Inhaltsverzeichnis:
- Lokale Authentifizierung
- LDAP (Lightweight Directory Access Protocol)
- Active Directory (AD)
- RADIUS-Authentifizierung und Einmalkennwortsysteme
- X. 509 Zertifikatauthentifizierung
- Security Assertion Markup Language
Video: UniFi Remote User VPN 2024
Bevor Sie den Zugriff auf das Unternehmensnetzwerk von einem beliebigen Mobilgerät aus zulassen, sollten Sie zuerst den Benutzer identifizieren. Ein Typ der Benutzeridentitätsüberprüfung ist die Authentifizierung. Benutzerauthentifizierung ist die Bestätigung, dass ein Benutzer wirklich ist, wer sie sagt, dass sie ist. Mit anderen Worten beweist die Benutzerauthentifizierung, dass die Person, die versucht, sich als SueB bei dem VPN anzumelden, wirklich Sue Berks ist und nicht Joe Hacker.
Wie bei vielen Sicherheitstechnologien werden durch diese verschiedenen Lösungen eine Reihe von Sicherheitsstärken angeboten. Organisationen, die sehr sicherheitsbewusst sind, verwenden in der Regel eine starke Authentifizierungslösung wie ein Einmalpasswortsystem oder digitale X. 509-Zertifikate. Die Verwendung starker Authentifizierung ist in den letzten Jahren sehr populär geworden; Es ist eine bewährte Methode für alle Organisationen. Weniger sicherheitsbewusste Unternehmen halten sich mit statischen Benutzernamen und Passwortsystemen für die Authentifizierung von Remotebenutzern auf.
Lokale Authentifizierung
Lokale Authentifizierung ist eine Onboard-Datenbank zur Authentifizierung von Benutzern. Die gesamte Benutzerkontenverwaltung und Datenspeicherung erfolgt auf der VPN-Appliance.
Die meisten VPN-Anbieter bieten diese Art der Authentifizierung an, obwohl sie hauptsächlich für die Administratorauthentifizierung oder für kleinere Organisationen verwendet werden.
LDAP (Lightweight Directory Access Protocol)
LDAP (Lightweight Directory Access Protocol) ist ein Standardprotokoll zum Abfragen einer Verzeichnisdatenbank und zum Aktualisieren von Datenbankdatensätzen. Als eine der am häufigsten verwendeten Schnittstellen in VPN-Bereitstellungen fungiert LDAP als Protokoll der Wahl für die Abfrage vieler Arten von Datenbanken, einschließlich Active Directory.
Active Directory (AD)
Active Directory ist einer der führenden Verzeichnisserver, und die meisten Unternehmen implementieren ihn bis zu einem gewissen Grad. Viele VPN-Server bieten eine native Active Directory-Authentifizierungsserver-Schnittstelle, aber AD-Bereitstellungen können auch LDAP / LDAPS (LDAP über SSL) für Abfragen und Aktualisierungen nutzen.
RADIUS-Authentifizierung und Einmalkennwortsysteme
Die meisten VPN-Systeme bieten eine Standardschnittstelle zur Verbindung mit diesen OTP-Systemen über das RADIUS-Protokoll. Der Remote-Authentifizierungs-Einwahlbenutzerdienst (RADIUS) bietet Authentifizierungs-, Autorisierungs- und Abrechnungsdienste; Die meisten auf dem Markt erhältlichen OTP-Systeme unterstützen RADIUS.
X. 509 Zertifikatauthentifizierung
In den letzten Jahren haben sich digitale X. 509-Zertifikate als Authentifizierungsmethode durchgesetzt. Sie werden von mehreren vertrauenswürdigen Zertifizierungsstellen (CAs) an Organisationen und Endbenutzer ausgegeben.Die Bereitstellungen innerhalb der US-Regierung waren ein enormer Treiber für die Annahme von X. 509-Zertifikaten. Infolgedessen hat sich die Unterstützung in den letzten Jahren erheblich verbessert, wodurch der Einsatz und die laufende Verwaltung wesentlich vereinfacht wurden.
Wenn eine VPN-Appliance digitale X. 509-Zertifikate unterstützt, muss diese Appliance die Validierung eines Zertifikats durchführen, um sicherzustellen, dass das Zertifikat nicht widerrufen wurde. Das VPN validiert das Zertifikat mit
-
CRLs (Zertifikatswiderrufslisten): CRLs sind im Wesentlichen Listen von gesperrten Zertifikaten, die vom Zertifikatsaussteller verteilt werden.
-
OCSP (Online Certificate Status Protocol): OCSP ist eine Möglichkeit, einige der Einschränkungen der CRL-Prüfung (z. B. die Größe der Listen) zu umgehen und eine Möglichkeit zur Überprüfung des Zertifikatsstatus in Echtzeit anzugeben.
Zusätzlich zur Zertifikatsstatusvalidierung kann das VPN auch Benutzerattribute aus dem Zertifikat abrufen, damit das VPN-Zugriffskontrollsystem mit Attributen in einem Verzeichnis vergleichen kann.
Security Assertion Markup Language
SAML (Security Assertion Markup Language) ist ein Standard zur Authentifizierung und Autorisierung von Benutzern über verschiedene Systeme hinweg. Im Wesentlichen handelt es sich um eine SSO-Technologie (Single Sign-On). Einige SSL-VPN-Appliances unterstützen SAML. Dadurch können Benutzer, die bereits bei anderen Systemen angemeldet sind, sich bei Bedarf nahtlos am SSL-VPN-System anmelden. SAML-Authentifizierungslösungen sind normalerweise nicht mit IPSec-VPNs verknüpft.
