Cisco VPN met smartcard

Mja, er zijn meerdere Smartcard readers die vrijwel allen wel zullen werken. De cisco VPN software werkt namelijk niet direct samen met de Smartcard reader. Daar zit een stukje middleware tussen.

Waar je naar kan kijken is SafeSign software als middleware. met een omnikey cardreader. Deze werkt iig samen. Maar er zijn ook toetsenborden met een smartcard reader ingebouwd. Dat is ook erg handig, scheelt weer een device op het bureau
De smartcards zijn verschillende leveranciers van, RSA, Gemalto zijn er even 2.

Deze smartcards werken allen hetzelfde. De middleware zorgt voor een standaard (PKCS#11) manier van praten tussen software en smartcard.

[ Voor 10% gewijzigd door Equator op 18-09-2009 20:14 ]

Relevant topic.

De fabrikant van de tokens heeft een centrale database die bijvoorbeeld gekopperl wordt aan een Active Directory omgeving. (Of een andere bestaande user database.)
Aladdin en RSA zijn bekende merken. Vasco is erg populair bij de banken. ( Bijvoorbeeld bekent van de Rabo-reader. )

Optie 1 is gebaseerd op basis van PKI certificaten die uitgerond worden op de tokens. ( Dit zijn niet zomaar USB sticks, maar hier zit een specifieke chip in, met encryptie engine.) Voordeel is dat je ook andere info op de USB token kan opslaan. (Zoals wachtwoorden van websites.) Nadeel is dat je een extra client moet installeren als je het USB token wil gebruiken.

Een andere optie is gebaseerd op One Time Password (OTP). Hierbij geef je een PIN code + een gegenereerde code in. Dit werkt vaak al samen met de VPN client van de VPN appliance. ( In dit geval de ASA. ) Voordeel is dus dat je geen extra client hoeft te installeren. Dit is handig bij unmanaged PC's, zoals PC's in een internet café, of privé PC's van werknemers thuis. De fabrikant van de van de tokens kan je de juiste documentatie verschaffen. ( Anders zou Cisco voor elke token fabrikant documentatie moeten maken. )

Cisco ASA's, of bijvoorbeeld Checkpoints zijn erg gangbaar en wordt gewoon ondersteund door de fabrikant van de tokens.

Verwijderd schreef op dinsdag 22 september 2009 @ 16:17:
bedankt voor alle feedback. Ik heb inmiddels de nodige pagina's gelezen en leverancier aangeschreven.
Ik post later nog wat meer algemene informatie over de (standaard) mogelijkheden.

Ik ben erg benieuwd wat hier uit komt, aangezien ik zelf over hetzelfde na zit te denken als je hier beschrijft. Waar mijn voorkeur naar uit zou gaan is de OTP oplossing, d.m.v. random token.

Misschien ook nog wel intresant om naar te kijken als je iets wil gaan doen met OTP.

www.smspasscode.com

Hierbij vervang je de hardware token door een "sms", na username password invoeren wordt er een sms bericht naar het telefoon nummer gestuurd wat gekoppeld is aan de user. User kijkt op z'n mobiel en de code verschijnt automatisch op het scherm.

Sms komt ook niet in je berichten box omdat het een network message is en deze alleen eenmalig getoond worden.

In ons geval zagen wij hier meer in dan in kwijtrakende en vergeten tokens. En de aanschaf en beheers kosten z'n ook relatief laag.

Moet je bij smspasscode.com naast de OTP code ook een PIN code opgeven?
Zo niet --> Dan is het even veilig als een wachtwoord.

Het idee van Tokens is dat je 2 (of 3) factor authenticatie hebt:

• Iets wat je hebt/bezit.
  ( Een sleutel, hardware Token of OTP code )
• Iets wat je weet.
  ( Persoonlijke PIN code, of wachtwoorden )
• Iets wat je bent.
  ( Pasfoto, iris scan, of vinger afdrukken )

Hoe meer factoren hoe sterker de authenticatie.
Zo kan je een PIN code combineren met een iris scan en een Token voor een 3 factor authenticatie.

Daarom is authenticatie met alleen vingerafdrukken niet veilig.
( Naast dat ze makkelijk na te maken zijn... )

Bl@ckbird schreef op woensdag 23 september 2009 @ 12:54:
Moet je bij smspasscode.com naast de OTP code ook een PIN code opgeven?
Zo niet --> Dan is het even veilig als een wachtwoord.

Het idee van Tokens is dat je 2 (of 3) factor authenticatie hebt:

• Iets wat je hebt/bezit.
  ( Een sleutel, hardware Token of OTP code )
• Iets wat je weet.
  ( Persoonlijke PIN code, of wachtwoorden )
• Iets wat je bent.
  ( Pasfoto, iris scan, of vinger afdrukken )

Hoe meer factoren hoe sterker de authenticatie.
Zo kan je een PIN code combineren met een iris scan en een Token voor een 3 factor authenticatie.

Daarom is authenticatie met alleen vingerafdrukken niet veilig.
( Naast dat ze makkelijk na te maken zijn... )

Het grote voordeel van een hardwaretoken, i.p.v. een sms code, is bij ons (i.v.m. software support contracten) de tokens bij ons kunnen blijven liggen. Hiermee wordt bedoeld dat als ze voor onderhoud aan de software willen inloggen dit altijd via ons moet gebeuren, en ze dus niet zomaar op de systemen kunnen inloggen.
Met een sms is dit lastiger, omdat hun het smsje krijgen, of iemand binnen de organisatie (die dan op dat moment natuurlijk altijd vrij heeft)..