Implementation ACE/Server von RSA Security

#0
23.08.2004, 20:45
Member

Beiträge: 28
#1 Halli hallo hallöle

Der Sommer ist bald vorüber und überall im ganzen Land werden wieder Diplomarbeiten niedergeschrieben ;-)
Auch ich muss da durch. Mein Thema ist: sicherer Zugriff aufs Firmennetzwerk.
Hauptziel meiner Arbeit ist es, ein Konzept zu erarbeiten, in dem beschrieben wird, wie das neue Sicherheitssystem (Zweifaktor-Authentifizierung) ins bestehende Netzwerk implementiert werden kann. Es soll also aufgezeigt werden, wie ein sicherer Zugang zu Daten, etc. im Firmennetzwerk realisiert werden kann und was dabei beachtet werden muss. Dies werde ich am Beispiel unseres Firmennetzwerks aufzeigen.

Zur Zeit bin ich daran, mich in die Thematik einzuarbeiten. So wies aussieht werde ich das Produkt SecurID von RSA Security "einsetzen". Dies aber nur zu Testzwecken. Nun meine Anfrage: wer kennt sich mit dem ACE/Server von RSA aus und kann mir beim Aufbau einer Testumgebung Tipps und Tricks weitergeben?

Das wärs mal Grob - für mehr Infos stehe ich natürlich jederzeit zur Verfügung... will nicht ein "Riesenposting" machen!

Besten Dank schon mal

MfG Markus
Seitenanfang Seitenende
08.09.2004, 22:26
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#2 - ACE Server installieren
- ceedRecords der Token einlesen
- User konfigurien
- Token zuordnen
und los gehts

Dann brauchst Du in einigen Fällen sicher noch einen Radiusserver, zum Beispiel wenn Du Cisco Geraffel verwendest.

Konkreter?

Vergiss dabei nicht Sachen wie SmartCrads bzw. USB Token (aladdin.de). Beim eToken von aladdin hast Du wie bei jeder anderen SmartCard auch die Mischung aus Besitz und wissen. Demnächst wird es auch einen eToken mit Einmalpasswortgenerator geben. Dann muß sich RSA warm anziehen.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
09.09.2004, 18:39
Member

Themenstarter

Beiträge: 28
#3 Hallo R.

Danke für deine Antwort. Hab schon mal ein Konzept erarbeitet wie ich die Testumgebung aufbauen will. Studiere momentan die Implementation Guides des ACE/Servers und des ACE/Agent - man sind das Papierberge ;-)

Klingt eingentlich logisch und einfach - mal schauen obs dann auch funktioniert. Irgendwas spezielles das man umbedingt beachten muss (Stolpersteine)?

Gruss aus der Schweiz
Markus
Seitenanfang Seitenende
10.09.2004, 07:14
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#4 mmh, nicht wirklich.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
25.09.2004, 15:29
Member

Themenstarter

Beiträge: 28
#5 Hab mal den ACE/Server installiert. Soweit alles ok! Nun stehte ich aber an beim Agent. Will in meiner Testumgebung einen Zugriff via VPN und Zugriff auf Webmail simulieren.
Wenn EAP eingesetzt wird muss der Client-Teil des Agent auf dem PC installiert werden. Hier weiss ich aber nun nicht mehr weiter. Was sind die Möglichkeiten mit EAP und was kann ohne EAP realisiert werden? Was ist sinnvoll für meine Testumgebung? Dort will ich eignetlich eigentlich keinen Agent auf dem Home-PC des Users installieren. Bin ich dadurch im Leistungsumfang eingeschränkt? Schlussendlich können ja dann die Mitarbeiter beim Kunden draussen auch nicht noch vorher einen Agent installieren...

Hab mal was gelesen, dass Enduser, welche nur auf einen Web mit SecurID authentifiziert werden kein Agent installiert werden muss. Was heisst das: ein Web nur mit SecurID?

Zudem habe ich bis jetzt keine genauen Infos, wie die User auf dem ACE/Server richtig erfasst werden. Was für Daten müssen entsprechend dem Zugriffsverfahren, etc. eingegeben werden?

Hoffe jemand hat dazu weitere Anhaltspunkte, Tipps, Tricks, etc. Besten Dank für die Hilfe.

Liebe Grüsse
Markus
Seitenanfang Seitenende
25.09.2004, 18:16
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#6 Ich weiß nicht, ob EAP an der Stelle so geeignet ist. Ich würde eher am VPN Zugang was ändern. Der VPN Konzentrator oder Server sollte do prinzipiell die Möglichkeit bieten die Authentifizierung an den ACE oder einen Radiusserver weiterzuleiten. Dann gibst Du einfach beim Anmelden User und Token und schon sollte es sicher sein.

