Zugriffe auf Datacenter-Ressourcen per 2FA schützen
Bodyguard für das RZ
Die Zwei-Faktor-Authentifizierung (2FA) ist endgültig in den IT-Abteilungen angekommen. Auch im Endverbrauchermarkt ist das Thema gesetzt: bei Google schon seit Langem, bei Facebook seit Anfang dieses Jahres. Vor allem im Unternehmensumfeld bietet die Zwei- oder Mehr-Faktor-Authentifizierung (MFA) ein probates Mittel, um Zugänge ins Netzwerk oder RZ und somit den Zugriff auf sensible Daten zuverlässig abzusichern.
Zwei- oder Mehr-Faktor-Authentifizierung hat viele Ausprägungen und wird von vielen Anwendern, aber gerade auch Anbietern unterschiedlich verstanden. Prinzipiell besagt 2FA, dass ein Benutzer für den Anmeldevorgang zwei Komponenten (Faktoren) aus den Bereichen Wissen, Besitz und Eigenschaft vorweisen muss, mit dem Ziel, einem Angreifer den Zugriff auf Ressourcen zu erschweren. 2FA soll dies erreichen, indem die Angriffsmöglichkeiten auf den zweiten Faktor außerhalb des üblichen Skill-Profils eines Angreifers liegen: Der Diebstahl von Besitz (zum Beispiel eines Tokens) erfordert andere Fertigkeiten und andere Angriffswege als der automatisierbare Angriff auf Passwörter oder Passwortdatenbanken.
Besitzfaktoren nehmen heute allerdings aufgrund der vermehrten Smartphone-Nutzung eine virtuelle Form an, sodass sich auch hier wieder die klassischen Angriffswege auftun, die ein Angreifer auch für Passwörter nutzen kann. Dies sollte der IT-Verantwortliche bei der Bewertung einer passenden Zwei-Faktor-Lösung im Hinterkopf behalten.
Die Technik
Besitzfaktoren sind kryptografisch realisiert: Smartphone-Apps, Smartcards oder hardwarebasierte OTP-Token (One-Time Password) sind technisch gesehen Speicher für kryptografisches Schlüsselmaterial. Wer dieses Schlüsselmaterial besitzt, ist im Besitz des zweiten Faktors. Beim Angriff auf einen solchen zweiten Faktor geht es also letztlich nicht notwendigerweise darum, das reale Smartphone oder den realen Hardware-Token zu stehlen, sondern das darauf befindliche Schlüsselmaterial.
Bei der Authentifizierung können symmetrische und asymmetrische kryptografische Algorithmen zum Einsatz kommen. Im Falle von symmetrischen Algorithmen existiert der gleiche geheime Schlüssel sowohl auf Server-Seite als auch im Authentisierungsgerät oder Besitzfaktor. Um den Besitzfaktor zu stehlen oder eine Kopie davon zu erlangen, hat der Angreifer also die Möglichkeit, das Endgerät, den Server oder auch den Rollout-Prozess anzugreifen. Symmetrische Schlüssel kommen vor allem bei Einmal-Passwort-Lösungen zum Einsatz, wie sie zum Beispiel bei Google Authenticator implementiert sind.
Im Fall von asymmetrischen Algorithmen repräsentiert ein privater Schlüssel den Besitz-Faktor, die Server-Komponente enthält lediglich den öffentlichen Schlüssel. Die Angriffsszenarien für den Angreifer beschränken sich also auf den Rollout-Prozess oder das Authentisierungsgerät selbst.
Asymmetrische Algorithmen kommen beispielsweise bei Smartcards zum Einsatz. Im täglichen Betrieb muss sich der Administrator also nicht fragen, wie gut ein Benutzer auf sein Smartphone aufpasst, sondern wie sicher der Rollout-Prozess ist und wie gut das Schlüsselmaterial auf den Smartphones der Benutzer geschützt ist.
Zugriffsvarianten
Benutzer, die auf Ressourcen im Datacenter zugreifen, kann man grob in zwei Gruppen teilen: Administratoren greifen zum Beispiel mittels SSH (Secure Shell), RDP (Remote Desktop Protocol) oder über ein VPN auf die Systeme im Datacenter zu. Normale Anwender nutzen hingegen die Applikationen, die das Unternehmen im Rechenzentrum bereitstellt. Oft sind dies Web-Applikationen, sodass die Benutzer per Browser oder App, die die API der Web-Applikation bedient, Zugriff erhalten.
In diesen Szenarien kommen unterschiedliche Authentifizierungsprotokolle zum Einsatz, die der Administrator nun mit einem zweiten Faktor absichern muss. VPN und SSH nutzen klassische Protokolle wie Radius (Remote Access Dial-in User Service) oder den PAM-Stack (Pluggable Authentication Module). Web-Applikationen können SAML (Security Assertion Markup Language), OAuth (Open Authorization) oder ein Plugin verwenden, das eine API bedient. Die 2FA-Lösung muss die verwendeten Protokolle unterstützen. Systeme und Applikationen sind oftmals über mehrere Standorte redundant verteilt. Dies muss der IT-Verantwortliche bei der Wahl der 2FA-Lösung ebenfalls beachten.
