ProHoster > Blog > İdarə > Yüksək təhlükəsiz uzaqdan giriş konsepsiyasının həyata keçirilməsi
Yüksək təhlükəsiz uzaqdan giriş konsepsiyasının həyata keçirilməsi
Təşkilat mövzusunda məqalələr silsiləsi davam edir Uzaqdan Giriş VPN giriş Mən maraqlı yerləşdirmə təcrübəsini bölüşməyə kömək edə bilmirəm yüksək təhlükəsiz VPN konfiqurasiyası. Qeyri-ciddi bir tapşırıq bir müştəri tərəfindən atıldı (Rus kəndlərində ixtiraçılar var), lakin Challenge Accepted yaradıcılıqla həyata keçirildi. Nəticə aşağıdakı xüsusiyyətlərə malik maraqlı bir konsepsiyadır:
Terminal cihazının dəyişdirilməsinə qarşı qorunmanın bir neçə amili (istifadəçi üçün sərt bağlama ilə);
İstifadəçinin fərdi kompüterinin autentifikasiya bazasında icazə verilən PC-nin təyin edilmiş UDID-ə uyğunluğunun qiymətləndirilməsi;
Cisco DUO vasitəsilə ikinci dərəcəli autentifikasiya üçün sertifikatdan PC UDID istifadə edərək MFA ilə (Siz istənilən SAML / Radiusa uyğun vida edə bilərsiniz);
Çox faktorlu autentifikasiya:
Sahə yoxlanışı və onlardan biri üçün ikinci dərəcəli autentifikasiya ilə istifadəçi sertifikatı;
Login (dəyişməz, sertifikatdan götürülmüşdür) və parol;
Birləşdirən hostun vəziyyətinin qiymətləndirilməsi (Duruş)
İstifadə olunan həll komponentləri:
Cisco ASA (VPN Gateway);
Cisco ISE (Autentifikasiya / Avtorizasiya / Mühasibat, Dövlət Qiymətləndirməsi, CA);
Cisco DUO (Çox faktorlu Doğrulama) (Siz istənilən SAML / Radiusa uyğun vida edə bilərsiniz);
Cisco AnyConnect (iş stansiyaları və mobil OS üçün çoxməqsədli agent);
Müştərinin tələblərindən başlayaq:
İstifadəçi Login/Parol autentifikasiyası vasitəsilə AnyConnect müştərisini VPN şlüzündən endirə bilməlidir, bütün zəruri AnyConnect modulları istifadəçinin siyasətinə uyğun olaraq avtomatik quraşdırılmalıdır;
İstifadəçi avtomatik olaraq sertifikat verə bilməlidir (ssenarilərdən biri üçün əsas ssenari əl ilə verilməsi və PC-də doldurulmasıdır), lakin mən nümayiş üçün avtomatik buraxılışı həyata keçirdim (onu silmək heç vaxt gec deyil).
Əsas autentifikasiya bir neçə mərhələdə baş verməlidir, əvvəlcə sertifikat tələb olunan sahələrin və onların dəyərlərinin təhlili ilə autentifikasiya olunur, sonra login/parol, yalnız bu dəfə giriş pəncərəsində sertifikat sahəsində göstərilən istifadəçi adı əvəz edilməlidir. Mövzu adı (CN) redaktə etmək imkanı olmadan.
Daxil olduğunuz cihazın istifadəçiyə uzaqdan giriş üçün verilmiş korporativ noutbuk olduğuna əmin olmalısınız, başqa heç nə yoxdur. (Bu tələbi ödəmək üçün bir neçə variasiya edilmişdir)
Birləşdirən cihazın vəziyyəti (bu mərhələdə PC) müştəri tələblərinin bütün böyük cədvəlinin yoxlanılması ilə qiymətləndirilməlidir (ümumiləşdirmə):
Fayllar və onların xassələri;
Reyestr qeydləri;
Təqdim olunan siyahıdan OS yamaqları (bundan sonra SCCM inteqrasiyası);
Müəyyən bir istehsalçının Anti-Virusunun mövcudluğu və imzaların uyğunluğu;
müəyyən xidmətlərin fəaliyyəti;
müəyyən quraşdırılmış proqramların olması;
Başlamaq üçün, nəticədə tətbiqin video nümayişinə mütləq baxmağı təklif edirəm Youtube (5 dəqiqə).
İndi video klipdə əks olunmayan icra detallarını nəzərdən keçirməyi təklif edirəm.
