በድርጅቱ ርዕስ ላይ ተከታታይ መጣጥፎችን መቀጠል የርቀት መዳረሻ VPN መዳረሻ የእኔን አስደሳች የማሰማራት ልምዴን ከማካፈል አልችልም። በጣም ደህንነቱ የተጠበቀ የ VPN ውቅር. ቀላል ያልሆነ ተግባር በአንድ ደንበኛ ቀርቧል (በሩሲያ መንደሮች ውስጥ ፈጣሪዎች አሉ) ፣ ግን ፈተናው ተቀባይነት አግኝቶ በፈጠራ ተተግብሯል። ውጤቱ ከሚከተሉት ባህሪዎች ጋር አስደሳች ጽንሰ-ሀሳብ ነው-
- የተርሚናል መሳሪያውን ከመተካት ለመከላከል በርካታ ምክንያቶች (ከተጠቃሚው ጋር ጥብቅ ትስስር);
- የተጠቃሚውን ፒሲ ከተፈቀደው UDID ጋር በማረጋገጫ ዳታቤዝ ውስጥ ያለውን ተገዢነት መገምገም;
- ከኤምኤፍኤ ጋር ፒሲ UDIDን በመጠቀም በሲስኮ DUO በኩል ለሁለተኛ ደረጃ ማረጋገጫ የምስክር ወረቀት (ማንኛውንም የSAML/Radius ተስማሚ ማያያዝ ይችላሉ);
- ባለብዙ ደረጃ ማረጋገጫ፡-
- የመስክ ማረጋገጫ እና የሁለተኛ ደረጃ ማረጋገጫ ከነሱ በአንዱ ላይ የተጠቃሚ የምስክር ወረቀት;
- መግቢያ (የማይለወጥ, ከምስክር ወረቀቱ የተወሰደ) እና የይለፍ ቃል;
- የአገናኝ አስተናጋጁን ሁኔታ መገመት (አቀማመጥ)
ጥቅም ላይ የዋሉ የመፍትሄ አካላት:
- Cisco ASA (ቪፒኤን ጌትዌይ);
- Cisco ISE (ማረጋገጫ / ፍቃድ / አካውንቲንግ, የስቴት ግምገማ, CA);
- Cisco DUO (ባለብዙ ደረጃ ማረጋገጫ) (ማንኛውንም የSAML/Radius ተስማሚ ማያያዝ ይችላሉ);
- Cisco AnyConnect (ለሥራ ጣቢያዎች እና የሞባይል ስርዓተ ክወና ባለብዙ ዓላማ ወኪል);
በደንበኛው መስፈርቶች እንጀምር፡-
- ተጠቃሚው በመግቢያ/የይለፍ ቃል ማረጋገጫው የ AnyConnect ደንበኛን ከቪፒኤን ጌትዌይ ማውረድ መቻል አለበት፣ ሁሉም አስፈላጊ የ AnyConnect ሞጁሎች በተጠቃሚው ፖሊሲ መሰረት መጫን አለባቸው።
- ተጠቃሚው ሰርተፍኬትን በራስ ሰር መስጠት መቻል አለበት (ለአንደኛው ሁኔታ ዋናው ሁኔታ በእጅ መላክ እና በፒሲ ላይ መጫን ነው) ነገር ግን አውቶማቲክ እትምን በተግባር አሳይቻለሁ (ለማስወገድ ጊዜው አልረፈደም)።
- መሰረታዊ ማረጋገጫ በበርካታ ደረጃዎች መከናወን አለበት, በመጀመሪያ አስፈላጊ የሆኑትን መስኮች እና እሴቶቻቸውን በመተንተን የምስክር ወረቀት ማረጋገጥ አለ, ከዚያም የመግቢያ / የይለፍ ቃል, በዚህ ጊዜ ብቻ በእውቅና ማረጋገጫው ውስጥ የተገለጸውን የተጠቃሚ ስም በመግቢያ መስኮቱ ውስጥ ማስገባት አለበት. የርዕሰ ጉዳይ ስም (ሲኤን) የማረም ችሎታ ሳይኖር.
