🥇በጣም ደህንነቱ የተጠበቀ የርቀት መዳረሻ ጽንሰ-ሀሳብ መተግበር

በድርጅቱ ርዕስ ላይ ተከታታይ መጣጥፎችን መቀጠል የርቀት መዳረሻ VPN መዳረሻ የእኔን አስደሳች የማሰማራት ልምዴን ከማካፈል አልችልም። በጣም ደህንነቱ የተጠበቀ የ VPN ውቅር. ቀላል ያልሆነ ተግባር በአንድ ደንበኛ ቀርቧል (በሩሲያ መንደሮች ውስጥ ፈጣሪዎች አሉ) ፣ ግን ፈተናው ተቀባይነት አግኝቶ በፈጠራ ተተግብሯል። ውጤቱ ከሚከተሉት ባህሪዎች ጋር አስደሳች ጽንሰ-ሀሳብ ነው-

የተርሚናል መሳሪያውን ከመተካት ለመከላከል በርካታ ምክንያቶች (ከተጠቃሚው ጋር ጥብቅ ትስስር);
- የተጠቃሚውን ፒሲ ከተፈቀደው UDID ጋር በማረጋገጫ ዳታቤዝ ውስጥ ያለውን ተገዢነት መገምገም;
- ከኤምኤፍኤ ጋር ፒሲ UDIDን በመጠቀም በሲስኮ DUO በኩል ለሁለተኛ ደረጃ ማረጋገጫ የምስክር ወረቀት (ማንኛውንም የSAML/Radius ተስማሚ ማያያዝ ይችላሉ);
ባለብዙ ደረጃ ማረጋገጫ፡-
- የመስክ ማረጋገጫ እና የሁለተኛ ደረጃ ማረጋገጫ ከነሱ በአንዱ ላይ የተጠቃሚ የምስክር ወረቀት;
- መግቢያ (የማይለወጥ, ከምስክር ወረቀቱ የተወሰደ) እና የይለፍ ቃል;
የአገናኝ አስተናጋጁን ሁኔታ መገመት (አቀማመጥ)

ጥቅም ላይ የዋሉ የመፍትሄ አካላት:

Cisco ASA (ቪፒኤን ጌትዌይ);
Cisco ISE (ማረጋገጫ / ፍቃድ / አካውንቲንግ, የስቴት ግምገማ, CA);
Cisco DUO (ባለብዙ ደረጃ ማረጋገጫ) (ማንኛውንም የSAML/Radius ተስማሚ ማያያዝ ይችላሉ);
Cisco AnyConnect (ለሥራ ጣቢያዎች እና የሞባይል ስርዓተ ክወና ባለብዙ ዓላማ ወኪል);

በደንበኛው መስፈርቶች እንጀምር፡-

ተጠቃሚው በመግቢያ/የይለፍ ቃል ማረጋገጫው የ AnyConnect ደንበኛን ከቪፒኤን ጌትዌይ ማውረድ መቻል አለበት፣ ሁሉም አስፈላጊ የ AnyConnect ሞጁሎች በተጠቃሚው ፖሊሲ መሰረት መጫን አለባቸው።
ተጠቃሚው ሰርተፍኬትን በራስ ሰር መስጠት መቻል አለበት (ለአንደኛው ሁኔታ ዋናው ሁኔታ በእጅ መላክ እና በፒሲ ላይ መጫን ነው) ነገር ግን አውቶማቲክ እትምን በተግባር አሳይቻለሁ (ለማስወገድ ጊዜው አልረፈደም)።
መሰረታዊ ማረጋገጫ በበርካታ ደረጃዎች መከናወን አለበት, በመጀመሪያ አስፈላጊ የሆኑትን መስኮች እና እሴቶቻቸውን በመተንተን የምስክር ወረቀት ማረጋገጥ አለ, ከዚያም የመግቢያ / የይለፍ ቃል, በዚህ ጊዜ ብቻ በእውቅና ማረጋገጫው ውስጥ የተገለጸውን የተጠቃሚ ስም በመግቢያ መስኮቱ ውስጥ ማስገባት አለበት. የርዕሰ ጉዳይ ስም (ሲኤን) የማረም ችሎታ ሳይኖር.
የገቡበት መሳሪያ ለተጠቃሚው ለርቀት መዳረሻ የተሰጠ የድርጅት ላፕቶፕ እንጂ ሌላ እንዳልሆነ ማረጋገጥ አለቦት። (ይህን መስፈርት ለማሟላት ብዙ አማራጮች ተዘጋጅተዋል)
የግንኙነት መሣሪያው ሁኔታ (በዚህ ደረጃ ፒሲ) አጠቃላይ የደንበኞች መስፈርቶች (ማጠቃለያ) ባለው ቼክ መገምገም አለበት ።
- ፋይሎች እና ንብረቶቻቸው;
- የመመዝገቢያ ምዝግቦች;
- የስርዓተ ክወና ጥገናዎች ከቀረበው ዝርዝር (በኋላ SCCM ውህደት);
- ፀረ-ቫይረስ ከአንድ የተወሰነ አምራች መገኘት እና የፊርማዎች አስፈላጊነት;
- የአንዳንድ አገልግሎቶች እንቅስቃሴ;
- የተወሰኑ የተጫኑ ፕሮግራሞች መገኘት;

