9
2FA für RD Gateway
Hallo Leute,
wir suchen derzeit eine 2FA Lösung die folgende Systeme abdeckt:
1. Exchange/OWA
2. VPN
3. RDS Farm
die ersten beiden Punkte sind kein Problem für die Anbieter. Allerdings Punkt 3.
Wir nutzen auf unserer RD Farm nicht nur Anwendungen auf TS-Servern, sondern auch die Funktionalität, dass man sich per RDP auf seinen Computer verbinden kann (Verbindung mit einem Remote-PC herstellen).
Ich würde gerne mal in die Runde fragen, ob jemand von euch ein Produkt / einen Hersteller kennt, der eine 2 Faktor Authentifizierung für RD-Gateway anbietet - die auch funktioniert - OHNE, dass man die Funktionalität des RD-Gateway verliert - sprich die RD-CAP und RD-RAP Regeln nicht mehr funktionieren.
Wenn man diese Regelsätze verliert, also nicht mehr steuern kann, wer auf welche Ressourcen zugreifen darf, und stattdessen halt nur mit seiner 2 FA bestätigt "Ja hallo, ich bins" ist das für uns kein Sicherheitsgewinn, für den man auch noch Geld zahlen soll/muss.
Wir haben bereits einige Hersteller durch - viele reißen zuerst die Klappe auf "Alles gar kein Problem".
Spricht man sie dann konkret darauf an, stellt sich dann doch raus, dass sie es nicht können - und/oder die Thematik teils noch nicht mal verstehen.
So zum Beispiel das Produkt von Cisco
https://duo.com/docs/rdgateway
In diesem Beispiel müsste man also den 2FA Client auf allen erreichbaren Endgeräten installieren. Ziemlich umständliche Geschichte.
Bis jetzt ist mir nur diese Firma hier bekannt die "behauptet", dass man mit Ihrer Lösung das RD-Gateway absichern kann, ohne die Regelsätze auf dem Gateway zu verlieren. Ob das stimmt, oder ob das auch wieder nur ein wenig geflunkert ist um den Fuß in die Tür zu bekommen weiß ich nicht, da wir mit diesem Hersteller noch nicht ins Detail gegangen sind, da die Preise für deren Lösung einfach jenseits von Gut und Böse waren.
https://www.secsign.com
Hat hier evtl. jemand von euch diesbezüglich Erfahrungen? Evtl. geht das mit Microsoft Azure? Da habe ich bisher 0 Erfahrung mit sammeln können.
VG
wir suchen derzeit eine 2FA Lösung die folgende Systeme abdeckt:
1. Exchange/OWA
2. VPN
3. RDS Farm
die ersten beiden Punkte sind kein Problem für die Anbieter. Allerdings Punkt 3.
Wir nutzen auf unserer RD Farm nicht nur Anwendungen auf TS-Servern, sondern auch die Funktionalität, dass man sich per RDP auf seinen Computer verbinden kann (Verbindung mit einem Remote-PC herstellen).
Ich würde gerne mal in die Runde fragen, ob jemand von euch ein Produkt / einen Hersteller kennt, der eine 2 Faktor Authentifizierung für RD-Gateway anbietet - die auch funktioniert - OHNE, dass man die Funktionalität des RD-Gateway verliert - sprich die RD-CAP und RD-RAP Regeln nicht mehr funktionieren.
Wenn man diese Regelsätze verliert, also nicht mehr steuern kann, wer auf welche Ressourcen zugreifen darf, und stattdessen halt nur mit seiner 2 FA bestätigt "Ja hallo, ich bins" ist das für uns kein Sicherheitsgewinn, für den man auch noch Geld zahlen soll/muss.
Wir haben bereits einige Hersteller durch - viele reißen zuerst die Klappe auf "Alles gar kein Problem".
Spricht man sie dann konkret darauf an, stellt sich dann doch raus, dass sie es nicht können - und/oder die Thematik teils noch nicht mal verstehen.
So zum Beispiel das Produkt von Cisco
https://duo.com/docs/rdgateway
In diesem Beispiel müsste man also den 2FA Client auf allen erreichbaren Endgeräten installieren. Ziemlich umständliche Geschichte.
