Multi-Faktor-Authentifizierung für sichere Remote-Arbeitsplätze
Die besonderen Umstände erforderten besondere Maßnahmen und viele Anwender wurden ins Home-Office geschickt. Dies stellte die IT zum Teil vor große Herausforderungen, neue Lösungen mussten schnell etabliert werden. Was sonst Jahre gedauert hätte, wurde nun in wenigen Wochen eingerichtet. Dabei konnten natürlich nicht alle Aspekte der Sicherheit genau betrachtet werden, deswegen ist es jetzt ein guter Zeitpunkt, sich Gedanken zum Beispiel über das Thema Sicherheit zu machen. Wobei wir uns in diesem Beitrag besonders den Hintergrund zu einer sicheren Anmeldung anschauen wollen. Denn der allseits bekannte Benutzername mit einem Kennwort hält aktuellen Bedrohungslagen nicht mehr stand, so dass Unternehmen eine sogenannte Multi-Faktor-Authentifizierung einführen sollten. Dies gilt insbesondere für Remote-Arbeitsplätze, da diese besonders einfach angegriffen werden können.
Wie nutzt man Multi-Faktor-Authentifizierung (MFA)?
Unter Multi-Faktor-Authentifizierung (MFA) versteht man die Authentifizierung eines Benutzer durch Besitz und Wissen. Das heißt der Anwender benötigt nicht nur Benutzername und Kennwort, um seine Identität zu beweisen, sondern noch einen weiteren Faktor, zum Beispiel ein weiteres Gerät wie eine Smartcard oder ein Token, der eine wechselnde Nummer anzeigt, die eingegeben werden muss. Dieses Verfahren nutzen wir im Remote Desktop Bereich schon seit Jahren, da Anwender sich bei einem Remote Desktop Szenario von überall an die Infrastruktur anmelden konnten und damit einen erhöhten Schutzbedarf hatten.
Man kann sich leicht vorstellen, dass wenn man nur einen Benutzernamen und ein Kennwort benötigt, diese häufig über sogenanntes Social Engineering herauszubekommen wären. Der Benutzername leitet sich in der Regel vom Namen des Anwenders ab und die Kennwörter stehen oft in irgendeinem Zusammenhang mit ihm, wie zum Beispiel das Geburtsdatum eines Kindes oder ein beliebtes Urlaubsland. Hat man erst einmal den Benutzernamen herausgefunden, so können ohne MFA die Kennwörter auch über Brute Force Methoden ermittelt werden. Zumindest kann der Anwender in seiner Arbeit gestört werden, da Kennwörter durch mehrmalige falsche Eingabe gesperrt werden können.
Zusätzlich besteht die Gefahr, dass jemand anderes einem über die Schulter schaut, während man sein Kennwort eingibt oder dass das Kennwort auf dem berühmten gelben Zettel steht, bei Anwendern die sehr vergesslich sind oder ihr Kennwort zu häufig ändern müssen (by the way – neue Studien haben herausgefunden, dass ein erzwungener Wechsel der Kennwörter unsicherer ist, als feste komplexe Kennwörter). Sobald die Anmeldung von praktisch überall möglich ist, leuchtet es damit ein, dass eine Multi-Faktor-Authentifizierung große Sicherheitsvorteile bietet.
Multi-Faktor-Authentifizierung mit RSA
Historisch gesehen wurden häufig Produkte von RSA, insbesondere innerhalb von Citrix Enterprise Infrastrukturen genutzt. Praktisch alle unsere Enterprise Kunden haben oder hatten RSA im Einsatz, um eine Multi-Faktor-Authentifizierung für die Anmeldung an Remote-Dienste zu erzwingen. Dabei wurden sogenannte Token an die Anwender ausgeteilt. Der Token zeigt eine sich ändernde Nummer an, und zusätzlich braucht der Anwender eine PIN die statisch ist. Meldet er sich nun zum Beispiel von einem Internetcafé an der Citrix Infrastruktur an, so muss er nicht nur seinen Benutzernamen und sein Kennwort eingeben, sondern eben auch den PIN plus die 4-stellige Zahl, die auf seinem Token angezeigt wird. Damit wird es Hackern unmöglich gemacht, sich als dieser Anwender am System zu authentifizieren, da sie die sich ändernde Zahl ja nicht erraten können oder zumindest die Wahrscheinlichkeit extrem gering ist.
RSA im Einsatz
So vorteilhaft das System auf Seite der Sicherheit ist, so bedarf es doch einigen Aufwand dieses System einzusetzen.
- Erstens müssen die kostenpflichtigen Token an die Anwender ausgeliefert werden.
- Zweitens muss das System an sich gepflegt werden.
- Drittens müssen entsprechende Software Lizenzen bezahlt werden.