Ich habe sowas ähnliches letztes erst realisiert: VPN Konzentrator von Cisco leitet die Authetifizierung an einen Radiusserver weiter, der kennt die User und fragt wegen des Passwortes den ACE Server. Funktioniert auch mit dem WebVPN Modul des Konzentrators.

Du musst schon etwas mehr erzählen - welche VPN Komponenten, etcR:
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
26.09.2004, 22:54
Member

Themenstarter

Beiträge: 28
#7 Prinzipschema der Testumgebung:
http://www.olten.teko.ch/~trittenm/

Leider ist es zeitlich nicht möglich, in den sechs Wochen eine grosse Testumgebung mit vielen Komponenten aufzubauen und ausführliche Tests durchzuführen. Hier liegt auch nicht das Schwergewicht der Arbeit.

Ziel der Testumgebung ist der Aufbau und die Vernetzung von 3 Rechnern. Ein Rechner als VPN-Gateway mit dem installierten ACE/Agent sowie ein Rechner mit Daten, auf welchen mir RSA SecurID zugegriffen werden soll. Auf einem Rechner wird Windows Server 2003 aufgesetzt und der ACE/Agent installiert. Dieser ist zudem VPN-Gateway (Funktion von Win 2003 Server). Zudem ist Routing und RAS entsprechend konfiguriert. Wie bereits erwähnt muss somit auch der ACE/Agent darauf installiert werden!
Einwahl einer Users mit PC über I-Net und VPN-Verbindung. Muss anschl. den PIN und PASSCODE eingeben.

ACE/Server ist zur Zeit installiert. Aber eben mit dem Agent habe ich noch so meine Mühe... und die das Ganze rund um EAP, etc. funktioniert weiss ich *noch* nicht! Gibts dazu guete Infos? Habe bis jetzt nichts brauchbares gefunden.

Hoffe mit diesen Angaben gedient zu haben ;-)

Gruss und Danke!
Dieser Beitrag wurde am 27.09.2004 um 16:25 Uhr von Fellyboy editiert.
Seitenanfang Seitenende
16.10.2004, 17:12
Member

Themenstarter

Beiträge: 28
#8 Einwahl über VPN funktioniert nun *yipee*! Installiere nun noch den ACE/Agent for Web, um den IIS zu schützen (für OWA, etc.).
Seitenanfang Seitenende
27.07.2005, 23:22
Moderator
Avatar hevtig

Beiträge: 2312
#9 *Thema wieder vorhol*

Ich habe dasselbe Problem.

Im Echtsystem will ich das Ganze per RAS realisieren, im Testsystem über vpn.

Aufgesetzt habe ich einen MS Server 2003 Small Business
- VPN ist dort aktiviert und funktioniert auch

Jetzt will ich den Login it RSA SecurID realisieren.

Bin jetzt schon mehrere Tage am Basteln, aber komme irgendwie nicht weiter und die Doku is mE nicht so toll.
Nicht nur, das sie englisch ist, sie ist auch riiiesig und unübersichtlich

- um einen User anzulegen schaue in Kapitel 2 im AdminRSA.pdf
- AdminRSA.pdf Kap.2 Mach sie bla, bla und schauen sie in Windows_install.pdf Kapitel 7

Naja,

ich möchte, wie Fellyboy keine Software auf dem Client einsetzen. Also fällt EAP flach, soweit ich das verstanden habe.

Ich habe installiert
- RSA Manager 6.0
- RSA Agent 6.0
- Seed Records sind importiert.

Ich habe einen User angelegt, der auch im AD angelegt ist.
Habe ihm einen Token hinzugefügt.

Was ich nicht verstehe, bzw wo ich nicht weiterkomme
- Wenn ich den Authentification Test mache bekomme ich "Zugriff verweigert"
- Ich habe den Token abgeglichen im Server *erfolgreich*
- Ich habe beim Server mittlerweile bei jedem Punkt etwas angelegt
- Wie bekomme ich die Authentifizierung für das VPN hin?
Bislang nimmt er nur die win auth.

Aufgefallen ist mir, daß der Server (RSA Server unter System) eine andere Zeit als der w2k3 Server aht. der RSA läuft anscheinend unter UMT und der Server unter GMT+1, aber das sollte man doch irgendwie hinbekommen?

Ich würde mich über Hilfe wirklcih freuen ;)

Gruß,

Gerrit
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
28.07.2005, 17:22
Member

Themenstarter

Beiträge: 28
#10 Hallo Gerrit

Wie sieht der Serverstatus des RSA ACE Servers aus?

