Sichere Nutzung von VMware View 5.1 mit Digipass von Vasco

VMware View ist eine Lösung zur Bereitstellung von virtuellen Desktop-Arbeitsplätzen. Oft werden diese Systeme in der internen IT betrieben, die User erhalten einen Zero- oder Thin-Client an ihrem Arbeitsplatz und verbinden sich mit einem virtuellen Desktop im Rechenzentrum. Die Anmeldung erfolgt hier zentral über die Mirosoft Active Directory Anmeldedaten. Die Vorteile für solch eine Lösung gegenüber festinstallierten FAT-Clients liegen auf der Hand:

  • Zugriff von allen Arbeitsplätzen aus auf seinen Desktop
  • Zugriff auf verschiedene Arbeitsplatztypen
    (z.b. Office-,Test- , Entwicklungsumgebung,…)
  • Bei jedem Start eine saubere Umgebung

Man gewöhnt sich schnell daran von überall innerhalb des Unternehmens auf seinen virtuellen Desktop zuzugreifen. Es dauert meist nicht lange bis der Wunsch geäußert wird von extern zuzugreifen – vom Rechner daheim, Apples iPad oder mit einem Samsung Galaxy Tab. Prinzipiell kann bei einer bestehender VPN  (Virtual Private Network) Verbindung ins Unternehmen, die Verbindung von außerhalb direkt aufgebaut werden, doch mobile Endgeräte sind meist kompliziert zu integrieren – viele manchmal auch nicht gewollt. Häufig basieren die VPN Verbindungen auch auf dem TCP-Protokoll was für das Anzeigeprotokoll PCoIP des VMware View Desktops von Nachteil ist. PCoIP nutzt UDP-Pakete, die bei der Nutzung eines TCP-VPN in TCP-Pakete verpackt werden. Dies erhöht die Latency und kann schlussendlich die Darstellungsqualität beeinträchtigen.

Ist kein VPN vorhanden, besteht die Möglichkeit eine Verbindung zum virtuellen Desktop aufzubauen, in dem ein VMware Security Server (SSL Proxy) in der DMZ genutzt wird. Clients können sich darüber direkt aus dem Internet mit dem Security Server verbinden und werden bis zu Ihrem virtuellen Desktop weitergeleitet.

Um hierbei der Sicherheit genüge zu tragen, sollte möglichst eine 2-Faktor-Authentifizierung implementieren. Dies ist eine Kombination aus den üblichen Anmeldedaten (Username und Passwort) und einem weiteren Kennwort das nur wenige Minuten gültig ist. Dieses Kennwort wird meisten von einem Token erzeugt und kann wie ein kleiner USB Stick am Schlüsselbund mitgeführt werden. Nur derjenige, der seine Benutzerdaten und diesen Token zum Zeitpunkt der Anmeldung in der Hand hält, kann sich an dem virtuellen Desktop anmelden. Hierbei wird VMware View so konfiguriert, dass nur Benutzer, welche sich über das Internet verbinden, zur zusätzlichen Authentifizierung mit einem Einmalkennwort aufgefordert werden. Innerhalb des kontrollierten und sicheren Unternehmensnetzwerks bleibt die normale Anmeldung ohne zusätzliche Einmalkennwörter bestehen.

Bis zur VMware View Version 5.0 konnte diese 2-Faktor-Authentifizierung nur mit dem Produkt SecureID vom Hersteller RSA bewerkstelligt werden. Doch mit der aktuellen Version VMware View 5.1 ist es nun möglich, viele andere 2-Faktor-Lösungen zu implementieren. Dazu wird das Radius-Protokoll unterstützt.

In einen aktuellen Projekt hat sich der Kunde zu einer Implementierung mit der Lösung Digipass von Vasco entschieden, das wir hier kurz vorstellen wollen. Vasco bietet eine Fülle von Token die auf Knopfdruck ein Einmalkennwort zur Authentifizierung erzeugen, hier die Modelle Go6 und Go8.

Um die Token mit VMware View verwenden zu können, muss ein Vasco IDENTIKEY Server installiert werden, diesen gibt es für Windows oder auch für verschiedene Linux Distributionen. Die Installation geht schnell von der Hand, einige kurze eindeutige Abfragen und man kann sich über dein Web Frontend am IDENTIKEY Authentication Server anmelden.

Die Verbindung zwischen Connection Broker und IDENTIKEY Server geschieht über die VMware View Administrator Oberfläche.

Hier wird die Radius Verbindung zum IDENTIKEY Server konfiguriert:

Ab diesem Zeitpunkt kann man sich NUR noch MIT gültigem Token über diesen View Connection Broker an seinem Desktop anmelden.

Um alle AD-Benutzer aus der Domäne in den IDENTIKEY Server zu übertragen, muss einen LDAP Synchronisierung über den Vasco Server eingerichtet werden. In diesem Fall werden nur die Anmeldenamen in den IDENTIKEY Server übertragen.

Der Vasco Administrator kann bestimmten Benutzern einen individuellen Token zuweisen, der diesen Benutzern dann den Zugriff von extern gestattet. Vasco kann neben den Hardware Token auch noch eine ganze Reihe von anderen Token anbinden – dazu zählen SMS-Token oder Apps die auf allen gängigen Mobiltelefonen zur Verfügung stehen.

Mehr Informationen und ein komplettes Testpaket mit Token und Software erhalten Sie bei uns unter der Emailadresse: info@mightycare.de oder per Telefon unter: 02645-976896-0.