5
VPN Authentifizierung über USB-Stick o.ä (kostengünstig)
Hallo zusammen,
ich suche nach einer günstigen Lösung für folgendes Problem:
Es soll ein VPN-Zugang von externen Computern gesichert werden. Dazu sollen die User Hardware-Tokens erhalten auf denen ein PSK oder Zertifikat hinterlegt ist, aber zusätzlich soll eine Passworteingabe erfolgen müssen.
Der Server läuft unter Windows 2003 und die meisten Clients unter Windows XP/Vista.
Ach ja die meisten User sind DAU's.... Also mehr als USB-Stick einstecken, Doppelclick und Passwort eingeben (meistens unsicher) ist nicht.
Hat jemand einen Vorschlag? Bin auch für ein "Geht so einfach nicht" dankbar.
Vielen Dank schon mal
Jörg
ich suche nach einer günstigen Lösung für folgendes Problem:
Es soll ein VPN-Zugang von externen Computern gesichert werden. Dazu sollen die User Hardware-Tokens erhalten auf denen ein PSK oder Zertifikat hinterlegt ist, aber zusätzlich soll eine Passworteingabe erfolgen müssen.
Der Server läuft unter Windows 2003 und die meisten Clients unter Windows XP/Vista.
Ach ja die meisten User sind DAU's.... Also mehr als USB-Stick einstecken, Doppelclick und Passwort eingeben (meistens unsicher) ist nicht.
Hat jemand einen Vorschlag? Bin auch für ein "Geht so einfach nicht" dankbar.
Vielen Dank schon mal
Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 160960
Url: https://administrator.de/contentid/160960
Printed on: April 24, 2024 at 23:04 o'clock
5 Comments
Latest comment
20€ kostet eine moderne Smart-Card mit nativen Support wenn man sie einzeln kauft.
Hallo Jörg
Was sollen den die User machen? RDP oder nur Datentausch?
Gruß Mario
Was sollen den die User machen? RDP oder nur Datentausch?
Gruß Mario
Hmm - gut, dann stehe ich mit der SmartCard vorm öffentlichen Rechner... Nur hat der nicht zwingend nen Reader...
Generell kann man aber ja sagen: Sicherheit kostet Geld. Ich würde hier dann notfalls auf den Token verzichten aber das VPN-Passwort vorgeben. Und falls das ganze wirklich über JEDEN öffentlichen Rechner funktionieren soll würde ich beigehen und einen Terminal-Server hinstellen der _ohne_ VPN erreicht werden kann. Hier kann sich der User mit einem eigenen Passwort anmelden. Und AUF dem Terminalserver darf der dann eine VPN-Verbindung zum Firmennetzwerk aufbauen und darüber arbeiten. Denn am öffentlichen Rechner hat der ja ggf. auch keine Chance überhaupt eine VPN-Verbindung aufzubauen... (und öffentlich kann auch das private Laptop im Hotel sein - wenn die z.B. grad mal wieder ipsec blocken ....)
Generell kann man aber ja sagen: Sicherheit kostet Geld. Ich würde hier dann notfalls auf den Token verzichten aber das VPN-Passwort vorgeben. Und falls das ganze wirklich über JEDEN öffentlichen Rechner funktionieren soll würde ich beigehen und einen Terminal-Server hinstellen der _ohne_ VPN erreicht werden kann. Hier kann sich der User mit einem eigenen Passwort anmelden. Und AUF dem Terminalserver darf der dann eine VPN-Verbindung zum Firmennetzwerk aufbauen und darüber arbeiten. Denn am öffentlichen Rechner hat der ja ggf. auch keine Chance überhaupt eine VPN-Verbindung aufzubauen... (und öffentlich kann auch das private Laptop im Hotel sein - wenn die z.B. grad mal wieder ipsec blocken ....)
Hallo,
dass Sicherheit Geld kostet ist mir klar, nur meiner Chefin nicht
Spaß beiseite.... SmartCard erfordern leider einen Reader und das ist nicht praktikabel, daher die Idee mit den USB-Sticks.
Ist es möglich einen PSK auf einem Windows-Rechner auf einen USB-Stick verschlüsselt zu halten und diesen nur per Password-Abfrage temporär in den Zertifikat Manager einzubinden?
Ein zusätzlicher Terminalserver ist aufgrund der Topologie/anderer Randbedingungen des Netzes nicht möglich. Zugänge von außen lässt der Provider nur per VPN zu. Es sollte aber kein Problem sein, da die meisten externen Zugänge von persönlichen Computern erfolgen, aber leider nicht alle...
dass Sicherheit Geld kostet ist mir klar, nur meiner Chefin nicht
Spaß beiseite.... SmartCard erfordern leider einen Reader und das ist nicht praktikabel, daher die Idee mit den USB-Sticks.
Ist es möglich einen PSK auf einem Windows-Rechner auf einen USB-Stick verschlüsselt zu halten und diesen nur per Password-Abfrage temporär in den Zertifikat Manager einzubinden?
Ein zusätzlicher Terminalserver ist aufgrund der Topologie/anderer Randbedingungen des Netzes nicht möglich. Zugänge von außen lässt der Provider nur per VPN zu. Es sollte aber kein Problem sein, da die meisten externen Zugänge von persönlichen Computern erfolgen, aber leider nicht alle...
Aktuell nur Datentausch, möglicherweise in Zukunft mehr. Problem: Alles DAU-sicher, d.h. am besten das Netzlaufwerk als "normale" lokale Platte einbinden sftp o.ä.ist nicht durchsetzbar...