Wie gesagt, sind diese Infrastrukturen historisch gewachsen und häufig wird diese Infrastruktur nicht auf den Prüfstand gestellt, da sie ja schon seit Jahren im Unternehmen eine erhöhte Sicherheit bietet. Dabei wird es gerne übersehen, dass im Zeitalter der Cloud und insbesondere von Office 365 der Kunde eine entsprechende MFA-Lösung schon mit Azure Active Directory und MFA erworben hat (Azure MFA).
Vorteile und Anwendungsbeispiele von Azure MFA
Bei Azure MFA wird der Faktor Besitz durch eine Telefonnummer, in der Regel eine Handynummer dargestellt. Das heißt der Anwender bekommt, wenn er sich anmeldet einen Anruf auf der hinterlegten Nummer und kann dann bestätigen, dass er sich anmelden will. Hat er ein Smartphone, kann zusätzlich die sogenannte Authenticator App aus dem jeweiligen Store auf dem Handy installiert werden, so dass die Authentifizierung per Knopfdruck erfolgen kann. Der Anwender gibt also Benutzername und Kennwort ein und wird zusätzlich durch das hinterlegte Telefon authentifiziert. Dieses Konzept ist möglich, weil praktisch jeder Anwender heute ein Smartphone hat.
Der weitere Vorteil der Azure MFA Methode ist die Möglichkeit der Definition des sogenannten Conditional Access. Dies bedeutet, dass zum Beispiel die MFA Abfrage nur kommt, wenn die Anmeldung von einem Gerät erfolgt, welches außerhalb des Firmennetzwerkes steht. Hier gibt es verschiedenste Kombinationsmöglichkeiten und der Fantasie sind keine Grenzen gesetzt – außer Einer: eine MFA Authentifizierung kann nicht erzwungen werden bei einer reinen Geräteanmeldung, sondern erst, wenn der Anwender auf Cloud Ressourcen zugreift. Dies könnte zum Beispiel eine Anforderung von Modernen Clients sein, die nur im Azure Active Directory angebunden sind und sozusagen im Internet leben. Hier ist es wünschenswert einen zusätzlichen Faktor bei der Anmeldung zu benötigen.
Wir dürfen auf die zukünftige Versionen von DeviceTRUST gespannt sein, die eventuell einen Client bereitstellen werden, welcher eine Azure MFA Authentifizierung bei Geräteanmeldung erfordert.
Gerade in aktuellen Zeiten ist eine Multi-Faktor-Authentifizierung von hoher Bedeutung, in der viele Anwender vom Home-Office arbeiten. Es gibt viele Berichte, dass Hacker diese neuen Umstände ausnutzen, um Systeme anzugreifen. Dabei besitzt der Kunde häufig schon das Recht MFA zu nutzen. Wir sehen jedoch in der Praxis immer wieder viele Kunden, die sich dessen nicht bewusst sind oder einfach die bestehende Lösung nach dem Motto „never touch a running system“ weiter benutzen, obwohl sie einiges an Geld einsparen und die Nutzung vereinfachen könnten.
Ich nutze zum Beispiel die Authenticator App schon für verschiedenste Kunden und private Zwecke. Hätte ich für alle diese Zwecke einen Token, so wäre das sicherlich problematisch, da ich viele Token mit mir führen müsste. Ich brauche lediglich nur mein Handy.
Fazit zur Implementierung von Azure MFA
Abschließend möchten wir noch die Microsoft Enterprise Verträge auflisten, die Azure MFA enthalten und auf ein Angebot hinweisen, welches wir für die Implementierung von Azure MFA mit Citrix NetScaler definiert haben. Als Consulting Unternehmen können wir Sie natürlich auch bei einer allgemeinen MFA Implementierung unterstützen, wie wir sie schon für viele Enterprise Kunden eingeführt haben:
https://docs.microsoft.com/de-de/azure/active-directory/authentication/concept-mfa-licensing
- Microsoft 365 Business Premium und EMS oder Microsoft 365 E3 und E5
- Azure AD Premium P1/P2
- Alle Microsoft 365-Pläne
Je nach Plan stehen unterschiedliche weitere Möglichkeiten und Szenarien zur Verfügung, um die Multi-Faktor-Authentifizierung zu nutzen. Bei Fragen kommen sie gerne auf uns zu!
Special Angebot: Azure Multi-Faktor-Authentifizierung + Citrix ADC/Gateway
Die Azure Multi-Faktor-Authentifizierung (Azure MFA) bietet nicht nur Sicherheit beim Zugriff auf Ihre Cloud-Dienste, sondern lässt sich u.U. auch für die Absicherung Ihrer veröffentlichten On-Premise-Ressourcen heranziehen.
