RAS & VPN Dienste


Corporate Network VPN

Die Expansion eines Unternehmensnetzes nach China beschäftigte die IT-Security Abteilung dieses Kunden sehr - das Vorhaben, unternehmenskritische Finanz- und Konstruktionsdaten an Standorte in China zu übertragen machte eine Absicherung auf Netzwerkebene unabdingbar.

Unser Unternehmen entwickelte ein Anbindungskonzept für die über ein Dutzend neuen Standorte auf Basis IPsec VPN. Desweiteren führten wir die Installation der VPN Systeme in den größtenteils redundant ans Unternehmensnetzwerk angebundenen Standorten durch. Das VPN Netzwerk - mit zwei zentralen Ausgängen in ein Rechenzentrum und in das Unternehmensnetzwerk - wurde durch den Einsatz von BGP als Routingprotokoll entsprechend redundant aufgesetzt.

Um den Rollout weiterer Standorte zu vereinfachen, wurde ein zentrales Managementsystem inklusive PKI aufgebaut, welches vom Personal im asiatischen Raum bedient wird. Die Vor-Ort Schulung des Personals wurde ebenfalls von uns konzipiert und durchgeführt.

 
Zentrales Authentisierungssystem

Unser Kunde betreibt in seinen internationalen Rechenzentren eine Vielzahl von Diensten, die nur bestimmten Benutzergruppen zur Verfügung stehen dürfen.
 
Rauscher networX wurde damit beauftragt, eine zentrale Authentifizierungs-, Autorisierungs und Accounting-Infrastruktur (AAA) zu etablieren, um eine Konsolidierung der diversen Implementierungen unterschiedlicher Systeme zu erreichen und somit diesen sicherheitskritischen Prozess besser steuern zu können.

Die Basis des Systems stellt dabei ein RADIUS Broker dar, welcher den Dienstanbietern verschiedene Möglichkeiten der Authentifizierung, Autorisierung sowie Accounting bietet.

Rauscher networX konzipierte und implementierte Schnittstellen, die die Authentisierung der Benutzer an verschiedenen Systemen wie LDAP basierenden Verzeichnisdiensten oder auch RADIUS Servern, wie sie beispielsweise zur Anbindung von Hardware Token zur Zwei-Faktor-Authentifizierung zum Einsatz kommen, ermöglicht. Je nach Anwendungsfall bzw. zugreifendem System ist eine Verteilung der Authentisierungsanfragen an verschiedene Server (z.B. unterschiedliche Active Directory Domain Controller für verschiedene Domains, dezentrale abteilungsspezifische RADIUS Server) möglich. Auf diese Weise können Benutzer aus verschiedenen Unternehmensbereichen authentifiziert werden und die Systeme mit ihren bekannten Passwörtern oder Hardware Tokens nutzen.

Neben der Authentisierung nutzt eine Vielzahl der Dienste die zentrale AAA-Infrastruktur auch zur Autorisierung der Nutzer. Rauscher networX beriet die Dienstanbieter und implementierte nach Abstimmung mit den Verantwortlichen diverse Regelwerke, die eine Autorisierung der Nutzer anhand von Verzeichnisdienst-Informationen (z.B. Gruppenzugehörigkeit, Zugehörigkeit zu einer Organisationseinheit, ...) oder auch anhand von einfachen Konfigurationsdateien ermöglicht. Für die einfache Administration der Datei basierenden Autorisierung entwickelte Rauscher networX zudem eine webbasierte Administrationsoberfläche zur Nutzer und Gruppenverwaltung.

 
Remote Access Lösung

Im Rahmen der Ablösung einer alten Remote Access Lösung benötigt der Kunde neue Mechanismen zur Authentifizierung und Autorisierung von etwa 20.000 Nutzern. Die große Nutzergruppe erfordert verschiedene Nutzerrollen zur granularen Konfiguration von Verbindungsparametern und Zugriffsrechten. Des Weiteren soll verschiedenen Benutzern erlaubt werden auf Wunsch andere Rollen annehmen zu können. Wegen des Zugriffs über das Internet wird Zwei-Faktor-Authentifizierung vorausgesetzt.

Die Modellierung des Regelwerks wurde durch Rauscher NetworX vorgenommen und im bereits vorhandenen Zentralen Authentisierungssystem implementiert. Die Schnittstelle zwischen dem zentralen RADIUS Broker und dem Einwahlsystem ermöglicht heute eine reibungslose Integration neuer Rollen, Berechtigungen und Konfigurationsparameter für weitere Unternehmensbereiche. Die gewählte Abbildung von Berechtigungen und Rollen im Active Directory ermöglicht des Weiteren die einfache Administration mit Standardwerkzeugen durch den etablierten Helpdesk. Die Konsolidierung und Visualisierung von Fehlerberichten der involvierten Komponenten in einer von Rauscher NetworX entwickelten Web-Anwendung rundet das System ab und versetzt den Helpdesk in die Lage bei aufgetretenen Zugangsproblemen selbstständig die nötigen Maßnahmen zu ergreifen.