- የገቡበት መሳሪያ ለተጠቃሚው ለርቀት መዳረሻ የተሰጠ የድርጅት ላፕቶፕ እንጂ ሌላ እንዳልሆነ ማረጋገጥ አለቦት። (ይህን መስፈርት ለማሟላት ብዙ አማራጮች ተዘጋጅተዋል)
- የግንኙነት መሣሪያው ሁኔታ (በዚህ ደረጃ ፒሲ) አጠቃላይ የደንበኞች መስፈርቶች (ማጠቃለያ) ባለው ቼክ መገምገም አለበት ።
- ፋይሎች እና ንብረቶቻቸው;
- የመመዝገቢያ ምዝግቦች;
- የስርዓተ ክወና ጥገናዎች ከቀረበው ዝርዝር (በኋላ SCCM ውህደት);
- ፀረ-ቫይረስ ከአንድ የተወሰነ አምራች መገኘት እና የፊርማዎች አስፈላጊነት;
- የአንዳንድ አገልግሎቶች እንቅስቃሴ;
- የተወሰኑ የተጫኑ ፕሮግራሞች መገኘት;
ለመጀመር ፣ በ ላይ ያለውን የውጤት አተገባበር የቪዲዮ ማሳያን በእርግጠኝነት እንዲመለከቱ ሀሳብ አቀርባለሁ። Youtube (5 ደቂቃዎች).
አሁን በቪዲዮ ቅንጥብ ውስጥ ያልተካተቱትን የአተገባበር ዝርዝሮችን ግምት ውስጥ ማስገባት ሀሳብ አቀርባለሁ.
የ AnyConnect መገለጫን እናዘጋጅ፡-
ቀደም ብዬ በማቀናበር ላይ በጽሁፌ ውስጥ መገለጫን የመፍጠር ምሳሌ (በ ASDM ውስጥ ካለው ምናሌ ንጥል አንፃር) ሰጥቻለሁ
በመገለጫው ውስጥ የቪፒኤን መግቢያ በር እና ከዋና ደንበኛ ጋር የሚገናኙበትን የመገለጫ ስም እንጠቁማለን።
ሰርተፊኬትን ከመገለጫው በኩል አውቶማቲክ መስጠቱን እናዋቅር, በተለይም የምስክር ወረቀት መለኪያዎችን እና, በተለይም, ለመስኩ ትኩረት ይስጡ. የመጀመሪያ (I), አንድ የተወሰነ እሴት በእጅ የገባበት UDID የሙከራ ማሽን (በሲስኮ AnyConnect ደንበኛ የሚመነጨው ልዩ መሣሪያ መለያ)።
እዚህ ግጥም ማድረግ እፈልጋለሁ፣ ይህ መጣጥፍ ፅንሰ-ሀሳቡን ስለሚገልጽ፣ ለማሳያ ዓላማዎች፣ የምስክር ወረቀት ለመስጠት UDID በ AnyConnect መገለጫ የመጀመሪያ መስክ ውስጥ ገብቷል። በእርግጥ ፣ በእውነተኛ ህይወት ፣ ይህንን ካደረጉ ፣ ሁሉም ደንበኞች በዚህ መስክ ውስጥ ተመሳሳይ UDID ያለው የምስክር ወረቀት ይቀበላሉ እና ለእነሱ የተለየ ፒሲ UDID ስለሚያስፈልጋቸው ምንም አይሰራም። AnyConnect፣ እንደ አለመታደል ሆኖ፣ የ UDID መስኩን ወደ የምስክር ወረቀት መጠየቂያ ፕሮፋይሉ በአካባቢ ተለዋዋጭ መተካትን እስካሁን ተግባራዊ አላደረገም፣ ለምሳሌ በተለዋዋጭ እንደሚያደርገው %USER%.
