Im Test: Airlock IAM 6

Authentifizierungslösung mit Self-Service-Funktionen

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Das IAM-System von Airlock lässt sich flexibel einsetzen und unterstützt eine große Zahl an Authentifizierungsmethoden, die sich beliebig kombinieren lassen.
Das IAM-System von Airlock lässt sich flexibel einsetzen und unterstützt eine große Zahl an Authentifizierungsmethoden, die sich beliebig kombinieren lassen. (Bild: Pixabay / CC0)

Airlock Identity and Access Management (IAM) 6 ist eine zentrale Authentifizierungs­plattform mit Enterprise-Funktionen. Die Lösung unterstützt eine Vielzahl an Authentifizierungs­verfahren, arbeitet mit Standardprotokollen und automatisiert die Benutzer­administration. Viele Unternehmen verwenden die IAM-Lösung zusammen mit der Web Application Firewall (WAF) aus dem gleichem Haus.

Vor kurzem haben wir uns bereits im Detail mit der Airlock Web Application Firewall befasst, die den Datenverkehr zwischen Anwendern und Applikationen im Unternehmen oder in der Cloud absichern kann. In vielen Fällen verwenden Unternehmen diese Web Application Firewall in Kombination mit der Identity and Access Management-Lösung des gleichen Herstellers. Das ergibt Sinn, um nicht nur die Datenübertragungen sicher zu gestalten, sondern auch die beteiligten Benutzer genau zu identifizieren

Die Airlock Identity and Access Management-Lösung (IAM) stellt den Nutzern eine zentrale Authentifizierungsplattform mit Enterprise-Funktionen zur Verfügung. Die Lösung unterstützt eine große Zahl an Authentifizierungsverfahren, arbeitet mit Standardprotokollen und automatisiert gleichzeitig die Benutzeradministration. Umfassende Self-Service-Funktionen sorgen dafür, dass die Anwender praktisch alle Schritte, die bei der Verwaltung ihrer Benutzerkonten anfallen, selbst erledigen können, was das Helpdesk deutlich entlastet.

Dieser Test wurde für die Veröffentlichung auf Security-Insider.de gekürzt. Den vollständigen Test lesen Sie im am Ende des Artikels verlinkten PDF-Dokument.

Die IAM-Lösung vereint im Betrieb die Benutzerverwaltung mit der Rollenverwaltung und stellt eine vorgelagerte Authentisierung für Sessions und Requests bereit. Dank der Anbindung von LDAP-, Microsoft Active Directory- und Datenbank-Umgebungen sowie Radius-Servern und ähnlichem sind die Anwender dazu in der Lage, ihre bestehenden Benutzerverzeichnisse nahtlos weiterzuverwenden. Alternativ steht auch eine integrierte Benutzerverwaltung mit Token- und Rollenverwaltung, Reporting und Password Policy Enforcement zur Verfügung.

Die Logins laufen im Betrieb über eine eigene, flexibel konfigurierbare Web-Applikation ab. Ein leistungsfähiges REST-API steht ebenfalls zur Verfügung. Darüber hinaus ist die Airlock IAM Lösung mandantenfähig, bietet Fail-Over- sowie Clustering-Funktionen und stellt umfassende Logging-Features beziehungsweise Statistiken bereit. Die Verwaltung erfolgt über eine zentrale Management-Konsole.

Aufbau

Airlock IAM besteht insgesamt aus drei Bestandteilen. Der erste ist die genannte Login-Applikation mit Registrierung, Self-Service-Funktionen (zum Beispiel zum Zurücksetzen eines vergessenen Passworts) Captchas und ähnlichem. Der zweite stellt die Administrationsoberfläche dar, über die das System verwaltet wird und der dritte nennt sich "Service Container". Er umfasst Dienste im Hintergrund, die beispielsweise Datenbanken synchronisieren, automatisch Briefe mit Authentifizierungscodes ausdrucken und vieles mehr.

Schutz für Web-Anwendungen

Im Test: Airlock Web Application Firewall 7.0

Schutz für Web-Anwendungen

23.05.18 - Die Airlock Web Application Firewall von Ergon Informatik ist eine Lösung zum Absichern von Web-Anwendungen. Sie arbeitet als Reverse Proxy und terminiert HTTP(S)-Verbindungen. Die Steuerung erfolgt über ein zentrales Management-Interface und das Produkt bietet damit einen zentralen Punkt, um Policies für den Anwendungszugriff umzusetzen. Außerdem bringt sie eine große Zahl an Filterfunktionen mit, unter anderem ICAP Content-Filtering, sowie SOAP/XML-, AMF- und JSON-Filter. lesen

Der Test

Für unseren Test spielten wir die IAM-Lösung in einer virtuellen Maschine unter Centos 7 ein. Die einzige Voraussetzung für den Betrieb des Produkts ist eine funktionierende Java-Umgebung, der Hersteller empfiehlt an dieser Stelle mindestens ein JRE mit Java 8, am besten Version 1.8u91 oder neuer von Oracle. Hardwareseitig sollte ein Rechner mit einer 2 GHz-CPU, 4 GByte RAM und 10 GByte Festplattenplatz zum Einsatz kommen.

