ein
2Der ESXi embedded Host Client vereinfacht die Kontrolle über die Systeme (URL: https://ESXi-Host-IP/ui/#/login)
3Im ESXi werden 3 Netzwerk Interfaces bzw. Port Groups angelegt: management, inside, outside

4Ein Windows 2012 Server (C) wird auf ESXi installiert, der Server wird ins „inside“ Netz gehangen und ist unser Test-Firmenserver. Er ist der Domain Controller und stellt Active Directory bereit. Es wird ein neuer Testuser angelegt.
5 Zusätzlich werden auf ESXi 2 Windows 7 oder Windows Server Maschinen (B&D) installiert. B wird ins Inside Netz gehangen, die andere ins outside Netz. Auf beiden wird Java installiert.
6Auf Maschine D wird der vCenterClient installiert (dazu im Browser die ESXi Host Adresse eingeben und Installationshinweise befolgen)
7Cisco ASAv wird nun auf dem ESXi installiert. Dazu muss der vCenterClient auf Maschine D gestartet werden um Cisco’s OVF Datei als Virtuelle Maschine auf dem ESXi Host zu installieren. ASAv bekommt die Netzwerke in folgender Reihenfolge den Interfaces zugewiesen 0:management, 1:inside, 2:outside. Die IP Belegung der Interfaces und die Basiskonfiguration ist die folgende:

8Auf Maschine B kann nun die IP vom ASAv Inside Interface in den Browser eingegeben werden und es sollte sich der ASDM Launcher starten bzw. Installieren. Mit Hilfe des ASDM Wizards kann ein SSL oder Ipsec VPN aufgebaut werden.Mit einem lokalen ASAv Nutzer der bei dem Prozess mit angelegt wird, kann die VPN Verbindung von einem externen AnyConnect Client (E) getestet werden. Dieser ruft dazu die IP Adresse des outside Interfaces der ASAv Box auf.
9Der Windows Server C agiert als RADIUS Server auf Port 1812 – Mehr Informationen zur RADIUS Einrichtung im Videotutorial Cisco ASA Training 101:RADIUS
10Nun wird die ASAv Box mit dem RADIUS Server vertraut – Mehr Informationen zur Einrichtung der ASAv Box & RADIUS im zweiten Videotutorial Cisco ASA Training 101:ASA&RADIUS.
Damit sollte es möglich sein sich über einen externen AnyConnect Client (E) mit seinem Active Directory Namen im VPN zu authentifizieren.

11Da der ganze Anmeldeprozess aber immer noch auf simplen Passwörtern basiert wird nun auf Maschine B der SecSign Radius Proxy hinzugefügt. Der Proxy ist eine Java Anwendung und kann hier angefragt werden.
Mehr Informationen zur Einrichtung des Radius Proxies im Tutorial. Die Maschine B benötigt für die Zwei-Faktor Authentifizierung eine Verbindung zu einem SecPKI Server. Dieser kann bestenfalls On-Premise innerhalb des Firmeninternen Netzwerkes agieren. Andernfalls kann der öffentliche Server (id1.secsign.com:443) genutzt werden, hier muss dann aber sichergestellt werden, dass Maschine B eine Verbindung zum Internet hat, welcher durch die ASAv Box entsprechend eingeschränkt werden kann.

