Suchen

User-Verwaltung im Virtual Private Network (VPN) Authentifizierung von Fernzugriffen mit Active Directory

| Autor / Redakteur: Sascha Brennecke / Dipl.-Ing. (FH) Andreas Donner

Für die meisten Unternehmen ist ein VPN-Zugang zum Unternehmensnetz Standard. Dabei liegt das Hauptaugenmerk auf etablierten Technologien wie IPsec oder SSL-VPN. Doch oft werden die administrativen Möglichkeiten für die sichere Einbindung entfernter Nutzer in das Firmennetz nicht optimal ausgenutzt.

Firmen zum Thema

Nicht nur mobile Mitarbeiter sondern auch Endgeräte in Home-Offices müssen per VPN sicher ans Unternehmensnetz angebunden werden. Bei der Administration hilft Active Directory.
Nicht nur mobile Mitarbeiter sondern auch Endgeräte in Home-Offices müssen per VPN sicher ans Unternehmensnetz angebunden werden. Bei der Administration hilft Active Directory.
(Bild: nyul - Fotolia.com)

VPN-Zugänge ins Unternehmensnetz sind State oft he Art und keine neue Technik – jedes dezentral aufgestellte Unternehmen verfügt über entsprechende Methoden und Zugangs-Hardware. Viele Geräte, beispielsweise die Cisco-ASA-Reihe, bringen dabei umfangreiche Sicherheitsfeatures mit, die für eine reibungslose und sichere Administration nutzbar sind.

Rechtevergabe via LDAP

Eine Integration der Benutzerauthentifizierung in das interne LDAP (Active Directory) bietet beispielsweise deutliche Vorteile: Es müssen nicht zwei getrennte Datenbanken für Benutzer-Accounts und VPN-Zugangsdaten gepflegt werden. Der Benutzer verwendet für das VPN einfach die gleichen Daten, die er auch zur Anmeldung an der Windows-Domäne benutzt.

Das VPN-Gateway nimmt dabei die Anmeldedaten entgegen und leitet sie zur Prüfung an den Domänencontroller weiter. Dieser meldet zurück, ob die Anmeldedaten gültig sind. Gleichzeitig meldet er aber auch alle Gruppenzugehörigkeiten des Benutzers zurück.

Auf dem VPN-Gateway lassen sich für diese Zugehörigkeiten unterschiedliche Policies vergeben. So ist es problemlos möglich, dass ein Vertriebsmitarbeiter andere Rechte und Zugriffsmöglichkeiten über das VPN bekommt als ein Netzwerkadministrator. Auf diese Weise lässt sich der administrative Aufwand deutlich reduzieren, da die Rechtevergabe an zentraler Stelle erfolgt: über das Active Directory.

Cisco-Geräte vereinfachen den Admin-Aufwand noch um einen weiteren Schritt: Einige Unternehmen bestimmen in ihrer Security Policy, dass alle Benutzer nach Ablauf einer bestimmten Zeit – beispielsweise jeweils 30 Tage – ihre Kennwörter ändern müssen. Dies stellt einige VPN-Lösungen vor ein Problem, da ein „abgelaufenes“ Kennwort nicht mehr zu einem erfolgreichen Login führen darf, sondern nur noch zum Änderungsdialog des Kennworts. Cisco hat hier eine elegante Möglichkeit geschaffen, dies umzusetzen: Sowohl über VPN-Clients und SSL-VPNs als auch bei Anyconnect-Verbindungen ist diese Passwortänderung möglich, ohne dass der Benutzer direkt im Unternehmensnetz angemeldet sein muss.

Zertifikate regeln Gerätezugriff

Ein weiteres sehr nützliches Feature bei Remote-Access-VPN-Verbindungen sind Zertifikate. In vielen Unternehmen sieht es die Security Policy vor, dass Nutzer ihre VPN-Einwahlen nur von unternehmenseigenen Laptops verwenden können. Das lässt sich über Computerzertifikate umsetzen, die auf den Rechnern des Unternehmens installiert sind.

Bei der VPN-Anmeldung wird dann zunächst ein solches Zertifikat verlangt. Kann der Rechner dieses nicht vorweisen, stehen nur eingeschränkte Zugriffsrechte zur Verfügung oder der Zugriff wird – je nach Policy – generell verweigert. Natürlich lässt sich diese Zertifikatsüberprüfung mit der regulären Benutzeranmeldung über LDAP kombinieren, sodass beliebige Sicherheitseinstellungen und -gruppen definierbar sind.

Für den Fall, dass ein Zertifikat kompromittiert wird, da zum Beispiel der entsprechende Rechner gestohlen wurde, gibt es eine CRL (Certificate Revocation List). Auf dieser Liste sind alle zurückgezogenen Zertifikate aufgeführt. Das VPN Gateway prüft diese Liste bei der Anmeldung mit einem Zertifikat. Nur Rechner mit vertrauenswürdigen Zertifikaten erhalten anschließend Zugang.

Je nach Gerät erleichtern meist diverse Tipps und Tricks dem Administrator die Arbeit wesentlich. Liegt im Unternehmen kein eigenes Know-how vor, helfen Integratoren wie bspw. BCC: Der Managed Services Provider und Netzwerkspezialist stellt für interne Projekte IT-Spezialisten mit dem jeweils passenden Profil bereit.

Über den Autor

Sascha Brennecke ist IT-Security-Sepzialist beim deutschlandweiten Managed Services Provider BCC.

(ID:35618080)