Cisco ASA SecSign 2FA VPN

CISCO ASA SSL & IPSEC VPN MIT DER SECSIGN ID ZWEI-FAKTOR AUTHENTIFIZIERUNG


Erfahren Sie, warum unsere Zwei-Faktor Authentifizierung die Beste ist und Sie die Sicherheit Ihres Unternehmens upgraden sollten. Für Entwickler haben wirhier Informationen zusammengetragen.

Erfahren Sie mehr über Inhouse-Installationen und Ihre individuelle Firmen-App mit Ihrem Corporate Design.

Downloaden Sie das Plugin kostenlos in der Cloud für bequemen und sicheren Schutz.


Cisco ASA Firewall-Geräte bieten eine aufeinander abgestimmte Kombination aus Hardware, gehärtetem Betriebssystem und Firewall-Software um unter anderem mittels SSL oder IPsec einen verschlüsselten Fernzugriff auf Unternehmensanwendungen und gemeinsam genutzte Ressourcen zu realisieren.

SecSign ID integriert sich dabei in ihr bestehendes System und bietet eine sichere Zwei-Faktor Authentifizierung für Ihre VPN Nutzer.

WAS IST ZWEI-FAKTOR AUTHENTIFIZIERUNG?

Inhaltsverzeichnis

    Die SecSign ID Zwei-Faktor Authentifizierung für Cisco ASA VPNs fügt einen zusätzlichen Sicherheitsfaktor zu Ihrer Website hinzu, indem es einen Token verwendet. In diesem Fall ist das physische Token Ihr Smartphone.

    Fragen? Kontaktieren Sie uns, wenn Sie Hilfe beim Setup des SecSign ID Plugins brauchen oder Ihnen ein Plugin für eine andere Programmierumgebung fehlt.

    1. VPN & 2FA

    Der Zugriff von extern auf das Unternehmensnetzwerk wird immer wichtiger und da die Vertraulichkeit hier höchste Priorität hat, ist der Einsatz von Verschlüsselung beim Datentransfer Pflicht. Daneben neigen aber viele Nutzer dazu Passwörter wiederzuverwenden und melden sich bei mehren Diensten mit dem gleichen Passwort an. Kommt es zu einer Kompromittierung der Nutzerkonten bei einem dieser Dienste, können Angreifer versuchen mit Hilfe der gesammelten Daten in das interne Firmennetzwerk einzudringen. Simple Passwörter sind besonders bei VPN Verbindungen kritisch, denn Angreifer könnten sich so Zugriff auf das firmeninterne Netzwerk verschaffen und auf sensible Ressourcen zugreifen. Administratoren haben es oft schwer, sichere Passwörter durchzusetzen und die Nutzer haben es schwer sich alle paar Wochen neue komplexe Passwörter zu merken. Das Firmen-Netzwerk ist nur so sicher wie das schwächste Passwort.

    Eine Zwei-Faktor Authentifizierung umgeht dieses Problem, da im Falle der VPN Absicherung neben dem Nutzernamen und Passwort, der Login zusätzlich mit dem Smartphone bestätigt werden muss. Angreifer haben so keine Chance Credentials zu erraten oder unsichere Passwörter auszunutzen.

    SecSign ID schützt dabei nicht nur den Login, sondern auch den 2. Faktor – das Smartphone. Die Authentifizierung kann nur auf dem Smartphone bestätigt werden, wenn der Nutzer seinen PIN eingibt oder seinen Fingerabdruck scannt. Anschließend kann er IP Adresse, Service Namen usw. einsehen und hat so jederzeit die volle Kontrolle, für welche Services er die Authentifizierung bestätigt.

    Durch diese beiden Sicherheitsstufen ist es ausgeschlossen, dass ein Angreifer der das Passwort gestohlen hat Zugriff zum geschützten Netzwerk erlangt. Den selbst wenn auch das Smartphone mit der SecSign ID gestohlen wurde, müsste der Angreifer noch den Zugriffsschutz der SecSign ID umgehen: also entweder den PIN des Nutzers wissen oder seinen Fingerabdruck haben.

    Daneben kann der Benutzer im Falle eines Verlustes seines Smartphones immer seine SecSign ID über die Verwaltungsoberfläche sperren lassen.

