tanapro RADIUS Server (taRadiusSrv)

Details
tanapro RADIUS Server ist eine reine Software Lösung zur sicheren, einfachen und günstigen Benutzer-Authentifizierung, z.B. bei VPN-Zugriffen. tanapro taRadiusSrv

Tanapro taRadiusSrv 2.2

Dies ist die deutsche Produktebeschreibung des Tanapro taRadiusSrv. Die technische Dokumentation finden Sie hier

taRadiusSrv ist ein Copyright-geschützter RADIUS Server der Tanapro GmbH (www.tanapro.ch) welcher Benutzer Logins mit starker Authentifizierung unterstützt (für VPN, RAS, etc.). Es ist eine sichere, kostengünstige, reine Software Lösung, welche keine zusätzlichen HW/SW Tokens benötigt.

Die Software ist multi-lingual - im Lieferumfang enthalten sind Deutsch und Englisch. Die Texte in den Sprachdateien können Sie einfach in weitere Sprachen übersetzen und durch den System Administration installieren lassen.

taRadiusSrv ist in Eve (www.ewesoft.com) geschrieben und verwendet die frei verfügbare Eve VM (Version 1.38 oder höher).

Leistungsmerkmale

  • Sichere Lösung - verwendet zur Authentifizierung PIN + Einmalpasswort.
  • Einfache Verwaltung
  • Benötigt sehr wenig Systemressourcen - läuft auf jedem vernetzten Win32- oder Linux System mit installierter Eve VM. Die Software kann unter Win32 (mit zusätzlicher Freeware) als Service installiert werden.
  • Die Software läuft auch auf Linux-Systemen ohne grafische Oberfläche. Die Administration kann in diesem Fall von einem Windows System aus gemacht werden.
  • Günstige Lösung (in Bezug auf Lizenz- und Administrationskosten)
  • Einfach zu überwachen - es gibt einen speziellen monitor Benutzer, welcher vom Server immer abgewiesen wird. Durch die negative Antwort weiss man dann aber, dass der Server noch funktioniert. Die Log-Einträge dieser Ueberwachungsanfragen können auf Wunsch unterdrückt werden.
  • taStrongSudo Unterstützung: Diese Funktion erlaubt es einem normalen Benutzer gewisse (vordefinierte) Befehle auszuführen, für welche normalerweise Administratorrechte benötigt würden. Dies wird ermöglicht, indem die Befehle an den RADIUS Server geschickt werden, welcher sie ausführt, wenn der Benutzer sich erfolgreich authentifiziert hat. taStrongSudo könnte z.B. dazu verwendet werden, um auf einfache Weise Benutzer Passwörter zurückzusetzen.

Starke Authentifizierung

Was ist starke Authentifizierung und warum braucht man das?

Starke Authentifizierung bedeutet, dass man einen Benutzer sicherer identifiziert als nur gerade mit Loginnamen und Passwort. Dies ist insbesondere dann wichtig, wenn der Benutzer sich via Internet anmeldet, weil es dann keine zusätzlichen Identifizierungskriterien wie z.B. die calling-station-id (die Telefonnummer, von welcher aus der Benutzer sich anmeldet) gibt.

Mit nur Loginname/Passwort wird der Benutzer nur schlecht identifiziert und ein Hacker könnte das Passwort erraten oder es sogar wissen (Insider). Durch die Verwendung eines weiteren Idenfizierungsmerkmals (2-Faktoren-Sicherheit) wird dieses Sicherheitsrisiko eliminiert oder zumindest extrem stark reduziert.

Sicherheitsdetails

Der Login Prozess funktioniert wie folgt:
  1. Der Benutzer meldet sich an mit seinem persönlichen PIN, welcher in der Datenbank des Servers gespeichert ist.
  2. Wenn der PIN korrekt ist, erstellt der Server ein Einmalpasswort und schickt dieses dem Benutzer. Der Systemadministrator kann bis zu 3 Methoden zum Versand des Einmalpasswortes definieren. Die einfachste Methode ist der Versand via E-mail. Wenn ein SMS Gateway existiert, könnte das Einmalpasswort auf das Mobiltelefon des Benutzers geschickt werden.
  3. Der Benutzer meldet sich nochmal an, dieses Mal mit PIN+Einmalpasswort. Stimmt PIN und Einmalpasswort, dann wird der Benutzer zugelassen.
Sicherheitsmerkmale:
  • Bei allen Benutzer Accounts kann ein Gültig-bis Datum angegeben werden.
  • PAP und CHAP Authentifizierung wird unterstützt.
  • Nach zuvielen (einstellbar) ungültigen Anmeldeversuchen wird der Benutzer Account gesperrt.
  • Das Einmalpasswort hat eine begrenzte (einstellbar) Lebensdauer.
  • Das Einmalpasswort ist nach einem gültigen Login kein zweites Mal verwendbar.
  • Die Server-Datenbank ist verschlüsselt - der Zugriff darauf ist durch ein Adminpasswort gesichert.
  • Das Admin GUI schliesst sich automatisch, wenn zu lange untätig.

Kosten

Die Löung ist sehr kostengünstig, aus folgenden Gründen:
  • Da es keine HW/SW Tokens braucht, entfällt das kostenintensive Token Management welches beinhaltet:
    • Den Token zum Benutzer bringen und ihn wieder zurückbekommen, wenn er nicht mehr benötigt wird.
    • Defekte oder verlorene Tokens ersetzen.
    • Tokens entsperren, wenn der Benutzer sein Zugriffspasswort vergessen hat.
    • Tokens resynchronisieren, wenn sie nicht mehr synchron sind.
    • Den Benutzern temporäre Passwörter vergeben, wenn sie ihren Token nicht bei sich haben, sich aber trotzdem anmelden wollen.
  • Es braucht keine dedizierte Server Hardware.
  • Keine zusätzlichen Kosten für HW/SW Tokens.
  • Die Lizenzen basieren auf der Grösse der Benutzerdatenbank. Sie sind erhältlich in kleinen Schritten: 5,10,15,etc.
  • Eine einmal gekaufte Lizenz läuft nie aus.