Folgendes muss sicher noch zu beheben werden:
Zeitdifferenzen!! In der Systemsteuerung die gleiche Zeitzone einstellen und anschliessend auch die Uhrzeiten abgleichen.

Alles überprüft (nach Handbuch von RSA) beim RSA Client? VPN-Verbindung muss genau so eingerichet werden - sonst funktionierts nicht.

Kann dir sonst noch meine Doku der Diplomarbeit zukommen lassen. Habe die momentan nicht zur Hand...

Viel Erfolg und Gruss
Markus
Seitenanfang Seitenende
28.07.2005, 19:54
Moderator
Avatar hevtig

Beiträge: 2312
#11 Hallo Markus,

vielen Dank für die Hilfsbereitschaft ;)

Zitat

Wie sieht der Serverstatus des RSA ACE Servers aus?
Hmm, was meinst du? Die Dienste sind gestartet.

Das mit den Zeitdifferenzen vermute ich auch schon die ganze Zeit.
der RSA Server zeigt 2 Stunden hinter der Systemzeit an.
Ich habe mich auch schonmal systemtechnisch in die Azoren begeben ;)
Aber auch ohne Erfolg..

Du hattest das ja auch alles auf einer Maschine installiert?

Wenn ich in die RSA Server logs schaue sehe ich meine Loginversuche mit dem "Authentication Test" des Agents. Meldung ist, daß der passcode falsch ist...

Wenn ich in die Windows Logs schaue seheich gerade etwas mit multihomed server und das irgend ein Device eine apipa adresse bekommen hat... seltsam

Zitat

VPN-Verbindung muss genau so eingerichet werden - sonst funktionierts nicht.
Ähm, eine Anleitung fürs VPN im RSA Handbuch *blätter*
Ich habe schon geschaut... dieses "post dial in without EAP" versuche ich gerade...

Ich finde ja gerade diese Handbuch hin und her Sucherei so schlimm...
Also das haben die RSA- Leute noch so einiges zu tun, damit die Handbücher einfacher werden...

Mit deiner Diplomarbeit ist sehr nett...
ich schicke dir per pm mal meine addi ;)

Irgendwie muß das Dingen doch laufen....
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
28.07.2005, 23:02
Member

Themenstarter

Beiträge: 28
#12 Das Mail ist unterwegs zu dir...

Die zwei von dir erwähnten Probleme sollten im Doku beschrieben sein!

Gruss
Seitenanfang Seitenende
20.12.2005, 13:53
...neu hier

Beiträge: 4
#13 Hallo Zusammen,
also erstmal kurz zu mir. Ich bin Azubi zum Fachinformatiker/Systemuntegration und ich habe mir in den Kopf gesetzt als Abschlussprojekt einen RSA Server zu installieren. Das heißt eigentlich hab ich ihn schon installiert.
Nun habe ich folgendes Problem die lokale Authentifizierung klappt wunderbar aber die Anmeldung an der Donäne bereitet mir noch so einige Schwierigkeiten. Ich wollte mal fragen, ob evtl. einer von Euch eine Doku zum Einrichtenm und/oder zur Installation des RSA ACE/Manager 6.0 auf Deutsch hat??
Wenn ja bitte an meine E-Mail Adresse, oder PM.

Danke

F
Seitenanfang Seitenende
20.12.2005, 14:18
Member

Themenstarter

Beiträge: 28
#14 Hallo Frank

Na das ist ja prima wenn das Ganze mit der lokalen Authentifizierung klappt! Den RSA ACE/Manager 6.0 kenne ich nicht. Habe die Installation damals vor einem Jahr mit den 5.2-er Versionen vorgenommen. In der Zwischenzeit wurden ja diverse zusätzliche Funktionen im ACE Server und im ACE Manager eingebaut. Zu den 6-er Versionen habe ich nur die so genannten Whitepapers - die werden dir nichts nutzen bei der Installation...leider!

Schaue mal ob doch noch was zu finden ist.

Die englische Version hast du aber, oder?!

MfG
Markus
Seitenanfang Seitenende
21.12.2005, 14:08
...neu hier

Beiträge: 4
#15 Hallo Fellyboy,
erstmal Danke für die schnelle Antwort.
Also ich weiß nicht, was sich zur Version 5.2 so alles verändert hat.
Die englische Doku hab ich, aber wie schon etwas weiter oben beschrieben, ist diese seh verwirrend und noch dazu sehr dick.

Ich bin mir jetzt nicht sicher, ob ich den Client auch auf dem DC installieren muß.
Vielleicht weiß jemand Rat.

Gruß
F.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: