IT-Sicherheit

Home-Office aber sicher: SSL VPN mit OTP (Sophos SG Firewall)

Kurzfassung - Mit dem ab dem 24.11.2021 geltenden Infektionsschutzgesetz werden wieder einige Unternehmen Ihren Mitarbeitern die Möglichkeit zur Arbeit im Home Office geben. VPN-Verbindungen sollten dabei möglichst mit einer Multi-Faktor-Authentifizierung abgesichert werden, um der IT-Sicherheit auch im Home-Office Sorge zu tragen. Wir zeigen wie die Einrichtung mit OTP auf der Sophos SG Firewall funktioniert.

Dienstag, 23. November 2021
Multifaktor Authentifizierung für die gesicherte Verbindung per VPN zur IT im Unternehmen

Um Mitarbeitern die Möglichkeit zu geben, auch aus dem Home-Office zu arbeiten, verwenden die meisten Unternehmen eine VPN-Verbindung für die Einwahl in das Unternehmensnetzwerk. Ein VPN baut die Verbindung zwischen dem Computer im Heimnetzwerk und dem Firmennetzwerk auf. Bei einer einfachen Konfiguration verwenden BenutzerInnen dazu Benutzernamen und Passwort aus der Active Directory (Domäne.)

Hier ergibt sich ein Problem: Die VPN-Konfiguration, Benutzername und Kennwort können gestohlen werden und so können auch Dritte im Namen des Opfers Zugang zum Unternehmensnetzwerk erhalten. Um dieses Risiko deutlich zu mininieren sollte für die VPNs eine Multi-Faktor-Authentisierung eingerichtet werden.

Einmaliges Kennwort (OTP) auf der Sophos-Firewall (SG) konfigurieren

Die Einrichtung einer MFA-Authentisierung beim Aufbau einer VPN mithilfe eines sogenannten One-Time-Passwords (OTP) ist auf der Sophos UTM in wenigen Schritten erledigt.

  1. Melden Sie sich am WebAdmin Ihrer Sophos UTM an und navigieren Sie zum Punkt Definition & Benutzer → Authentifizierungsdienste auf den Reiter Einmaliges Kennwort (OTP).Aktivieren Sie zunächst OTP mit dem Schalter oben rechts.
  2. Legen Sie in den Authentifizierungseinstellungen fest, ob alle BenutzerInnen oder nur bestimmte Benutzergruppen Einmalpasswörter (OTP) verwenden müssen. Sophos UTM OTP Einstellungen

Anmeldung der Benutzer am Sophos Benutzerportal zur Einrichtung des OTP

Nachdem Sie für NutzerInenn die OTP-Funktion aktiviert haben, müssen sich diese für die erstmalige Konfiguration an Sophos-Benutzerporal anmelden. Nach der Anmeldung wird der QR-Code zur Einrichtung von OTP erstmalig angezeigt. Diesen müssen die NutzerInnen mit einer geeigneten OTP-App scannen. Geeignete Apps sind z. B. die Authenticator Apps von Google, Microsoft, Sophos oder DUO.

Benutzer OTP-Konfiguration

Nach erfolgreichem Scan müssen NutzerInnen dann bei der Anmeldung am Benutzerportal und bei der Verwendung der VPN neben Ihrem Passwort auch den OTP aus der App miteingeben.

Sophos Authenticator App

Als Passwort geben NutzerInnen nun das Passwort gefolgt vom OTP ein. Ist das Passwort beispielsweise "SuP3RS!cH3R42" und der Token "323968" ist das neuen Anmeldepasswort in der VPN "SuP3RS!cH3R42323968".

Kontrolle und Konfiguration der OTP-Tokens aller konfigurierten NutzerInnen

Zur Kontrolle der konfigurierten OTP-Token gibt es im Sophos WebAdmin eine Übersichtsliste. In dieser Liste können die Token zurückgesetzt, gelöscht, deaktiviert oder bearbeitet werden.

Sophos OTP Benutzerliste Zurück zur Übersicht
Telefon
Telefon
+49220223990
Kontaktformular
Kontaktformular

Sie haben weitere Fragen? Schildern Sie uns Ihr Anliegen und wir melden uns schnellstmöglich bei Ihnen zurück.

Ich habe die Datenschutzerklärung zur Kenntnis genommen. Ich stimme zu, dass meine Angaben zur Kontaktaufnahme und für Rückfragen dauerhaft gespeichert werden. Absenden
Live-Chat
Live-Chat

Wie können wir Ihnen behilflich sein? Chatten Sie mit uns! Einer unserer Experten wird unverzüglich für Sie zur Verfügung stehen.

Ich habe die Datenschutzerklärung zur Kenntnis genommen. Ich stimme zu, dass meine Angaben zur Kontaktaufnahme und für Rückfragen dauerhaft gespeichert werden. Chat starten