Forbedr Sikkerheden med RSA SecurID og Cisco AnyConnect

I en verden hvor fjernarbejde bliver stadigt mere udbredt, er sikker adgang til virksomhedens ressourcer afgørende. Cisco AnyConnect Secure Mobility Client er et populært værktøj til at opnå netop dette, men hvad sker der, når vi tilføjer et ekstra lag af sikkerhed gennem RSA SecurID? Denne artikel dykker ned i, hvordan du kan integrere RSA SecurID med Cisco AnyConnect, og hvordan det forbedrer din sikkerhedsprofil markant. Vi vil se på, hvordan RSA SecurID-tokens, både software- og hardwarebaserede, fungerer sammen med AnyConnects avancerede funktioner for at give en gnidningsfri og meget sikker login-oplevelse.

Indholdsfortegnelse

Hvad er RSA SecurID?
Integrationen mellem Cisco AnyConnect og RSA SecurID
- Brugeroplevelsen ved Login
Konfigurationsmuligheder for RSA SecurID-integration
Valg af Forbindelsesprofil og Autentificeringstype
Håndtering af PIN og Passcode i AnyConnect
Fordele ved RSA SecurID med AnyConnect
Fejlfinding og Ofte Stillede Spørgsmål
Konklusion

Hvad er RSA SecurID?

RSA SecurID er en førende teknologi inden for multifaktorautentificering. Dens primære formål er at sikre, at kun autoriserede brugere får adgang til følsomme systemer og data. Teknologien stammer fra Security Dynamics, Inc. (SDI), og den er kendt for sin brug af engangskoder (passcodes), der genereres enten af hardware- eller softwaretokens. Disse koder ændrer sig typisk hvert 60. sekund, hvilket gør det ekstremt svært for uautoriserede personer at få adgang, selv hvis de på en eller anden måde skulle opsnappe en kode.

RSA SecurID Software Tokens er særligt praktiske, da de eliminerer behovet for at bære rundt på et fysisk token. Brugerne kan have deres software token installeret direkte på deres enhed, hvilket forenkler administrationen og reducerer risikoen for tab eller tyveri af hardwaretokens.

Integrationen mellem Cisco AnyConnect og RSA SecurID

Cisco AnyConnect Secure Mobility Client er designet til at kunne integreres problemfrit med forskellige autentificeringsmetoder, herunder RSA SecurID. Denne integration giver mulighed for en stærk autentificering, der beskytter mod uautoriseret adgang. Når AnyConnect konfigureres til at bruge RSA SecurID, vil brugerne opleve en login-proces, der er både sikker og intuitiv.

Brugeroplevelsen ved Login

Typisk vil en bruger starte en AnyConnect-forbindelse ved at klikke på AnyConnect-ikonet i systembakken. Derefter vælger de den ønskede forbindelsesprofil og indtaster deres legitimationsoplysninger i en autentificeringsdialogboks. Udformningen af denne dialogboks tilpasses automatisk baseret på den konfigurerede autentificeringstype for den pågældende tunnelgruppe.

For RSA SecurID-autentificering interagerer brugeren typisk med AnyConnect-interfacet ved at indtaste en PIN-kode (Personal Identification Number), som derefter bruges til at hente en RSA SecurID-kode fra det installerede softwaretoken. Denne kode indtastes derefter i den sikre applikation, hvorefter RSA Authentication Manager validerer koden og giver adgang.

Brugere, der anvender RSA SecurID hardware- eller softwaretokens, vil se tydelige indikatorer i login-dialogboksen, der angiver, om de skal indtaste en kode (passcode), en PIN-kode, eller en kombination af begge. Statuslinjen nederst i dialogboksen giver yderligere information om de specifikke krav til den aktuelle session.

Konfigurationsmuligheder for RSA SecurID-integration

Cisco AnyConnect giver fleksibilitet i, hvordan RSA SecurID-integrationen håndteres. En central indstilling er profilindstillingen RSASecureIDIntegration, som kan have tre værdier:

Automatic: Dette er standardindstillingen. Klienten forsøger først én autentificeringsmetode (som standard behandles brugerinput som en hardwaretoken-kode). Hvis denne metode fejler, forsøger klienten den anden metode (behandler input som en softwaretoken PIN). Når en autentificering er succesfuld, gemmes den anvendte metode som den nye standard SDI Token Type for fremtidige login-forsøg for den pågældende bruger og gruppe. Dette sikrer en effektiv proces, da klienten lærer af tidligere succesfulde sessioner.
SoftwareToken: Med denne indstilling vil klienten altid fortolke brugerens input som en software token PIN. Feltnavnet i dialogboksen vil som standard være "PIN:".
HardwareToken: Her vil klienten altid fortolke brugerens input som en hardware token-kode. Feltnavnet i dialogboksen vil som standard være "Passcode:".

Det er vigtigt at bemærke, at SDI Token Type kun har betydning, når RSASecureIDIntegration er sat til "Automatic". Ved brug af "SoftwareToken" eller "HardwareToken" er det den valgte metode, der altid anvendes.

Valg af Forbindelsesprofil og Autentificeringstype

Udseendet af den indledende login-dialogboks afhænger af konfigurationen på den sikre gateway. Brugeren kan potentielt tilgå den sikre gateway via en hovedlogin-side, en hovedindeks URL, en specifik tunnelgruppe-login-side eller en tunnelgruppe URL.

