Twee Factor authenticatie (klein) Windows domein

Je kunt dit aanpakken via Fortinet. Zij hebben FortiGate firewalls met Token (FortiToken, hard en soft) functie. Dit i.c.m. de SSL VPN welke zij bieden, ben je direct van je L2TP vpn en Draytek router af.

Bernard0343 schreef op donderdag 26 juli 2018 @ 11:41:
[...]


Ha @tweakict
Dank voor je antwoord, met je oplossing los ik het 'inlogprobleem' via de VPN op, ik wil 2FA ook (en vooral) inzetten voor lokaal inloggen....

2FA kan lokaal ook gewoon met pasjes (met certificaat erop) i.c.m. pincode. Iets wat je hebt en iets wat je weet: 2FA dus.

Ik werk zelf in de financiele sector en daar zijn zulke oplossingen vrij normaal.

Bernard0343 schreef op donderdag 26 juli 2018 @ 11:45:
[...]


Weet ik Maar hoe kan ik dit het beste implementeren

Dat hangt er vanaf hoe jullie organisatie werkt en ik denk dat niemand het antwoord kan geven hoe je dit het beste kunt implementeren. Wat staat er in het beleidsdocument BYOD? Kan een medewerker kiezen voor MDM bij het gebruik van de Authenticator app op een privetelefoon?

Wat heb je zelf al geprobeerd? Welke Office 365 licenties heb je? Zit daar Azure AD Premium bij of minstens Azure MFA? Die Draytek VPN functionaliteit kun je overigens koppelen aan de Microsoft Multi Factor Authentication Server. Draytek WiFi accesspoints kun je ook aan de MFA server koppelen.

[ Voor 19% gewijzigd door Trommelrem op 26-07-2018 11:54 ]

Bernard0343 schreef op donderdag 26 juli 2018 @ 11:41:
[...]


Ha @tweakict
Dank voor je antwoord, met je oplossing los ik het 'inlogprobleem' via de VPN op. Echter, ik wil 2FA ook (en vooral) inzetten voor het inloggen op het lokale windows domein....

Die tokens (2FA) kunnen ook gebruikt worden voor logins op de Windows laag. Via FortiAuthenticator (LDAP)

Met deze oplossing sla je direct 4 (5?) slagen.
1) Secure next-gen UTM firewall oplossing met SSL VPN.
2) L2TP vervangen door SSL VPN.
3) 2FA via SSL VPN.
4) 2FA op Windows via FortiAuthenticator (LDAP) appliance.
5) Draytek router kun je vervangen door punt 1.

Alle implementatie stukken staan op https://docs.fortinet.com

EDIT:
Azure 2FA is erg interessant, alleen dan zit nog met een redelijke brakke VPN ingang en smartphone verplichting voor de 2FA OTP op privé eigendom (BYOD)

[ Voor 37% gewijzigd door tweakict op 26-07-2018 11:56 ]

Bernard0343 schreef op donderdag 26 juli 2018 @ 11:34:
Ha Allen,

Om het inloggen van mijn gebruikers beter te beveiligen wil ik graag met twee factor authenticatie via hardware tokens gaan werken. (bijvoorbeeld Yubikey of een RSA token ). Gebruikers hebben géén bedrijfstelefoons, 2fa via een app is dus niet mogelijk.

Mijn vragen:

• Wie heeft hier ervaring mee? Waar moet ik op letten bij implementatie?
• Welke oplossing geniet je voorkeur en waarom?

Verdere relevante informatie :

• +/- 10 users, allemaal met roaming profiles (ivm wisselende werkplekken)
• Twee DC's aanwezig, beiden zijn DC:
• 1x WS 2012 Essentials
• 1x WS 2012 Standard
• L2tp VPN via Draytek 2925 router
• We gebruiken Office365, maar gebruik van OneDrive en webmail wordt ontmoedigd.

alvast bedankt voor je reactie!!

Definieer eerst eens wat je exact wilt bereiken?

Wat zijn je eisen wensen, of wel je requirements.

VPN zou je bijvoorbeeld al via een Certificaat kunnen doen op de Windows servers.
Eventueel bedrijfstelefoons aanschaffen, icm Azure MFA?

Wij gebruiken een on-premise Microsoft MFA-server, incl. hardware (OTP) tokens.
https://docs.microsoft.co...on/howto-mfaserver-deploy

Je bent daar sowieso flexibel mee, gezien App, SMS of belletjes ook nog mogelijk zijn later, dit kan uiteraard worden uitgezet. MFA-Authenticatie kan o.a. via RADIUS, ADFS, LDAP.

Zover mij bekend kunnen wij overigens alleen OTP-gebruiken als er ADFS-authenticatie wordt gedaan, dan krijgen we een extra form na het normaal inloggen om de OTP-code in te vullen. Dat is via RADIUS niet mogelijk.

Update:
The MFA Server only supports PAP (password authentication protocol) and MSCHAPv2 (Microsoft's Challenge-Handshake Authentication Protocol) RADIUS protocols when acting as a RADIUS server. Other protocols, like EAP (extensible authentication protocol), can be used when the MFA server acts as a RADIUS proxy to another RADIUS server that supports that protocol.
In this configuration, one-way SMS and OATH tokens don't work since the MFA Server can't initiate a successful RADIUS Challenge response using alternative protocols.

https://docs.microsoft.co...owto-mfaserver-dir-radius

Wat wel kan:

Authenticatiepagina maken, welk dan met een IIS / ADFS-form werkt en authenticeren.
Je kunt namelijk instellen dat als er een keer is ingelogd d.m.v. MFA, er daarna voor 5 minuten geen MFA-plicht is. Hierdoor zal RADIUS je dan dus doorlaten, gezien MFA-plicht dan tijdelijk is opgeheven.

[ Voor 47% gewijzigd door VHware op 26-07-2018 13:51 . Reden: RADIUS ]

Bernard0343 schreef op donderdag 26 juli 2018 @ 13:27:
[...]


Dank!
We zijn een kleinere club en vendors van 2FA oplossingen richten zich (vooral) op grotere organisaties, vandaar mijn vragen hier. Natuurlijk ben ik niet op zoek naar klant-en-klare oplossingen maar naar ervaringen en tips!

Over het BYOD-beleid; Wij voeren een actief LYOD (leave your own device) beleid. We willen niet dat privé spullen worden gebruikt voor bedrijfsdoeleinden. Zelfs het thuis of op je mobiel lezen van mail door medewerkers wordt ontmoedigd. Alleen twee bedrijfslaptops kunnen via VPN inloggen op ons bedrijfsnetwerk, zodat één collega en ik remote kunnen werken. We gebruiken Office365 Premium, dat is incl Azure AD.

Azure AD is niet voldoende. Je hebt Azure AD Premium of Azure MFA nodig. Dan kun je door middel van Multi Factor Server al heel veel zaken op MFA zetten. Zie o.a. VHware in "Twee Factor authenticatie (klein) Windows domein"

https://duo.com/

Is prima om per server in te stellen en je hebt diverse welke vorm van token je wilt gebruiken.

ESET heeft daar een oplossing voor. Die doet zowel O365 als pc login
https://www.eset.com/us/b...wo-factor-authentication/