Portfolio

Secure Remote Access

Remote Access tot uw netwerk, op een veilige manier en daarbij remote controle kunnen uitoefenen over wat er wordt aangeboden aan gebruikers op afstand. Daarvoor bieden wij een prima oplossing aan, waarbij ook nog eens registratie plaats vindt, zodat eventuele pogingen tot misbruik getraceerd

RSA SecurID in combinatie met een Citrix Access Gateway . . .

Deze producten integreren naadloos met elkaar en bieden samen op een zeer veilige manier remote toegang aan gebruikers. We zullen eerst de afzonderlijke producten bespreken, zodat hiervan een beeld gevormd kan worden

RSA SecurID . . .

RSA SecurID is een vorm van "Two-Factor User Authentication". Deze vorm van authenticatie vervangt de binnen het LAN gebruikte gebruikersnaam en wachtwoord waarmee gebruikers zich authenticeren. De "Two-Factor" term slaat op de manier van authenticeren. Authenticeren bestaat namelijk uit "something you have" (in dit geval een token) en "something you know" (een PIN code).

Een token is in dit geval een apparaat dat elke 60 seconden een nieuwe code genereert. Deze code is vereist om in te loggen. Hiermee wordt het risico van een te kraken wachtwoord uitgesloten. Ook zogenaamde "keyloggers" hebben geen kans van slagen. Een keylogger registreert toetsaanslagen op een machine, zodat wachtwoorden achterhaald kunnen worden.

Doordat de door een RSA SecurID token gegenereerde code maar 60 seconden gebruikt kan worden hebben eventuele hackers hier niets aan.

RSA SecurID en Microsoft Exchange Server ActiveSync . . .

RSA SecurID biedt volledige ondersteuning voor Microsoft Exchange Server ActiveSync. Ook hier wordt de in principe onveilige gebruikersnaam wachtwoord combinatie vervangen door RSA SecurID authenticatie middels een token.

Mocht een PDA of ander mobiel apparaat in verkeerde handen vallen dan kan er zonder token en PIN code van de gebruiker geen toegang worden verschaft. Met Exchange Server 2003 Service Pack 2 wordt het tevens mogelijk gemaakt om op afstand een apparaat te wissen (remote whipe). Hiervoor is wel minimaal Windows Mobile 5 en de Messaging and Security Feature Pack vereist

RSA SecurID en Outlook Web Access . . .

RSA SecurID biedt tevens de mogelijkheid om de Outlook Web Access login te vervangen door RSA SecurID authenticatie. Hierbij geldt weer dat de combinatie gebruikersnaam / wachtwoord vervangen wordt door de "Two Factor" authenticatie van RSA SecurID.

Citrix Access Gateway . . .

De Citrix Access Gateway biedt op een eenvoudige en veilige manier toegang tot een LAN. Hierbij wordt gebruik gemaakt van een SSL VPN. Een SSL VPN is een met SSL beveiligde verbinding naar een ander netwerk. Het voordeel van een SSL VPN is dat al het verkeer plaats vindt over poort 443. Poort 443 wordt normaal gesproken gebruikt voor met SSL beveiligde websites (HTTPS). Doordat verkeer over deze poort bijna altijd wordt toegestaan is het niet nodig om aanpassingen te doen in lokale firewalls. De VPN client die wordt gebruikt ondersteunt ook een zogenaamde "Kiosk" modus. Hiermee is het mogelijk om vanaf een publieke machine (bijvoorbeeld vanuit een internet cafe) waarop geen software geïnstalleerd kan worden, toch de vereiste VPN verbinding met het bedrijfsnetwerk op te bouwen.

Door policies te configureren en zogenaamde "Split Tunneling" functionaliteit kan het verkeer dat door de VPN tunnel naar het bedrijfsnetwerk gaat worden gecontroleerd. Split Tunneling zorgt ervoor dat enkel verkeer bestemd voor het bedrijfsnetwerk door de VPN tunnel gaat.

Certificaat . . .

Een certificaat, uitgegeven door een bekende instantie, dient op de Access Gateway te worden geïnstalleerd om te waarborgen dat het verkeer vanaf de Access Gateway authentiek is. Hiermee wordt een zogenaamde "Man in the middle" attack voorkomen. Bij een "Man in the middle Attack" doet een ander zich voor als zijnde de Access Gateway in dit geval en sluist het verkeer vervolgens weer door. Het verkeer zou op deze manier kunnen worden afgeluisterd waarbij gevoelige bedrijfsinformatie wordt prijsgegeven.

Gebruikerservaring . . .

Gebruikers krijgen een web pagina gepresenteerd, waarop om hun credentials wordt gevraagd. Na succesvol authenticeren wordt de VPN client geïnstalleerd of gestart en een veilige verbinding met het bedrijfsnetwerk opgebouwd. Afhankelijk van de configuratie kan er nu eventueel een Remote Desktop of ICA sessie worden gestart of drive mappings kunnen worden aangemaakt.

Gebruikers hebben naast een browser dus verder niets nodig om de VPN verbinding op te kunnen bouwen. Hierdoor kan het verschaffen van remote toegang volledig centraal plaats vinden. Configuratie van de thuis werkplek is niet nodig.

Totaaloplossing . . .

Doordat RSA SecurID geïntegreerd kan worden met de Citrix Access Gateway, ontstaat een zeer veilige totaaloplossing. Gebruikers authenticeren zich op de Citrix Access Gateway met RSA SecurID. De Citrix Access Gateway bouwt een SSL VPN op met het bedrijfsnetwerk en staat enkel toe dat er een Remote Desktop sessie wordt opgebouwd met de Terminal Server Farm. Al het overige verkeer wordt of niet door de tunnel gerouteerd (Split Tunneling) of geblokkeerd (policies op de Access Gateway). Aanvullende configuratie van de thuiswerkplek is niet nodig.

Binnen de Remote Desktop Sessie kan het gebruik van applicaties worden beperkt middels RES PowerFuse. PowerFuse ondersteunt bij het beperken van gebruik van applicaties op basis van de locatie waar vandaan verbinding wordt gemaakt. Bijvoorbeeld; een gebruiker logt in via de geboden remote access oplossing en krijgt op basis van zijn locatie als applicatie enkel Microsoft Outlook aangeboden binnen zijn RDP sessie.

Aanvullend biedt RSA SecurID een agent voor Outlook Web Access en beveiliging van Microsoft Exchange Server Activesync. Zowel RSA SecurID als de Citrix Access Gateway beschikken over uitgebreide logging zodat eventuele aanvallen op het netwerk of ander misbruik achterhaald kan worden.

Hotdesking met SmartCards

Single SignOn

Mobile Access

Microsoft Forefront UAG

Secure Remote Access