    Eine abstrakte Authentifizierung mit der SecSign ID sieht wie folgt aus:

    1. Der Nutzer meldet sich normal mit Benutzernamen und Passwort am VPN Service an und wenn Benutzername und Passwort richtig eingegeben wurden, wird automatisch die SecSign ID vom Nutzer ermittelt
    2. Der VPN Service sendet eine Authentifizierungsanfrage für die ermittelte SecSign ID an den ID Server
    3. Der ID Server sendet die Push Notification an das Mobilgerät des Nutzers
    4. Der Nutzer bestätigt den Login auf der mobilen App, welche dem ID Server Bescheid gibt, dass der Login ausgeführt werden kann
    5. Der VPN Service überprüft den Status der Authentifizierungssitzung und der ID Server bestätigt die Zugangserlaubnis
    6. Der Service gewährt dem Nutzer den Zugriff

    abstract-authenticationv5-1

    2. Cisco VPN Varianten und Clients

    Eine viel genutzte Sicherheitsanwendung ist die Cisco ASA Reihe. Eine externe Firewall, welche die Verbindung zwischen zwei Netzen kontrolliert und dazu dient, den Netzwerkzugriff zu beschränken, basierend auf Absender- oder Zieladresse und genutzten Diensten. Sie überwacht den durch die Firewall laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden oder nicht. Auf diese Weise versucht sie, unerlaubte Netzwerkzugriffe zu unterbinden. Die ASA Box ist in der Lage das VPN mittels IPsec und/oder mittels SSL abzusichern.

    Bei einer Verbindung zweier Unternehmen gibt es keine kostengünstigere Variante als das IPsec-VPN. Dabei wird meist auf beiden Firewalls ein entsprechender Tunnel für die Gegenseite konfiguriert. Damit ist die gesamte Strecke von Firewall A zu Firewall B verschlüsselt. Ein entsprechendes Regelwerk auf beiden Seiten beschränkt den Zugriff der Gegenseite auf die notwendigen Ressourcen und Zugriffe.

    SSL unterscheidet sich zwischen Clientless und Fat Client. Clientless SSL VPN ermöglicht eine sichere Verbindung zu Ressourcen im Firmennetzwerk mittels SSL/TLS und Web-Browser aufzubauen. Es erzeugt einen Fernzugriff mittels VPN Tunnel zu einem ASA Gerät und bis auf den Web-Browser wird vom Nutzer keine weitere Software benötigt. Es können so auf einfache Weise Web-Anwendungen im Intranet, Datenaustausch über NT/Active Directory, Email Proxies usw. bereit gestellt werden. Der Fat Client muss auf dem jeweiligen Clientsystem installiert werden und ermöglicht mehr Funktionalitäten, wie das Setzen von statischen Routen, die Implementierung virtueller Netzwerkkarten oder Portumleitungen.

    AnyConnect Secure Mobility Client ist der wohl am häufigsten genutzte VPN Client von Cisco und ist als Desktopvariante für Windows, Linux und Mac sowie als mobile Version für Windows Phone, Android und IOS verfügbar. Im folgenden Beispiel wird eine ASA Box genutzt, um ein virtuelles privates Netzwerk zu sichern. Die zusätzliche Integration der SecSign ID ermöglicht ein deutlich höheres Maß an Sicherheit, denn ein externer AnyConnect Secure Mobility Client muss nicht nur den regulären Nutzernamen und sein Passwort eingeben, sondern auch den Login auf seinem Smartphone bestätigen.

    push

    3. Systemüberblick und Vorraussetzungen

    system-overview-v2-1

    1. Der VPN User verbindet sich mit dem Internet und öffnet den Cisco AnyConnect Client, um eine SSL oder IPsec VPN Verbindung mit dem internen Netzwerk herzustellen. Die Anfrage wird zum „outside“ Interface der ASA Box geroutet.
    2. Die ASA Box stellt eine RADIUS Anfrage an den SecSign ID RADIUS Proxy um den Nutzer zu authentifizieren und autorisieren.
    3. Der SecSign ID RADIUS Proxy stellt eine RADIUS Anfrage mit dem Nutzernamen und Passwort an den RADIUS Forward Server.
    4. Der RADIUS Forward Server ermittelt mit dem Active Directory, ob der Nutzer die Berechtigung hat das Firmennetzwerk beizutreten. Ist dies der Fall, sendet der RADIUS Server eine Bestätigung an den SecSign ID RADIUS Proxy
    5. Der SecSign ID RADIUS Proxy erfragt dann am Active Directory die SecSign ID des VPN Nutzers anhand des Benutzernamens.
    6. Ist für diesen Nutzer eine SecSign ID hinterlegt, wird diese zurück an den SecSign ID RADIUS Proxy übermittelt.
    7. Der SecSign ID RADIUS Proxy kontaktiert nun mit der ermittelten SecSign ID den ID Server um die Zwei-Faktor Authentifizierung auszuführen. Der ID Server sendet die Push Notification an das Mobilgerät des Nutzers.
    8. Wenn der Nutzer den Login auf der mobilen App bestätigt, ändert der ID Server den Status der Authentifizierungssitzung. Der SecSign ID RADIUS Proxy fragt in kurzen Abständen den ID Server ob der Login bereits bestätigt wurde.
    9. Wurde der Login bestätigt, wird eine RADIUS Bestätigung an die ASA Box gesendet.
    10. Die ASA Box gewährt dem Client Zugriff auf das VPN.

