:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Im Test: Airlock IAM 6 Authentifizierungslösung mit Self-Service-Funktionen
Airlock Identity and Access Management (IAM) 6 ist eine zentrale Authentifizierungsplattform mit Enterprise-Funktionen. Die Lösung unterstützt eine Vielzahl an Authentifizierungsverfahren, arbeitet mit Standardprotokollen und automatisiert die Benutzeradministration. Viele Unternehmen verwenden die IAM-Lösung zusammen mit der Web Application Firewall (WAF) aus dem gleichem Haus.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Vor kurzem haben wir uns bereits im Detail mit der Airlock Web Application Firewall befasst, die den Datenverkehr zwischen Anwendern und Applikationen im Unternehmen oder in der Cloud absichern kann. In vielen Fällen verwenden Unternehmen diese Web Application Firewall in Kombination mit der Identity and Access Management-Lösung des gleichen Herstellers. Das ergibt Sinn, um nicht nur die Datenübertragungen sicher zu gestalten, sondern auch die beteiligten Benutzer genau zu identifizieren
Die Airlock Identity and Access Management-Lösung (IAM) stellt den Nutzern eine zentrale Authentifizierungsplattform mit Enterprise-Funktionen zur Verfügung. Die Lösung unterstützt eine große Zahl an Authentifizierungsverfahren, arbeitet mit Standardprotokollen und automatisiert gleichzeitig die Benutzeradministration. Umfassende Self-Service-Funktionen sorgen dafür, dass die Anwender praktisch alle Schritte, die bei der Verwaltung ihrer Benutzerkonten anfallen, selbst erledigen können, was das Helpdesk deutlich entlastet.
:quality(80)/images.vogel.de/vogelonline/bdb/1399500/1399598/original.jpg "Die Airlock IAM Login-Applikation.")
:quality(80)/images.vogel.de/vogelonline/bdb/1399500/1399599/original.jpg "Das Konfigurationsinterface für die Login-Applikation.")
:quality(80)/images.vogel.de/vogelonline/bdb/1399600/1399600/original.jpg "Das Konfigurationsinterface für die Administrationsoberfläche.")
:quality(80)/images.vogel.de/vogelonline/bdb/1399600/1399601/original.jpg "Die Managementoptionen für die CrontoSign-Authentifizierung mit Gültigkeitsdauer des Aktivierungsbriefs, den erlaubten Plattformen und ähnlichem.")
Dieser Test wurde für die Veröffentlichung auf Security-Insider.de gekürzt. Den vollständigen Test lesen Sie im am Ende des Artikels verlinktenPDF-Dokument.
Die IAM-Lösung vereint im Betrieb die Benutzerverwaltung mit der Rollenverwaltung und stellt eine vorgelagerte Authentisierung für Sessions und Requests bereit. Dank der Anbindung von LDAP-, Microsoft Active Directory- und Datenbank-Umgebungen sowie Radius-Servern und ähnlichem sind die Anwender dazu in der Lage, ihre bestehenden Benutzerverzeichnisse nahtlos weiterzuverwenden. Alternativ steht auch eine integrierte Benutzerverwaltung mit Token- und Rollenverwaltung, Reporting und Password Policy Enforcement zur Verfügung.
Die Logins laufen im Betrieb über eine eigene, flexibel konfigurierbare Web-Applikation ab. Ein leistungsfähiges REST-API steht ebenfalls zur Verfügung. Darüber hinaus ist die Airlock IAM Lösung mandantenfähig, bietet Fail-Over- sowie Clustering-Funktionen und stellt umfassende Logging-Features beziehungsweise Statistiken bereit. Die Verwaltung erfolgt über eine zentrale Management-Konsole.
Aufbau
Airlock IAM besteht insgesamt aus drei Bestandteilen. Der erste ist die genannte Login-Applikation mit Registrierung, Self-Service-Funktionen (zum Beispiel zum Zurücksetzen eines vergessenen Passworts) Captchas und ähnlichem. Der zweite stellt die Administrationsoberfläche dar, über die das System verwaltet wird und der dritte nennt sich "Service Container". Er umfasst Dienste im Hintergrund, die beispielsweise Datenbanken synchronisieren, automatisch Briefe mit Authentifizierungscodes ausdrucken und vieles mehr.
:quality(80)/images.vogel.de/vogelonline/bdb/1392600/1392644/original.jpg "Airlock WAF von Ergon Informatik schützt Webanwendungen vor Hacker-Angriffen und bietet für Administratoren ein übersichtliches Management-Tool. (Airlock)")
Im Test: Airlock Web Application Firewall 7.0
Schutz für Web-Anwendungen
Der Test
Für unseren Test spielten wir die IAM-Lösung in einer virtuellen Maschine unter Centos 7 ein. Die einzige Voraussetzung für den Betrieb des Produkts ist eine funktionierende Java-Umgebung, der Hersteller empfiehlt an dieser Stelle mindestens ein JRE mit Java 8, am besten Version 1.8u91 oder neuer von Oracle. Hardwareseitig sollte ein Rechner mit einer 2 GHz-CPU, 4 GByte RAM und 10 GByte Festplattenplatz zum Einsatz kommen.
