Security - com4data Consulting, Beratung und Service GmbH
com4data Consulting, Beratung und Service GmbH
Projektzusammenfassung:
Kunde:
com4data Consulting, Beratung und Service GmbH
Die Herausforderung
Mitte 2020 stand die Treuhand Saar Steuerberatungsgesellschaft mbH vor der Herausforderung, ihre EDV grundlegend neu auszurichten. Zu den Zielen gehörte neben der Erneuerung der Serverinfrastruktur vor allem die Verbesserung des Schutzniveaus bei externen Arbeitsplätzen unter Verwendung von VPN-Lösungen. Bestehende VPN-Verbindungen erforderten einen IP-V4 Internetzugang, spezielle VPN Ports und eine separate Administration der VPN Zugänge. Dies führte zu unüberwindbaren Hindernissen, hohem Kostenfaktor und Komplexität für die Nutzer.
com4data Consulting, Beratung und Service GmbH
Die com4data ist Microsoft Silver Partner und DATEV Solution Partner in den Bereichen Rechnungswesen, Personalwirtschaft, Cloud-Anwendungen und PARTNERasp. Durch diese langjährigen Erfahrungen wird gewährleistet, dass sich das Know-how der Mitarbeiter im Bereich betrieblicher Software auf dem aktuellsten Stand der Entwicklung befindet – ein Vorteil, der stets an die Kunden weitergeben wird.
"Die Vorteile der neuen Lösung liegen auf der Hand - umständliche VPN Installation vs. einfache Authentifizierung über REINER SCT Authenticator!"
Patrick Wagner, Geschäftsführer
Die Lösung
Die beauftragte com4data GmbH entschied sich für den Einsatz des Citrix NetScaler als VPN Gateway und Reverse RDP Proxy sowie REINER SCT Authenticator zur Zwei-Faktor-Authentisierung mittels Einmalkennwörtern (OTP). Diese Lösung bietet eine erheblich vereinfachte Handhabung: Keine VPN Client-Installationen sind nötig, stattdessen genügt ein Webbrowser für die Anmeldung am User Portal des NetScaler. Die Verwendung von HTTPS-Protokollen erlaubt Zugriffe auch über öffentliche Hotspots und Gäste-WLANs. Die Anwender loggen sich mit Active-Directory-Anmeldedaten ein und nutzen den REINER SCT Authenticator zur Generierung eines OTP.
Die Ergebnisse
Die Umstellung brachte signifikante Vorteile. Es sind keine vorinstallierten VPN Clients mehr erforderlich, was zu einem Wegfall von Lizenzkosten führte und jedem Mitarbeiter erlaubt, mit beliebigen Computern auf das Kanzleinetz zuzugreifen. Zudem entfallen die separaten VPN Zugangsverwaltungen zugunsten einer Anbindung an das Active Directory. Die Notwendigkeit von IP-V4 Adressen, speziellen VPN Ports und Protokollen wurde eliminiert; einer Verbindung zum Server dient nun der NetScaler als sichere Zwischenstation (Reverse Proxy). Die neue Lösung bietet also einfachere Authentisierungssmethoden, reduziert die Verwaltungsaufwände und erhöht gleichzeitig das Schutzniveau für die remote arbeitenden Mitarbeiter.
Die Zukunft des VPN
Außendienstler und Home-Office modern und sicher ans eigene Netzwerk anbinden!
In der Mitte des Jahres 2020 stand bei der Treuhand Saar Steuerberatungsgesellschaft mbH in Saarbrücken eine vollständige Neuausrichtung der EDV auf der Agenda. Neben der Umstellung der Kerninfrastruktur auf die neueste Server Hard- und Software war eine Verbesserung der bisher eingesetzten VPN Lösung angestrebt.
Das Hauptaugenmerk hierbei lag auf der Erhöhung des Schutzniveaus (Einführung 2-Faktor Authentifizierung) bei gleichzeitiger Reduzierung der Komplexität für die Anwender.
