vpn toegang beveiligen dmv hardware token

Wat wil je er precies mee bereiken?
Wil je strong authentication gaan gebruiken, of een betere VPN beveiliging?

Welke VPN gebruik je nu precies? pptp? l2tp? Cisco, IPSEC, SSL?

Je zou al eens kunnen kijken naar l2tp, zit standaard in MS, je moet alleen certificaten gaan uitrollen. Dit is een zekere zin (maar zeker niet helemaal) al een goede beveiliging.

pptp staat nu niet echt bekend om zijn veiligheid voor VPN, om hier nauw tokens aan te koppelen, weet niet of je daar nu echt wat mee bereikt op veiligheid......

Over hoeveel mensen hebben we het trouwens, die een VPN connectie moeten maken, en wat is je butget?

Mag ik je voor dat bedrag de Sonicwall ssl vpn 200 aanraden? klik
Dit apparaat kost minder dan 1000 euro, gebruikt ssl vpn (beter dan pptp) en heeft ingebouwd otp (one time password) op basis van sms.
Wij gebruiken ze zelf bij onze klanten voor remote toegang echt super apparaten voor de lage prijs.

[ Voor 9% gewijzigd door Acmosa op 23-09-2008 20:31 ]

zover ik weet voert ptpp toch geen encryptie uit ???

[P]inky schreef op dinsdag 23 september 2008 @ 20:26:
Mag ik je voor dat bedrag de Sonicwall ssl vpn 200 aanraden? klik
Dit apparaat kost minder dan 1000 euro, gebruikt ssl vpn (beter dan pptp) en heeft ingebouwd otp (one time password) op basis van sms.
Wij gebruiken ze zelf bij onze klanten voor remote toegang echt super apparaten voor de lage prijs.

Volgens mij werkt Vasco niet icm de 200, daar heb je grotere jongens voor nodig, eventueel icm een sonicwall router.
Voordelen is dat je dan ook meteen failover hebt (meeste sonicwalls ondersteunen een 2e wan) en ipsec vpn. Icm een ssl-vpn hoeft de gebruiker ook niet meer met aparte software in te loggen en kans op ellende te hebben ivm ipsec passthough (denk aan hotels enz). Of sonicos enhanced nodig is weet ik niet zeker.

Icm onetimepass kan de 200 wel.. maar of dat weer iets is wat TS wil..

Maar voor een laag bedrag (<500 eur) gaat je dat niet lukken, goede beveiliging enz kost nu eenmaal wat, zeker als je met tokens enz wilt gaan werken.

Maar misschien eens een idee om te informeren bij je huidige netwerkleverancier? Kopen kan iedereen, maar t moet ook nog werken en gesupport worden
Leg bij hun eens je vraag neer en kijk wat hun adviseren.

[ Voor 11% gewijzigd door DJSmiley op 23-09-2008 21:21 ]

Wij hebben twee oplossingen draaien:

Optie 1: een gewone Cisco ASA firewall met vpn functionaliteit, authenticatie gaat doormiddel van RSA software op een gewone win2k3 server en hardware tokens. User bouwt dus via de Cisco client zijn verbinding op, krijgt melding om de code van zijn token in te voeren, Cisco forward dit naar de RSA software, na succesvol bericht van de RSA software wordt de connectie voltooid en kan de gebruiker aanmelden.

Optie 2: een Fortiguard firewall welke aan een Nettilla box verbonden zit. User kan via de webbrowser een SSL VPN connectie maken. Zodra de plugin geinstalleerd is krijgt de user de mogelijkheid om zijn tokencode in te voeren. Dit is echter een token zoals bij rabo bankieren. Netilla box valideert deze en bied na succesvolle authenticatie de mogelijkheid om aan te melden op het netwerk.

De eerste optie was volgens mij iets goedkoper. Optie 2 (SSL VPN) heeft als voordeel dat er (bijna) geen software aan de client side geinstalleerd hoeft te zijn.