Nach dem Abschluss des Setups richteten wir das IAM in unserem Netz so ein, dass es zusammen mit der Airlock WAF die Zugriffe auf das Web Interface des bei uns im Testlabor genutzten Network Monitoring-Produkts PRTG von Paessler absicherte. Außerdem verwendeten wir auch eine vom Hersteller bereitgestellte Testumgebung mit einem Book-Shop als Testapplikation, um anhand diverser Use Cases die Funktionalität der IAM-Lösung unter die Lupe zu nehmen.
Der Life Cycle eines Benutzerkontos
Gehen wir nun exemplarisch auf die Verwaltung eines Benutzerkontos über seine gesamte Lebensdauer hinweg ein. Zunächst einmal haben die Benutzer (wenn das System entsprechend konfiguriert wurde) die Möglichkeit, über die Login-Applikation selbst ein Konto anzulegen, indem sie sich beispielsweise mit ihrem Benutzernamen oder ihrer E-Mail und einem Passwort registrieren. Im Test funktionierte das ohne Probleme. Die Selbstregistrierung ist sehr flexibel konfigurierbar, da alle Organisationen andere Anforderungen für ihre Benutzerkonten haben. Manche verlangen neben dem Namen auch eine Adresse oder eine Firma und ähnliches.
Wurde das Konto angelegt, so erhält der User bei einer typischen Konfiguration erst einmal einen Basiszugang. Gleichzeitig schickt ihm IAM einen Brief mit einem zu scannenden Code. Nachdem über diesen Scan die Richtigkeit der Adresse bestätigt wurde, hat er die Option, mit seinem Konto voll auf die bereitgestellten Anwendungen zuzugreifen. All diese Schritte lassen sich ohne Unterstützung durch das Helpdesk automatisch durchführen.
Wird eine Passwort-Policy geändert, so können die Verantwortlichen die Benutzer nachträglich jederzeit zwingen, ihre Passwörter so zu ändern, dass sie der neuen Policy entsprechen. Darüber hinaus besteht auch die Option, die Benutzer zum Wechsel ihrer Authentifizierungsmethoden zu zwingen oder ihnen die Möglichkeit zu geben, selbst Authentifizierungsmethoden, wie zum Beispiel CrontoSign, mTAN/SMS, Vasco Digipass, Matrixcard, RSA SecurID und Kobil AST zu ihrem Konto hinzuzufügen. Bei Bedarf stehen auch Funktionen für die Token Migration zur Verfügung. Auf diese Weise lassen sich die Konten immer an die aktuellen Gegebenheiten anpassen und praktisch alle Aktionen laufen ohne die Belastung des Helpdesks und seiner Mitarbeiter ab. Abgesehen davon bietet das Self-Service-Portal den Nutzern noch eine Vielzahl anderer Funktionen, beispielsweise zum Ändern ihrer persönlichen Daten oder auch zum Löschen ihres Kontos. Im Test ergaben sich dabei keinerlei Schwierigkeiten.
Use Cases
Im nächsten Schritt des Tests verwendeten wir die vom Hersteller bereitgestellte Demoinstallation mit dem Online Bookshop „BuggyBook“. Für unseren ersten Use Case wechselten wir in dieser Testinstallation auf die Seite https://{IP-Adresse des Servers}/buggybook-withlogin, die es uns ermöglichte, uns über die Login-Anwendung von IAM bei dem Bookstore anzumelden. Zunächst versuchten wir nun einen Login mit Benutzername und Passwort und verwendeten dazu folgerichtig einen Test-Account, den wir zuvor über das Web-Interface nur für diese Login-Methode konfiguriert hatten. Das funktionierte einwandfrei.
