Geokinetik-Regelobjekte

Gilt für: AuthPoint-Multi-Faktor-Authentifizierung, AuthPoint Total Identity Security

Mit dem Geokinetik-Regelobjekt können Sie Regelobjekte erstellen, die den aktuellen Standort des Benutzers mit dem Standort seiner letzten gültigen Authentifizierung vergleichen. AuthPoint lehnt Authentifizierungen von einem Standort automatisch ab, wenn der Benutzer diesen seit seiner letzten Authentifizierung aufgrund der Entfernung und der Zeitdauer zwischen den Authentifizierungen nicht hätte erreichen können.

Wenn Sie ein Geokinetik-Regelobjekt erstellen, geben Sie die maximal zulässige Fortbewegungsgeschwindigkeit an.

Anwendungsfall

Ein Angreifer aus einem anderen Land hat die Zugangsdaten eines Benutzers erlangt und versucht sich an einer MFA-geschützten Ressource anzumelden. Der Angreifer nutzt Social Engineering oder Push Bombing (auch Prompt Bombing), um den Benutzer dazu zu bringen, der Push-Benachrichtigung zuzustimmen. Selbst wenn der Benutzer die Push-Benachrichtigung genehmigt, lehnt AuthPoint mit Geokinetik die Authentifizierung ab, falls der Angreifer sich an einem Ort befindet, den der Benutzer seit seiner letzten Authentifizierung nicht hätte erreichen können.

Beispiel

Sie konfigurieren ein Geokinetik-Regelobjekt, das Authentifizierungen automatisch ablehnt, wenn die Entfernung zwischen zwei Authentifizierungsstandorten nicht mit einer Geschwindigkeit von 600 Meilen pro Stunde (Fluggeschwindigkeit) zurückgelegt werden kann.

Ein Benutzer authentifiziert sich erfolgreich und meldet sich um 9:00 Uhr vom Firmensitz in Seattle (USA) bei JIRA an. Derselbe Benutzer versucht 30 Minuten später von Paris (Frankreich) aus, sich zu authentifizieren. AuthPoint lehnt die Authentifizierung automatisch ab, auch wenn sich der Benutzer erfolgreich mit MFA authentifiziert, da der Benutzer nicht innerhalb von 30 Minuten von Seattle nach Paris reisen kann.

Geokinetik-Regelobjekte verhalten sich anders als andere Regelobjekte, da sie nach einer abgeschlossenen Authentifizierung angewendet werden.

Bei anderen Regelobjekten (Geofence, Zeitplan, Netzwerkstandorte), wenn Sie das Regelobjekt einer Authentifizierungsregel hinzufügen, gilt die Regel nur für solche Benutzerauthentifizierungen, die den Bedingungen der Authentifizierung und der Regelobjekte entsprechen. Wenn Sie zum Beispiel einen bestimmten Netzwerkstandort zu einer Regel hinzufügen, gilt die Regel nur für Benutzerauthentifizierungen, die von diesem Netzwerkstandort stammen.

Die Geokinetik-Technologie wirkt sich nicht auf die Bedingungen einer Authentifizierung aus: Wenn Sie also ein Geokinetik-Regelobjekt zu einer Authentifizierungsregel hinzufügen, müssen Sie keine zweite Regel ohne das Geokinetik-Regelobjekt erstellen.

Beschränkungen

Beim Konfigurieren von Geokinetik-Regelobjekten sollten Sie die folgenden Informationen beachten:

  • Die Geokinetik-Technologie kommt nicht für RADIUS-Authentifizierungen zur Anwendung.
  • Geokinetik-Regelobjekte gelten erst nach erfolgter Authentifizierung. Wenn die Entfernung zwischen der aktuellen Authentifizierung und der letzten gültigen Authentifizierung in der verstrichenen Zeit mit der zulässigen Geschwindigkeit nicht zurückgelegt werden kann, wird die Authentifizierung abgelehnt, selbst wenn der Benutzer den Push genehmigt oder die richtige OTP- oder QR-Code-Verifizierung eingegeben hat.
  • Die Geokinetik-Technologie vergleicht den Standort der aktuellen Authentifizierung mit dem Standort der letzten erfolgreichen Authentifizierung in den letzten 24 Stunden.
    • Frühere abgelehnte oder ungültige Authentifizierungen werden nicht berücksichtigt.
    • Wenn innerhalb von 24 Stunden keine erfolgreiche Authentifizierung stattgefunden hat, ignoriert AuthPoint das Geokinetik-Regelobjekt (da das Zurücklegen von Strecken zwischen den meisten Standorten innerhalb von 24 Stunden möglich ist).
  • Die Geokinetik-Technologie kommt für Logon App, RD Web und ADFS-Ressourcen nicht zur Anwendung, wenn die Authentifizierungsregel nur ein Passwort (keine MFA) erfordert. Dies liegt daran, dass AuthPoint Geokinetik-Objekte nach der Authentifizierung validiert. In Szenarien, in denen AuthPoint das Passwort nicht validiert, wird keine MFA/Authentifizierungsanfrage an AuthPoint gesendet.

