Remote Access Methoden für Admins im Vergleich

Kaum eine Firma hat für all ihre IT Systeme so tiefes Know-How, dass sie alles selber betreuen kann à la IT-Superhero. Daher kommt es immer wieder vor, dass externe Firmen Zugang auf die internen IT Systeme bekommen. Sei es auch nur für einen Supportcase oder Maintenance.

Wie wird Remote Access für Admins umgesetzt?

Hier eine Auflistung der meist verwendeten Methoden:

1. Remote Session Methode

Da kein Remote Access für Admins eingerichtet ist, baut der interne Admin mit dem externen Supporter eine Remote Session z.B. via TeamViewer auf. Darüber erhält der externe Supporter dann Zugriff auf das Endsystem (bsp. Server).

Vorteile

  • Es muss keine Remote Access Lösung für externe Supporter eingerichtet werden
  • Kein Layer 3 Tunnel vorhanden
  • Es verlassen keine Credentials das Unternehmen

Nachteile

  • Der externe Supporter arbeitet auf dem IT System unter dem Account des internen Admins.
  • Nicht DSGVO konform
  • Meist hat der externe Supporter zu viele Rechte.
  • Kein Auditing
  • Remotesession wird selten aufgezeichnet (Session Recording)
  • Point-of-Meeting bei der Remotesession ist meist in der Cloud. Stichwort: Cloud Act

2. Layer 3 VPN

Die externe Firma erhält einen Layer 3 VPN Zugang um anschliessend auf die internen IT System zugreifen zu können.

Vorteile

  • Unbeaufsichtigter Zugang möglich (ist sowohl ein Vorteil als auch ein Nachteil)
  • Einschränkung auf WAN-IP Adresse möglich

Nachteile

  • Der externe Supporter hat meist zu viele Berechtigungen.
  • Durch den Layer 3 Tunnel können bösartige Files übertragen werden.
  • Mehrfaches Authentisieren notwendig
  • Two factor authentication 2FA für VPN Tunnel sind selten implementiert
  • Die internen Passwort Richtlinien, wie die Aufbewahrung der Credentials, können selten beim externen Partner umgesetzt werden
  • Generische Accounts sind üblich
  • Kein Auditing
  • Kein Session Recording

3. Zugang über SSL-VPN Portal

Der externe Supporter erhält Zugang über ein Web Portal auf die interne IT Systeme.

Vorteile

  • Unbeaufsichtigter Zugang möglich (auch hier: sowohl Vorteil als Nachteil)
  • Kein Layer 3 Tunnel vorhanden
  • Einschränkung auf WAN-IP Adresse und weitere Compliance Checks möglich

Nachteile

  • Der externe Supporter hat meist zu viele Berechtigungen
  • Mehrfaches Authentisieren notwendig
  • 2FA wird selten implementiert
  • Die internen Passwort Richtlinien, wie die Aufbewahrung der Credentials, können selten beim externen Partner umgesetzt werden
  • Generische Accounts sind üblich
  • Kein Auditing
  • Kein Session Recording

4. Privileged Remote Access (PRA)

Der externe Supporter meldet sich auf dem Web UI der Privileged Remote Access (PRA) Lösung an. Anschliessend werden ihm die IT System angezeigt, auf die er Zugriff hat. Nachdem er sein IT System ausgewählt hat, wird er auf dem Zielsystem wie von Zauberhand automatisch mit seinem Admin Account vom IT System angemeldet.

Ganz ehrlich: Wer kein Superheld ist (wie die meisten von uns), sollte meiner Meinung nach diese Methode einsetzen. Sie ist bei weitem die einfachste und sicherste. Deswegen erkläre ich sie im nächsten Kapitel noch im Detail.

Vorteile

  • Einmalige Authentisierung notwendig
  • Two factor Authentication 2FA
  • Smart Card Unterstützung
  • Es verlassen keine Credentials von Endsystemen das Unternehmen
  • Keine generische Accounts
  • Keine Layer 3 VPN Verbindung notwendig
  • Session Recording
  • Auditing
  • Automatisches Credential Rotation nach der Session
  • DSGVO konform
  • API für externen Password Safe

Nachteile

  • Initialer Installationsaufwand ist grösser als für ein Layer 3-VPN
  • Zusatzkosten für eine dedizierte Lösung

iPad vs. Schneidbrett

Quelle: YouTube, www.youtube.com/watch?v=nPGY2T9r1Ok, abgerufen am 4.9.2019.

Ein iPad hat viele Apps und kann für viele Funktionalitäten eingesetzt werden. Wenn man jedoch ein Schneidbrett für Gemüse haben möchte, wäre man da in der Küchenutensilien Abteilung des Supermarkts besser aufgehoben. Jedes Tool hat seine Qualitäten und Funktionalitäten.

Das gleiche Prinzip kann für Remote Access für Admins angewendet werden. Diverse Lösungen können für priviligierten Remote Access für Admins eingesetzt werden. Je nachdem welche Bedürfnisse man hat, ist man besser aufgehoben, wenn man ein Tool einsetzt, welches genau für seine Bedürfnisse konzipiert wurde.

Privileged Remote Access (PRA)

Privileged Remote Access (PRA) von BeyondTrust wurde genau für Remote Access für Admins konzipiert und hat aus meiner Sicht folgende drei Hauptvorteile:

  • Session Recording
  • Ausgereiftes Auditing
  • Password Server Integration inkl. Credential Injection

Da der externe Supporter über HTML5 die Verbindung zur PRA aufbaut, muss er auf seinem System keine Anwendung herunterladen oder installieren. Alle Verbindungen vom externen Supporter laufen über die PRA. Somit kann alles aufgezeichnet werden. Da PRA einen integrierten Passwort Server hat, oder ein externer Passwort Server angebunden werden kann, kann er nicht nur die Credentials und SSH-Keys bei den RDP, SSH und VNC Sessions einbetten, sondern ist auch in der Lage die Credentials und SSH-Keys nach jeder Session auf den Servern zu ändern. Somit kann eine Pass the hash Attacke nach der Session nicht mehr durchgeführt werden.

Hier ist ein Demo Video dazu zu finden (ab Sekunde 24): www.beyondtrust.com/docs/kickstart/privileged-remote-access.htm#

Meiner Meinung nach ist Session Recording und Auditing ein muss wenn Externe priviligierten Zugang bekommen.

Daher gilt: be a

or use PRA!

Links

Weitere Informationen zu Privileged Remote Access (PRA) von BeyondTrust: www.avantec.ch/loesungen/beyondtrust/

Der Beitrag Remote Access Methoden für Admins im Vergleich – be an IT-Superhero or use PRA erschien zuerst auf Tec-Bite.