For at give brugeren mulighed for at vælge mellem forskellige forbindelsesprofiler eller tunnelgrupper, skal afkrydsningsfeltet "Allow user to select connection" være markeret under "Network (Client) Access AnyConnect Connection Profiles".

What is Cisco AnyConnect secure mobility client? — Article ID:5686 The Cisco AnyConnect Secure Mobility Client provides remote users with secure VPN connection. It provides remote end users with the benefits of a Cisco Secure Sockets Layer (SSL) VPN client, and supports applications and functions not available on a browser-based SSL VPN connection.

Når brugeren vælger en tunnelgruppe, der anvender SDI-autentificering, vil feltnavnet i login-dialogboksen typisk være "Passcode". Hvis tunnelgruppen derimod bruger NTLM-autentificering, vil feltnavnet være "Password". I nyere versioner af AnyConnect (Release 2.1 og frem) opdateres feltnavnet ikke dynamisk, når brugeren skifter tunnelgruppe i en dropdown-liste på hovedlogin-siden. For tunnelgruppe-specifikke login-sider vil feltnavnet altid matche de krav, der er defineret for den pågældende tunnelgruppe.

Håndtering af PIN og Passcode i AnyConnect

Cisco AnyConnect er intelligent nok til at acceptere både PIN-koder og passcodes i det relevante inputfelt. Selvom feltnavnet indikerer "PIN", kan brugeren stadig indtaste en passcode, som instrueret af statuslinjen. Klienten sender derefter den indtastede værdi videre til den sikre gateway, som den er.

Når brugeren anvender en software token PIN, gemmer AnyConnect-klienten typisk PIN-koden sammen med tunnelgruppen og brugernavnet. Ved efterfølgende login-forsøg for den samme tunnelgruppe og brugernavn, vil feltnavnet blive ændret til "PIN". Klienten henter så den korrekte passcode fra RSA SecurID Software Token DLL'en ved hjælp af den indtastede PIN.

Tilsvarende, hvis brugeren anvender en passcode, og login lykkes, vil efterfølgende login-forsøg for den samme kombination af tunnelgruppe og brugernavn have feltnavnet "Passcode". Klienten husker den succesfulde metode og optimerer processen for brugeren.

Fordele ved RSA SecurID med AnyConnect

Integrationen af RSA SecurID med Cisco AnyConnect tilbyder en række markante fordele:

Forbedret Sikkerhed: Multifaktorautentificering reducerer risikoen for uautoriseret adgang betydeligt ved at kræve mere end blot et password.
Fleksibilitet: Mulighed for at vælge mellem software- og hardwaretokens samt forskellige login-scenarier giver brugerne fleksibilitet.
Brugervenlighed: Den adaptive natur af AnyConnects login-dialogboks og evnen til at huske den seneste succesfulde autentificeringsmetode (ved "Automatic") strømliner brugeroplevelsen.
Reduceret Administrationsbyrde: Software tokens eliminerer behovet for fysisk distribution og administration af hardwaretokens.
Compliance: Mange brancher og regulativer kræver stærke autentificeringsmetoder, hvilket RSA SecurID og AnyConnect hjælper med at opfylde.

Fejlfinding og Ofte Stillede Spørgsmål

Q1: Hvad skal jeg gøre, hvis min RSA SecurID-kode ikke virker?

A1: Sørg for, at du har den korrekte PIN-kode, hvis du bruger et softwaretoken. Tjek, at din enheds ur er synkroniseret, hvis du bruger et hardwaretoken, da tidsforskydning kan forårsage ugyldige koder. Verificer, at du indtaster koden korrekt i det angivne felt i AnyConnect. Kontakt din IT-administrator, hvis problemet fortsætter.

Q2: Kan jeg bruge RSA SecurID med både Windows og macOS?

A2: Ja, Cisco AnyConnect understøtter RSA SecurID på tværs af forskellige operativsystemer, herunder Windows (både 32-bit og 64-bit) og macOS, forudsat at den korrekte RSA SecurID-software er installeret og konfigureret.

Q3: Hvad betyder "SDI Token Type"?

A3: "SDI Token Type" refererer til den type RSA SecurID token (enten hardware eller software), som klienten bruger til autentificering. Indstillingen "Automatic" lader klienten selv bestemme, hvilken type der skal forsøges først, baseret på tidligere succeser.

Q4: Hvordan aktiverer jeg valg af certifikat i Cisco AnyConnect?

A4: Valg af certifikat er typisk konfigureret i selve AnyConnect-profilen. Dette kan involvere at specificere, hvilke certifikater der skal vises, eller hvordan klienten skal håndtere certifikatbaseret autentificering. Detaljerne afhænger af den specifikke konfiguration foretaget af din netværksadministrator.

Konklusion

At integrere RSA SecurID med Cisco AnyConnect Secure Mobility Client er en yderst effektiv metode til at styrke din organisations sikkerhed. Ved at implementere multifaktorautentificering sikrer du, at kun legitime brugere får adgang til kritiske ressourcer, hvilket minimerer risikoen for databrud og uautoriseret adgang. Den fleksible konfiguration og den brugervenlige oplevelse gør denne kombination til et kraftfuldt værktøj i kampen mod moderne cybertrusler.

Hvis du vil læse andre artikler, der ligner Forbedr Sikkerheden med RSA SecurID og Cisco AnyConnect, kan du besøge kategorien Teknologi.