ለመጀመር ፣ በ ላይ ያለውን የውጤት አተገባበር የቪዲዮ ማሳያን በእርግጠኝነት እንዲመለከቱ ሀሳብ አቀርባለሁ። Youtube (5 ደቂቃዎች).

አሁን በቪዲዮ ቅንጥብ ውስጥ ያልተካተቱትን የአተገባበር ዝርዝሮችን ግምት ውስጥ ማስገባት ሀሳብ አቀርባለሁ.

የ AnyConnect መገለጫን እናዘጋጅ፡-

ቀደም ብዬ በማቀናበር ላይ በጽሁፌ ውስጥ መገለጫን የመፍጠር ምሳሌ (በ ASDM ውስጥ ካለው ምናሌ ንጥል አንፃር) ሰጥቻለሁ የቪፒኤን ጭነት-ሚዛናዊ ስብስብ. አሁን እኛ የምንፈልጋቸውን አማራጮች ለየብቻ ማስተዋል እፈልጋለሁ፡-

በመገለጫው ውስጥ የቪፒኤን መግቢያ በር እና ከዋና ደንበኛ ጋር የሚገናኙበትን የመገለጫ ስም እንጠቁማለን።

ሰርተፊኬትን ከመገለጫው በኩል አውቶማቲክ መስጠቱን እናዋቅር, በተለይም የምስክር ወረቀት መለኪያዎችን እና, በተለይም, ለመስኩ ትኩረት ይስጡ. የመጀመሪያ (I), አንድ የተወሰነ እሴት በእጅ የገባበት UDID የሙከራ ማሽን (በሲስኮ AnyConnect ደንበኛ የሚመነጨው ልዩ መሣሪያ መለያ)።

እዚህ ግጥም ማድረግ እፈልጋለሁ፣ ይህ መጣጥፍ ፅንሰ-ሀሳቡን ስለሚገልጽ፣ ለማሳያ ዓላማዎች፣ የምስክር ወረቀት ለመስጠት UDID በ AnyConnect መገለጫ የመጀመሪያ መስክ ውስጥ ገብቷል። በእርግጥ ፣ በእውነተኛ ህይወት ፣ ይህንን ካደረጉ ፣ ሁሉም ደንበኞች በዚህ መስክ ውስጥ ተመሳሳይ UDID ያለው የምስክር ወረቀት ይቀበላሉ እና ለእነሱ የተለየ ፒሲ UDID ስለሚያስፈልጋቸው ምንም አይሰራም። AnyConnect፣ እንደ አለመታደል ሆኖ፣ የ UDID መስኩን ወደ የምስክር ወረቀት መጠየቂያ ፕሮፋይሉ በአካባቢ ተለዋዋጭ መተካትን እስካሁን ተግባራዊ አላደረገም፣ ለምሳሌ በተለዋዋጭ እንደሚያደርገው %USER%.