    Ist es möglich, dass auch die Cisco Clients wie zum Beispiel AnyConnect den üblichen SecSign ID Accesspass anzeigen?

    Nein, wir haben leider keinen Einfluss darauf, dass die Clients übermittelte Grafiken oder ähnliches anzeigen. In diesem Fall wird kein Accesspass vergeben und der Login wird auf dem Smartphone ohne Accesspass bestätigt. Der Nutzer sieht auf seinem Smartphone nach Eingabe seines PIN oder dem Scannen seines Fingerabdruckes den Informationen über den Login, wie Service Namen, IP Adresse usw. Er hat so jederzeit die Kontrolle darüber für welchen Service er die Authentifizierung freigibt. Da zusätzlich auch Active Directory Nutzername und das dazugehörige Passwort evaluiert werden, ist dies ein Login in zwei Schritten mit 2FA. Der Accesspass kann daher vernachlässigt werden.

    4. Vorraussetzungen für die Integration der SecSign ID

    Das zu sichernde Netzwerk sollte über eine ASA oder ASAv Sicherheitsanwendung verfügen, welche den Zugriff über SSL- oder IPsec-VPN ermöglicht. Die ASA Sicherheitsanwendung sollte mit einem RADIUS Server kommunizieren, um Active Directory Nutzer zu authentifizieren. Gewährleisten Sie vor der Integration von SecSign ID, dass es kompatibel zur verwendeten ASA Version ist.

    Melden Sie sich dazu an der Cisco ASDM Oberfläche an, und stellen Sie sicher, dass die ASA Firmware mindestens in der Version 8 zur Verfügung steht. Diese Integration kommuniziert mit dem SecSign ID Service über TCP Port 443.

    Für die Kommunikation zwischen ASA Box und RADIUS Server, wird der SecSignID RADIUS Proxy benötigt. Mehr Informationen zum RADIUS Proxy kann im RADIUS Tutorial gefunden werden.

    5. Virtualisierung und ASA Setup

    Die Cisco ASA Sicherheitsanwendung gibt es als Hardwareversion und als virtualisierte Software Variante. Die Virtualisierung der Cisco ASA Sicherheitsanwendung nennt sich ASAv und kann in virtuellen Umgebungen bequem eingebunden werden und wird zum Beispiel bei AmazonWebServices angeboten oder kann lokal im Testlab installiert werden. Mit einem Cisco Service Vertrag kann die virtuelle Variante der ASA Box bei Cisco heruntergeladen werden. Die Virtualisierung nutzt ihr eigens OS, weshalb es nötig ist die Virtualisierung auf einem Bare-Metal-Server und Hypervisor aufzubauen (VM Ware ESXi). Jegliche Software außer der ASAv Box ist auch als kostenlose Evaluierungsversion erhältlich:

    virtualisierung

    1Für die Virtualisierung in einem Testlab müssen wir zuerst VM Ware Fusion installieren und fügen als virtuelle Maschine den VMware vSphere Hypervisor (ESXi) ein

    2Der ESXi embedded Host Client vereinfacht die Kontrolle über die Systeme (URL: https://ESXi-Host-IP/ui/#/login)

    3Im ESXi werden 3 Netzwerk Interfaces bzw. Port Groups angelegt: management, inside, outside

    4Ein Windows 2012 Server (C) wird auf ESXi installiert, der Server wird ins „inside“ Netz gehangen und ist unser Test-Firmenserver. Er ist der Domain Controller und stellt Active Directory bereit. Es wird ein neuer Testuser angelegt.

    5 Zusätzlich werden auf ESXi 2 Windows 7 oder Windows Server Maschinen (B&D) installiert. B wird ins Inside Netz gehangen, die andere ins outside Netz. Auf beiden wird Java installiert.

