parallelen-awingu

Corel erwirbt Awingu, um sein Angebot an sicheren Remote-Arbeitsplätzen zu erweitern. Mehr lesen

MFA auf RDP: Welche Optionen gibt es?

Was ist das Remote-Desktop-Protokoll und warum sollten Sie es sichern?

RDP (Remote Desktop Protocol) ist eine der am häufigsten verwendeten Technologien für den Zugriff auf serverbasierte Anwendungen oder Desktops und für den Fernzugriff von Benutzern. Remote Desktop Web Access ist ein von Microsoft entwickeltes sicheres Netzwerkkommunikationsprotokoll, das den Zugriff auf Anwendungen (RemoteApp), die auf einem Terminal Server laufen, ohne VPN-Verbindung ermöglicht.

Leider stellt die Verwendung von RDP in seiner einfachsten Form ein großes Sicherheitsrisiko dar. Das britische NCSC (National Cyber Security Centre) hat festgestellt, dass ungeschütztes RDP der #1 Grund für Ransomware-Angriffe ist. Und diese Angriffe können sehr, sehr schnell erfolgen, wenn nur Passwörter ohne weitere Sicherheitsmaßnahmen verwendet werden...

Ein "Honeypot"-Experiment von Referat 42 im Sommer 2021 ergab, dass 80% (!) seiner ungeschützten Remote-Desktop-Einrichtungen innerhalb von 24 Stunden gehackt wurden. Autsch. Und diese Angriffe sind keine Einzelfälle: Im Durchschnitt werden die Honeypot-RDP-Umgebungen alle zwei Wochen angegriffen. 11 Stunden.

Es ist klar, dass der Bedarf an mehr Sicherheitsmaßnahmen hoch ist, ohne die Einstellungen für Administratoren und die Anmeldeerfahrung für Endbenutzer zu verkomplizieren.

Screenshot der RDP-Einschaltung.
RDP ist eine solide Methode, um Zugriff auf einen entfernten Computer zu erhalten. Ungeschützt oder "nackt" wird es jedoch zu einer großen Gefahr für die Cybersicherheit.

Was ist Multi-Faktor-Authentifizierung und wie funktioniert sie?

Eine der Empfehlungen zum Schutz der Remote Desktop-Umgebung vor Hackerangriffen und zur Gewährleistung maximaler Sicherheit ist die Hinzufügung der Multi-Faktor-Authentifizierung (MFA). Beachten Sie, dass dies eine, aber bei weitem nicht die einzige Empfehlung ist. Es ist jedoch eine, die in der Tat in der globalen Politik eines jeden Unternehmens enthalten sein sollte.

Die Multi-Faktor-Authentifizierung ist eine sichere Authentifizierungsmethode, bei der die Benutzer nicht nur nach einem Benutzernamen und einem Passwort gefragt werden, sondern weitere Verifizierungsfaktoren wie einen Sicherheitsschlüssel angeben müssen. Erst dann können sich die Benutzer anmelden und erhalten Zugang zu den Ressourcen, die sie nutzen möchten.

Ein Beispiel ist die Verwendung von etwas, das Sie kennen (Passwort) und etwas, das Sie haben (einmaliger Passcode, der in einer Authentifizierungsanwendung auf Ihrem Mobiltelefon als Sicherheitsschlüssel generiert wird), um sich anzumelden. Eine weitere Verifizierung könnte etwas sein, das Sie "sind", wie Ihr Fingerabdruck oder Ihr Gesicht.

Bei der Mehrfaktor-Authentifizierung müssen sich die Benutzer mit Anmeldeinformationen von mindestens zwei oder mehr von drei verschiedenen Faktoren verifizieren, während man von Zwei-Faktor-Authentifizierung (2FA) spricht, wenn die Benutzer nur zwei Anmeldeinformationen benötigen, um Zugang zu erhalten.

Wir können nur betonen, dass es wirklich wichtig ist, mindestens eine Zwei-Faktor-Authentifizierung zu konfigurieren, da die ausschließliche Verwendung von Passwörtern Ihr Unternehmensnetzwerk angreifbar machen kann.

Wie kann ich MFA für RDP aktivieren?

