In vielen Unternehmen verrichten immer mehr Arbeitnehmer ihre Arbeit im Home-Office oder sind auf einen mobilen Arbeitsplatz angewiesen. Somit sind die Firmen gezwungen, ihren Mitarbeitern einen direkten und sicheren Zugriff auf das Firmennetzwerk zu ermöglichen.
Die Firma LSE bietet eine Identity-Access-Lösung an, die auf der Unternehmensseite aus einem Appliance und auf der Client-Seite zum Beispiel aus einem Token besteht. Das System ermöglicht dem Benutzer nach erfolgreicher Authentifizierung eine zertifikatsgesteuerte Anbindung an ein Firmennetzwerk, ein Teilsegment eines Firmennetzwerkes oder sogar nur an einen einzelnen PC innerhalb eines Firmennetzwerkes. Für die User-Identifizierung beziehungsweise Authentisierung offeriert LSE einen Token-Stick. Optional kann der Anwender auch Software-Token für Smartphones bekommen.
Die Identity- und Access-Lösung soll einfach zu bedienen sein und dabei sämtliche Aspekte einer sicheren Netzwerkverbindung berücksichtigen. Darüber hinaus soll das System preislich attraktiv sein. Wir haben das aktuelle System aus der LinOTP-A-150-Appliance und den entsprechenden Token-Sticks von Safenet einem Kurztest unterzogen. Der Preis für das aktuelle LSE-Access-System variiert je nach Zugriffsvariante und Anzahl der benötigten Token. Ein Starterpaket, bestehend aus einer LinOTP-A-150-Appliance, zehn Lizenzen LinOTP inklusive einem Jahr Software-Subskription, fünf SafeNet-eToken-3000-OTP-Token und fünf mOTP-Software-Token für Smartphones, kostet 999 Euro zuzüglich Mehrwertsteuer.
Technische Details zur LinOTP A 150
Die Identity-Access-Lösung LSE LinOTP A 150 ist laut Hersteller eine flexibel einsetzbare One-Time-Passwort-Plattform (OTP) zur starken Benutzerauthentisierung. Durch die modulare interne Architektur kann die Lösung herstellerunabhängig arbeiten. Dabei unterstützt sie verschiedene Authentisierungsprotokolle, Token und Verzeichnisdienste. Darüber hinaus ist die Software mandantenfähig.
Das LinOTP-System verwendet bevorzugt Einmalpasswörter, um die Sicherheit in Anmeldeverfahren zu erhöhen. Die heute gängigen OTP-Algorithmen setzen einen geheimen symmetrischen Schlüssel und einen Zähler ein. Der Schlüssel (auch Seed genannt) ist sowohl beim Benutzer als auch beim authentifizierenden Backend vorhanden. Das Problem bestehen darin, diesen geheimen Schlüssel initial zwischen dem Benutzer/Token und dem Backend auszutauschen und zu verhindern, dass Dritte an ihn gelangen.
Foto: LSE
Der Zähler (auch moving factor genannt) kann ereignisgesteuert oder zeitgesteuert sein. Dieser stellt sicher, dass sich das generierte Einmalpasswort verändert und eben nur einmal verwendet werden kann. Der Zähler lässt sich sowohl aus einem Ereignis - Tastendruck auf dem Token - sowie aus der Zeit erzeugen. Hierzu muss in dem Token eine Uhr laufen, die synchron mit dem Backend sein muss.
Ein Vorteil von Einmalpasswörter ist, dass sie keine Client-seitigen Treiber erfordern. Nach Aussage von LSE kommt für die OTP-Erzeugung ein offener, im RFC4226 beschriebener Algorithmus zum Einsatz: der HMAC-OTP. Neben diesem unterstützt LinOTP noch den offenen motp-Algorithmus und das Versenden von Einmalpasswörtern via SMS. Darüber hinaus soll die optionale Verwendung von Hardware-Tokens, die für die Benutzer das Einmalpasswort berechnen, dazu beitragen, die Zugangssicherheit zu Unternehmensnetzwerken weiter zu erhöhen.