    6Auf Maschine D wird der vCenterClient installiert (dazu im Browser die ESXi Host Adresse eingeben und Installationshinweise befolgen)

    7Cisco ASAv wird nun auf dem ESXi installiert. Dazu muss der vCenterClient auf Maschine D gestartet werden um Cisco’s OVF Datei als Virtuelle Maschine auf dem ESXi Host zu installieren. ASAv bekommt die Netzwerke in folgender Reihenfolge den Interfaces zugewiesen 0:management, 1:inside, 2:outside. Die IP Belegung der Interfaces und die Basiskonfiguration ist die folgende:

    8Auf Maschine B kann nun die IP vom ASAv Inside Interface in den Browser eingegeben werden und es sollte sich der ASDM Launcher starten bzw. Installieren. Mit Hilfe des ASDM Wizards kann ein SSL oder Ipsec VPN aufgebaut werden.Mit einem lokalen ASAv Nutzer der bei dem Prozess mit angelegt wird, kann die VPN Verbindung von einem externen AnyConnect Client (E) getestet werden. Dieser ruft dazu die IP Adresse des outside Interfaces der ASAv Box auf.

    9Der Windows Server C agiert als RADIUS Server auf Port 1812 – Mehr Informationen zur RADIUS Einrichtung im Videotutorial Cisco ASA Training 101:RADIUS

    10Nun wird die ASAv Box mit dem RADIUS Server vertraut – Mehr Informationen zur Einrichtung der ASAv Box & RADIUS im zweiten Videotutorial Cisco ASA Training 101:ASA&RADIUS.
    Damit sollte es möglich sein sich über einen externen AnyConnect Client (E) mit seinem Active Directory Namen im VPN zu authentifizieren.

    11Da der ganze Anmeldeprozess aber immer noch auf simplen Passwörtern basiert wird nun auf Maschine B der SecSign Radius Proxy hinzugefügt. Der Proxy ist eine Java Anwendung und kann hier angefragt werden.

    Mehr Informationen zur Einrichtung des Radius Proxies im Tutorial. Die Maschine B benötigt für die Zwei-Faktor Authentifizierung eine Verbindung zu einem SecPKI Server. Dieser kann bestenfalls On-Premise innerhalb des Firmeninternen Netzwerkes agieren. Andernfalls kann der öffentliche Server (id1.secsign.com:443) genutzt werden, hier muss dann aber sichergestellt werden, dass Maschine B eine Verbindung zum Internet hat, welcher durch die ASAv Box entsprechend eingeschränkt werden kann.

    12Der Windows Server C agiert als Forward RADIUS Server. Dazu wird der Radius Proxy (B) als RADIUS Client eingetragen, im gleichen Schritt kann die ASAv Box als Client gelöscht werden. Das Active Directory bekommt einen weiteren Eintrag, die SecSign ID (SecSign ID user name in Active Directory) und der Test-Benutzer aus 4. bekommt somit seine SecSign ID zugewiesen.

    Das nächste geplante Update zum SecSign ID RADIUS Proxy wird die Möglichkeit zum „Selfenrollment“ beinhalten. Wenn sich ein Nutzer mit Benutzername und Passwort authentifiziert und noch keine SecSign ID hinterlegt ist, kann der Nutzer seine ID selbstständig hinzufügen.

    Sind alle Services und Server gestartet (Maschine A, B & RADIUS Proxy, C & AD, RADIUS) kann der externe AnyConnect Client die IP des ASAv „outside“ Interfaces aufrufen und die Authentifizierung anstoßen.

    6. Fehlerquellen

    Im Test brach der AnyConnect Client nach ein paar Sekunden die bestehende VPN Verbindung ab und hängte sich bei einem Versuch die Verbindung wieder aufzunehmen auf. Die Lösung des Problems war es im Client OS den MTU Wert auf 1200 zu setzen.

    Die Windows Firewall sollte entsprechend angepasst werden um unerwünschte Verbindungsfehler zu vermeiden.

    Der SecSign ID Radius Proxy benötigt eine Verbindung zum SecSign ID Server. Wird der öffentliche Authentifizierungsserver genutzt, muss dieser auf Port 443 erreichbar sein.

    Die ASA Box muss so konfiguriert sein, dass sie RADIUS Anfragen zur Authentifizierung an den SecSign ID Radius Server leitet. Die ASA Box muss vom eigentlichen RADIUS Server mit Active Directory Anbindung nichts wissen.

    Um die entsprechende SecSign ID zu einem Nutzer zu finden, der sich am VPN anmelden will, benötigt der SecSign ID RADIUS Proxy Zugriff auf das Active Directory. Dafür wird ein neuer Nutzer angelegt und die entsprechenden Daten in der Konfigurationsdatei des SecSign ID RADIUS Proxies hinterlegt.