Soll 2FA für viele Systeme und Benutzer zum Einsatz kommen, ist die Nutzung einer zentralen Verwaltung geboten. So kann die IT-Abteilung nachvollziehen, welcher Benutzer welches Authentisierungsgerät hat oder wann fehlgeschlagene Anmeldeversuche vorgekommen sind. Verlorene Authentisierungsgeräte sind dann leichter zu ersetzen, Prozesse lassen sich automatisieren. Dies erleichtert die Administration und hilft dem Helpdesk bei der Fehlersuche.
2FA aus der Cloud
Gehostete Authentifizierungsdienste sind von verschiedenen Anbietern verfügbar. Diese Lösungen müssen nicht im eigenen Datacenter laufen und beschleunigen so die Implementierung. Der Administrator muss die Applikationen lediglich umkonfigurieren, sodass die Authentifizierung gegen den Cloud-Dienst erfolgt.
Der Aufbau von Know-how und die Pflege eines Authentifizierungsdienstes hält sich so in Grenzen. Allerdings liegt die Kontrolle nicht mehr in den Händen der eigenen IT-Abteilung oder des eigenen Unternehmens. Oft setzen die Anbieter von Cloud-Authentifizierungsdiensten nur auf einen Typ eines Authentisierungsgeräts. In größeren Umgebungen mit unterschiedlichen Anforderungen kann dies einen Nachteil darstellen.
Zu nennen sind hier Global Player wie Gemalto. Der Safenet Authentication Service (früher Cryptocard Blackshield) ermöglicht es dem Benutzer, neben dem Smartphone auch ein OTP Keyfob Token zu nutzen. Duo Security und Authy hingegen setzen ausschließlich auf bequeme Smartphone-Apps, die teilweise die Authentifizierung über Push Notifications durchführen. Wer sich jedoch aus politischen Gründen nicht auf Privacy Shield verlassen will, muss den Anbieter nicht in den USA suchen. Auch in Deutschland gibt es kleinere, aber durchaus attraktive Cloud-Authentifizierungsdienste. So bietet das deutsche Unternehmen Rempartec 2FA mittels hardwarebasierter OTP-Karten im Scheckkartenformat an.
2FA im eigenen Datacenter
Neben den Cloud-Lösungen gibt es Lösungen, die ein Unternehmen im eigenen Datacenter ("on Premises") unter eigener Kontrolle betreiben kann. Zwar muss es hier einen höheren administrativen Aufwand in Kauf nehmen, doch behält das Unternehmen den Authentifizierungprozess unter eigener Kontrolle, und die Systeme erlauben oft eine flexiblere Konfiguration.
Ebenfalls aus dem Hause Gemalto kommt hierfür der Safenet Authentication Manager. Er unterstützt sowohl OTP-Token und Smartphones als auch PKI-Smartcards. Das aus Schweden stammende Unternehmen Versasec bietet mit Vsec CMS eine Zwei-Faktor-Lösung, die die Smartcard-Funktionen von Yubikeys verwalten kann. Das französische Unternehmen RC Devs verkauft die modulare Einmal-Passwort-Lösung Open OTP.
Privacyidea ist eine unternehmenstaugliche Open-Source-Lösung. Sie unterstützt viele verschiedene OTP-Token, Smartphones sowie Yubikeys und verwaltet Zertifikate und SSH-Schlüssel. Auch bietet sie interessante Funktionen wie einen Event Handler, mit dem der Administrator beliebige automatisierte Prozesse definieren kann. Das entwickelnde Unternehmen bietet zudem professionellen Support.
Sollen Endanwender oder Endkunden auf eine Applikation im Datacenter zugreifen, so ist U2F (Universal Second Factor) ein probates Mittel. Der Benutzer kann sein eigenes Gerät, das er schon für andere Dienste verwendet, hier erneut registrieren. Dies senkt die Kosten, verringert den Rollout-Aufwand und bindet den Benutzer stärker an seinen zweiten Faktor, da er mit genau einem Gerät auf viele verschiedene Dienste zugreift. Lösungen wie Open OTP oder Privacyidea sind in der Lage, U2F-Geräte zu registrieren und zu verwalten.
Heute gibt es viele Möglichkeiten, eine Zwei-Faktor-Authentifizierung zu realisieren. Unterschiedliche Techniken bieten Vor- und Nachteile und passen für unterschiedliche Anwendungsfälle. Cloud-Authentifizierungsdienste haben zur Verbreitung von 2FA erheblich beigetragen. Doch ein lokal betriebener Authentifizierungsdienst hat nach wie vor seine eigenen Vorteile.
Markt verändert sich
Es steckt starke Bewegung im 2FA-Markt und wie wir uns in einigen Jahren authentisieren werden, ist heute noch nicht sicher. Zum Jahreswechsel versetzte die US-Behörde NIST (National Institute of Standards and Technology) der Authentifizierung mittels SMS einen schweren Schlag, indem sie in ihrer Authentfizierungsrichtlinie ("Digital Authentication Guideline") die Nutzung von SMS als zweiten Faktor nicht mehr zuließ. Dies zeigt, dass auch 2FA-Techniken einen begrenzten Lebenszyklus haben. Die Authentifizierungslösung der Wahl sollte es also ermöglichen, auf solche Entwicklungen im Markt durch Erweiterung oder sanfte Migration zu reagieren.
Lesen Sie mehr zum Thema
