Individuelle VPN-Profile durch Integration in das Active Directory

    Der Zugriff auf ein Remote-Access-Netzwerk wird üblicherweise von einer AAA-Funktion (Authentisierung, Autorisierung, Accounting) gesichert. Das Herzstück des Identitäts-Managements ist ein zentrales User-Verzeichnis wie Active Directory. Am VPN-Gateway muss sich der Remote-Access-Anwender vor dem Zugriff gegenüber dem User-Verzeichnis verifizieren und authentisieren. Dies stellt sicher, dass dem Unternehmensprofil entsprechend jeder User über eine eigene Bereitstellung verfügt und, was noch wichtiger ist, dass diese auch wieder entzogen werden kann.

    Ein ausgereiftes Remote-Access-VPN-System authentisiert Remote User nicht nur gegenüber dem User-Verzeichnis des Unternehmens, sondern synchronisiert auch die LDAP-Attribute oder Sicherheitsgruppen und vergibt die nötigen Zugriffsprivilegien. Abhängig von der Identität des Users wird das VPN-User-Management spezifische Zugriffsprofile für Usergruppen ausstellen.

    Flexible Zugangsbeschränkungen

    Diese Zugriffsprofile definieren und erzwingen spezifische Einschränkungen im Zugriff für Dial-up-User. Die Art der Authentisierung, wie zum Beispiel n-fache Authentisierung, kann eine solche Beschränkung sein, auch Split Tunneling und spezifische Zielnetzwerke, für die eine Security Association zugelassen wird.

    Weiterhin sind möglich: spezifische Client-Firewall-Einstellungen auf dem Gerät des Nutzers, spezielle erzwungene Regeln für den Schutz der Endpoints, die es einem Nutzer erlauben oder verbieten einen VPN Tunnel auf Grund von Kriterien wie Betriebssystem und Version aufzubauen, sowie andere Konfigurationsparameter.

    Schutz der Zugangsprofile

    Jedes fortschrittliche VPN-System kann nutzerspezifische Zugangsprofile über einen sicheren Prozess bereitstellen. Die personalisierten Profile der Clients werden von einem VPN Access Management System verwaltet und beim ersten Starten an den VPN-Nutzer ausgegeben.

    Hierdurch wird verhindert, dass der User oder ein Dritter Einstellungen am VPN-Client-Profil ändert. Eine solche Funktion kann bei einem IPsec-Client leichter umgesetzt werden als bei einer Browser-basierten Lösung.

    Keine Kommentare