ደንበኛው (የዚህ ሁኔታ) በመጀመሪያ ለእንደዚህ ያሉ የተጠበቁ ፒሲዎች በእጅ ሞድ በተሰጠ UDID የምስክር ወረቀቶችን ለመስጠት ማቀዱን ልብ ሊባል ይገባል ፣ ይህ ለእሱ ችግር አይደለም ። ነገር ግን፣ ለአብዛኞቻችን አውቶሜትሽን እንፈልጋለን (ደህና፣ ለእኔ እውነት ነው =))።

እና ከአውቶሜሽን አንፃር ማቅረብ የምችለው ይህ ነው። AnyConnect እስካሁን UDID ን በተለዋዋጭነት በመተካት ሰርተፍኬት መስጠት ካልቻለ፣ ትንሽ የፈጠራ አስተሳሰብ እና የተካኑ እጆች የሚፈልግ ሌላ መንገድ አለ - ሀሳቡን እነግርዎታለሁ። በመጀመሪያ፣ UDID በተለያዩ ኦፕሬቲንግ ሲስተሞች በ AnyConnect ወኪል እንዴት እንደሚፈጠር እንመልከት፡-

የ Windows — SHA-256 ሃሽ የ DigitalProductID እና የማሽን SID መዝገብ ቤት ቁልፍ ጥምር
OSX - SHA-256 hash PlatformUUID
ሊኑክስ - SHA-256 ሃሽ የ UUID የስር ክፍልፍል።
Apple iOS - SHA-256 hash PlatformUUID
የ Android - በ ላይ ሰነድ ይመልከቱ ማያያዣ

በዚህ መሰረት ለድርጅታችን ዊንዶውስ ኦኤስ ስክሪፕት እንፈጥራለን በዚህ ስክሪፕት የታወቁ ግብአቶችን በመጠቀም UDIDን በሃገር ውስጥ በማስላት ይህንን UDID በሚፈለገው መስክ በማስገባት ሰርተፍኬት እንዲሰጡን እንጠይቃለን በነገራችን ላይ ማሽንም መጠቀም ይችላሉ። በ AD የተሰጠ የምስክር ወረቀት (በእቅዱ ላይ የምስክር ወረቀት በመጠቀም ድርብ ማረጋገጫን በማከል ባለብዙ ሰርተፍኬት).

በሲስኮ ASA በኩል ቅንብሮቹን እናዘጋጅ፡-

ለ ISE CA አገልጋይ ትረስት ፖይንት እንፍጠር፣ ለደንበኞች የምስክር ወረቀቶችን የሚሰጥ እሱ ይሆናል። የቁልፍ ሰንሰለት የማስመጣት ሂደትን አላጤንም፤ አንድ ምሳሌ በማዋቀር ጽሑፌ ላይ ተብራርቷል። የቪፒኤን ጭነት-ሚዛናዊ ስብስብ.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

ለማረጋገጫ ጥቅም ላይ በሚውለው የምስክር ወረቀት ውስጥ ባሉት መስኮች መሠረት በ Tunnel-Group ስርጭትን እናዋቅራለን። ባለፈው ደረጃ የሰራነው የ AnyConnect ፕሮፋይልም እዚህ ተዋቅሯል። እባካችሁ እሴቱን እየተጠቀምኩ ነው SECUREBANK-RAየተሰጠ የምስክር ወረቀት ተጠቃሚዎችን ወደ ዋሻ ቡድን ለማስተላለፍ ደህንነቱ የተጠበቀ-ባንክ-ቪፒኤን, እባክዎን ይህ መስክ በ AnyConnect መገለጫ ሰርተፊኬት ጥያቄ አምድ ውስጥ እንዳለኝ ልብ ይበሉ።

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

የማረጋገጫ አገልጋዮችን በማዘጋጀት ላይ። በእኔ ሁኔታ፣ ይህ ISE ለመጀመሪያው የማረጋገጫ ደረጃ እና DUO (ራዲየስ ፕሮክሲ) እንደ MFA ነው።

