2FA (2-Factor-Authentication)

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

2FA (2-Factor-Authentication)

Beitrag von vitaminc »

Ich suche Ansätze um 2FA auf unseren Lancoms einzuführen.

Laut Lancom-Engineer gibt es die Möglichkeit mit OTP/RSA Tokens zu arbeiten, aber nur unter Verwendung von externen Radius Server.
z.b. https://www.rsa.com/en-us/products/rsa- ... rid-access

Jemand weitere Ansätze zu dem Thema?

Danke und Gruß
Sascha
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: 2FA (2-Factor-Authentication)

Beitrag von MDCYP »

andreas
Beiträge: 109
Registriert: 04 Jan 2005, 00:35

Re: 2FA (2-Factor-Authentication)

Beitrag von andreas »

Hallo Sascha,

entweder per Zertifikat, welches auf einem Hardwaretoken installiert (da brauchst Du keine externen Server), mit Hardwaretoken (Zeit- oder Ereignisbasiert) oder mit Freeradius und einer App.

Für einen schnellen Versuch kannst Du dir PFSense installieren, dort Freeradius aktivieren (gibt es als Paket) und mit einer App die Tokens generieren.

Die Geschichte mit der PFsense habe ich für mein privates Spielnetz am Laufen. Ob Du das produktiv nutzen möchtest ist ne andere Frage. Kommt halt darauf an, was Du erreichen möchtest. XAuth ist bei den Lancomern übrigens nicht ganz unumstritten was den Sicherheitsgewinn anbelangt.

VG
Andreas

P.S.: Kobil wäre noch einer der Anbieter, die Tokens haben und nicht so teuer sind wie RSA.
steveurkel
Beiträge: 66
Registriert: 03 Mai 2012, 18:25

Re: 2FA (2-Factor-Authentication)

Beitrag von steveurkel »

Schau dir einfach mal "Privacyidea" an (https://www.privacyidea.org/). Das kann verschiedene Token verwalten. Beliebt sind Ereignisbasierte bzw Zeitbasierende Token. Für letztere muss der Zeitdrift in den Token auch nachgeführt werden. Smartphone-Apps ala Google-Authenticator funktionieren-aber hier kann man beim ausrollen nur schwer kontrollieren wer den QR-Code noch nutzt bzw sich für später als Foto "konserviert".

Hardwaretoken: Wenn das Geheimnis schon drin ist kann keiner sagen wer das Geheimnis ebenfalls kennt. Am besten -so finde ich- sind personalisierbare Hardware-Token. PrivacyIdea konnte auch schon mal Safenet Etoken NG-OTP personalisieren.
Antworten