Nach dem Abschluss des Setups richteten wir das IAM in unserem Netz so ein, dass es zusammen mit der Airlock WAF die Zugriffe auf das Web Interface des bei uns im Testlabor genutzten Network Monitoring-Produkts PRTG von Paessler absicherte. Außerdem verwendeten wir auch eine vom Hersteller bereitgestellte Testumgebung mit einem Book-Shop als Testapplikation, um anhand diverser Use Cases die Funktionalität der IAM-Lösung unter die Lupe zu nehmen.

Der Life Cycle eines Benutzerkontos

Gehen wir nun exemplarisch auf die Verwaltung eines Benutzerkontos über seine gesamte Lebensdauer hinweg ein. Zunächst einmal haben die Benutzer (wenn das System entsprechend konfiguriert wurde) die Möglichkeit, über die Login-Applikation selbst ein Konto anzulegen, indem sie sich beispielsweise mit ihrem Benutzernamen oder ihrer E-Mail und einem Passwort registrieren. Im Test funktionierte das ohne Probleme. Die Selbstregistrierung ist sehr flexibel konfigurierbar, da alle Organisationen andere Anforderungen für ihre Benutzerkonten haben. Manche verlangen neben dem Namen auch eine Adresse oder eine Firma und ähnliches.

Wurde das Konto angelegt, so erhält der User bei einer typischen Konfiguration erst einmal einen Basiszugang. Gleichzeitig schickt ihm IAM einen Brief mit einem zu scannenden Code. Nachdem über diesen Scan die Richtigkeit der Adresse bestätigt wurde, hat er die Option, mit seinem Konto voll auf die bereitgestellten Anwendungen zuzugreifen. All diese Schritte lassen sich ohne Unterstützung durch das Helpdesk automatisch durchführen.

Wird eine Passwort-Policy geändert, so können die Verantwortlichen die Benutzer nachträglich jederzeit zwingen, ihre Passwörter so zu ändern, dass sie der neuen Policy entsprechen. Darüber hinaus besteht auch die Option, die Benutzer zum Wechsel ihrer Authentifizierungsmethoden zu zwingen oder ihnen die Möglichkeit zu geben, selbst Authentifizierungsmethoden, wie zum Beispiel CrontoSign, mTAN/SMS, Vasco Digipass, Matrixcard, RSA SecurID und Kobil AST zu ihrem Konto hinzuzufügen. Bei Bedarf stehen auch Funktionen für die Token Migration zur Verfügung. Auf diese Weise lassen sich die Konten immer an die aktuellen Gegebenheiten anpassen und praktisch alle Aktionen laufen ohne die Belastung des Helpdesks und seiner Mitarbeiter ab. Abgesehen davon bietet das Self-Service-Portal den Nutzern noch eine Vielzahl anderer Funktionen, beispielsweise zum Ändern ihrer persönlichen Daten oder auch zum Löschen ihres Kontos. Im Test ergaben sich dabei keinerlei Schwierigkeiten.

Use Cases

Im nächsten Schritt des Tests verwendeten wir die vom Hersteller bereitgestellte Demoinstallation mit dem Online Bookshop „BuggyBook“. Für unseren ersten Use Case wechselten wir in dieser Testinstallation auf die Seite https://{IP-Adresse des Servers}/buggybook-withlogin, die es uns ermöglichte, uns über die Login-Anwendung von IAM bei dem Bookstore anzumelden. Zunächst versuchten wir nun einen Login mit Benutzername und Passwort und verwendeten dazu folgerichtig einen Test-Account, den wir zuvor über das Web-Interface nur für diese Login-Methode konfiguriert hatten. Das funktionierte einwandfrei.