ደንበኛው (የዚህ ሁኔታ) በመጀመሪያ ለእንደዚህ ያሉ የተጠበቁ ፒሲዎች በእጅ ሞድ በተሰጠ UDID የምስክር ወረቀቶችን ለመስጠት ማቀዱን ልብ ሊባል ይገባል ፣ ይህ ለእሱ ችግር አይደለም ። ነገር ግን፣ ለአብዛኞቻችን አውቶሜትሽን እንፈልጋለን (ደህና፣ ለእኔ እውነት ነው =))።
እና ከአውቶሜሽን አንፃር ማቅረብ የምችለው ይህ ነው። AnyConnect እስካሁን UDID ን በተለዋዋጭነት በመተካት ሰርተፍኬት መስጠት ካልቻለ፣ ትንሽ የፈጠራ አስተሳሰብ እና የተካኑ እጆች የሚፈልግ ሌላ መንገድ አለ - ሀሳቡን እነግርዎታለሁ። በመጀመሪያ፣ UDID በተለያዩ ኦፕሬቲንግ ሲስተሞች በ AnyConnect ወኪል እንዴት እንደሚፈጠር እንመልከት፡-
- የ Windows — SHA-256 ሃሽ የ DigitalProductID እና የማሽን SID መዝገብ ቤት ቁልፍ ጥምር
- OSX - SHA-256 hash PlatformUUID
- ሊኑክስ - SHA-256 ሃሽ የ UUID የስር ክፍልፍል።
- Apple iOS - SHA-256 hash PlatformUUID
- የ Android - በ ላይ ሰነድ ይመልከቱ
ማያያዣ
በዚህ መሰረት ለድርጅታችን ዊንዶውስ ኦኤስ ስክሪፕት እንፈጥራለን በዚህ ስክሪፕት የታወቁ ግብአቶችን በመጠቀም UDIDን በሃገር ውስጥ በማስላት ይህንን UDID በሚፈለገው መስክ በማስገባት ሰርተፍኬት እንዲሰጡን እንጠይቃለን በነገራችን ላይ ማሽንም መጠቀም ይችላሉ። በ AD የተሰጠ የምስክር ወረቀት (በእቅዱ ላይ የምስክር ወረቀት በመጠቀም ድርብ ማረጋገጫን በማከል ባለብዙ ሰርተፍኬት).
በሲስኮ ASA በኩል ቅንብሮቹን እናዘጋጅ፡-
ለ ISE CA አገልጋይ ትረስት ፖይንት እንፍጠር፣ ለደንበኞች የምስክር ወረቀቶችን የሚሰጥ እሱ ይሆናል። የቁልፍ ሰንሰለት የማስመጣት ሂደትን አላጤንም፤ አንድ ምሳሌ በማዋቀር ጽሑፌ ላይ ተብራርቷል።
crypto ca trustpoint ISE-CA
enrollment terminal
crl configure
ለማረጋገጫ ጥቅም ላይ በሚውለው የምስክር ወረቀት ውስጥ ባሉት መስኮች መሠረት በ Tunnel-Group ስርጭትን እናዋቅራለን። ባለፈው ደረጃ የሰራነው የ AnyConnect ፕሮፋይልም እዚህ ተዋቅሯል። እባካችሁ እሴቱን እየተጠቀምኩ ነው SECUREBANK-RAየተሰጠ የምስክር ወረቀት ተጠቃሚዎችን ወደ ዋሻ ቡድን ለማስተላለፍ ደህንነቱ የተጠበቀ-ባንክ-ቪፒኤን, እባክዎን ይህ መስክ በ AnyConnect መገለጫ ሰርተፊኬት ጥያቄ አምድ ውስጥ እንዳለኝ ልብ ይበሉ።
tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
subject-name attr ou eq securebank-ra
!
webvpn
anyconnect profiles SECUREBANK disk0:/securebank.xml
certificate-group-map OU-Map 6 SECURE-BANK-VPN
!
የማረጋገጫ አገልጋዮችን በማዘጋጀት ላይ። በእኔ ሁኔታ፣ ይህ ISE ለመጀመሪያው የማረጋገጫ ደረጃ እና DUO (ራዲየስ ፕሮክሲ) እንደ MFA ነው።
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!
