kangaroojack
Goto Top

2FA für RD Gateway

Hallo Leute,

wir suchen derzeit eine 2FA Lösung die folgende Systeme abdeckt:

1. Exchange/OWA
2. VPN
3. RDS Farm

die ersten beiden Punkte sind kein Problem für die Anbieter. Allerdings Punkt 3.

Wir nutzen auf unserer RD Farm nicht nur Anwendungen auf TS-Servern, sondern auch die Funktionalität, dass man sich per RDP auf seinen Computer verbinden kann (Verbindung mit einem Remote-PC herstellen).

Ich würde gerne mal in die Runde fragen, ob jemand von euch ein Produkt / einen Hersteller kennt, der eine 2 Faktor Authentifizierung für RD-Gateway anbietet - die auch funktioniert - OHNE, dass man die Funktionalität des RD-Gateway verliert - sprich die RD-CAP und RD-RAP Regeln nicht mehr funktionieren.

Wenn man diese Regelsätze verliert, also nicht mehr steuern kann, wer auf welche Ressourcen zugreifen darf, und stattdessen halt nur mit seiner 2 FA bestätigt "Ja hallo, ich bins" ist das für uns kein Sicherheitsgewinn, für den man auch noch Geld zahlen soll/muss.

Wir haben bereits einige Hersteller durch - viele reißen zuerst die Klappe auf "Alles gar kein Problem".
Spricht man sie dann konkret darauf an, stellt sich dann doch raus, dass sie es nicht können - und/oder die Thematik teils noch nicht mal verstehen.

So zum Beispiel das Produkt von Cisco

https://duo.com/docs/rdgateway
duo


In diesem Beispiel müsste man also den 2FA Client auf allen erreichbaren Endgeräten installieren. Ziemlich umständliche Geschichte.

Bis jetzt ist mir nur diese Firma hier bekannt die "behauptet", dass man mit Ihrer Lösung das RD-Gateway absichern kann, ohne die Regelsätze auf dem Gateway zu verlieren. Ob das stimmt, oder ob das auch wieder nur ein wenig geflunkert ist um den Fuß in die Tür zu bekommen weiß ich nicht, da wir mit diesem Hersteller noch nicht ins Detail gegangen sind, da die Preise für deren Lösung einfach jenseits von Gut und Böse waren.
https://www.secsign.com

Hat hier evtl. jemand von euch diesbezüglich Erfahrungen? Evtl. geht das mit Microsoft Azure? Da habe ich bisher 0 Erfahrung mit sammeln können.

VG

Content-ID: 6014132509

Url: https://administrator.de/forum/2fa-fuer-rd-gateway-6014132509.html

Ausgedruckt am: 28.12.2024 um 16:12 Uhr

tech-flare
tech-flare 17.02.2023 aktualisiert um 06:33:00 Uhr
Goto Top
Hallo,

diesen Beitrag kennst du in Verbindung Azure MFA?

www.graber.cloud/integration-azure-mfa-in-rds/
Kangaroojack
Kangaroojack 17.02.2023 um 07:14:30 Uhr
Goto Top
Nein, den kannte ich noch nicht - wie gesagt mit Azure absolut noch keine Erfahrungen gemacht.
Schaue ich mir mal an, danke.
tech-flare
tech-flare 17.02.2023 um 08:28:36 Uhr
Goto Top
Über Azure wird nur das MFA abgewickelt.

Das MFA von Azure binden wir bei uns bei sämtlichen Diensten an, wenn SAML möglich ist.
Dani
Dani 17.02.2023 um 12:23:02 Uhr
Goto Top
Moin,
3. RDS Farm
Safenet und Vasco bieten hierfür entsprechende Lösungen an. Bei privacyIDEA bin ich mir nicht sicher, wie die Implantierung erfolgt ist.


Gruß,
Dani
jsysde
jsysde 18.02.2023 um 08:47:06 Uhr
Goto Top
Kangaroojack
Kangaroojack 26.02.2023 um 02:07:26 Uhr
Goto Top
Zitat von @Dani:

Moin,
3. RDS Farm
Safenet und Vasco bieten hierfür entsprechende Lösungen an. Bei privacyIDEA bin ich mir nicht sicher, wie die Implantierung erfolgt ist.


Gruß,
Dani

Hey Dani, danke für den Hinweis. Leider kann ich dazu keine Informationen finden. Kannst du mir diesbezüglich links geben?
Also Lösungen bieten ja viele an - nur wie bereits gesagt ist es bisher immer so, dass man die eigentliche Funktionalität des RD-Gateways, nämlich die Steuerung wer wohin zugreifen darf komplett verliert!
Und das ist halt kein Sicherheitsgewinn - im Gegenteil!
Dani
Dani 27.02.2023, aktualisiert am 28.02.2023 um 12:23:57 Uhr
Goto Top
Moin,
hab grad erfahren, dass leider mein Wissen überholt ist:
  • VASCO heißt inzwischen OneSpan
  • Safenet gehört zu Thales Group

Auf die Schnelle habe ich folgende Links für dich:
https://supportportal.gemalto.com/csm/?id=kb_category&kb=d105b62cdba ...
https://www.onespan.com/de/products/authentifizierungsserver/funktionen
https://www.onespan.com/sites/default/files/2020-04/OAS%20Remote%20Deskt ...

Du wirst aber nicht drum rum kommen den Hersteller zu kontaktieren. Beide Hersteller stellen ohne Zugang zum Portal keine weiteren, detaillierten Informationen mehr zur Verfügung.


Gruß,
Dani
Kangaroojack
Kangaroojack 28.02.2023 um 11:25:47 Uhr
Goto Top
Danke Dani,

hab die beiden Hersteller mal angeschrieben. Bin mal gespannt.
Goemann
Goemann 23.04.2024 um 15:58:33 Uhr
Goto Top
Zitat von @Kangaroojack:

Danke Dani,

hab die beiden Hersteller mal angeschrieben. Bin mal gespannt.

Moin Kangaroojack,

konntest du eine Lösung zu deinem Problem finden?

Beste Grüße