Yüksək təhlükəsiz uzaqdan giriş konsepsiyasının həyata keçirilməsi

Təşkilat mövzusunda məqalələr silsiləsi davam edir Uzaqdan Giriş VPN giriş Mən maraqlı yerləşdirmə təcrübəsini bölüşməyə kömək edə bilmirəm yüksək təhlükəsiz VPN konfiqurasiyası. Qeyri-ciddi bir tapşırıq bir müştəri tərəfindən atıldı (Rus kəndlərində ixtiraçılar var), lakin Challenge Accepted yaradıcılıqla həyata keçirildi. Nəticə aşağıdakı xüsusiyyətlərə malik maraqlı bir konsepsiyadır:

1. Terminal cihazının dəyişdirilməsinə qarşı qorunmanın bir neçə amili (istifadəçi üçün sərt bağlama ilə);
   • İstifadəçinin fərdi kompüterinin autentifikasiya bazasında icazə verilən PC-nin təyin edilmiş UDID-ə uyğunluğunun qiymətləndirilməsi;
   • Cisco DUO vasitəsilə ikinci dərəcəli autentifikasiya üçün sertifikatdan PC UDID istifadə edərək MFA ilə (Siz istənilən SAML / Radiusa uyğun vida edə bilərsiniz);
2. Çox faktorlu autentifikasiya:
   • Sahə yoxlanışı və onlardan biri üçün ikinci dərəcəli autentifikasiya ilə istifadəçi sertifikatı;
   • Login (dəyişməz, sertifikatdan götürülmüşdür) və parol;
3. Birləşdirən hostun vəziyyətinin qiymətləndirilməsi (Duruş)

İstifadə olunan həll komponentləri:

• Cisco ASA (VPN Gateway);
• Cisco ISE (Autentifikasiya / Avtorizasiya / Mühasibat, Dövlət Qiymətləndirməsi, CA);
• Cisco DUO (Çox faktorlu Doğrulama) (Siz istənilən SAML / Radiusa uyğun vida edə bilərsiniz);
• Cisco AnyConnect (iş stansiyaları və mobil OS üçün çoxməqsədli agent);

Müştərinin tələblərindən başlayaq:

1. İstifadəçi Login/Parol autentifikasiyası vasitəsilə AnyConnect müştərisini VPN şlüzündən endirə bilməlidir, bütün zəruri AnyConnect modulları istifadəçinin siyasətinə uyğun olaraq avtomatik quraşdırılmalıdır;
2. İstifadəçi avtomatik olaraq sertifikat verə bilməlidir (ssenarilərdən biri üçün əsas ssenari əl ilə verilməsi və PC-də doldurulmasıdır), lakin mən nümayiş üçün avtomatik buraxılışı həyata keçirdim (onu silmək heç vaxt gec deyil).
3. Əsas autentifikasiya bir neçə mərhələdə baş verməlidir, əvvəlcə sertifikat tələb olunan sahələrin və onların dəyərlərinin təhlili ilə autentifikasiya olunur, sonra login/parol, yalnız bu dəfə giriş pəncərəsində sertifikat sahəsində göstərilən istifadəçi adı əvəz edilməlidir. Mövzu adı (CN) redaktə etmək imkanı olmadan.
4. Daxil olduğunuz cihazın istifadəçiyə uzaqdan giriş üçün verilmiş korporativ noutbuk olduğuna əmin olmalısınız, başqa heç nə yoxdur. (Bu tələbi ödəmək üçün bir neçə variasiya edilmişdir)
5. Birləşdirən cihazın vəziyyəti (bu mərhələdə PC) müştəri tələblərinin bütün böyük cədvəlinin yoxlanılması ilə qiymətləndirilməlidir (ümumiləşdirmə):
   • Fayllar və onların xassələri;
   • Reyestr qeydləri;
   • Təqdim olunan siyahıdan OS yamaqları (bundan sonra SCCM inteqrasiyası);
   • Müəyyən bir istehsalçının Anti-Virusunun mövcudluğu və imzaların uyğunluğu;
   • müəyyən xidmətlərin fəaliyyəti;
   • müəyyən quraşdırılmış proqramların olması;

Başlamaq üçün, nəticədə tətbiqin video nümayişinə mütləq baxmağı təklif edirəm Youtube (5 dəqiqə).

İndi video klipdə əks olunmayan icra detallarını nəzərdən keçirməyi təklif edirəm.

AnyConnect profilini hazırlayaq:

Profil yaratmaq nümunəsi (ASDM-də menyu elementi baxımından) əvvəllər təyinat haqqında məqaləmdə verdim. VPN Yük balanslaşdıran çoxluq. İndi ehtiyac duyduğumuz variantları ayrıca qeyd etmək istəyirəm:

Profildə son müştəridə əlaqə üçün VPN şlüzünü və profil adını göstərin:

Xüsusilə sertifikatın parametrlərini göstərərək profil tərəfdən sertifikatın avtomatik verilməsini quraq və tipik olan sahəyə diqqət yetirək. Baş hərflər (I), burada xüsusi dəyər əl ilə daxil edilir UDİD test maşını (Cisco AnyConnect müştərisi tərəfindən yaradılan unikal cihaz identifikatoru).