    Keywords: zwei-faktor Authentifizierung, two-factor authentication, 2fa, SecSign ID, Cisco, ASA, VPN, ASDM, ESXi

    7. Unsere APIS

    Wir haben eine stetig wachsende Liste an APIs und Plugins um die SecSign ID Zwei-Faktor Authentifizierung einfach und schnell in jedes Projekt zu integrieren.
    Wir bieten nicht nur APIs in zahlreichen Programmiersprachen, sondern auch Plugins für CMS, Server und VPN Umgebungen, oAuth2 und zahlreiche mehr. Die Plugins nutzen unsere APIs und bieten zusätzliche Funktionen, zum Beispiel Nutzer Management, einfache und native Installation, Logging oder die Integration in Firewalls oder Active Directories.

    Das JIRA Plugin beispielsweise nutzt die JAVA-API. Die PHP-API und JS-API wird von WordPress, Joomla, Drupal, Typo3 und vielen anderen genutzt. Die ASP.net/C#-API wird für die Windows und Cisco VPN genutzt und die C-API findet Verwendung um Unix SSH Services zu schützen. Die Objective-C API wird für unsere AppleTV und iPhone und iPad Apps genutzt.

    available_apis

    8. Erfahren Sie mehr

    Sie können die SecSign ID Zwei-Faktor Authentifizierung und den Zwei-Faktor Login durch eine einfach Integration des Plugins in Ihre Website oder Ihre Testumgebung kennenlernen. Oder testen Sie den Login auf unserer Website, ohne sich vorher zu registrieren. Sie haben bereits eine SecSign ID oder hätten gerne eine? Loggen Sie sich jetzt ein und nutzen Sie das Portal oder registrieren Sie sich ganz unkompliziert.

    Erfahren Sie selbst, wie schnell und unkompliziert der Login Prozess mit der Challenge-Response Authentifizierung mit 2048-bit Schlüsselpaaren ist. Sie brauchen keine Passwörter, und es werden keine vertraulichen Logindaten übertragen. Einfache Integration und unkomplizierte Nutzung.

    Für mehr Informationen zum patentierten SafeKey Verfahren finden Sie hier.

    Falls Sie eine API für eine Programmiersprache vermissen kontaktieren Sie uns unverbindlich. Falls Sie Hilfe mit der Integration in ein existierendes System brauchen oder kein passendes Plugin für Ihr Content Management System finden, kontaktieren Sie unser Support Team und wir helfen Ihnen gerne weiter.

    Ihr eigener ID-Server

    Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, sich mit Ihren bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSign ID Ihrer Unternehmensmarke an!

    your_own_id

    Warum sollte ich SecSign nutzen?

    Inhouse oder Cloud Lösungen

    Unsere Lösungen lassen sich leicht anpassen: Wählen Sie zwischen der durch uns betriebenen SecSign Cloud oder betreiben Sie selber den SecSign Authentifizierungsserver Inhouse oder in einem Rechenzentrum Ihrer Wahl. Mehr zum Inhouse Zwei-Faktor Authentifizierungsserver

    Einfache Anpassung an Ihre Bedürfnisse

    Wir passen die App an ihre Unternehmens Look-and-Feel an. Zwei-Faktor Authentifizierung angepasst an Ihre Bedürfnisse, für Ihre Kunden.

    Anwendungsfertiges SDK

    Integrieren Sie die SecSign Zwei-Faktor Authentifizierung in existierende Apps mit unserem SDK. Es könnte nicht einfacher gehen.

    Unkompliziertes Nutzer-Management

    Nutzen sie den Zwei-Faktor Authentifizierungsserver zum Schutz Ihres Active Directory/LDAP. Ihr individuelles Identity and Access Management System, beispielsweise mit verpflichtenden Updates und zahlreichen Sicherheitseinstellungen.

    Schützen Sie ALLE Logins

    Integration in sämtliche Login-Umgebungen: Web, Local, VPN, Remote Desktop, Mobile Logins und viele mehr.

    Plugins für alle Anwendungsgebiete

    Komplexe Integrationen gehören der Vergangenheit an: SecSign bietet Ihnen Plugins für nahezu alle Umgebungen.

    Letzte Blog Einträge, Neuigkeiten & Funktionen

    Crowd SSO

    21.09.2017

    Read More
    Do NOT follow this link or you will be banned from the site!