Auch können alle Komponenten außer dem eigentlichen LinOTP Core beliebig kombiniert und auch erweitert werden. Es spielt beispielsweise keine Rolle, wie viele verschiedene Benutzerdatenbanken Sie verwenden: LDAP, Active Directory, Novell eDirectory, diverse SQL-Server und Flat-Files lassen sich im gemischten Betrieb nebeneinander ansprechen, so LSE. Auch die Authentisierungsmodule sind auswechselbar, und es können bei Bedarf weitere Module für nahezu jeden Anwendungsfall implementiert werden.
Die Verwaltung der LinOTP-Appliance erfolgt über verschiedene Management-Clients sowohl unter Windows als auch unter Linux. Zusätzlich bietet LSE für Geschäftskunden ein Self-Service-Portal, über das die Anwender sich Tokens zuweisen oder beispielsweise ihre PIN ändern können.
Installation und Bedienung
Für unseren Test hat uns LSE ein Starter-Kit, bestehend aus der Appliance LinOTP-A-150 und fünf Token von Safenet, zur Verfügung gestellt. Im ersten Installationsschritt muss der Anwender eine Basiskonfiguration durchführen. Hierzu ist die Appliance erst direkt an einen Client anzuschließen. Darüber hinaus wird der Host Rechner manuell auf die Netzwerk-IP-Adresse 10.76.83.50 und Maske: 255.255.255.252 eingestellt, um mit dem Gerät den ersten Kommunikationsversuch zu initiieren.
Per beliebigen Webbrowser kann der User dann die URL https://10.76.83.69:8443 aufrufen und gelangt mit dem Login: root und dem in der Dokumentation hinterlegten Standardpasswort auf die Admin-Web-Oberfläche des Systems. Erst dann steht dem Nutzer die LinOTP-Benutzeroberfläche mit den entsprechenden Funktionen und Anwendungen zur Verfügung. Die Arbeitsoberfläche des Gerätes ist klar strukturiert und übersichtlich. Die Bedienung kann per Maus oder Tastatur erfolgen und ist intuitiv.
Bei der Erstinstallation der Appliance ist es ratsam, den Setup-Wizard zu nutzen. Diesen startet man mit einem Klick auf den Button Wizard links oben in der Ecke. Im ersten Installationsschritt muss der Anwender die Lizenzvereinbarungen akzeptieren, erst dann geht es weiter. In den nachfolgenden Schritten sind Eingaben zum lokalen Netzwerk, zur Zeit sowie zu den Benutzerrollen und Passwörtern zu machen. Dabei kennt die LinOTP drei unterschiedliche Rollen: Der LinOTP-Administrator administriert das LinOTP. Er hat keine Rechte auf der Ebene des Appliance-Betriebssystems oder auf der Netzwerkebene. Der Root-Administrator hingegen verfügt über die meisten Rechte. Er darf alles, nur nicht das LinOTP verwalten. Der Appliance-Administrator schließlich darf lediglich die Appliance-Funktionen ändern und Zugriffsrechte einräumen. Er darf auch Passwörter ändern, allerdings nicht das von root.
Im nächsten Schritt erfolgt die Definition des ersten RADIUS-Clients, weitere kann der Anwender bei Bedarf nach Beendigung der Erstinstallation über den LinOTP-Manager nachinstallieren. Um zu verhindern, dass Unbefugte Zugriff auf das System oder die Daten der Appliance bekommen, sollten beziehungswiese müssen die werkseitigen Schlüssel neu generiert werden. Dies erfolgt in Schritt fünf: Key Generation. Im Anschluss muss das Gerät per Shutdown-Funktion heruntergefahren werden. Jetzt kann die Appliance an das Netzwerk (idealerweise einen Switch) angeschlossen werden. Damit ist die Basisinstallation der LinOTP-Appliance abgeschlossen.