Um die Authentifizierung mit dem Geokinetik-Regelobjekt nutzen zu können, müssen Sie die folgenden Versionen der AuthPoint-Agenten installieren:

  • AuthPoint Agent für Windows v2.7.1 oder höher
  • AuthPoint Agent für RD Web v1.4.2 oder höher
  • AuthPoint Agent für ADFS v1.2.0 oder höher

RD Web hat zusätzliche Anforderungen zur Unterstützung von Authentifizierungen mit Standortdaten. Weitere Informationen finden Sie unter Geokinetik für RD Web .

Geokinetik wird von folgenden Ressourcen nicht unterstützt:

  • AuthPoint Agent für macOS
  • RADIUS

Für die RADIUS-Authentifizierung sind Regeln mit Geokinetik-Regelobjekt nicht anwendbar, da AuthPoint die IP-Adresse des Endnutzers oder die ursprüngliche IP-Adresse nicht ermitteln kann.

Standortdaten für Geokinetik-Regelobjekte

Wenn ein Benutzer sich authentifiziert, identifizieren die Standortdaten das Gebiet, aus dem sich der Benutzer authentifiziert. Bei der Konfiguration eines Geokinetik-Regelobjekts können Sie wählen, ob Sie Standortdaten mit geringer Genauigkeit zulassen. Benutzerstandorte, die aus Daten mit geringer Genauigkeit ermittelt wurden, haben einen größeren Radius. Beispielsweise können Standortdaten mit hoher Genauigkeit den tatsächlichen Standort des Benutzers auf 10 Meter genau angeben, während Standortdaten mit geringer Genauigkeit vielleicht nur auf einen Kilometer Entfernung des tatsächlichen Standortes genau sind.

Bei der browserbasierten Authentifizierung fordert der Browser den Benutzer bei der Authentifizierung auf, seinen Standort zu teilen. Willigt der Benutzer ein, sendet der Browser die geografischen Koordinaten des Benutzerstandortes an AuthPoint. AuthPoint verwendet diese Informationen zur Validierung von Geokinetik-Objekten. Dies sind Standortdaten mit hoher Genauigkeit.

Willigt der Benutzer nicht in die Weitergabe seines Standortes ein, wird sein Standort auf Basis der IP-Adresse bestimmt. AuthPoint betrachtet Standortdaten auf Basis der IP-Adresse als Daten mit geringer Genauigkeit.

Die folgenden Ressourcen nutzen browserbasierte Standortdaten:

  • IdP-Portal
  • SAML
  • RD Web
  • ADFS

AuthPoint unterstützt auf der IP-Adresse basierende Standortdaten nur für diese Authentifizierungstypen:

  • RDP-Verbindungen
  • Firebox-Ressourcen
  • Virtuelle Maschinen unter Windows (VMs)

Der AuthPoint Agent für Windows ermittelt den Standort des Benutzers über die Windows API. Wenn der Agent auf einer Windows VM installiert ist, basieren die Standortdaten immer auf der IP-Adresse (geringe Genauigkeit).

Geokinetik-Regelobjekte konfigurieren

So konfigurieren Sie ein Geokinetik-Regelobjekt in der AuthPoint-Verwaltungsoberfläche:

  1. Wählen Sie im AuthPoint-Navigationsmenü Regelobjekte.

Screen shot that shows the Policy Objects page.

  1. Klicken Sie auf Regelobjekt hinzufügen.
    Die Seite Regelobjekt hinzufügen wird angezeigt.

Screen shot of the Type drop-down list on the Add Policy Object page.

  1. Wählen Sie aus der Dropdown-Liste Typ die Option Geokinetik.
    Es werden zusätzliche Felder angezeigt.
  2. Geben Sie in das Textfeld Name einen Namen ein, um dieses Geokinetik-Regelobjekt zu identifizieren. So können Sie eine Geokinetik-Identifizierung durchführen, wenn Sie es zu den Authentifizierungsregeln hinzufügen.