AnyConnect profilini hazırlayaq:
Profil yaratmaq nümunəsi (ASDM-də menyu elementi baxımından) əvvəllər təyinat haqqında məqaləmdə verdim. VPN Yük balanslaşdıran çoxluq. İndi ehtiyac duyduğumuz variantları ayrıca qeyd etmək istəyirəm:
Profildə son müştəridə əlaqə üçün VPN şlüzünü və profil adını göstərin:
Xüsusilə sertifikatın parametrlərini göstərərək profil tərəfdən sertifikatın avtomatik verilməsini quraq və tipik olan sahəyə diqqət yetirək. Baş hərflər (I), burada xüsusi dəyər əl ilə daxil edilir UDİD test maşını (Cisco AnyConnect müştərisi tərəfindən yaradılan unikal cihaz identifikatoru).
Burada mən lirik bir təxribat etmək istəyirəm, çünki bu məqalə konsepsiyanı təsvir edir, nümayiş məqsədləri üçün burada AnyConnect profilinin Başlanğıclar sahəsində sertifikat vermək üçün UDID var. Əlbəttə ki, real həyatda, əgər bunu etsəniz, bütün müştərilər bu sahədə eyni UDID ilə sertifikat alacaq və heç bir şey onlar üçün işləməyəcək, çünki onlara xüsusi PC-nin UDID-i lazımdır. AnyConnect, təəssüf ki, dəyişəndə olduğu kimi, mühit dəyişəni vasitəsilə sertifikat sorğusu profilində UDID sahəsinin dəyişdirilməsini hələ həyata keçirmir. %USER%.
Qeyd etmək lazımdır ki, müştəri (bu ssenaridə) ilkin olaraq belə Qorunan fərdi kompüterlərə göstərilən UDID ilə sertifikatları əl ilə verməyi planlaşdırır ki, bu da onun üçün problem yaratmır. Bununla belə, çoxumuz üçün avtomatlaşdırma istəyirik (yaxşı, mənim üçün bu, əmindir =)).
Avtomatlaşdırma baxımından təklif edə biləcəyim budur. Əgər UDID-i dinamik şəkildə əvəz edən AnyConnect sertifikatını avtomatik olaraq vermək hələ mümkün deyilsə, onda bir az yaradıcı düşüncə və bacarıqlı əllər tələb edəcək başqa bir yol var - mən sizə konsepsiyanı deyəcəyəm. Əvvəlcə UDID-nin AnyConnect agenti tərəfindən müxtəlif əməliyyat sistemlərində necə formalaşdığına baxaq:
Windows - DigitalProductID və Maşın SID qeyd açarının birləşməsinin SHA-256 hashı
Müvafiq olaraq, biz korporativ Windows ƏS-imiz üçün skript hazırlayırıq, bu skriptlə biz yerli olaraq məlum girişlərdən UDID-i hesablayırıq və bu UDID-i tələb olunan sahəyə daxil etməklə sertifikatın verilməsi üçün sorğu formalaşdırırıq, yeri gəlmişkən, siz maşından da istifadə edə bilərsiniz. AD tərəfindən verilmiş sertifikat (sxemə sertifikatla ikiqat autentifikasiya əlavə edilməsi çoxsaylı sertifikat).
Parametrləri Cisco ASA tərəfdən hazırlayaq:
ISE CA serveri üçün TrustPoint yaradaq, o, müştərilərə sertifikatlar verəcək. Açar Zəncirinin idxal prosedurunu nəzərdən keçirməyəcəyəm, bir nümunə mənim quraşdırma məqaləmdə təsvir edilmişdir VPN Yük balanslaşdıran çoxluq.
crypto ca trustpoint ISE-CA
enrollment terminal
crl configure
Biz autentifikasiya üçün istifadə olunan sertifikatdakı sahələrə uyğun qaydalara əsasən Tunel-Qrupu üzrə paylama qurduq. Həmçinin, son mərhələdə hazırladığımız AnyConnect profili burada konfiqurasiya edilir. Nəzərə alın ki, dəyərindən istifadə edirəm SECUREBANK-RA, verilmiş sertifikatı olan istifadəçiləri tunel qrupuna köçürmək SECURE-BANK-VPN, lütfən nəzərə alın ki, mənim AnyConnect profil sertifikatı sorğusu sütununda bu sahə var.
Doğrulama serveri qurun. Mənim vəziyyətimdə, bu, identifikasiyanın ilk mərhələsi üçün ISE və XİN kimi DUO (Radius Proxy).
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!