Bisher wurden die externen Arbeitsplätze mit klassischer Einwahl VPN über einen installierten VPN-Client ans Kanzleinetz angebunden. Die Mitarbeiter konnten sich von dort aus auf die Terminalserverfarm aufschalten. Dieses Verfahren hatte mehrere entscheidende Nachteile für den Kunden: Zum einen erfordert diese Art der VPN Verbindung einen nativen IP-V4 Internetzugang auf der Seite des Mitarbeiters. Dies stellt in Zeiten, in denen die zur Verfügung stehenden IP-V4 Adressen täglich knapper werden, bereits heute an einzelnen Internetzugängen ein unüberwindliches Hindernis dar. Zum anderen muss für jeden Arbeitsplatz ein VPN Client erworben, installiert und lizenziert werden, was für die Kanzlei einen nicht zu unterschätzenden Kostenfaktor darstellt.
Die Mitarbeiter wiederum sind auf die jeweils entsprechend vorbereiteten PC‘s angewiesen. Gleichzeitig erfordert der VPN Router eine separate Administration der VPN Zugänge. Und zu guter Letzt müssen spezielle VPN Ports und Protokolle an dem Internetzugang des Client PCs geöffnet sein. Ein Gäste-WLAN, welches zum Beispiel nur http und https erlaubt, kann nicht für die Einwahl ins Kanzleinetz genutzt werden.
Die com4data GmbH aus St. Wendel wurde als betreuender EDV-Partner mit der Auswahl und Einrichtung einer moderneren Lösung beauftragt. Als zeitgemäße Hard- und Softwarekombination fiel die Entscheidung auf den Citrix NetScaler als VPN Gateway und Reverse RDP Proxy, sowie die REINER SCT Authentikatoren zur Generierung eines Einmalkennworts (OTP) für die jeweiligen Benutzer. Das Zusammenspiel dieser Komponenten bietet den größtmöglichen Schutz, bei gleichzeitig deutlich verringertem Verwaltungsaufwand.
Im direkten Vergleich mit der bisherigen Lösung bietet die neue Konfiguration eine Reihe von Vorteilen: Dadurch, dass der NetScaler sowohl als VPN Gateway, als auch als RDP Proxy eingesetzt wird, entfällt die Installation eines VPN Clients.
Die Anwender nutzen einen konventionellen Webbrowser, um sich auf dem User Portal des NetScaler anzumelden. Der Zugriff erfolgt über das https Protokoll unter Verwendung des TLS 1.2 oder TLS 1.3 Protokolls. Die Verwendung dieses Standardprotokolls ermöglicht auch eine Anmeldung über öffentliche Hotspots oder Gäste-WLANs am System. Dank Active-Directory Anbindung können sich die Mitarbeiter im User Portal mit den gleichen Anmeldedaten verifizieren, wie sie es an ihren Inhouse Arbeitsplätzen tun.
Nach der ersten Anmeldung wird das OTP abgefragt, das auf dem REINER SCT Authenticator generiert wird. Das handliche Gerät ersetzt den vorher genutzten VPN Client. Anstelle einer umständlichen Softwareinstallation und der damit verbundenen Abhängigkeit von einem einzelnen Rechner, können die Mitarbeiter jedes beliebige Computersystem für die Anschaltung ans Kanzleinetz verwenden. So kann im Bedarfsfall auch ein PC des Mandanten vor Ort oder der private PC zu Hause für den Zugang verwendet werden. Hat sich der Anwender authentifiziert, kann er anschließend über einen Link im User Portal sich auf die Serverfarm einloggen. Hierbei fungiert der NetScaler als Reverse Proxy. Der User verbindet sich zum Netscaler; dieser verbindet sich zur Serverfarm. Eine direkte Verbindung zwischen Remote Client und Serverfarm findet nicht statt. Hat der Mitarbeiter seine Arbeit beendet schließt er lediglich das geöffnete Browserfenster und die Verbindung ist dauerhaft getrennt.
Zusammengefasst
…Die Vorteile der neuen Lösung liegen auf der Hand - umständliche VPN Installation vs. einfache Authentifizierung über REINER SCT. Kein vorbereiteter PC notwendig; Lizenzkosten für VPN Clients entfallen vollständig. Statt separater Administration von VPN Zugängen Freischaltung im Active Directory. Statt direkter Verbindung des Clients zum Server, zusätzliche Absicherung durch Einsatz eines Reverse Proxys. Anstelle von teils eingeschränkten VPN Protokollen lediglich Zugriff auf HTTP / SSL erforderlich.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