Zelf ga ik naar een Netscreen met RSA toe, maar ik vond http://www.wikidsystems.com/ altijd erg interessant. Je betaald voor de tokens, de server zelf is gratis.

edit: lijkt nog wel iets anders te werken. WIP. BRB

[ Voor 15% gewijzigd door DiedX op 23-09-2008 21:39 ]

DiedX schreef op dinsdag 23 september 2008 @ 21:37:
Zelf ga ik naar een Netscreen met RSA toe, maar ik vond http://www.wikidsystems.com/ altijd erg interessant. Je betaald voor de tokens, de server zelf is gratis.

edit: lijkt nog wel iets anders te werken. WIP. BRB

Ik zal wel een borrel teveel op hebben gehad. Wikid zelf werkt wel weer op mobiele telefoons, ik meende dat zij ook hardware-tokens deden. Maar wellicht kan je hier al wat mee?

libero schreef op dinsdag 23 september 2008 @ 21:39:
[...]


volgens de specs van de 200 werkt deze wel met vasco (geen idee wat vsco is maar ben me nu aan het inlezen)
wat bedoel je trouwens met een one time pass ? (een wachtwoord dat steeds wijzigd icm. met sms) (beetje zoals de postbank met tan codes)?

failover is niet belangrijk, ik vraag me wel af of ik verder niets nodig heb, en wat die vasco precies inhoud.
en wat zijn de alternatieven naast deze sonicwall?
een netwerkleverancier hebben we niet, er hangt nu slechts een alcatel modem en een 2003 server als vpn pptp, deze hebben we zelf geconfigureerd.

Vasco werkt prima met de SSL VPN 200.
Wat je nog meer nodig hebt is de plugin voor IAS (Internet Authentication Service), de Radius server van MS. Deze plugin maakt het mogelijk om via token access te authenticeren op IAS. Deze plugin is volledige AD integrated en je tokens komen in AD als objects te staan die je zonder problemen kan koppelen aan gebruikers.
Tokens koop je volgens mij per 5, hierbij krijg je dan ook een DPX file welke je moet importeren in je AD.

Hier ook een voorstander van Vasco Tokens en de Sonicwall SSL VPN 200, bij meerdere klanten geplaatst.
Vasco Middleware nestelt zich in de AD, en speelt een eigen radiusserver, configuratie is erg simpel en werkt vlekkeloos.
SSL VPN website werkt vanaf elke pc met internet

Beetje bekende namen zijn oa. Vasco, RSA, Secure Computing en Aladdin.

Aladdin installeer je bovenop Internet Authentication Server. (Onderdeel van MS Enterprise server.)
Het AD schema wordt hierdoor aangepast. Als dit een probleem is, kan je dit bijvoorbeeld ook in shadow domain draaien.

Bij Aladdin kan je ook een portal bouwen om tokens uit te rollen. Je kan een portal geven aan de helpdesk, maar je kan ook een self service portal inrichten. Dit portal draait op IIS.

Bij OTP tokens vul je de gegenereerde code in samen met een pincode.
OTP code (wat je hebt) + pincode (wat je weet) = 2 factor authenticatie.

Naast OTP tokens heeft Aladdin ook USB tokens. Hier kan je SSL certificaten op zetten. Deze tokens hebben een eigen crypto engine. (Niet te verwarren met Flash disks) Daarnaast integreren deze tokens met Safeboot / McAfee disk-encryptie.

In de firewall / router verwijs je naar IAS server waar het token systeem op draait.
Het merk / type maakt dan niet zo gek veel uit. Als je maar een externe user directory op kan geven.
Radius / LDAP / AD zijn veel voorkomend.

Bovenstaand verhaal is voor Aladdin, maar andere fabrikanten werken ook zo ongeveer.
Wat tunneling techniek betreft zou ik naar IPSec of SSL VPN kijken.

Let op dat je checkt of applicaties die je remote aanbiedt ook via SSL VPN kan tunnelen.
Je kan alles door een IPSec tunnel gooien, maar bij SSL VPN is dit niet het geval.

Op de ASA kan je clientless SSL VPN doen (via webbrower) of mbv. de Anyconnect client. (Je kan behalve http ook andere typen verkeer tunnelen.) Daarnaast kan je per user groep een customizable webportal bouwen. Ook is het mogelijk mbv. een soort NAC, zaken op de clients te checken.

Informeer dus goed welke functionaliteit de SSL VPN appliance / firewall / router heeft.
(Zo is OpenVPN in de basis ook SSL VPN.)

Je zou ook eens kunnen kijken naar OpenVPN: Meet OpenVPN

Dit soort open source oplossingen kunnen geweldig werken en veel geld uitsparen, maar er gaat ook een heeeleboel tijd in zitten op alles uit te zoeken, op te zetten en te ondersteunen.

Ik gebruik OpenVPN nog steeds op kantoor om 30 remote workers te laten werken (is een FreeBSD machine als OpenVPN server, die met radius de gebruikers authenticeert tegen Active Directory), en dat werkt volgens mij al 1 a 2 jaar zonder er naar om te kijken. OpenVPN heeft in principe ook alle functionaliteit om met radius tegen bijvoorbeeld een RSA server te kletsen zodat je hardware tokens kunt gebruiken, of sms-tokens, etc, alleen moet je waarschijnlijk zelf gaan scripten. En het is maar de vraag of je dat wilt.