Man könnte meinen, dass die Tatsache, dass viele Unternehmen heute keine Multi-Faktor-Authentifizierung als zusätzliche Schicht über dem RDP verwenden, auf einen Mangel an Lösungen zurückzuführen ist. Das Gegenteil ist jedoch der Fall: Die Anzahl der Optionen im MFA-Bereich, um Ihren Zugang zu sichern, ist so groß wie die Anzahl der Fische im Ozean. Bei Awingu ist die Zwei-Faktor-Authentifizierung seit dem ersten Tag in das Produkt integriert.

Der Zweck dieses Beitrags ist es, etwas Struktur in die Optionen für MFA-Lösungen zu bringen. Wir werden einige spezifische Anbieterlösungen hinzufügen, aber bedenken Sie, dass es in diesem Bereich viele Akteure gibt. Anstatt Anbieter zu vergleichen, werden wir einen Blick auf die Architektur, die Komplexität der Einrichtung und die Kostenelemente im Spiel werfen.

Wir werden in diesem Blog keine Analyse (oder Beurteilung) darüber vornehmen, welche MFA-Token-Generierung besser ist als eine andere.Ist z. B. SMS als Token genauso sicher wie ein zeitbasierter Token, der auf einem Telefon generiert wird, usw.?

Welche Möglichkeiten gibt es für MFA?

Auf der höchsten Ebene kann die Mehrfaktor-Authentifizierung zusätzlich zu RDP eingesetzt werden:

  1. Ein Anbieter/Produkt für die Multi-Faktor-Authentifizierung wie Duo Security, OKTA MFA, ... und viele mehr;

  2. Verwendung eines externen Identitätsanbieters (IdP) und die mit diesem IdP verknüpften MFA-Dienste. Konkret betrachten wir Microsofts Azure Active Directory und den damit verbundenen Azure MFA-Dienst;

  3. Verwendung eines VPN (nehmen wir an, mit einer MFA-basierten Authentifizierung), bevor der Zugriff auf den RDP-Dienst aktiviert wird. Es wäre immer noch die beste Praxis, mindestens eine Zwei-Faktor-Authentifizierung zusätzlich zur Remote-Desktop-Verbindung hinzuzufügen;

  4. Zertifikatsbasierte Authentifizierung wobei das Zertifikat gewissermaßen die Rolle des zweiten Faktors übernimmt;

  5. Awingueine browserbasierte Fernzugriffslösung das RDP-basierte Anwendungen/Desktops in HTML5 (auf jedem Browser) verfügbar macht. Awingu verfügt über integrierte MFA-Optionen und ermöglicht Kombinationen mit (1) Mehrfaktor-Authentifizierungsprodukten von Drittanbietern und (2) Identitätsanbietern (IdP).

Die Möglichkeiten der Multi-Faktor-Authentifizierung werden auf verschiedenen Ebenen verglichen.

In diesem Vergleich haben wir zwischen (a) Remote-Desktop-Bereitstellungen, die den RDP-Client zum Starten von RDP-Diensten nutzen, und (b) Bereitstellungen mit Remote Desktop Gateway unterschieden. Letzteres ist eine Webanwendung, die es ermöglicht, RDP-Dienste vom Browser aus zu starten und von dort aus eine Konfigurationsdatei zu öffnen, die den lokal installierten RDP-Client auf dem Gerät zum Öffnen veranlasst. Der Vorteil der Verwendung eines Remote Desktop Gateway ist, dass nur Port 443 (https) geöffnet ist. Option (a) erfordert die Öffnung von Port 3389 für die externe Nutzung, was aus Sicherheitsgründen nicht in Frage kommt.

Der Vollständigkeit halber: Awingu benötigt kein Remote Desktop Gateway. Es verbindet sich über das Remote Desktop-Protokoll mit den RD-Sitzungshosts (Server des Desktops) und fungiert dann als HTML5-Gateway, das alle Sitzungen in https im Browser verfügbar macht (nur über Port 443). RDP als solches wird nicht nach außen zur Verfügung gestellt. Awingu ersetzt zwar den Bedarf an RD-Gateway, bietet aber eigentlich viel mehr.

Wie vergleicht man Multifaktor-Authentifizierungslösungen?

