philipp711

Authentifizierung mit Zertifikat für Remote-Access-VPN

Hallo liebe Community,

ich bräuchte eine Einschätzung zu folgendem Sachverhalt:

Interne Sicherheitsrichtlinien schreiben korrekterweise eine 2-Faktor-Authentifizierung an unseren Remote-Access-VPN-Zugängen vor. Wir realisieren diese Vorgabe bisher mittels TOTP-App und verwenden eine Sophos XGS als VPN-Gateway.

Der Prozess sieht so aus, dass sich Mitarbeiterinnen und Mitarbeiter intern am VPN-Portal anmelden und eine TOTP-App mit dem QR-Code "beglücken" müssen. Die dienstlichen Geräte haben Sophos Connect installiert und das VPN-Profil wird über die Provierungs-Funktion der XGS auf den Clients importiert. Wenn sich die Geräte also außerhalb der Firma befinden, starten die Endanwender Sophos Connect und verbinden sich mit Benutzername + Passwort + TOTP aus der App mit dem VPN der XGS (Wir verwenden SSL-VPN). So sieht die Konfig im Bereich der Windows-& Mac-Endpoints aus und hier möchten wir erstmal nichts ändern.

Im mobilen Bereich (wir setzen ausschließlich auf iOS-Geräte) sieht die Verwendung ähnlich aus, wobei wir hier die OpenVPN-App verwenden. Leider ist der Komfort in der genannten Konfiguration bzw. Kombination mit OpenVPN + SSL-VPN und TOTP etwas verbesserungswürdig. Wir haben einige MAs die damit nicht klar kommen und sich beschweren. Die iOS-Devices sind allesamt in einem MDM und vollständig/supervised verwaltet.

Die Sophos XGS bietet im Bereich des iPSec-VPN als Authentifizierungsverfahren auch "Zertifikat" an. Allerdings kann hier nur ein einziges "zentrales" Zertifikat verwendet werden. Zusätzlich zum Zertifikat werden natürlich auch Benutzername + Passwort abgefragt. Ich könnte mir vorstellen, ein solches Zertifikat per MDM-Policy auf den Geräten zu verteilen und ein IPSec-VPN-Profil zu verteilen (somit wäre OpenVPN/SSL-VPN auf den iOS-Geräten nicht mehr nötig). Das Zertifikat kann vom User nicht entfernt, eingesehen oder exportiert werden.

Ich frage mich aber gerade wie das aus Sicherheitssicht zu bewerten ist.

1) Wie kritisch ist es, dass nur ein Zertifikat auf X Geräten verwendet werden kann?

2) Formal sind die Anforderung an 2-FA die Komponenten "Wissen" und "Haben" - die Kolleginnen/Kollegen müssen ihr Passwort >wissen< und das Zertifikat auf dem dienstlichen Gerät installiert >haben<. Formell ist also 2FA meines Erachtens eingehalten - wie ist das zu bewerten?

Danke!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 672538

Url: https://administrator.de/forum/authentifizierung-mit-zertifikat-fuer-remote-access-vpn-672538.html

Ausgedruckt am: 11.05.2025 um 13:05 Uhr

SunshineAdmin
Lösung SunshineAdmin 19.04.2025 um 17:00:36 Uhr
Goto Top
Hallo,
wenn ich dich richtig verstanden habe, ist das Zertifikat das was die Sophos benutzt bei allen moblien Geräten gleich.
Damit ist das "Haben" nicht individuell, Benutzer B kann sich auf seinem Gerät als Benutzer A ausgeben sofern er dessen Kennwort kennt, damit ist "dein" zweiter Faktor innerhalb der Organisation ausgehebelt, aber da sollte er doch bestimmt auch gelten, oder?

