workshop: Mehrfaktor-Authentisierung an OpenVPN mittels LinOTP

Event_large

Sensible Daten werden immer mehr zur Handelsware des Cybercrime. Remote-Zugriffe auf diese Daten sind daher heute schützenswerter
denn je, da die Gefahr des Identitätsraubes und Passwort-Diebstahls in den vergangenen Jahren immer weiter zugenommen hat. Schon
lange sind verschiedene System am Markt verfügbar, die durch eine Zweifaktorauthentisierung in der Lage sind Sniffing, Brute-Force-
und Replay-Angriffe abzuwehren. In diesem Workshop soll eine solche Lösung basierend auf den Opensource-Komponenten OpenVPN und
LinOTP eingerichtet werden.

Ausgangspunkt ist eine OpenVPN Installation mit einfacher Passwort-Authentisierung. Im Workshop erweitern wir diese Installation um eine Zweifaktorauthentisierung, wobei als Hardwaremerkmal verschiedene OTP-Token wie beispielsweise ein Yubikey, ein Smartphone, ein OTP-Keyfob und eine OTP-Scheckkarte zum Einsatz kommen. Hierzu wird auf dem bestehendem System ein LinOTP-Server installiert, der in der Lage ist, verschiedenste Token-Typen für alle Benutzer zu verwalten. Für die verschiedenen Benutzer werden nun unterschiedliche Authentisierungsgeräte ausgerollt. Über das entsprechende PAM-Modul wird beispielsweise die einfache Passwort-Authentisierung durch eine Authentisierung gegen den LinOTP Server mit einer OTP-PIN und dem, von dem jeweiligen Hardwaregerät erzeugten, OTP-Wert ersetzt. Zusammen mit einem ebenfalls auf dem VPN Client installierten X509-Zertifikat ergibt sich somit wahlweise sogar eine 3-Faktor-Authentisierung aus dem Notebook-gebundenen X509-Zertifikat, dem Wissen um die OTP-PIN und dem am Hardwaregerät erzeugten OTP-Wert.

Der Workshop stellt alle einzelnen Konfigurationsschritte an einem Live-System dar und soll Raum für Fragen, Alternativen und Diskussionen lassen.