Trauen Sie sich zu vergleichen... auch wenn es sich ein bisschen so anfühlt, als ob man Äpfel mit Birnen vergleicht. Wir haben versucht, eine Perspektive zu finden:

  • KomplexitätJe komplexer die Einstellungen sind, desto größer ist die Gefahr von Fehlern und desto zeitaufwändiger sind sie;

  • KostenWelches sind die verschiedenen Elemente, die gekauft oder installiert werden müssen (z. B. die Verbrauchsinfrastruktur)?

  • Zugriff auf jedes GerätDies kann relevant sein, wenn Sie z. B. BYOD für Ihre Benutzer zulassen oder wenn Sie externe Benutzer (z. B. Auftragnehmer) haben, die eine Verbindung zu Ihrem Unternehmensnetzwerk herstellen müssen, um auf Ihre Remote-Desktop-Protokolldienste zuzugreifen;

  • Relative Risikobewertung: die heikelste von allen. Zum einen, weil die (Korrektheit des) Einsatzes selbst eine große Rolle spielt. Und zum anderen, weil es innerhalb jeder Kategorie Unterschiede gibt (für die wir eine vollständige Abstraktion vornehmen).

Tabelle mit einer Übersicht über die verschiedenen Lösungen und deren Vergleich zueinander.
Überblick über die verschiedenen Lösungstypen und deren Vergleich untereinander.

Wie aktiviert man MFA mit RDP unter Verwendung von Awingu?

Was ist Awingu?

Awingu ist kein Produkt zur Zwei-Faktor-Authentifizierung. Wenn Sie Gartner fragen, ist Awingu ein einheitlicher Arbeitsbereich die Sie verwenden können, um Benutzern einen sicheren Fernzugriff zu ermöglichen. Es fasst verschiedene Anwendungen, Desktops und Dateiserver zusammen und macht sie (mit der Möglichkeit der einmaligen Anmeldung) für Benutzer im Browser über sein "RDP-to-HTML5" gateway verfügbar.

Dabei kann es sich um Remote Desktop-Dienste handeln, aber auch um Webanwendungen (die den Awingu Reverse Proxy nutzen). Alle Anwendungen in einem Browser verfügbar zu haben, ist wirklich praktisch: Es gibt keine lokalen Daten auf dem Gerät, und die Benutzer können von jedem Gerät aus arbeiten (unabhängig vom Formfaktor).

Screenshot des Awingu-Arbeitsbereichs.
Screenshot des Awingu 5.0. Arbeitsbereiches: Wenn sich die Benutzer anmelden und auf den Arbeitsbereich zugreifen, können sie sich einen Überblick über ihre Anwendungen und Dateien verschaffen.

Das bedeutet, dass Sie Awingu einfach einrichten und nutzen können, um Ihren Mitarbeitern und externen Auftragnehmern einen sicheren Zugang zu gewähren, so dass diese von überall aus auf alle Unternehmensressourcen zugreifen können. Natürlich können Sie zusätzliche Sicherheitsfunktionen aktivieren, um den Zugang in bestimmten Situationen einzuschränken, z. B. bei Bedarf. Dies kann einfach in den Einstellungen konfiguriert werden.

Kann ich die Mehrfaktor-Authentifizierung zu RDP mit Awingu hinzufügen?

Ja, denn Awingu bietet nicht nur ein sicheres "gateway", sondern auch eine Vielzahl von 'Zero Trust"-Sicherheitsfunktionen, die dem Administrator in den erweiterten Einstellungen zur Verfügung stehen.

Vor allem in Umgebungen mit typischerweise anfälligen Remote-Desktop-Protokollen sind diese sehr interessant, da alle Sicherheitsfunktionen Teil desselben Produkts sind. Sie können vom IT-Team über die gleiche Awingu-Verwaltungskonsole (über die Awingu-Systemeinstellungen) aktiviert und verwaltet werden.

Überblick über die Zero Trust-Funktionen von Awingu
Überblick über die Zero Trust-Funktionen von Unified Workspace Awingu.

Eine der eingebauten Funktionen ist in der Tat die Multi-Faktor-Authentifizierung. Awingu ermöglicht sowohl die zeitbasierte (TOTP) als auch die zählerbasierte (HOTP) Token-Generierung. Das bedeutet, dass Sie keine weitere MFALösung kaufen müssen, um eine sichere Authentifizierung für die Benutzer zu gewährleisten, wenn diese Zugang benötigen.

