Authentifizierung von VPN-Enterprise-Benutzer mobiler Geräte

Computer & Software / Administration & Berufs Networking / Laptop & Sicherheit mobiler Geräte

Bevor Sie den Zugriff auf das Firmennetz von jedem mobilen Gerät ermöglichen, sollten Sie zuerst den Benutzer zu identifizieren. Eine Art von Benutzeridentitätsprüfung ist die Authentifizierung. Die Benutzerauthentifizierung ist die Validierung, dass ein Benutzer wirklich ist, wer sie sagt, sie ist. Mit anderen Worten, beweist die Benutzerauthentifizierung, dass die Person auf dem VPN anzumelden versucht, als SueB wirklich Sue Berks, und nicht Joe Hacker.

Lokale authentifizierung
Lightweight directory access protocol (ldap)
Active directory (ad)

Radius-authentifizierung und einmalpasswort-systeme
X.509-zertifikatsauthentifizierung

Security assertion markup language

Wie bei vielen Sicherheitstechnologien sind eine Reihe von Sicherheits Stärken durch diese verschiedenen Lösungen angeboten. Organisationen, die sehr Sicherheit sind bewusst verwenden in der Regel eine starke Authentifizierungslösung wie zum Beispiel ein Einmalpasswort-System oder X.509 digitalen Zertifikaten. Die Verwendung der starken Authentifizierung ist in den letzten sehr populär geworden Jahre- es eine bewährte Methode für alle Organisationen ist. Weniger sicherheitsbewusste Organisationen Stick mit statischen Benutzernamen und Passwort-Systeme für Remote-Benutzer-Authentifizierung.

Lokale Authentifizierung

Lokale Authentifizierung ist eine Onboard-Datenbank zur Authentifizierung von Benutzern. Der gesamte Benutzer-Account-Management und Plattenspeicher wird auf dem VPN-Gerät durchgeführt.

Die meisten VPN-Anbieter bieten diese Art der Authentifizierung, obwohl es in erster Linie für die Administrator-Authentifizierung verwendet wird oder für kleinere Organisationen.

Lightweight Directory Access Protocol (LDAP)

LDAP (Lightweight Directory Access Protocol) ist ein Standardprotokoll für eine Verzeichnisdatenbankabfragen und Datenbankeinträge zu aktualisieren. Als einer der am häufigsten verwendeten Schnittstellen in VPN-Implementierungen fungiert LDAP als das Protokoll der Wahl für viele Arten von Datenbanken abfragen, einschließlich Active Directory.

Active Directory (AD)

Active Directory ist einer der führenden Verzeichnisserver und die meisten Organisationen bereitstellen es zu einem gewissen Grad. Viele VPN-Server bieten eine native Active Directory-Authentifizierung-Server-Schnittstelle, aber AD-Implementierungen können auch LDAP / LDAPS (LDAP über SSL) für Abfragen und Updates nutzen.

RADIUS-Authentifizierung und Einmalpasswort-Systeme

Die meisten VPN-Systeme bieten eine Standardmethode mit diesen OTP-Systeme durch das RADIUS-Protokoll zu kommunizieren. Remote Authentication Dial-In User Service (RADIUS) bietet Authentifizierung, Autorisierung und Accounting Services- und die meisten OTP-Systeme auf dem Markt heute Unterstützung RADIUS.

X.509-Zertifikatsauthentifizierung

In den letzten Jahren haben digitale X.509-Zertifikate immer beliebter als Authentifizierungsmethode geworden. Sie werden von mehreren vertrauenswürdigen Zertifizierungsstellen (CAs) an Organisationen und Endverbraucher abgegeben werden. Die Einsätze in der US-Regierung haben einen großen Treiber für die Annahme von X.509-Zertifikaten gewesen. Als Ergebnis hat die Unterstützung deutlich in den letzten Jahren verbessert, die Bereitstellung und laufende Verwaltung macht viel einfacher.

Wenn ein VPN-Appliance von X.509 digitalen Zertifikaten unterstützt, muss das Gerät Validierung eines Zertifikats durchführen, um sicherzustellen, dass das Zertifikat nicht widerrufen wurde. Der VPN validiert das Zertifikat entweder mit

CRLs (Certificate Revocation Lists): CRLs sind im Wesentlichen Listen der gesperrten Zertifikate, die vom Zertifikatsaussteller verteilt sind.
OCSP (Online Certificate Status Protocol): OCSP ist eine Möglichkeit, einige der Einschränkungen der CRL-Prüfung (wie die Größe der Listen) zu umgehen, und es gibt einen Weg Zertifikatstatus in Echtzeit zu überprüfen.

Neben Zertifikatstatusvalidierung kann die VPN abrufen auch Benutzer aus dem Zertifikat-Attribute, so dass die VPN-Zugangskontrollsystem auf Attribute in einem Verzeichnis zu vergleichen.

Security Assertion Markup Language

Security Assertion Markup Language (SAML) ist ein Standard für die Authentifizierung und Autorisierung von Benutzern über verschiedene Systeme hinweg. Im Wesentlichen ist es ein Single Sign-On (SSO). Einige SSL-VPN-Appliances bieten Unterstützung für SAML, so dass Anwender, die bereits angemeldet sind, in anderen Systemen die Fähigkeit, nahtlos an die SSL-VPN-System anmelden, wie gebraucht. SAML Authentifizierungslösungen in der Regel nicht mit IPsec VPNs verbunden.