Screen shot of the geokinetics fields on the Add Policy Object page.

  1. Geben Sie im Textfeld Geschwindigkeit und der nebenstehenden Dropdown-Liste eine Nummer und Einheit für AuthPoint ein, die für dieses Geokinetik-Regelobjekt verwendet werden sollen. AuthPoint verweigert Authentifizierungen, wenn die Entfernung zwischen der aktuellen Authentifizierung und der vorherigen Authentifizierung nicht in dieser Geschwindigkeit überwunden werden kann.

    Die Standardgeschwindigkeit beträgt 600 Meilen pro Stunde (die Durchschnittsgeschwindigkeit eines Verkehrsflugzeugs).

Screen shot of the geokinetics fields on the Add Policy Object page.

  1. (Optional) Geben Sie im Textfeld Ausnahmen eine öffentliche IP-Adresse oder Netzmaske zur Festlegung eines Bereichs öffentlicher IP-Adressen ein, den AuthPoint für dieses Geokinetik-Regelobjekt ignorieren soll, und wählen Sie danach Eingabe oder Return. Es ist möglich, auch mehrere Ausnahmen festzulegen. Sie können dies tun, damit das Geokinetik-Regelobjekt keine Authentifizierungen verweigert, wenn Benutzer eine Verbindung zu einem VPN herstellen.

Screen shot of the geokinetics fields on the Add Policy Object page.

  1. Wenn Sie möchten, dass AuthPoint im Rahmen dieses Geokinetik-Regelobjekts Authentifizierungen mit Standortdaten geringerer Genauigkeit berücksichtigt, wählen Sie im Kontrollkästchen die Option Authentifizierungen erwägen, die Standortdaten mit geringer Genauigkeit haben.

    Wenn Sie dieses Kontrollkästchen nicht auswählen, werden Authentifizierung mit Standortdaten geringerer Genauigkeit im Rahmen des Geokinetik-Regelobjekts nicht bewertet.

  2. Klicken Sie auf Speichern.
  3. Fügen Sie dieses Geokinetik-Regelobjekt zu den Authentifizierungsregeln hinzu, für die es gelten soll. Weitere Informationen finden Sie unter Über AuthPoint-Authentifizierungsregeln.

    Anders als bei anderen Regelobjekten (Geofence, Zeitplan, Netzwerkstandorte) müssen Sie keine zweite Regel ohne das Geokinetik-Regelobjekt erstellen, wenn Sie ein Geokinetik-Regelobjekt zu einer Authentifizierungsregel hinzufügen.

Geokinetik für RD Web

Um das Geokinetik-Regelobjekt in RD Web nutzen zu können, müssen Sie die Datei webscripts-domain.js auf Ihrem RD Web Access-Server bearbeiten und den Client so konfigurieren, dass er den Benutzerstandort als Cookie auf dem RD Web-Server speichert. So kann RD Web die Benutzerkoordinaten zum Zeitpunkt seiner Authentifizierung an AuthPoint senden.

Dies wird zur Unterstützung von Geofence für RD Web ebenfalls erfordert. Wenn Sie diese Schritte zur Unterstützung von Geofence-Regelobjekten bereits durchgeführt haben, müssen Sie diese für Geokinetik nicht erneut ausführen.

  1. Melden Sie sich bei Ihrem RD Web Access-Server an.
  2. Öffnen Sie den Windows Datei-Explorer und navigieren Sie zu C:\Windows\Web\RDWeb\Seiten.
  3. Öffnen Sie die Datei webscripts-domain.js in einem Texteditor.
  4. Fügen Sie dieses Skript am Ende der onLoginPageLoad-Funktion hinzu, um die Koordinaten vom Browser zu erhalten und diese in den Cookies zu speichern:

    document.cookie = 'WatchGuardGeolocation=;max-age=0';

    if (navigator.geolocation) {

    var options = { enableHighAccuracy : true };

    navigator.geolocation.watchPosition(function(position) {

    var geolocation = { latitude: position.coords.latitude, longitude: position.coords.longitude, accuracy: position.coords.accuracy };

    var geolocationJson = JSON.stringify(geolocation);

    var geolocationEncoded = encodeURIComponent(geolocationJson);

    document.cookie = 'WatchGuardGeolocation=' + geolocationEncoded + ';secure;samesite=none;path=/';

    }, function(error) { }, options);

    }

Ähnliche Themen

Über AuthPoint-Authentifizierungsregeln

Über Regelobjekte

Geofence-Regelobjekte

Regelobjekte des Netzwerkstandortes

Zeitplan-Regelobjekte