Adv. VPN Client und MFA

eisback · Beitrag von **eisback** » 28 Jan 2024, 21:15

Hallo Zusammen, seit 10.70 ist ja MFA via OTP grundsätzlich möglich ... nachdem ich mir aber die Anleitung (Roman trifft es besser) durchgelesen habe, habe ich mich jedoch aufgrund der Komplexität, weil nur Router mit VPN Option 25 und Windows VPN Clients unterstützt werden, dagegen entschieden!

https://support.lancom-systems.com/know ... =110788669

Wie löst Ihr das Thema MFA im Kontext Lancom Router und Adv. VPN Client?

Danke, Nico!

GrandDixence · Beitrag von **GrandDixence** » 29 Jan 2024, 13:49

Die einzige sinnvolle Verbesserung der Sicherheit beim Einsatz einer VPN-Lösung über einen LANCOM-Router wäre die Aufbewahrung des Maschinenzertifikats in einem HSM. Siehe dazu:
fragen-zum-thema-vpn-f14/vpn-ikev2-mit- ... 17833.html

Jedoch unterstützt der Hersteller LANCOM kein HSM im Zusammenspiel mit LANCOM-Routern und Maschinenzertifikate. Somit behilft man sich mit MFA, um eine anzuzweifelnde "Sicherheitsverbesserung" zu erreichen.

Abhilfe: Einsatz von StrongSwan auf einem Linux-Rechner mit einem HSM:

- (f)TPM 2.0 als HSM => https://docs.strongswan.org/docs/5.9/tpm/tpm2.html
- USB-Stick "Nitrokey HSM 2" als HSM => https://docs.nitrokey.com/hsm/linux/ipsec.html

Beim Einsatz eines (f)TPM ist darauf zu achten, dass dieser mindestens Version 2.0 unterstützt (TPM 2.0). TPM nach Version 1.2 gilt als unsicher (TPM 1.2) => Ungenügende Schlüssellänge oder nur Unterstützung des unsicheren SHA-1.

https://learn.microsoft.com/en-us/windo ... mendations

Der Einsatz eines USB-Stick wie der "Nitrokey HSM 2" als HSM für einen PC erachte ich als Notlösung.

LANCOM-Forum.de

Adv. VPN Client und MFA

Adv. VPN Client und MFA

Re: Adv. VPN Client und MFA