Qrup siyasətlərini və tunel qruplarını və onların köməkçi komponentlərini yaradırıq:
tunel qrupu DefoltWEBVPNGqrupu ilk növbədə AnyConnect VPN müştərisini yükləmək və ASA-nın SCEP-Proxy funksiyasından istifadə edərək istifadəçi sertifikatı vermək üçün istifadə olunacaq, bunun üçün biz həm tunel qrupunun özündə, həm də əlaqəli qrup siyasətində müvafiq seçimləri aktivləşdirmişik. AC Yüklə, və yüklənmiş AnyConnect profilində (sertifikatın verilməsi sahələri və s.). Həmçinin bu qrup siyasətində yükləmək lazım olduğunu göstəririk ISE Duruş Modulu.
tunel qrupu SECURE-BANK-VPN əvvəlki addımda verilmiş sertifikatla autentifikasiya zamanı müştəri tərəfindən avtomatik istifadə olunacaq, çünki Sertifikat Xəritəsinə əsasən əlaqə bu tunel qrupuna düşəcək. Burada maraqlı variantlar haqqında sizə məlumat verəcəyəm:
ikinci dərəcəli identifikasiya server qrupu DUO # DUO serverində ikinci dərəcəli identifikasiya təyin edin (Radius Proxy)
istifadəçi adı sertifikatdan-CN # İstifadəçinin girişini miras almaq üçün ilkin autentifikasiya üçün sertifikatın CN sahəsindən istifadə edin
ikinci dərəcəli istifadəçi adı sertifikatdan I # DUO serverində ikinci dərəcəli autentifikasiya üçün çıxarılmış istifadəçi adı və sertifikatın Baş hərfləri (I) sahələrindən istifadə edin.
istifadəçi adını əvvəlcədən dolduran müştəri # istifadəçi adını dəyişmək imkanı olmadan autentifikasiya pəncərəsində əvvəlcədən doldurulmuş etmək
ikincil-pre-doldurma-istifadəçi adı müştəri gizlət istifadə-ümumi-parol push # DUO ikincil autentifikasiyası üçün giriş/parol daxiletmə pəncərəsini gizlədin və autentifikasiya tələb etmək üçün parol sahəsi əvəzinə bildiriş metodundan (sms/push/telefon) istifadə edin - doc burada
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!
Sonra İSE-ə keçək:
Yerli istifadəçi qurduq (AD / LDAP / ODBC və s. də istifadə edə bilərsiniz), sadəlik üçün ISE-nin özündə yerli istifadəçi etdim və sahəyə təyin etdim. təsvirPC UDID ondan VPN vasitəsilə daxil olmağa icazə verilir. ISE-də yerli identifikasiyadan istifadə edildiyi təqdirdə, mən yalnız bir cihazla məhdudlaşacağam, çünki çox sahələr yoxdur, lakin üçüncü tərəfin identifikasiyası verilənlər bazalarında belə məhdudiyyətlərə malik olmayacağam.
Avtorizasiya siyasətinə baxaq, o, əlaqənin dörd mərhələsinə bölünür:
Mərhələ 1 - AnyConnect agentinin yüklənməsi və sertifikatın verilməsi siyasəti
Mərhələ 2 — İlkin Doğrulama Siyasətinə Giriş (sertifikatdan)/Parol + UDID təsdiqi ilə Sertifikat
Mərhələ 3 - İstifadəçi adı olaraq UDID tərəfindən Cisco DUO (MFA) vasitəsilə ikinci dərəcəli identifikasiya + Dövlət qiymətləndirməsi
Maraqlı bir vəziyyətə baxaq UUID_VALIDATED, belə görünür ki, təsdiqlənmiş istifadəçi həqiqətən sahədə icazə verilən əlaqəli UDID ilə kompüterdən gəlib təsvir hesab, şərtlər belə görünür:
1,2,3-cü mərhələlərdə istifadə edilən icazə profili belə görünür:
Siz ISE-də müştəri seansı təfərrüatlarına baxaraq UDID-nin AnyConnect müştərisindən necə gəldiyini dəqiq yoxlaya bilərsiniz. Mexanizm vasitəsilə AnyConnect-in olduğunu ətraflı şəkildə görəcəyik ACIDEX kimi yalnız platforma haqqında məlumatları deyil, həm də cihazın UDID-ini göndərir Cisco-AV-PAIR:
İstifadəçiyə və sahəyə verilən sertifikata diqqət yetirin Baş hərflər (I), onu Cisco DUO-da MFA ikincil autentifikasiyası üçün giriş kimi qəbul etmək üçün istifadə olunur:
DUO Radius Proxy tərəfində, identifikasiya sorğusunun necə getdiyini jurnalda aydın görə bilərik, o, istifadəçi adı kimi UDID-dən istifadə edir:
DUO portalından uğurlu autentifikasiya hadisəsini görürük:
Mən təyin etdiyim istifadəçi xüsusiyyətlərində ALAS, öz növbəsində daxil olmaq üçün istifadə etdiyim, bu, giriş üçün icazə verilən PC-nin UDID-idir:
Nəticədə əldə etdik:
Çox faktorlu istifadəçi və cihaz identifikasiyası;
İstifadəçi cihazının dəyişdirilməsindən qorunma;
Cihazın vəziyyətinin qiymətləndirilməsi;
Domen maşını sertifikatı ilə artan nəzarət potensialı və s.;
Avtomatik olaraq yerləşdirilmiş təhlükəsizlik modulları ilə uzaq iş yerinin hərtərəfli mühafizəsi;