2FA (2-Factor-Authentication)

Alle allgemeinen Fragen zum VPN Thema.

Moderator: Lancom-Systems Moderatoren

Antworten
vitaminc
Beiträge: 75
Registriert: 15 Jun 2008, 11:54

2FA (2-Factor-Authentication)

Beitrag von vitaminc » 28 Feb 2018, 12:27

Ich suche Ansätze um 2FA auf unseren Lancoms einzuführen.

Laut Lancom-Engineer gibt es die Möglichkeit mit OTP/RSA Tokens zu arbeiten, aber nur unter Verwendung von externen Radius Server.
z.b. https://www.rsa.com/en-us/products/rsa- ... rid-access

Jemand weitere Ansätze zu dem Thema?

Danke und Gruß
Sascha

MDCYP
Beiträge: 104
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: 2FA (2-Factor-Authentication)

Beitrag von MDCYP » 28 Feb 2018, 15:58


andreas
Beiträge: 98
Registriert: 04 Jan 2005, 01:35

Re: 2FA (2-Factor-Authentication)

Beitrag von andreas » 28 Feb 2018, 21:44

Hallo Sascha,

entweder per Zertifikat, welches auf einem Hardwaretoken installiert (da brauchst Du keine externen Server), mit Hardwaretoken (Zeit- oder Ereignisbasiert) oder mit Freeradius und einer App.

Für einen schnellen Versuch kannst Du dir PFSense installieren, dort Freeradius aktivieren (gibt es als Paket) und mit einer App die Tokens generieren.

Die Geschichte mit der PFsense habe ich für mein privates Spielnetz am Laufen. Ob Du das produktiv nutzen möchtest ist ne andere Frage. Kommt halt darauf an, was Du erreichen möchtest. XAuth ist bei den Lancomern übrigens nicht ganz unumstritten was den Sicherheitsgewinn anbelangt.

VG
Andreas

P.S.: Kobil wäre noch einer der Anbieter, die Tokens haben und nicht so teuer sind wie RSA.

steveurkel
Beiträge: 43
Registriert: 03 Mai 2012, 18:25

Re: 2FA (2-Factor-Authentication)

Beitrag von steveurkel » 28 Feb 2018, 22:50

Schau dir einfach mal "Privacyidea" an (https://www.privacyidea.org/). Das kann verschiedene Token verwalten. Beliebt sind Ereignisbasierte bzw Zeitbasierende Token. Für letztere muss der Zeitdrift in den Token auch nachgeführt werden. Smartphone-Apps ala Google-Authenticator funktionieren-aber hier kann man beim ausrollen nur schwer kontrollieren wer den QR-Code noch nutzt bzw sich für später als Foto "konserviert".

Hardwaretoken: Wenn das Geheimnis schon drin ist kann keiner sagen wer das Geheimnis ebenfalls kennt. Am besten -so finde ich- sind personalisierbare Hardware-Token. PrivacyIdea konnte auch schon mal Safenet Etoken NG-OTP personalisieren.

Antworten

Zurück zu „Fragen zum Thema VPN“