Ist die LinOTP im Netzwerk eingebunden, kann sie mit der festgelegten IP-Adresse wie folgt aufgerufen werden: https:/xxx.xxx.xxx.xxx/manage. Jetzt sollte der Anwender, falls erforderlich, seine Lizenzdatei unter License / Set License aufspielen.Um die LinOTP korrekt in das Netzwerk einzubinden, muss der Anwender die User ID Resolver anlegen, um die Kommunikation zwischen Gerät und den Benutzerverzeichnissen zu ermöglichen. Das können LDAP-Dienste wie Microsoft Active Directory oder Novell eDirectory sowie SQL-basierte Datenbanken oder Flat Files sein.
Im Anschluss muss der User einen sogenannten Realm definieren. Dieser ermöglicht es, die User entsprechend den Anforderungen und Zugriffsmöglichkeiten zu gruppieren. Auch mandantenfähige Infrastrukturen sind mit Realm realisierbar.
Jetzt muss der User nur noch die Token-Nummern per Datei auf die Appliance aufspielen. In unserem Test gelang dies problemlos. Wir haben die Token-Datei von einer CD (fünf Token von Safenet) auf die Appliance aufgespielt. Nach dem Zuweisen der Token kann der Anwender für eine Zwei-Wege-Authentisierung zusätzlich zu den Token noch eine PIN oder ein Passwort vergeben. Wenn die Token ausgerollt und den Anwendern zugeordnet wurden, ist die Appliance fertig für den Betrieb.
Fazit
Die LSE Appliance in Verbindung mit dem entsprechenden Token bietet eine schnelle, sichere und komfortable Möglichkeit, sich in einem Netzwerk zu authentisieren, um Zugriff auf das Firmennetzwerk zu bekommen. Für den Anwender entfällt dabei jegliche Installation auf Client-Seite. Der Nutzer benötigt lediglich einen Rechner mit Internetzugang.
Die Installation und Konfiguration der Appliance ist, wie unser Test zeigt, sehr einfach und schnell zu bewältigen. Auch die Einbindung der Tokens stellt den Anwender vor keine großen Herausforderungen. Natürlich setzt das entsprechende Kenntnisse des installierten Netzwerkes voraus. Bei der Handhabung gab es dennoch einige störende Auffälligkeiten. So hat uns der Installations-Wizard bei längeren Pausen während der Parametereingabe einfach "rausgeworfen", ohne die eingegebenen Daten abzuspeichern. Wir mussten dann die Dateneingabe von Neuem beginnen. Auch eine falsche Bestätigung einer Eingabe machte Schluss mit der Eingaberoutine.
Gut hat uns die mitgelieferte deutschsprachige Dokumentation gefallen. Sie beschreibt sehr ausführlich und detailliert, wie man die Appliance in ein Unternehmensnetzwerk problemlos einbindet. Fragen bleiben da kaum unbeantwortet. Auf der Appliance ist alles in Englisch gehalten.
Der Preis für die Identity-Access-Lösung ist angemessen. Ein entsprechendes Starterpaket, bestehend aus der LinOTP-A-150-Appliance inklusive zehn Lizenzen sowie je fünf Safenet- und mOTP-Software-Token, kostet ab 999 Euro zuzüglich Mehrwertsteuer. (hal)
|
Version: |
2.4.4. |
|
Kategorie |
Identity-Access-Lösung |
|
Hersteller: |
LSE |
|
Produkt Webpage: |
|
|
Systemkonfiguration: |
1 GHz CPU, 4 GByte SLC SSD, 1 GByte RAM, lüfterloses Design |
|
Ausstattung: |
4 x Gbit-Ethernet, 1 x serieller Anschluss, 1 x USB 2.0, Power-Taste, Kontroll-LEDs für Power, Status, Error, Disk, 4 x Netzwerk |
|
Stromversorgung: |
extern (36 Watt) |
|
Sprache: |
Deutsch und andere |
|
System: |
1 x LinOTP A 150 Appliance, 10 Lizenzen LinOTP inklusive 1 Jahr Software Subskription, 5 x SafeNet eToken 3000 OTP Token, 5 x mOTP Software-Token für Smartphones |
|
Lieferumfang: |
LSE LinOTP Appliance, externe Stromversorgung, Nullmodem Kabel, USB-RS232-Kabel, Ethernet Kabel, Quick Start Guide |
|
Preis: |
999 Euro |