Windows VPN-Anmeldung per SafeWord Token-Authentifizierung

In meinem letzten Projekt habe ich mich mit Safeword beschäftigt. Ziel des Projekts (welches ein interner “Testlauf” für die Implementierung bei einem Kunden vor Ort war) ist eine Absicherung der VPN-Authentifizierung durch die Eingabe einer Token-Passphrase. Bisher war es so, das Außendienstmitarbeiter oder Mitarbeiter, die von Zuhause arbeiten, beim Aufbau des VPNs das Kennwort Ihres Active Directory-Kontos eingeben mussten. Dies ist nicht die sicherste Variante, vor allem nicht wenn das Kennwort gespeichert wird. Bei einem Verlust des Notebooks wäre es evtl. recht einfach möglich, eine Verbindung zur Firma aufzubauen. Aus diesem Grund soll nun eine auf Token basierende Authentifizierung stattfinden. Neben den “normalen” Token, die es seit langer Zeit gibt und die recht bekannt sein sollten, gibt es bei Safeword unter dem Stichwort “MobilePASS” die Möglichkeit, sich auf einem iPhone / Android-Gerät einen TAN erzeugen zu lassen.

Da ein solches Gerät als “Handy” mittlerweile keine Seltenheit mehr ist, hat sich Kunde eine solche Möglichkeit gewünscht. In diesem Artikel beschreibe ich die Vorgehensweise, die technischen Hintergründe und gebe hoffentlich das nötige Wissen weiter.

Die bisherige Infrastruktur sieht wie folgt aus:

Windows-VPN-Safeword-Authentifizierung-vorher-Visio

Der Client ist irgendwo außerhalb der Firma, initiiert eine Verbindung zum RRAS-Server, dieser überprüft am “Network Protection Server” ob der Client eine Verbindung aufbauen darf, und wenn ja wird die Verbindung erfolgreich aufgebaut. Nach der Implementierung sieht das Netzwerk wie folgt aus:

Windows-VPN-Safeword-Authentifizierung-Visio

Auf dem RRAS-Server wird zusätzlich ein Safeword-Agent installiert, der Domänen-Controller erhält zusätzlich den Safeword-Server, ein Management Snap-In und einen IAS-NPS (RADIUS) Agent. Die Installation muss nicht wie folgt aussehen, bei uns intern z.B. habe ich einen eigenen Safeword-Server aufgesetzt. Da dies aber in den meisten Fällen aus Kosten-Gründen nicht gemacht wird, beschreibe ich hier mal die (wahrscheinlich) häufigste Installations-Variante.

Ich beziehe mich mit den folgenden Aussagen auf das Howto “Sonicwall SSL-VPN und SafeWord Authentifizierung” von Maik Steppeler, Techniker bei der ADN. Herr Steppeler hat mir freundlicherweise erlaubt, das Dokument hier bereit zu stellen.

Safeword 2008 und SSL-VPN W2K8

Bis Seite 15 ist die Konfiguration komplett identisch (außer die Benamung), zusätzlich wird nur die Komponente “MobilePass” mit installiert.

Als nächstes muss auf dem RRAS-Server noch die RADIUS-Authentifizierung eingetragen werden (falls noch nicht vorhanden).

Windows-VPN-Safeword-Authentifizierung-01Windows-VPN-Safeword-Authentifizierung-02

Server ist in diesem Fall der NPS-Server, also in unserem Beispiel der Domänen-Controller.

Die Konfiguration bzw. Zuweisung der Token erfolgt über das “Active Directory-Benutzer und –Computer”-Snap-In, MobilePASS ist in diesem Fall nichts anderes als ein eToken. Man lädt sich die Software über den App-Store bzw. Market herunter (Stichwort “SafeNet” oder “MobilePASS”), führt eine Aktivierung durch (Auf dem mobilen Gerät erzeugt das App eine Kennung, die man im “Safeword”-Reiter des AD-Benutzers eingibt) und kann sein Handy als Token nutzen.

Wichtig: Wenn der SafeWord-Server ein eigener Server ist, muss in der Firewall sowohl Port 5031 als auch 5040 freigegeben werden, sonst kann der AD-Controller nicht mit dem SafeWord-Server kommunizieren. Falls man bereits einen NPS-Server im Einsatz hat, müssen die einzelnen Server neugestartet werden, damit die Einstellungen greifen.

Teilen:

Jan Kappen

Jan Kappen ist ausgebildeter Fachinformatiker in der Richtung Systemintegration. Er hat seine Ausbildung im Sommer 2008 abgeschlossen und arbeitet seitdem bei der Rachfahl IT-Solutions GmbH & Co. KG. Jan Kappen ist unter anderen MCITP Server Administrator, Enterprise Administrator und Enterprise Messaging Administrator 2010 sowie MCTS für System Center Virtual Machine Manager 2008, Windows Server 2008 Active Directory, Windows Server Virtualization und Windows Server 2008 Network Infrastructure. Im April 2015 wurde Jan Kappen im Bereich "File System Storage" für seine Expertise und seine Community-Arbeit mit dem MVP Award von Microsoft ausgezeichnet.

Ein Kommentar:

  1. Hallo und vielen Dank für diesen interessanten Artikel. Wir haben aktuell eine SafeWord Installation auf einem Windows Server 2003 Domänen Controller. Da wir mittlerweile 2012er DCs im Einsatz haben soll der alte DC de-promotet werden. Kann ich den Server 2003 Domänen Controller de-promoten ohne die Funktionsfähigkeit von SafeWord zu beeinflussen oder anders herum gefragt muss SafeWord zwingend auf einem DC betrieben werden?

    Muss ich etwas beachten, sollte ich den DC herunterstufen?

    Vielen Dank.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.