Nachdem wir auf diese Weise die Funktionsfähigkeit unserer Testinstallation sichergestellt hatten, wandten wir uns etwas komplizierteren Login-Methoden zu. Im zweiten Use Case wollten wir einen Login mit Benutzername und Passwort durchführen, der zusätzlich durch den Google Authenticator geschützt wurde. Dazu installierten wir zunächst einmal die Google Authenticator-App auf einem Android Smartphone vom Typ Huawei P9. Danach loggten wir uns wieder bei dem Bookstore ein, landeten aber, da wir ein Konto verwendeten, das wir für die Arbeit mit dem Google Authenticator konfiguriert hatten, nicht gleich im Buch-Geschäft, sondern auf einer Seite mit einem QR-Code. Diesen Scannten wir mit unserem Smartphone, um den User auch in der Google Authenticator App anzulegen. Danach zeigte uns diese App einen Sicherheits-Code an, den wir im Web Interface der IAM-Lösung eingaben, anschließend waren wir authentifiziert. Es ist übrigens nicht nötig, bei jedem Login den Weg über den QR-Code zu gehen. Kennt die Authenticator App den User bereits, so verlangt das System direkt nach dem Abfragen von Benutzernamen und Passwort nach dem Sicherheitscode. In diesem Fall ist es nur noch erforderlich, den gerade gültigen in der App nachzusehen (er wechselt in kurzen Abständen) und auf der Webseite einzutragen, danach funktioniert der Zugriff auf den Bookstore.

Der dritte Use Case befasste sich mit einem Login mit mTAN und Aktivierungsbrief. Dazu kam ein anderes Benutzerkonto zum Einsatz, das wir zuvor für diese Authentifizierungsart eingerichtet hatten. Der Aktivierungsbrief mit dem Authentifizierungscode lag uns als PDF vor und wir loggten uns zunächst mit Benutzernamen und Passwort ein. Danach forderte uns das System auf, eine Handy-Nummer anzugeben und auf "Registrieren" zu klicken. An diese Handy-Nummer würde nun in einer Produktivumgebung eine SMS mit einem Code geschickt, den die Benutzer später mit angeben müssten. Da wir in unserer Testumgebung keinen SMS-Gateway hatten, mussten wir uns anders behelfen, um diesen Code in Erfahrung zu bringen. Wir meldeten uns als Administrator beim IAM-Konfigurationswerkzeug an und schauten im Log der Admin-App nach, welcher Code erwartet wurde. Danach wechselten wir wieder zur Login-Anwendung. Diese fragte uns jetzt nach dem Code aus dem Aktivierungsbrief und dem Sicherheitscode aus der SMS. Danach war unsere Telefonnummer im System registriert und wir konnten uns normal anmelden. Dazu war es nur noch erforderlich, uns mit Benutzernamen und Passwort einzuloggen und den SMS-Code einzugeben, den das System anschließend verschickte. Anschließend konnten wir auf den Bookstore zugreifen. Diese Funktionalität ermöglicht es den Verantwortlichen, die Validität sowohl der Mobilfunknummer als auch der Adresse zu überprüfen.

Diese Beispiele zeigen, dass sich das IAM-System nutzen lässt, um viele Aktionen bei der Arbeit mit Web-Anwendungen umfassend abzusichern. Das alles funktioniert, ohne dass dazu die Konfiguration der geschützten Applikationen selbst modifiziert werden muss.

Fazit

Das IAM-System von Airlock lässt sich sehr flexibel einsetzen. Es unterstützt eine große Zahl an Authentifizierungsmethoden, die sich beliebig kombinieren lassen und verfügt zudem über einen sehr großen Funktionsumfang.

Insbesondere die Self-Service-Funktionen sind positiv zu erwähnen, da sie dem Helpdesk viel Arbeit abnehmen. Aber auch die REST-API-Unterstützung sollte auf keinen Fall vergessen werden. Schließlich spielt die Automatisierung heutzutage auch im IT-Umfeld eine immer größere Rolle und die Entwicklung geht immer mehr von grafischen Benutzeroberflächen zu DevOps und von traditionellen Anwendungen zu APIs. Die IAM-Lösung deckt praktisch alle in diesem Zusammenhang auftretenden Szenarien ab und sorgt gemeinsam mit der WAF des gleichen Herstellers für eine umfassende Applikationssicherheit.

Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

Anmerkung: Das unabhängige Testlabor IAIT (Institut zur Analyse von IT-Komponenten) hat diesen Test im Auftrag des Herstellers durchgeführt. Der Bericht wurde davon nicht beeinflusst und bleibt neutral und unabhängig, ohne Vorgaben Dritter. Diese Offenlegung dient der Transparenz.

Dieser Test wurde für die Veröffentlichung auf Security-Insider.de gekürzt. Den vollständigen Test lesen Sie im unten verlinkten PDF-Dokument.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45314739 / Authentifizierung)