12Der Windows Server C agiert als Forward RADIUS Server. Dazu wird der Radius Proxy (B) als RADIUS Client eingetragen, im gleichen Schritt kann die ASAv Box als Client gelöscht werden. Das Active Directory bekommt einen weiteren Eintrag, die SecSign ID (SecSign ID user name in Active Directory) und der Test-Benutzer aus 4. bekommt somit seine SecSign ID zugewiesen.
Das nächste geplante Update zum SecSign ID RADIUS Proxy wird die Möglichkeit zum „Selfenrollment“ beinhalten. Wenn sich ein Nutzer mit Benutzername und Passwort authentifiziert und noch keine SecSign ID hinterlegt ist, kann der Nutzer seine ID selbstständig hinzufügen.
Sind alle Services und Server gestartet (Maschine A, B & RADIUS Proxy, C & AD, RADIUS) kann der externe AnyConnect Client die IP des ASAv „outside“ Interfaces aufrufen und die Authentifizierung anstoßen.
Im Test brach der AnyConnect Client nach ein paar Sekunden die bestehende VPN Verbindung ab und hängte sich bei einem Versuch die Verbindung wieder aufzunehmen auf. Die Lösung des Problems war es im Client OS den MTU Wert auf 1200 zu setzen.
Die Windows Firewall sollte entsprechend angepasst werden um unerwünschte Verbindungsfehler zu vermeiden.
Der SecSign ID Radius Proxy benötigt eine Verbindung zum SecSign ID Server. Wird der öffentliche Authentifizierungsserver genutzt, muss dieser auf Port 443 erreichbar sein.
Die ASA Box muss so konfiguriert sein, dass sie RADIUS Anfragen zur Authentifizierung an den SecSign ID Radius Server leitet. Die ASA Box muss vom eigentlichen RADIUS Server mit Active Directory Anbindung nichts wissen.
Um die entsprechende SecSign ID zu einem Nutzer zu finden, der sich am VPN anmelden will, benötigt der SecSign ID RADIUS Proxy Zugriff auf das Active Directory. Dafür wird ein neuer Nutzer angelegt und die entsprechenden Daten in der Konfigurationsdatei des SecSign ID RADIUS Proxies hinterlegt.
Keywords: zwei-faktor Authentifizierung, two-factor authentication, 2fa, SecSign ID, Cisco, ASA, VPN, ASDM, ESXi
Wir haben eine stetig wachsende Liste an APIs und Plugins um die SecSign ID Zwei-Faktor Authentifizierung einfach und schnell in jedes Projekt zu integrieren.
Wir bieten nicht nur APIs in zahlreichen Programmiersprachen, sondern auch Plugins für CMS, Server und VPN Umgebungen, oAuth2 und zahlreiche mehr. Die Plugins nutzen unsere APIs und bieten zusätzliche Funktionen, zum Beispiel Nutzer Management, einfache und native Installation, Logging oder die Integration in Firewalls oder Active Directories.
Das JIRA Plugin beispielsweise nutzt die JAVA-API. Die PHP-API und JS-API wird von WordPress, Joomla, Drupal, Typo3 und vielen anderen genutzt. Die ASP.net/C#-API wird für die Windows und Cisco VPN genutzt und die C-API findet Verwendung um Unix SSH Services zu schützen. Die Objective-C API wird für unsere AppleTV und iPhone und iPad Apps genutzt.

Sie können die SecSign ID Zwei-Faktor Authentifizierung und den Zwei-Faktor Login durch eine einfach Integration des Plugins in Ihre Website oder Ihre Testumgebung kennenlernen. Oder testen Sie den Login auf unserer Website, ohne sich vorher zu registrieren. Sie haben bereits eine SecSign ID oder hätten gerne eine? Loggen Sie sich jetzt ein und nutzen Sie das Portal oder registrieren Sie sich ganz unkompliziert.
Erfahren Sie selbst, wie schnell und unkompliziert der Login Prozess mit der Challenge-Response Authentifizierung mit 2048-bit Schlüsselpaaren ist. Sie brauchen keine Passwörter, und es werden keine vertraulichen Logindaten übertragen. Einfache Integration und unkomplizierte Nutzung.
Für mehr Informationen zum patentierten SafeKey Verfahren finden Sie hier.
Falls Sie eine API für eine Programmiersprache vermissen kontaktieren Sie uns unverbindlich. Falls Sie Hilfe mit der Integration in ein existierendes System brauchen oder kein passendes Plugin für Ihr Content Management System finden, kontaktieren Sie unser Support Team und wir helfen Ihnen gerne weiter.
Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, sich mit Ihren bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSign ID Ihrer Unternehmensmarke an!


Unsere Lösungen lassen sich leicht anpassen: Wählen Sie zwischen der durch uns betriebenen SecSign Cloud oder betreiben Sie selber den SecSign Authentifizierungsserver Inhouse oder in einem Rechenzentrum Ihrer Wahl. Mehr zum Inhouse Zwei-Faktor Authentifizierungsserver

Wir passen die App an ihre Unternehmens Look-and-Feel an. Zwei-Faktor Authentifizierung angepasst an Ihre Bedürfnisse, für Ihre Kunden.
Integrieren Sie die SecSign Zwei-Faktor Authentifizierung in existierende Apps mit unserem SDK. Es könnte nicht einfacher gehen.
Nutzen sie den Zwei-Faktor Authentifizierungsserver zum Schutz Ihres Active Directory/LDAP. Ihr individuelles Identity and Access Management System, beispielsweise mit verpflichtenden Updates und zahlreichen Sicherheitseinstellungen.

Integration in sämtliche Login-Umgebungen: Web, Local, VPN, Remote Desktop, Mobile Logins und viele mehr.

Komplexe Integrationen gehören der Vergangenheit an: SecSign bietet Ihnen Plugins für nahezu alle Umgebungen.
Würden Sie gerne mehr über unsere innovativen und hochsicheren Lösungen zum Schutz von Nutzerkonten und empfindlichen Daten erfahren?
Nutzen Sie unser Kontaktformular und ein SecSign Kundenbetreuer wird innerhalb eines Arbeitstages Kontakt mit Ihnen aufnehmen.
Benötigen Sie Hilfe mit einem existierenden SecSign Account oder einer Produktinstallation? Die häufigsten Fragen haben wir in unseren FAQs zusammengefasst. Sie finden keine Lösung zu Ihrem Problem? Kontaktieren Sie den
Kundensupport
Ich Interessiere mich für