Ik heb een klein bedrijf dat een cyberbeveiligingsbeoordeling ondergaat van hun primaire leverancier. Een van de vereisten is dat we MultiFactor Authenticatie afdwingen op onze VPN-verbindingen. De klant heeft momenteel vier locaties, de drie externe vestigingen hebben elk een site-to-site ipsec VPN naar de hoofdlocatie, allemaal geconfigureerd met TPLink-routers. De hoofdlocatie heeft een tweede TPLink-router die wordt gebruikt voor een L2TP VPN voor de diverse externe gebruikers om thuis te werken. De TPLink-router ondersteunt geen MFA voor de VPN, dus ik moet iets vinden om het te vervangen.
Ik zoek iets dat gemakkelijk te configureren en te beheren is, en ook niet belachelijk duur. Ik wil niets dat via een commandolijn moet worden ingesteld. Ze hebben momenteel ongeveer 45 gebruikers die op afstand werken, maar de meesten gebruiken het zelden. Behalve in het geval van een andere pandemie, schat ik dat nooit meer dan 5-10 gebruikers gelijktijdig verbonden zijn.
Zijn er goede opties die je zou aanbevelen?
Ik wil niets dat via een commandolijn moet worden ingesteld, zegt /u/UncleChub op een sub voor enterprise netwerk professionals … wat voor wereld woon ik in!
Voor een klein bedrijf zouden de SonicWall TZ of NSA serie goed werken. IPsec-tunnels zijn heel gemakkelijk op te zetten, SSL VPN-licenties zijn goedkoop, en ze ondersteunen MFA. Ze zijn relatief eenvoudig in te stellen via de web GUI.
Hoewel ik SonicWALLs niet aanraad voor grote implementaties, zijn hun TZ-serie firewalls perfect voor SMB’s en is hun site-to-site VPN solide. Het heeft native ondersteuning voor TOTP.
Ik heb onlangs een paar OPNsense routers geïnstalleerd en de vereiste was MFA voor alle VPN-toegang.
MFA voor OpenVPN is ingebouwd in de ( mijn aanbeveling), je enige kosten zijn je tijd.
Alle WatchGuard firewalls ondersteunen MFA.
Zijn er on-prem hypervisors? Als TPLink RADIUS kan gebruiken, kun je iets proberen zoals dit
Ik zou het vervelend vinden als hij een oplossing implementeert die zijn klant zelf kan beheren, vooral voor gebruikers toe- en uitgangen.
Of MS MFA als ze dat willen. Wat ze waarschijnlijk al hebben.
Ik zou zeggen dat hun SMA-assortiment beter is voor MFA, je kunt SAML-authenticatie toepassen en hebt geen gebruiksbeheer.
Mee eens, maar ze zijn veel duurder. Zolang OP geen hoge doorvoer op de VPN nodig heeft, werkt een TZ prima.