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

የቡድን ፖሊሲዎችን እና ዋሻ ቡድኖችን እና ረዳት ክፍሎቻቸውን እንፈጥራለን፡-

ዋሻ ቡድን ነባሪ የWEBVPNGቡድን። በዋነኛነት የ AnyConnect VPN ደንበኛን ለማውረድ እና የኤኤስኤኤስኤፒ-ተኪ ተግባርን በመጠቀም የተጠቃሚ ሰርተፍኬት ለመስጠት ይጠቅማል፤ ለዚህም ተጓዳኝ አማራጮች በዋሻው ቡድን እራሱ እና በተዛመደ የቡድን ፖሊሲ ላይ እንዲነቃቁ እናደርጋለን። AC- አውርድ, እና በተጫነው AnyConnect መገለጫ ላይ (የምስክር ወረቀት ለመስጠት መስኮች, ወዘተ.). እንዲሁም በዚህ የቡድን ፖሊሲ ውስጥ የማውረድ አስፈላጊነትን እንጠቁማለን። የአይኤስኢ አቀማመጥ ሞዱል.

ዋሻ ቡድን ደህንነቱ የተጠበቀ-ባንክ-ቪፒኤን በሰርተፊኬቱ ካርታ መሰረት ግንኙነቱ በዚህ ዋሻ ቡድን ላይ ስለሚወድቅ ደንበኛው በቀድሞው ደረጃ በተሰጠው የምስክር ወረቀት ሲያረጋግጥ በራስ ሰር ጥቅም ላይ ይውላል። እዚህ ስለ አስደሳች አማራጮች እነግራችኋለሁ-

ሁለተኛ ደረጃ ማረጋገጫ-አገልጋይ-ቡድን DUO # የሁለተኛ ደረጃ ማረጋገጫን በ DUO አገልጋይ (ራዲየስ ፕሮክሲ) ላይ ያዘጋጁ
የተጠቃሚ ስም-ከሰርቲፊኬትCN # ለዋና ማረጋገጫ የተጠቃሚውን መግቢያ ለመውረስ የምስክር ወረቀቱን የሲኤን መስክ እንጠቀማለን።
ሁለተኛ-የተጠቃሚ ስም-ከምስክር ወረቀት I # በ DUO አገልጋይ ላይ ለሁለተኛ ደረጃ ማረጋገጫ፣ የወጣውን የተጠቃሚ ስም እና የምስክር ወረቀቱን የመጀመሪያ (I) መስኮች እንጠቀማለን።
ቅድመ-ሙላ-የተጠቃሚ ስም ደንበኛ # የመጠቀሚያ ስሙን የመቀየር ችሎታ ሳይኖር በማረጋገጫ መስኮቱ ቀድሞ እንዲሞላ ያድርጉት
ሁለተኛ-የቅድመ-ሙላ-ተጠቃሚ ስም ደንበኛ የአጠቃቀም-የጋራ-የይለፍ ቃል መግፋትን ደብቅ # የመግቢያ/የይለፍ ቃል ግቤት መስኮቱን ለሁለተኛ ደረጃ ማረጋገጫ DUO ደብቀን የማሳወቂያ ዘዴን (ኤስኤምኤስ/ግፋ/ስልክ) እንጠቀማለን - ከፓስወርድ መስኩ ይልቅ ማረጋገጫ ለመጠየቅ ዶክ እዚህ

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

በመቀጠል ወደ ISE እንቀጥላለን፡-

የአካባቢ ተጠቃሚን እናዋቅራለን (AD/LDAP/ODBC ወዘተ መጠቀም ይችላሉ)፣ ለቀላልነት እኔ በራሱ በአይኤስኢ ውስጥ የአካባቢ ተጠቃሚ ፈጠርኩ እና በመስክ ላይ መደብኩት። መግለጫ UDID ፒሲ በ VPN በኩል እንዲገባ ከተፈቀደለት. በ ISE ላይ የአካባቢ ማረጋገጫን ከተጠቀምኩ ፣ ብዙ መስኮች ስለሌሉ ለአንድ መሣሪያ ብቻ እገደባለሁ ፣ ግን በሶስተኛ ወገን የማረጋገጫ ዳታቤዝ ውስጥ እንደዚህ ያሉ ገደቦች አይኖሩኝም።