የቡድን ፖሊሲዎችን እና ዋሻ ቡድኖችን እና ረዳት ክፍሎቻቸውን እንፈጥራለን፡-
ዋሻ ቡድን ነባሪ የWEBVPNGቡድን። በዋነኛነት የ AnyConnect VPN ደንበኛን ለማውረድ እና የኤኤስኤኤስኤፒ-ተኪ ተግባርን በመጠቀም የተጠቃሚ ሰርተፍኬት ለመስጠት ይጠቅማል፤ ለዚህም ተጓዳኝ አማራጮች በዋሻው ቡድን እራሱ እና በተዛመደ የቡድን ፖሊሲ ላይ እንዲነቃቁ እናደርጋለን። AC- አውርድ, እና በተጫነው AnyConnect መገለጫ ላይ (የምስክር ወረቀት ለመስጠት መስኮች, ወዘተ.). እንዲሁም በዚህ የቡድን ፖሊሲ ውስጥ የማውረድ አስፈላጊነትን እንጠቁማለን። የአይኤስኢ አቀማመጥ ሞዱል.
ዋሻ ቡድን ደህንነቱ የተጠበቀ-ባንክ-ቪፒኤን በሰርተፊኬቱ ካርታ መሰረት ግንኙነቱ በዚህ ዋሻ ቡድን ላይ ስለሚወድቅ ደንበኛው በቀድሞው ደረጃ በተሰጠው የምስክር ወረቀት ሲያረጋግጥ በራስ ሰር ጥቅም ላይ ይውላል። እዚህ ስለ አስደሳች አማራጮች እነግራችኋለሁ-
- ሁለተኛ ደረጃ ማረጋገጫ-አገልጋይ-ቡድን DUO # የሁለተኛ ደረጃ ማረጋገጫን በ DUO አገልጋይ (ራዲየስ ፕሮክሲ) ላይ ያዘጋጁ
- የተጠቃሚ ስም-ከሰርቲፊኬትCN # ለዋና ማረጋገጫ የተጠቃሚውን መግቢያ ለመውረስ የምስክር ወረቀቱን የሲኤን መስክ እንጠቀማለን።
- ሁለተኛ-የተጠቃሚ ስም-ከምስክር ወረቀት I # በ DUO አገልጋይ ላይ ለሁለተኛ ደረጃ ማረጋገጫ፣ የወጣውን የተጠቃሚ ስም እና የምስክር ወረቀቱን የመጀመሪያ (I) መስኮች እንጠቀማለን።
- ቅድመ-ሙላ-የተጠቃሚ ስም ደንበኛ # የመጠቀሚያ ስሙን የመቀየር ችሎታ ሳይኖር በማረጋገጫ መስኮቱ ቀድሞ እንዲሞላ ያድርጉት
- ሁለተኛ-የቅድመ-ሙላ-ተጠቃሚ ስም ደንበኛ የአጠቃቀም-የጋራ-የይለፍ ቃል መግፋትን ደብቅ # የመግቢያ/የይለፍ ቃል ግቤት መስኮቱን ለሁለተኛ ደረጃ ማረጋገጫ DUO ደብቀን የማሳወቂያ ዘዴን (ኤስኤምኤስ/ግፋ/ስልክ) እንጠቀማለን - ከፓስወርድ መስኩ ይልቅ ማረጋገጫ ለመጠየቅ ዶክ
እዚህ
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!