Möchten Sie, dass Endbenutzer, die sich mit dem Arbeitsbereich verbinden, eine Zwei-Faktor-Authentifizierung verwenden, bevor sie zugreifen? Dies ist für die Administratoren in den Einstellungen leicht zu konfigurieren. Für die Benutzer sind Sicherheit und Einfachheit der Schlüssel, so dass sie sich keine Gedanken über schwierige Schritte machen müssen. Sie können einfach eine Authentifizierungsanwendung auf ihren Telefonen installieren, z. B. Microsoft Authenticator oder Google Authenticator. Nachdem sie ihre Geräte mit dem Verifizierungscode verifiziert haben, können diese als gespeicherte Geräte angesehen werden. Wenn sich die Benutzer später wieder in den Arbeitsbereich einloggen wollen, können sie einfach ihr Telefon benutzen, um einmalige Passwörter für die Authentifizierung zu erhalten.

Wenn Sie mehr Token-Optionen für den sicheren Zugriff wünschen, kann Awingu auch die Verwendung anderer Systeme (wie RADIUS-basierte Dienste oder DUO-Sicherheit oder IdP-basierte Dienste wie Azure Multi Factor Authentication oder IdenProtect) für die sichere Authentifizierung aktivieren. 

Weitere Sicherheitsfunktionen, die Sie als Administrator aktivieren können, um den Zugang zu sichern, sind Sitzungsaufzeichnung, granulare Nutzungskontrolle, Kontexterkennung (über Geo-Standort oder IP-Adresse), ...

Ist Awingu eine einfache Lösung?

Sind Sie neugierig, was allen Awingu-Kunden und -Partnern gefällt? Nun, es ist die Tatsache, dass Awingu für den Fernzugriff so einfach einzurichten und zu verwalten ist. Diese Einfachheit ist auf die Architektur zurückzuführen: eine einfache virtuelle Appliance, die in der cloud (Infrastruktur) Ihrer Wahl installiert werden kann.

Die Awingu Virtual Appliance fungiert dann als gateway und verbindet sich über Standardprotokolle mit Ihrem Backend: Remote Desktop Protocol (RDP), WebDAV, CiFS, ... Awingu hat keine eingebaute Benutzerdatenbank und greift dafür auf das Active Directory oder eine externe IDP zurück.

Überblick über die einfache Awingu-Architektur
Die Architektur von Awingu ist wirklich einfach und nicht störend für Ihre Infrastruktur. Die Lösung fungiert als gateway zwischen dem Endbenutzergerät und dem Backend des Unternehmens.

Das bedeutet, dass Sie nichts Zusätzliches im Back-End installieren (oder verwalten) müssen. Und auch auf dem Endgerät muss nichts installiert werden. (*) Die Benutzer benötigen lediglich einen Browser (sei es auf einem Chromebook, iPad, Windows-Computer, ...), um auf alles zuzugreifen, was sie zum Arbeiten benötigen. Es gibt also keine direkte Verbindung oder einen Tunnel zum Unternehmensnetzwerk.

(*) Es ist möglich, mit Chipkarten in Awingu zu arbeiten, aber in diesem Fall muss der Benutzer den Awingu Remote Application Helper installieren, aber das ist die einzige Ausnahme.

Nach der Authentifizierung im Arbeitsbereich ist es nicht mehr notwendig, Anmeldedaten und Passwörter hinzuzufügen, um auf verbundene Anwendungen, Desktops oder Dateiserver zuzugreifen, da Awingu das "Single Sign On" in voller Sicherheit übernimmt.

Umschlag des Awingu Whitepaper über die Sicherung von RDP

Möchten Sie mehr darüber erfahren, wie Awingu Ihr RDP um weitere Sicherheitsebenen ergänzt?

Laden Sie unser Whitepaper herunter: "Über RDP hinaus"

WHITEPAPER HERUNTERLADEN
Über den Autor
Arnaudplatz
Arnaud Marliere

Vorstand für Vertrieb und Marketing

  • Ein Honeypot-Experiment aus Referat 42: https://inf.news/en/science/577260735e9c3928aead881fd5e68275.html
Inhaltsübersicht
Möchten Sie mehr über Awingu erfahren?
Diese Website verwendet Cookies. Lesen Sie unser transparentes Cookie-Richtlinie!