Burada mən lirik bir təxribat etmək istəyirəm, çünki bu məqalə konsepsiyanı təsvir edir, nümayiş məqsədləri üçün burada AnyConnect profilinin Başlanğıclar sahəsində sertifikat vermək üçün UDID var. Əlbəttə ki, real həyatda, əgər bunu etsəniz, bütün müştərilər bu sahədə eyni UDID ilə sertifikat alacaq və heç bir şey onlar üçün işləməyəcək, çünki onlara xüsusi PC-nin UDID-i lazımdır. AnyConnect, təəssüf ki, dəyişəndə ​​olduğu kimi, mühit dəyişəni vasitəsilə sertifikat sorğusu profilində UDID sahəsinin dəyişdirilməsini hələ həyata keçirmir. %USER%.

Qeyd etmək lazımdır ki, müştəri (bu ssenaridə) ilkin olaraq belə Qorunan fərdi kompüterlərə göstərilən UDID ilə sertifikatları əl ilə verməyi planlaşdırır ki, bu da onun üçün problem yaratmır. Bununla belə, çoxumuz üçün avtomatlaşdırma istəyirik (yaxşı, mənim üçün bu, əmindir =)).

Avtomatlaşdırma baxımından təklif edə biləcəyim budur. Əgər UDID-i dinamik şəkildə əvəz edən AnyConnect sertifikatını avtomatik olaraq vermək hələ mümkün deyilsə, onda bir az yaradıcı düşüncə və bacarıqlı əllər tələb edəcək başqa bir yol var - mən sizə konsepsiyanı deyəcəyəm. Əvvəlcə UDID-nin AnyConnect agenti tərəfindən müxtəlif əməliyyat sistemlərində necə formalaşdığına baxaq:

• Windows - DigitalProductID və Maşın SID qeyd açarının birləşməsinin SHA-256 hashı
• OSX - PlatformUUID-in SHA-256 hash
• Linux - Kök bölmənin UUID-nin SHA-256 hashı.
• Apple iOS - PlatformUUID-in SHA-256 hash
• Android – Sənədə baxın əlaqə

Müvafiq olaraq, biz korporativ Windows ƏS-imiz üçün skript hazırlayırıq, bu skriptlə biz yerli olaraq məlum girişlərdən UDID-i hesablayırıq və bu UDID-i tələb olunan sahəyə daxil etməklə sertifikatın verilməsi üçün sorğu formalaşdırırıq, yeri gəlmişkən, siz maşından da istifadə edə bilərsiniz. AD tərəfindən verilmiş sertifikat (sxemə sertifikatla ikiqat autentifikasiya əlavə edilməsi çoxsaylı sertifikat).

Parametrləri Cisco ASA tərəfdən hazırlayaq:

ISE CA serveri üçün TrustPoint yaradaq, o, müştərilərə sertifikatlar verəcək. Açar Zəncirinin idxal prosedurunu nəzərdən keçirməyəcəyəm, bir nümunə mənim quraşdırma məqaləmdə təsvir edilmişdir VPN Yük balanslaşdıran çoxluq.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

Biz autentifikasiya üçün istifadə olunan sertifikatdakı sahələrə uyğun qaydalara əsasən Tunel-Qrupu üzrə paylama qurduq. Həmçinin, son mərhələdə hazırladığımız AnyConnect profili burada konfiqurasiya edilir. Nəzərə alın ki, dəyərindən istifadə edirəm SECUREBANK-RA, verilmiş sertifikatı olan istifadəçiləri tunel qrupuna köçürmək SECURE-BANK-VPN, lütfən nəzərə alın ki, mənim AnyConnect profil sertifikatı sorğusu sütununda bu sahə var.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

Doğrulama serveri qurun. Mənim vəziyyətimdə, bu, identifikasiyanın ilk mərhələsi üçün ISE və XİN kimi DUO (Radius Proxy).

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

Qrup siyasətlərini və tunel qruplarını və onların köməkçi komponentlərini yaradırıq:

tunel qrupu DefoltWEBVPNGqrupu ilk növbədə AnyConnect VPN müştərisini yükləmək və ASA-nın SCEP-Proxy funksiyasından istifadə edərək istifadəçi sertifikatı vermək üçün istifadə olunacaq, bunun üçün biz həm tunel qrupunun özündə, həm də əlaqəli qrup siyasətində müvafiq seçimləri aktivləşdirmişik. AC Yüklə, və yüklənmiş AnyConnect profilində (sertifikatın verilməsi sahələri və s.). Həmçinin bu qrup siyasətində yükləmək lazım olduğunu göstəririk ISE Duruş Modulu.

tunel qrupu SECURE-BANK-VPN əvvəlki addımda verilmiş sertifikatla autentifikasiya zamanı müştəri tərəfindən avtomatik istifadə olunacaq, çünki Sertifikat Xəritəsinə əsasən əlaqə bu tunel qrupuna düşəcək. Burada maraqlı variantlar haqqında sizə məlumat verəcəyəm:

