Zwei-Faktor-Authentifizierung

Moin moin zusammen,

ich beschäftige mich gerade mit der Zwei-Faktor-Authentifizierung. Ich baue aktuell eine VPN Verbindung über Routing und RAS zu einem Windows Server 2019 auf. das funktioniert auch alles bestens mit der Windows Authentifizierung. Jetzt möchte ich den Sicherheitsfaktor erhöhen und eine Zwei-Faktor-Authentifizierung mit einbinden.

Gibt es eine "einfache" Lösung um dies umzusetzen?

Es muss vielleicht nicht gleich die dicksten Firewall sein, vielleicht einfach Software basierend. Was setzt Ihr ein und wie sind eure Erfahrungen damit?

Gruß und Dank HeinrichM

Content-Key: 1299278478

Url: https://administrator.de/contentid/1299278478

Ausgedruckt am: 19.10.2021 um 22:10 Uhr

Mitglied: brammer
brammer 24.09.2021 um 08:25:03 Uhr
Goto Top
Hallo,

eine Verbindung auf einen Windows Server mit MFA zusätzlich absichern?
Hört sich erst mal gut an...
Aber, VPN direkt auf einem Windows Server zu terminieren ist meiner Meinung nicht wirklich ein guter Weg.
Der VPN Tunnel sollte auf einem VPN Endpunkt (Router, Firewall) terminieren.

brammer
Mitglied: aqui
aqui 24.09.2021 um 08:53:51 Uhr
Goto Top
Mitglied: C.Caveman
C.Caveman 24.09.2021 aktualisiert um 09:35:41 Uhr
Goto Top
Moin,

Gibt es eine "einfache" Lösung um dies umzusetzen?
Definiere "einfach"? Es gibt Personen, die richten dir dies mit verbundenen Augen ein. Ohne die Maus zu berühren.


Gruß
C.C.
Mitglied: HeinrichM
HeinrichM 24.09.2021 um 09:53:54 Uhr
Goto Top
Zitat von @aqui:

Hier mit Radius Authentisierung und der FreeOTP App die es für alle Smartphones gibt. Rennt problemlos.

Super vielen DANK!

Zitat von @C.Caveman:

Moin,

Definiere "einfach"? Es gibt Personen, die richten dir dies mit verbundenen Augen ein. Ohne die Maus zu berühren.
Einfach = Installation ohne Hardware oder Zusatz Komponenten, nach Möglichkeit einfach ein Stück Software Setup und konfigurieren. Am Besten AD auslesen lassen, jedem Benutzer eine Handynummer zuordnen, so dass er dann nur noch den Code auf dem Handy bestätigen muss oder den Code in der Anmeldemaske des PCs eintragen muss.

Das verstehe ich unter "Einfach" :-) face-smile
Mitglied: Dani
Dani 24.09.2021 um 11:40:45 Uhr
Goto Top
Moin,
ich baue aktuell eine VPN Verbindung über Routing und RAS zu einem Windows Server 2019 auf. das funktioniert auch alles bestens mit der Windows Authentifizierung.
Nutzt ihr das einfache VPN oder handelt es sich um Always-On VPN? Letzteres kann mit Computer-Zertifikaten betrieben werden, so dass eine MFA meiner Meinung nach nicht notwendig ist.

@brammer
Aber, VPN direkt auf einem Windows Server zu terminieren ist meiner Meinung nicht wirklich ein guter Weg.
Solange man weiß was man tut, sehe ich keine Nachteile zu einer Router/Firewall Lösung.


Gruß,
Dani
Mitglied: HeinrichM
HeinrichM 24.09.2021 um 12:03:18 Uhr
Goto Top
Zitat von @Dani:

Nutzt ihr das einfache VPN oder handelt es sich um Always-On VPN? Letzteres kann mit Computer-Zertifikaten
In diesem Szenario nutze ich VPN mit der Windows Authentifizierung und der Verschlüsselung über L2TP/IPsec mit vorinstalliertem Schlüssel.
Funktioniert recht gut.
Mitglied: brammer
brammer 24.09.2021 um 12:46:40 Uhr
Goto Top
Hallo,

@Dani
Ein Windows Server 2019 ist konzeptionell nicht für VPN gemacht worden.
Er kann das auch...
Ich habe bei einem ins Internet exponierten Windows Server (gilt eingeschränkt aber auch für andere Server..)
immer die Bedenken das bei einem kompromittierten Windows auch das VPN gleich mit unsicher.

Daher bevorzuge ich immer ein Stück VPN Hardware das auch dafür gedacht ist.

brammer
Heiß diskutierte Beiträge
question
Windows 11 Upgrade nicht möglichben1300Vor 1 TagFrageWindows 1114 Kommentare

Guten Morgen ! ich habe einen Gaming PC, mit folgende Spezifikationen: Leider kann ich diesen nicht auf Windows 11 upgraden: Welche Optionen bleiben mir, um ...

question
Was ich benötige ist ein guter Wechselrahmen 5,25"Lefty0815Vor 1 TagFrageFestplatten, SSD, Raid8 Kommentare

Hallo an alle, ich such mir noch einen Wolf :-) Was ich benötige ist ein Wechselrahmen 5,25" für eine zwei oder drei 3,5Zoll Festplatten (SATA ...

question
Exchange Server - Wege, anonymes Senden zu verbietenDerWoWussteVor 1 TagFrageExchange Server11 Kommentare

Ich grüße Euch! Ziel 1: Alle PCs sollen Warnmeldungen per E-Mail geskriptet und anonym versenden können. In diesen Skripten handelt das Computerkonto und im Skript ...

question
WLAN Lösung für Gästehaus Vereinjohannes-meyerVor 22 StundenFrageLAN, WAN, Wireless8 Kommentare

Hallo, ich betreue die IT eines Vereins, der zwei Gebäude mit Gästebetrieb betreibt. Es sind regelmäßig an die 30 bis 50 Geräte verbunden. Ich hab ...

question
Neuinstallation NetzwerkBurQueVor 13 StundenFrageNetzwerkgrundlagen13 Kommentare

Hallo ich hab die Aufgabe bekommen ein Netzwerk in einem neuen Gebäude einzurichten bzw. mir dazu Gedanken zu machen. Raumsituation. Im Keller steht ein Serverschrank ...

question
SMTP Relay Server gelöst MacLeodVor 1 TagFrageExchange Server10 Kommentare

Hallo zusammen. Vorwort: Habe das hier bei Exchange eingeteilt, betrifft aber Mailserver Versand allgemein. Bei einem Kunden mit einem Kerio Mailserver werden neben dem üblichen ...

question
Multi-WAN-Netzwerk fürs StudentenwohnheimHutzeljaegerVor 7 StundenFrageLAN, WAN, Wireless17 Kommentare

Hallo allerseits. Für die Internetversorgung unseres Studentenwohnheims muss ich nun sehen, dass ich eine kostengünstige Lösung eines Multi-WAN Netzwerks hinbekomme, wohl am besten per Multi-WAN-Bonding. ...

question
Drei Fragen zum Internet Explorer gelöst UserUWVor 22 StundenFrageWebbrowser4 Kommentare

1) Der IE lässt sich unter Windows 10 deaktivieren, aber nicht physisch deinstallieren. Heißt das, dass IE-Funktionalitäten "unter der Haube" auch von Windows 10 genutzt ...