የፈቃድ ፖሊሲን እንመልከት፣ እሱ በአራት የግንኙነት ደረጃዎች የተከፈለ ነው።

ደረጃ 1 - የ AnyConnect ወኪልን ለማውረድ እና የምስክር ወረቀት ለመስጠት መመሪያ
ደረጃ 2 - ዋና የማረጋገጫ ፖሊሲ ግባ (ከምስክር ወረቀት)/የይለፍ ቃል + የምስክር ወረቀት ከ UDID ማረጋገጫ ጋር
ደረጃ 3 - የሁለተኛ ደረጃ ማረጋገጫ በሲስኮ DUO (ኤምኤፍኤ) UDID እንደ የተጠቃሚ ስም + የግዛት ግምገማ
ደረጃ 4 - የመጨረሻው ፍቃድ በግዛቱ ውስጥ ነው፡-
- ታዛዥ;
- የ UDID ማረጋገጫ (ከምስክር ወረቀት + የመግቢያ ማሰሪያ) ፣
- Cisco DUO MFA;
- በመግቢያ ማረጋገጥ;
- የምስክር ወረቀት ማረጋገጥ;

አንድ አስደሳች ሁኔታን እንመልከት UUID_VALIDATEDልክ አረጋጋጭ ተጠቃሚው ከመስኩ ጋር የተያያዘ የተፈቀደ UDID ካለው ፒሲ የመጣ ይመስላል። መግለጫ መለያ ፣ ሁኔታዎቹ ይህንን ይመስላል

በደረጃ 1,2,3፣XNUMX፣XNUMX ጥቅም ላይ የዋለው የፈቃድ መገለጫ እንደሚከተለው ነው።

በ ISE ውስጥ ያለውን የደንበኛ ክፍለ ጊዜ ዝርዝሮችን በመመልከት ከ AnyConnect ደንበኛ UDID እንዴት ወደ እኛ እንደሚመጣ በትክክል ማረጋገጥ ይችላሉ። በዝርዝር ውስጥ AnyConnect በመሳሪያው በኩል እናያለን ACIDEX ስለ መድረክ መረጃን ብቻ ሳይሆን የመሳሪያውን UDID ይልካል Cisco-AV-PAIR:

ለተጠቃሚው እና ለመስኩ የተሰጠውን የምስክር ወረቀት ትኩረት እንስጥ የመጀመሪያ (I)በሲስኮ DUO ላይ ለሁለተኛ ደረጃ MFA ማረጋገጫ እንደ መግቢያ ለመውሰድ የሚያገለግል፡

በምዝግብ ማስታወሻው ውስጥ ባለው የ DUO ራዲየስ ፕሮክሲ በኩል የማረጋገጫ ጥያቄ እንዴት እንደሚቀርብ በግልፅ ማየት እንችላለን፣ UDIDን እንደ የተጠቃሚ ስም በመጠቀም ይመጣል፡-

ከ DUO ፖርታል የተሳካ የማረጋገጫ ክስተት እናያለን፡-

እና በተጠቃሚ ባህሪያት ውስጥ እኔ አዘጋጅቻለሁ አሊስለመግቢያ የተጠቀምኩት፣ በተራው፣ ይህ ለመግቢያ የሚፈቀደው የኮምፒዩተር UDID ነው።

በውጤቱም እኛ አግኝተናል-

ባለብዙ-ደረጃ ተጠቃሚ እና መሳሪያ ማረጋገጥ;
የተጠቃሚውን መሳሪያ ከመጥፎ መከላከል;
የመሳሪያውን ሁኔታ መገምገም;
ከዶሜሽን ማሽን የምስክር ወረቀት, ወዘተ ጋር የመቆጣጠር ችሎታ, ወዘተ.
ሁሉን አቀፍ የርቀት የስራ ቦታ ጥበቃ በራስ ሰር ከተዘረጉ የደህንነት ሞጁሎች ጋር;

ወደ Cisco VPN ተከታታይ መጣጥፎች አገናኞች፡-

ምንጭ: hab.com

በጣም ደህንነቱ የተጠበቀ የርቀት መዳረሻ ጽንሰ-ሀሳብ መተግበር

አስተያየት ያክሉ ምላሽ መሰረዝ