Home-Office aber sicher: SSL VPN mit OTP (Sophos SG Firewall)
Kurzfassung - Mit dem ab dem 24.11.2021 geltenden Infektionsschutzgesetz werden wieder einige Unternehmen Ihren Mitarbeitern die Möglichkeit zur Arbeit im Home Office geben. VPN-Verbindungen sollten dabei möglichst mit einer Multi-Faktor-Authentifizierung abgesichert werden, um der IT-Sicherheit auch im Home-Office Sorge zu tragen. Wir zeigen wie die Einrichtung mit OTP auf der Sophos SG Firewall funktioniert.
Dienstag, 23. November 2021Um Mitarbeitern die Möglichkeit zu geben, auch aus dem Home-Office zu arbeiten, verwenden die meisten Unternehmen eine VPN-Verbindung für die Einwahl in das Unternehmensnetzwerk. Ein VPN baut die Verbindung zwischen dem Computer im Heimnetzwerk und dem Firmennetzwerk auf. Bei einer einfachen Konfiguration verwenden BenutzerInnen dazu Benutzernamen und Passwort aus der Active Directory (Domäne.)
Hier ergibt sich ein Problem: Die VPN-Konfiguration, Benutzername und Kennwort können gestohlen werden und so können auch Dritte im Namen des Opfers Zugang zum Unternehmensnetzwerk erhalten. Um dieses Risiko deutlich zu mininieren sollte für die VPNs eine Multi-Faktor-Authentisierung eingerichtet werden.
Einmaliges Kennwort (OTP) auf der Sophos-Firewall (SG) konfigurieren
Die Einrichtung einer MFA-Authentisierung beim Aufbau einer VPN mithilfe eines sogenannten One-Time-Passwords (OTP) ist auf der Sophos UTM in wenigen Schritten erledigt.
- Melden Sie sich am WebAdmin Ihrer Sophos UTM an und navigieren Sie zum Punkt Definition & Benutzer → Authentifizierungsdienste auf den Reiter Einmaliges Kennwort (OTP).Aktivieren Sie zunächst OTP mit dem Schalter oben rechts.
- Legen Sie in den Authentifizierungseinstellungen fest, ob alle BenutzerInnen oder nur bestimmte Benutzergruppen Einmalpasswörter (OTP) verwenden müssen.
Anmeldung der Benutzer am Sophos Benutzerportal zur Einrichtung des OTP
Nachdem Sie für NutzerInenn die OTP-Funktion aktiviert haben, müssen sich diese für die erstmalige Konfiguration an Sophos-Benutzerporal anmelden. Nach der Anmeldung wird der QR-Code zur Einrichtung von OTP erstmalig angezeigt. Diesen müssen die NutzerInnen mit einer geeigneten OTP-App scannen. Geeignete Apps sind z. B. die Authenticator Apps von Google, Microsoft, Sophos oder DUO.
Nach erfolgreichem Scan müssen NutzerInnen dann bei der Anmeldung am Benutzerportal und bei der Verwendung der VPN neben Ihrem Passwort auch den OTP aus der App miteingeben.
Als Passwort geben NutzerInnen nun das Passwort gefolgt vom OTP ein. Ist das Passwort beispielsweise "SuP3RS!cH3R42" und der Token "323968" ist das neuen Anmeldepasswort in der VPN "SuP3RS!cH3R42323968".
Kontrolle und Konfiguration der OTP-Tokens aller konfigurierten NutzerInnen
Zur Kontrolle der konfigurierten OTP-Token gibt es im Sophos WebAdmin eine Übersichtsliste. In dieser Liste können die Token zurückgesetzt, gelöscht, deaktiviert oder bearbeitet werden.
Zurück zur Übersicht