Ein Beispiel hierfür ist eine bestehende Citrix Virtual Apps and Desktops (eh. XenApp bzw. XenDesktop) Infrastruktur, deren Ressourcen Sie für bspw. Mitarbeiter im Home-Office via Citrix ADC/Gateway (eh. Citrix NetScaler) zur Verfügung stellen. Durch eine Anbindung an die Azure MFA wären Sie an dieser Stelle in der Lage, Ihre zentralisierten Arbeitsplätze und sensiblen Applikationen komfortabel durch einen weiteren kostengünstigen Authentifizierungsfaktor zu schützen.
Prinzipiell bietet sich diese Implementierung in zwei unterschiedlichen Szenarien an:
Szenario 1: Sie nutzen derzeit noch keine Multi-Faktor-Authentifizierung
Sollten Sie zum aktuellen Zeitpunkt noch einzig und allein auf eine einfache Authentifizierung mittels Benutzername und Kennwort setzen, raten wir Ihnen dringend zu einer Implementierung einer Multi-Faktor-Authentifizierung. Ohne diese haben Hacker bzw. Kriminelle oftmals ein leichtes Spiel.
Azure MFA ist hierfür die kostengünstigste Variante, da Sie und viele weitere Unternehmen oftmals die erforderlichen Lizenzvoraussetzungen längst erfüllen.
Szenario 2: Sie nutzen derzeit eine MFA-Lösung von einem anderen Anbieter
Wenn Sie zum aktuellen Zeitpunkt bereits eine anderweitige kostenpflichtige MFA-Lösung für Ihre IT-Infrastruktur einsetzen, lohnt es sich zu überprüfen, ob Ihre Lizenzsituation für eine Ausweitung von Azure MFA Stand jetzt bereits genügt. Spätestens, wenn die nächsten Renewal-Kosten für die momentane MFA-Lösung anstehen und diese unser Pauschalangebot von 2.500, – € zur Implementierung einer Azure-MFA übersteigen, lohnt sich eine Umstellung in jedem Fall.
Darüber hinaus entledigt sich der Einsatz der Azure Multi-Faktor-Authentifizierung beinahe gänzlich von Ihrer eigenen MFA-spezifischen Infrastruktur inkl. Wartungsaufwand, da Sie die Funktion fortan lediglich als fertigen Cloud-Dienst „konsumieren“. Dies ermöglicht Kosteneinsparungen auf mehreren Ebenen.
Sind Sie bereits Citrix-Kunde (Citrix ADC/Gateway) und eine der o.g. Situationen trifft auf Sie zu, empfehlen wir Ihnen unser Login-spezifisches Pauschalangebot:
Zielsetzung:
- Anbindung der Azure Multi-Faktor-Authentifizierung an Ihre vorhandenen Citrix ADCs /Gateways.
- Erweiterung einer Single-Faktor-Authentifizierung durch einen zusätzlichen Authentifizierungsfaktor (Telefonanruf/SMS/Einmalpasswort/Push-Benachrichtigung).
- Ablösung einer bestehenden und kostenpflichtigen Multi-Faktor-Authentifizierungslösung.
Voraussetzung:
- Citrix ADC/Gateway – Citrix ADC Standard/Advanced/Premium bzw. Citrix Gateway
- Azure MFA-Lizenz (Eine Variante benötigt) – Microsoft 365 E3 oder E5, Microsoft 365 Business Premium, Microsoft Enterprise Mobility and Security E3, AAD Premium P1/P2
- Azure AD Connect (Hybrid-Umgebung) – Verwendung von Azure AD Connect zur Synchronisation der Benutzer-Accounts von Ihren lokalen Active Directory Domain Services (AD-DS) mit einem Microsoft Azure Active Directory.
- Windows Server mit NPS-Rolle (On-Premises) – Neuer/vorhandener Windows Server mit installierten „Network Policy and Access Services“ (NPAS).
Zweck:
- Bei aktueller Single-Faktor-Authentifizierung (Benutzername + Kennwort):
Maßgebliche Erhöhung der Sicherheit beim Zugriff auf Ihre zentralisierten Arbeitsplätze und Applikationen sowie sensiblen Daten und Dokumenten - Bei vorhandener kostenpflichtiger Multi-Faktor-Authentifizierungslösung:
Einsparung von Kosten durch den Ausbau der lizenzierten Azure Multi-Faktor-Authentifizierung und den Wegfall der bisherigen MFA-Lösung inkl. Infrastruktur.
Kostenrahmen: 2 Projekttage (jeweils 8 Stunden) im Gesamtvolumen von 2.500, – €.
Sollten Sie die oben aufgeführten Voraussetzungen nicht gänzlich erfüllen oder sollte Ihre IT-Infrastruktur hiervon abweichen, zögern Sie nicht uns zu kontaktieren. Als Experte für Microsoft- und Citrix-Lösungen finden wir als Login Consultants mit Ihnen gemeinsam eine für Sie passende, sichere und preislich attraktive Gesamtlösung.