• ikinci dərəcəli identifikasiya server qrupu DUO # DUO serverində ikinci dərəcəli identifikasiya təyin edin (Radius Proxy)
• istifadəçi adı sertifikatdan-CN # İstifadəçinin girişini miras almaq üçün ilkin autentifikasiya üçün sertifikatın CN sahəsindən istifadə edin
• ikinci dərəcəli istifadəçi adı sertifikatdan I # DUO serverində ikinci dərəcəli autentifikasiya üçün çıxarılmış istifadəçi adı və sertifikatın Baş hərfləri (I) sahələrindən istifadə edin.
• istifadəçi adını əvvəlcədən dolduran müştəri # istifadəçi adını dəyişmək imkanı olmadan autentifikasiya pəncərəsində əvvəlcədən doldurulmuş etmək
• ikincil-pre-doldurma-istifadəçi adı müştəri gizlət istifadə-ümumi-parol push # DUO ikincil autentifikasiyası üçün giriş/parol daxiletmə pəncərəsini gizlədin və autentifikasiya tələb etmək üçün parol sahəsi əvəzinə bildiriş metodundan (sms/push/telefon) istifadə edin - doc burada

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

Sonra İSE-ə keçək:

Yerli istifadəçi qurduq (AD / LDAP / ODBC və s. də istifadə edə bilərsiniz), sadəlik üçün ISE-nin özündə yerli istifadəçi etdim və sahəyə təyin etdim. təsvir PC UDID ondan VPN vasitəsilə daxil olmağa icazə verilir. ISE-də yerli identifikasiyadan istifadə edildiyi təqdirdə, mən yalnız bir cihazla məhdudlaşacağam, çünki çox sahələr yoxdur, lakin üçüncü tərəfin identifikasiyası verilənlər bazalarında belə məhdudiyyətlərə malik olmayacağam.

Avtorizasiya siyasətinə baxaq, o, əlaqənin dörd mərhələsinə bölünür:

• Mərhələ 1 - AnyConnect agentinin yüklənməsi və sertifikatın verilməsi siyasəti
• Mərhələ 2 — İlkin Doğrulama Siyasətinə Giriş (sertifikatdan)/Parol + UDID təsdiqi ilə Sertifikat
• Mərhələ 3 - İstifadəçi adı olaraq UDID tərəfindən Cisco DUO (MFA) vasitəsilə ikinci dərəcəli identifikasiya + Dövlət qiymətləndirməsi
• Mərhələ 4 - Dövlətdə son icazə:
  • Uyğun;
  • UDID doğrulaması (sertifikatdan + girişə bağlamadan),
  • Cisco DUO XİN
  • Giriş identifikasiyası;
  • Sertifikat identifikasiyası;

Maraqlı bir vəziyyətə baxaq UUID_VALIDATED, belə görünür ki, təsdiqlənmiş istifadəçi həqiqətən sahədə icazə verilən əlaqəli UDID ilə kompüterdən gəlib təsvir hesab, şərtlər belə görünür:

1,2,3-cü mərhələlərdə istifadə edilən icazə profili belə görünür:

Siz ISE-də müştəri seansı təfərrüatlarına baxaraq UDID-nin AnyConnect müştərisindən necə gəldiyini dəqiq yoxlaya bilərsiniz. Mexanizm vasitəsilə AnyConnect-in olduğunu ətraflı şəkildə görəcəyik ACIDEX kimi yalnız platforma haqqında məlumatları deyil, həm də cihazın UDID-ini göndərir Cisco-AV-PAIR:

İstifadəçiyə və sahəyə verilən sertifikata diqqət yetirin Baş hərflər (I), onu Cisco DUO-da MFA ikincil autentifikasiyası üçün giriş kimi qəbul etmək üçün istifadə olunur:

DUO Radius Proxy tərəfində, identifikasiya sorğusunun necə getdiyini jurnalda aydın görə bilərik, o, istifadəçi adı kimi UDID-dən istifadə edir:

DUO portalından uğurlu autentifikasiya hadisəsini görürük:

Mən təyin etdiyim istifadəçi xüsusiyyətlərində ALAS, öz növbəsində daxil olmaq üçün istifadə etdiyim, bu, giriş üçün icazə verilən PC-nin UDID-idir:

Nəticədə əldə etdik:

• Çox faktorlu istifadəçi və cihaz identifikasiyası;
• İstifadəçi cihazının dəyişdirilməsindən qorunma;
• Cihazın vəziyyətinin qiymətləndirilməsi;
• Domen maşını sertifikatı ilə artan nəzarət potensialı və s.;
• Avtomatik olaraq yerləşdirilmiş təhlükəsizlik modulları ilə uzaq iş yerinin hərtərəfli mühafizəsi;

Cisco VPN seriyasındakı məqalələrə keçidlər:

• ASA VPN Yük Balanslaşdırma Klasterinin yerləşdirilməsi
• Cisco ASA-da AnyConnect VPN Tunelində Bulud Xidmətlərinin optimallaşdırılması

Mənbə: www.habr.com