Nachdem wir auf diese Weise die Funktionsfähigkeit unserer Testinstallation sichergestellt hatten, wandten wir uns etwas komplizierteren Login-Methoden zu. Im zweiten Use Case wollten wir einen Login mit Benutzername und Passwort durchführen, der zusätzlich durch den Google Authenticator geschützt wurde. Dazu installierten wir zunächst einmal die Google Authenticator-App auf einem Android Smartphone vom Typ Huawei P9. Danach loggten wir uns wieder bei dem Bookstore ein, landeten aber, da wir ein Konto verwendeten, das wir für die Arbeit mit dem Google Authenticator konfiguriert hatten, nicht gleich im Buch-Geschäft, sondern auf einer Seite mit einem QR-Code. Diesen Scannten wir mit unserem Smartphone, um den User auch in der Google Authenticator App anzulegen. Danach zeigte uns diese App einen Sicherheits-Code an, den wir im Web Interface der IAM-Lösung eingaben, anschließend waren wir authentifiziert. Es ist übrigens nicht nötig, bei jedem Login den Weg über den QR-Code zu gehen. Kennt die Authenticator App den User bereits, so verlangt das System direkt nach dem Abfragen von Benutzernamen und Passwort nach dem Sicherheitscode. In diesem Fall ist es nur noch erforderlich, den gerade gültigen in der App nachzusehen (er wechselt in kurzen Abständen) und auf der Webseite einzutragen, danach funktioniert der Zugriff auf den Bookstore.
Der dritte Use Case befasste sich mit einem Login mit mTAN und Aktivierungsbrief. Dazu kam ein anderes Benutzerkonto zum Einsatz, das wir zuvor für diese Authentifizierungsart eingerichtet hatten. Der Aktivierungsbrief mit dem Authentifizierungscode lag uns als PDF vor und wir loggten uns zunächst mit Benutzernamen und Passwort ein. Danach forderte uns das System auf, eine Handy-Nummer anzugeben und auf "Registrieren" zu klicken. An diese Handy-Nummer würde nun in einer Produktivumgebung eine SMS mit einem Code geschickt, den die Benutzer später mit angeben müssten. Da wir in unserer Testumgebung keinen SMS-Gateway hatten, mussten wir uns anders behelfen, um diesen Code in Erfahrung zu bringen. Wir meldeten uns als Administrator beim IAM-Konfigurationswerkzeug an und schauten im Log der Admin-App nach, welcher Code erwartet wurde. Danach wechselten wir wieder zur Login-Anwendung. Diese fragte uns jetzt nach dem Code aus dem Aktivierungsbrief und dem Sicherheitscode aus der SMS. Danach war unsere Telefonnummer im System registriert und wir konnten uns normal anmelden. Dazu war es nur noch erforderlich, uns mit Benutzernamen und Passwort einzuloggen und den SMS-Code einzugeben, den das System anschließend verschickte. Anschließend konnten wir auf den Bookstore zugreifen. Diese Funktionalität ermöglicht es den Verantwortlichen, die Validität sowohl der Mobilfunknummer als auch der Adresse zu überprüfen.
Diese Beispiele zeigen, dass sich das IAM-System nutzen lässt, um viele Aktionen bei der Arbeit mit Web-Anwendungen umfassend abzusichern. Das alles funktioniert, ohne dass dazu die Konfiguration der geschützten Applikationen selbst modifiziert werden muss.
Fazit
Das IAM-System von Airlock lässt sich sehr flexibel einsetzen. Es unterstützt eine große Zahl an Authentifizierungsmethoden, die sich beliebig kombinieren lassen und verfügt zudem über einen sehr großen Funktionsumfang.
Insbesondere die Self-Service-Funktionen sind positiv zu erwähnen, da sie dem Helpdesk viel Arbeit abnehmen. Aber auch die REST-API-Unterstützung sollte auf keinen Fall vergessen werden. Schließlich spielt die Automatisierung heutzutage auch im IT-Umfeld eine immer größere Rolle und die Entwicklung geht immer mehr von grafischen Benutzeroberflächen zu DevOps und von traditionellen Anwendungen zu APIs. Die IAM-Lösung deckt praktisch alle in diesem Zusammenhang auftretenden Szenarien ab und sorgt gemeinsam mit der WAF des gleichen Herstellers für eine umfassende Applikationssicherheit.
Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.
Anmerkung:Das unabhängige Testlabor IAIT (Institut zur Analyse von IT-Komponenten) hat diesen Test im Auftrag des Herstellers durchgeführt. Der Bericht wurde davon nicht beeinflusst und bleibt neutral und unabhängig, ohne Vorgaben Dritter. Diese Offenlegung dient der Transparenz.
Dieser Test wurde für die Veröffentlichung auf Security-Insider.de gekürzt. Den vollständigen Test lesen Sie im unten verlinkten PDF-Dokument.
Artikelfiles und Artikellinks
(ID:45314739)
:quality(80)/p7i.vogel.de/wcms/72/d9/72d9295d0dbbac8caed4631f0b3d1d8e/0105990932.jpeg "In der aktuellen Version 3.11.0 der Secudos Qiata Appliance wurde die Messlatte für Sicherheit und digitale Souveränität noch einmal höher gelegt. (Bild: cutimage - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/f8/d7f810045d218a1bf1d3567864a3a0be/0108707706.jpeg "Im Rahmen der Konferenz Oktane22 stellte Okta verschiedene Neuheiten vor. (Bild: Okta)")