Bl@ckbird schreef op dinsdag 23 september 2008 @ 22:35:
Let op dat je checkt of applicaties die je remote aanbiedt ook via SSL VPN kan tunnelen.
Je kan alles door een IPSec tunnel gooien, maar bij SSL VPN is dit niet het geval.

Wat bedoel je hier precies mee? Ik kan door mijn layer 3 openvpn tunnels zo'n beetje alles sturen behalve broadcasts, en door mijn layer 2 tunnels eigenlijk bijna alles.. Enige dat ie doet is pakketjes heen en weer schuiven van het ene netwerk naar het andere, en je kunt eventueel met firewall rules beperkingen op leggen. Of bedoel je iets anders?

lijkt me prima veilig toch ?

wikipedia: Point-to-point tunneling protocol

MSCHAP-v2 can be compromised if users choose weak passwords. The certificate-based EAP-TLS provides a superior security option for PPTP.

PPTP security concerns
"Security concerns have dogged PPTP since its inception. It is the author’s opinion that PPTP is inherently insecure because there are too many unauthenticated control packets that are readily spoofed."[3]

A typical upgrade path for PPTP will be L2TP/IPsec. The adoption of improved VPN technologies has been slow because PPTP is convenient and easy to configure, whereas L2TP/IPsec requires a shared key or machine certificates.

Kijk zeker eens naar de l2tp, zit ook standaard in Windows, en werkt ook goed. Je moet alleen een CA neer zetten.

OTP (one time password) in de Sonicwall ssl 200, stuurt via een sms een eenmalig wachtwoord. Dit werkt middels email to sms. Dus ja je hebt een dienst of apparaat nodig die dit voor je verzorgt.
http://www.mollie.nl/ heeft zo'n dienst.
Voor de rest is het handig om er een service contract op af te sluiten, dit voorziet je van firmware updates en support, de prijzen heb ik daar niet van maar die kan je zelf wel ergens vinden....

Je kan bij Soniwall een live demo uitvoeren op https://sslvpn.demo.sonicwall.com/cgi-bin/welcome

@Bl@ckbird
En met de sonicwall ssl vpn client kan je echt alles tunnelen wat je maar kan bedenken. We gebruiken het hier om op afstand plc's te programmeren en die dingen zijn nu niet echt tcp/ip friendly.

[ Voor 60% gewijzigd door Acmosa op 24-09-2008 09:45 ]

Ongeveer 4 maand terug heb ik dit ook uitgezocht, en heb onder andere bij aladin een offerte opgevraagd. Ik schrok zelf een beetje van de prijs, dus ik ben iets verder gaan zoeken.

Uiteindelijk heb ik gekozen om een OpenVPN server op te zetten, en de authenticatie te laten afhandelen door FreeRadius (dmv OTP).

Iedere vpn-gebruiker krijgt van mij een certificaat, een otp token, en een pincode.

Ik ben zelf erg tevreden over de werking van OpenVPN, en ik denk dat we qua kosten erg veel lager uit zijn gekomen dan alle andere offertes die ik heb gekregen. Een nieuwe gebruiker toevoegen kost ons alleen de kosten van de OTP token (ongeveer 5 euro). Mocht je meer informatie willen hebben (leverancier, configuratie e.d) dan hoor ik het wel

Post die informatie even dan hebben wij er ook wat aan..... (leverancier en configuratie, natuurlijk zonder spicy details.)

voor zo ver ik weet sluit je bij mollie.nl een dienst af (sms gateway), soort abonnement, en daar krijg je dan een email adres dat je invult op de ssl vpn 200. De ssl vpn 200 mailt dan het otp naar dat email adres via je eigen mail server of isp. Mollie.nl stuurt de email door naar een sms nummer.
Hoe dit doorsturen precies werkt weet ik niet, dat moet je even bij mollie.nl uitzoeken maar ik weet wel dat je verder geen extra hardware nodig hebt dan de ssl vpn200, een mailserver om je mail te dumpen en een gsm om de sms te ontvangen. Je mag natuurlijk wel wat zelf uitzoeken .

Ok, voor zover het mogelijk is hier een samenvatting van mijn configuratie.

Het OS waar alles op draait is Ubuntu 8.04 Server. Ubuntu heeft o.a. openvpn al de in repository zitten. Freeradius heb ik handmatig gecompiled omdat standaard de OTP module (rlm_otp) hier niet inzit. Ook heeft de nieuwe versie van Freeradius een andere manier van configureren (like Apache met sites-available en sites-enabled).