VG
Derek
aqui
Lösung aqui 19.04.2025 aktualisiert um 18:14:32 Uhr
Goto Top
ist das Zertifikat das was die Sophos benutzt bei allen moblien Geräten gleich.
Im üblichen Zertifikatsumfeld ist das auch völlig außerhalb jeglicher Norm. Zertifikate können entweder User- oder Gerätespezifisch benutzt werden und sind erwartungsgemäß damit immer einzigartig um User und/oder Hardware eindeutig zu identifizieren.
Kann man z.B. bei allen Endgeräten mit den üblichen kommerziellen Firewalls und auch Open Source Firewalls wie pfSense oder OPNsense mit den bordeigenen VPN Clients und einem Radius Server (Windows NPS, FreeRadius etc.) problemlos implementieren.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Oder auch mit jedem beliebigen unixoiden Server:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Es wäre schon sehr ungewöhnlich wenn eine Security Firma wie Sophos von so einem anerkannt sicheren Zertifikatsverhalten abweicht. Ein einziges Zertifikat was z.B. zwischen 100 Usern und mehr geshared wird würde so ein sinnvolles und sicheres Konzept völlig aushebeln.
Philipp711
Philipp711 22.04.2025 aktualisiert um 11:08:50 Uhr
Goto Top
Zitat von @aqui:

ist das Zertifikat das was die Sophos benutzt bei allen moblien Geräten gleich.
Im üblichen Zertifikatsumfeld ist das auch völlig außerhalb jeglicher Norm. Zertifikate können entweder User- oder Gerätespezifisch benutzt werden und sind erwartungsgemäß damit immer einzigartig um User und/oder Hardware eindeutig zu identifizieren.
Kann man z.B. bei allen Endgeräten mit den üblichen kommerziellen Firewalls und auch Open Source Firewalls wie pfSense oder OPNsense mit den bordeigenen VPN Clients und einem Radius Server (Windows NPS, FreeRadius etc.) problemlos implementieren.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Oder auch mit jedem beliebigen unixoiden Server:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Es wäre schon sehr ungewöhnlich wenn eine Security Firma wie Sophos von so einem anerkannt sicheren Zertifikatsverhalten abweicht. Ein einziges Zertifikat was z.B. zwischen 100 Usern und mehr geshared wird würde so ein sinnvolles und sicheres Konzept völlig aushebeln.

Scheint aber leider so die Praxis bei Sophos zu sein. Zum einen kann ich in der zentralen "Fernzugriff-VPN-Konfig" nur ein einziges Zertifikat auswählen, welches ich vorher hochladen musste (siehe Screenshot):

screenshot 2025-04-22 105551

und zum anderen ist es auch relativ deutlich im KB-Artikel erklärt:

https://docs.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onli ....

-> Absatz "Remote Certificate":

If you've selected a digital certificate, upload a remote certificate, or configure a locally-signed certificate on Certificates > Certificates, then select it here.  
Don't select the option External certificate.  

Ich kenn das so, dass eine Zertifizierungsstelle o.ä. ausgewählt werden muss, von welcher das Zertifikat abgeleitet ist, aber hier scheint es wirklich ein einziges Zertifikat zu sein.

Wir reden hier von reinen dienstlichen Geräten, auf die das Zertifikat nur über das MDM aufgespielt wird und nicht exportierbar ist. Weiterhin wird ja auch zusätzlich noch der Benutzername und das Passwort abgefragt...ist nicht so 100% "geil" aus Sicherheitssicht...

Muss jetzt einfach mal so blöd fragen...wäre euch das Risiko zu hoch?!
Dani
Lösung Dani 22.04.2025 um 15:18:24 Uhr
Goto Top
Moin,
Muss jetzt einfach mal so blöd fragen...wäre euch das Risiko zu hoch?!
als ich das erste Mal Sophos gelesen habe, war ich raus. Weil was der Hersteller sich in den letzten Jahren geleistet hat, ist sehr grenzwürdig. Sowohl was die Produktentwicklung angeht als auch Security Themen. Günstiger Preis hin oder her...

Ich kenn das so, dass eine Zertifizierungsstelle o.ä. ausgewählt werden muss, von welcher das Zertifikat abgeleitet ist, aber hier scheint es wirklich ein einziges Zertifikat zu sein.
Case bei Sophos aufmachen und explizit dein Vorhaben beschreiben und auf die gängige Praxis wie es Kollege @aqui beschrieben hat, verweisen.

Weiterhin wird ja auch zusätzlich noch der Benutzername und das Passwort abgefragt...ist nicht so 100% "geil" aus Sicherheitssicht...
Ist das bei euch dann MFA? face-wink

Muss jetzt einfach mal so blöd fragen...wäre euch das Risiko zu hoch?!
Ja.


Gruß,
Dani
Philipp711
Philipp711 29.04.2025 um 08:21:07 Uhr
Goto Top
Danke für die Antworten! Ich "verwerfe" die Idee face-wink