Bis jetzt ist mir nur diese Firma hier bekannt die "behauptet", dass man mit Ihrer Lösung das RD-Gateway absichern kann, ohne die Regelsätze auf dem Gateway zu verlieren. Ob das stimmt, oder ob das auch wieder nur ein wenig geflunkert ist um den Fuß in die Tür zu bekommen weiß ich nicht, da wir mit diesem Hersteller noch nicht ins Detail gegangen sind, da die Preise für deren Lösung einfach jenseits von Gut und Böse waren.
https://www.secsign.com
Hat hier evtl. jemand von euch diesbezüglich Erfahrungen? Evtl. geht das mit Microsoft Azure? Da habe ich bisher 0 Erfahrung mit sammeln können.
VG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6014132509
Url: https://administrator.de/contentid/6014132509
Printed on: April 25, 2024 at 06:04 o'clock
9 Comments
Latest comment
Hallo,
diesen Beitrag kennst du in Verbindung Azure MFA?
www.graber.cloud/integration-azure-mfa-in-rds/
diesen Beitrag kennst du in Verbindung Azure MFA?
www.graber.cloud/integration-azure-mfa-in-rds/
Nein, den kannte ich noch nicht - wie gesagt mit Azure absolut noch keine Erfahrungen gemacht.
Schaue ich mir mal an, danke.
Schaue ich mir mal an, danke.
Über Azure wird nur das MFA abgewickelt.
Das MFA von Azure binden wir bei uns bei sämtlichen Diensten an, wenn SAML möglich ist.
Das MFA von Azure binden wir bei uns bei sämtlichen Diensten an, wenn SAML möglich ist.
Moin,
Gruß,
Dani
3. RDS Farm
Safenet und Vasco bieten hierfür entsprechende Lösungen an. Bei privacyIDEA bin ich mir nicht sicher, wie die Implantierung erfolgt ist.Gruß,
Dani
Moin.
Vielleicht damit?
https://help.eset.com/esa/30/en-US/remote-desktop-gateway-and-esa-radius ...
Cheers,
jsysde
Vielleicht damit?
https://help.eset.com/esa/30/en-US/remote-desktop-gateway-and-esa-radius ...
Cheers,
jsysde
Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
3. RDS Farm
Safenet und Vasco bieten hierfür entsprechende Lösungen an. Bei privacyIDEA bin ich mir nicht sicher, wie die Implantierung erfolgt ist.Gruß,
Dani
Hey Dani, danke für den Hinweis. Leider kann ich dazu keine Informationen finden. Kannst du mir diesbezüglich links geben?
Also Lösungen bieten ja viele an - nur wie bereits gesagt ist es bisher immer so, dass man die eigentliche Funktionalität des RD-Gateways, nämlich die Steuerung wer wohin zugreifen darf komplett verliert!
Und das ist halt kein Sicherheitsgewinn - im Gegenteil!
Moin,
hab grad erfahren, dass leider mein Wissen überholt ist:
Auf die Schnelle habe ich folgende Links für dich:
https://supportportal.gemalto.com/csm/?id=kb_category&kb=d105b62cdba ...
https://www.onespan.com/de/products/authentifizierungsserver/funktionen
https://www.onespan.com/sites/default/files/2020-04/OAS%20Remote%20Deskt ...
Du wirst aber nicht drum rum kommen den Hersteller zu kontaktieren. Beide Hersteller stellen ohne Zugang zum Portal keine weiteren, detaillierten Informationen mehr zur Verfügung.
Gruß,
Dani
hab grad erfahren, dass leider mein Wissen überholt ist:
- VASCO heißt inzwischen OneSpan
- Safenet gehört zu Thales Group
Auf die Schnelle habe ich folgende Links für dich:
https://supportportal.gemalto.com/csm/?id=kb_category&kb=d105b62cdba ...
https://www.onespan.com/de/products/authentifizierungsserver/funktionen
https://www.onespan.com/sites/default/files/2020-04/OAS%20Remote%20Deskt ...
Du wirst aber nicht drum rum kommen den Hersteller zu kontaktieren. Beide Hersteller stellen ohne Zugang zum Portal keine weiteren, detaillierten Informationen mehr zur Verfügung.
Gruß,
Dani
Danke Dani,
hab die beiden Hersteller mal angeschrieben. Bin mal gespannt.
hab die beiden Hersteller mal angeschrieben. Bin mal gespannt.
Moin Kangaroojack,
konntest du eine Lösung zu deinem Problem finden?
Beste Grüße