Openvpn:
De Openvpn server is redelijk standaard geconfigureerd. Onderstaande URL is een duidelijke handleiding hiervoor.

http://openvpn.net/index.php/documentation/howto.html

De enige aanpassing in de config die ik gemaakt heb, is het toevoegen van PAM authenticatie.

openvpn.conf:


PAM:
Ik heb aan PAM de radius module (pam_radius_auth.so) toegevoegd. Ook deze zit in de repository van Ubuntu. (libpam-radius-auth - The PAM RADIUS authentication module)

/etc/pam.d/openvpn


/etc/pam_radius_auth.conf



FreeRadius:
Omdat ik ook Wifi laat authenticeren via Freeradius (als proxy voor 2 windows domeinen) heb ik er voor gekozen om Freeradius ook maar te gebruiken voor OpenVPN. Het heeft mij flink wat tijd gekost om de configuratie hiervan onder de knie te krijgen. Ik heb Freeradius zo geconfigureerd dat hij naast plain text, ook nog kijkt in een mysql database of de user bestaat, en zo ja welke authenticatie type het heeft. Voor openvpn gebruikers staat dus als Auth-Type := otp ingesteld.

Otp moet je ook als Auth-Type configureren voor Freeradius.



OTPD - Tri-D Systems:
OTPD is de deamon die standen van de otp tokens bijhoud. Ik heb een tijdlang gezocht naar deze software, en helaas biedt de leverancier de software niet meer ter download aan. Echter had een collega deze nog ergens op een server staan.

Aangezien de leverancier die download offline heeft gehaald ga ik hier geen link neerzetten. Mocht je hier interesse in hebben dan kan ik je deze persoonlijk toesturen.

De OTP Tokens:
De OTP tokens hebben wij gehaald bij RS-Computers (http://www.rs-computer.com/). Ik weet niet meer precies wat wij hebben betaald, maar in vergelijking met bijvoorbeeld aladin is het verschil erg groot. Ook bij RS-computers ben je volgens mij verplicht een licentie voor de software te nemen, maar ook de kosten hiervan liggen vele malen lager dan die van andere pakketten.

Ik heb bovenstaand verhaal redelijk snel getypt, dus het zal waarschijnlijk niet helemaal volledig zijn. Voor het opzetten van dit systeem is wel enige kennis van linux vereist.

Mocht je nog vragen hebben dan hoor ik het wel.

axis schreef op woensdag 24 september 2008 @ 01:38:
[...]

Wat bedoel je hier precies mee? Ik kan door mijn layer 3 openvpn tunnels zo'n beetje alles sturen behalve broadcasts, en door mijn layer 2 tunnels eigenlijk bijna alles.. Enige dat ie doet is pakketjes heen en weer schuiven van het ene netwerk naar het andere, en je kunt eventueel met firewall rules beperkingen op leggen. Of bedoel je iets anders?

En...

[P]inky schreef op woensdag 24 september 2008 @ 09:39:
@Bl@ckbird
En met de sonicwall ssl vpn client kan je echt alles tunnelen wat je maar kan bedenken. We gebruiken het hier om op afstand plc's te programmeren en die dingen zijn nu niet echt tcp/ip friendly.

OpenVPN en Sonicwall VPN werken met een VPN client. (Voor SSL VPN, dus niet IPSec.)
Deze client zorgt ervoor dat netwerk traffic door de SSL tunnel gestuurd wordt.
Op de Cisco ASA is dit vergelijkbaar met SSL VPN mbv. de Anyconnect client.
De Anyconnect client is de opvolger van de Cisco VPN client. (Bij gebruik van IPSec tunnels.)
In de toekomst gaat de Anyconnect client waarschijnlijk ook IPSec doen.

De ASA (en vast ook andere producten fabrikanten) ondersteund ook clientless VPN. Hiermee log je in op het intranet via een standaard webbrowser. Geraadpleegde bronnen moeten wel webbased zijn. (Intranet pagina, MS Outlook Webaccess, enz.) Zoals eerder genoemd kan je op de ASA ook een customized webportal bouwen. (Met linkjes naar intranet sites, Outlook Webaccess, RSS tracker, dat soort gein.)

Clientless SSL VPN is handig voor bijvoorbeeld internet café's. Het vereist namelijk geen admin rechten om een client te installeren. Naast de Anyconnect client en clientless SSL VPN, is er een tussenweg met een thick client. Deze wordt gepushed vanuit de ASA en bevat een sandbox omgeving. (Een soort virtuele desktop.) Ook hier zijn admin rechten voor vereist, om dit te installeren op de client PC.