በመቀጠል ወደ ISE እንቀጥላለን፡-
የአካባቢ ተጠቃሚን እናዋቅራለን (AD/LDAP/ODBC ወዘተ መጠቀም ይችላሉ)፣ ለቀላልነት እኔ በራሱ በአይኤስኢ ውስጥ የአካባቢ ተጠቃሚ ፈጠርኩ እና በመስክ ላይ መደብኩት። መግለጫ UDID ፒሲ በ VPN በኩል እንዲገባ ከተፈቀደለት. በ ISE ላይ የአካባቢ ማረጋገጫን ከተጠቀምኩ ፣ ብዙ መስኮች ስለሌሉ ለአንድ መሣሪያ ብቻ እገደባለሁ ፣ ግን በሶስተኛ ወገን የማረጋገጫ ዳታቤዝ ውስጥ እንደዚህ ያሉ ገደቦች አይኖሩኝም።
የፈቃድ ፖሊሲን እንመልከት፣ እሱ በአራት የግንኙነት ደረጃዎች የተከፈለ ነው።
- ደረጃ 1 - የ AnyConnect ወኪልን ለማውረድ እና የምስክር ወረቀት ለመስጠት መመሪያ
- ደረጃ 2 - ዋና የማረጋገጫ ፖሊሲ ግባ (ከምስክር ወረቀት)/የይለፍ ቃል + የምስክር ወረቀት ከ UDID ማረጋገጫ ጋር
- ደረጃ 3 - የሁለተኛ ደረጃ ማረጋገጫ በሲስኮ DUO (ኤምኤፍኤ) UDID እንደ የተጠቃሚ ስም + የግዛት ግምገማ
- ደረጃ 4 - የመጨረሻው ፍቃድ በግዛቱ ውስጥ ነው፡-
- ታዛዥ;
- የ UDID ማረጋገጫ (ከምስክር ወረቀት + የመግቢያ ማሰሪያ) ፣
- Cisco DUO MFA;
- በመግቢያ ማረጋገጥ;
- የምስክር ወረቀት ማረጋገጥ;
አንድ አስደሳች ሁኔታን እንመልከት UUID_VALIDATEDልክ አረጋጋጭ ተጠቃሚው ከመስኩ ጋር የተያያዘ የተፈቀደ UDID ካለው ፒሲ የመጣ ይመስላል። መግለጫ መለያ ፣ ሁኔታዎቹ ይህንን ይመስላል
በደረጃ 1,2,3፣XNUMX፣XNUMX ጥቅም ላይ የዋለው የፈቃድ መገለጫ እንደሚከተለው ነው።
በ ISE ውስጥ ያለውን የደንበኛ ክፍለ ጊዜ ዝርዝሮችን በመመልከት ከ AnyConnect ደንበኛ UDID እንዴት ወደ እኛ እንደሚመጣ በትክክል ማረጋገጥ ይችላሉ። በዝርዝር ውስጥ AnyConnect በመሳሪያው በኩል እናያለን ACIDEX ስለ መድረክ መረጃን ብቻ ሳይሆን የመሳሪያውን UDID ይልካል Cisco-AV-PAIR:
ለተጠቃሚው እና ለመስኩ የተሰጠውን የምስክር ወረቀት ትኩረት እንስጥ የመጀመሪያ (I)በሲስኮ DUO ላይ ለሁለተኛ ደረጃ MFA ማረጋገጫ እንደ መግቢያ ለመውሰድ የሚያገለግል፡
በምዝግብ ማስታወሻው ውስጥ ባለው የ DUO ራዲየስ ፕሮክሲ በኩል የማረጋገጫ ጥያቄ እንዴት እንደሚቀርብ በግልፅ ማየት እንችላለን፣ UDIDን እንደ የተጠቃሚ ስም በመጠቀም ይመጣል፡-
ከ DUO ፖርታል የተሳካ የማረጋገጫ ክስተት እናያለን፡-
እና በተጠቃሚ ባህሪያት ውስጥ እኔ አዘጋጅቻለሁ አሊስለመግቢያ የተጠቀምኩት፣ በተራው፣ ይህ ለመግቢያ የሚፈቀደው የኮምፒዩተር UDID ነው።
በውጤቱም እኛ አግኝተናል-
- ባለብዙ-ደረጃ ተጠቃሚ እና መሳሪያ ማረጋገጥ;
- የተጠቃሚውን መሳሪያ ከመጥፎ መከላከል;
- የመሳሪያውን ሁኔታ መገምገም;
- ከዶሜሽን ማሽን የምስክር ወረቀት, ወዘተ ጋር የመቆጣጠር ችሎታ, ወዘተ.
- ሁሉን አቀፍ የርቀት የስራ ቦታ ጥበቃ በራስ ሰር ከተዘረጉ የደህንነት ሞጁሎች ጋር;
ወደ Cisco VPN ተከታታይ መጣጥፎች አገናኞች፡-
ምንጭ: hab.com