Inhoudsopgave:
- Lokale verificatie
- LDAP (Lightweight Directory Access Protocol)
- Active Directory (AD)
- RADIUS-authenticatie en eenmalige wachtwoordsystemen
- X. 509 certificaatverificatie
- Security Assertion Markup Language
Video: Week 10 2024
Voordat u toegang tot het bedrijfsnetwerk vanaf elk mobiel apparaat verleent, moet u eerst de gebruiker identificeren. Eén type validatie van gebruikersidentiteit is authenticatie. Gebruikersverificatie is de validatie dat een gebruiker echt is wie ze zegt dat ze is. Met andere woorden, gebruikersauthenticatie bewijst dat de persoon die probeert in te loggen op de VPN als SueB echt Sue Berks is, en niet Joe Hacker.
Zoals met veel beveiligingstechnologieën, biedt deze verschillende oplossingen een reeks beveiligingssterkten. Organisaties die zeer beveiligingsbewust zijn, maken doorgaans gebruik van een krachtige authenticatieoplossing, zoals een eenmalig wachtwoordsysteem of X. 509 digitale certificaten. Het gebruik van sterke authenticatie is de afgelopen jaren erg populair geworden; het is een beste methode voor alle organisaties. Minder beveiligingsbewuste organisaties houden zich aan statische gebruikersnaam- en wachtwoordsystemen voor externe gebruikersverificatie.
Lokale verificatie
Lokale verificatie is een onboard-database voor authenticatie van gebruikers. Het volledige beheer van de gebruikersaccounts en de opslag van gegevens gebeurt op het VPN-apparaat.
De meeste VPN-leveranciers bieden dit type verificatie, hoewel het voornamelijk wordt gebruikt voor beheerdersverificatie of voor kleinere organisaties.
LDAP (Lightweight Directory Access Protocol)
LDAP (Lightweight Directory Access Protocol) is een standaardprotocol voor het opvragen van een directorydatabase en het bijwerken van databaserecords. Als een van de meest gebruikte interfaces in VPN-implementaties, fungeert LDAP als het voorkeursprotocol voor het doorzoeken van vele soorten databases, waaronder Active Directory.
Active Directory (AD)
Active Directory is een van de toonaangevende directoryservers en de meeste organisaties implementeren het tot op zekere hoogte. Veel VPN-servers bieden een native Active Directory-authenticatieserverinterface, maar AD-implementaties kunnen ook gebruikmaken van LDAP / LDAPS (LDAP via SSL) voor query's en updates.
RADIUS-authenticatie en eenmalige wachtwoordsystemen
De meeste VPN-systemen bieden een standaardmanier om met deze OTP-systemen te communiceren via het RADIUS-protocol. Remote Authentication Dial-In User Service (RADIUS) biedt authenticatie-, autorisatie- en accountingdiensten; en de meeste OTP-systemen die momenteel op de markt zijn, ondersteunen RADIUS.
X. 509 certificaatverificatie
De afgelopen jaren zijn digitale X.509-certificaten populairder geworden als authenticatiemethode. Ze zijn uitgegeven door verschillende vertrouwde certificeringsinstanties (CA's) aan organisaties en eindgebruikers.De inzet binnen de Amerikaanse overheid was een enorme drijfveer voor de goedkeuring van X. 509-certificaten. Als gevolg hiervan is de ondersteuning de afgelopen jaren aanzienlijk verbeterd, waardoor implementatie en doorlopend beheer veel eenvoudiger is geworden.
Wanneer een VPN-apparaat X. 509 digitale certificaten ondersteunt, moet dat apparaat validatie van een certificaat uitvoeren om ervoor te zorgen dat het certificaat niet is ingetrokken. De VPN valideert het certificaat met
-
CRL's (certificaatintrekkingslijsten): CRL's zijn in wezen lijsten van ingetrokken certificaten die worden gedistribueerd door de uitgever van het certificaat.
-
OCSP (online certificaatstatusprotocol): OCSP is een manier om enkele beperkingen van de CRL-controle te omzeilen (zoals de grootte van de lijsten) en geeft een manier op om de certificaatstatus in realtime te verifiëren.
Naast validatie van certificaatstatus kan het VPN ook gebruikerskenmerken uit het certificaat ophalen, zodat het VPN-toegangscontrolesysteem kan vergelijken met kenmerken in een map.
Security Assertion Markup Language
Security Assertion Markup Language (SAML) is een standaard voor het verifiëren en autoriseren van gebruikers op verschillende systemen. In wezen is het een Single Sign-On (SSO) -technologie. Sommige SSL VPN-apparaten bieden ondersteuning voor SAML, waardoor gebruikers die al bij andere systemen zijn aangemeld, de mogelijkheid hebben om naadloos in te loggen op het SSL VPN-systeem als dat nodig is. SAML-authenticatie-oplossingen worden meestal niet geassocieerd met IPsec VPN's.