🥇অত্যন্ত নিরাপদ দূরবর্তী অ্যাক্সেসের ধারণার বাস্তবায়ন

সংগঠনের বিষয়ে নিবন্ধের ধারাবাহিকতা অব্যাহত রাখা দূরবর্তী অ্যাক্সেস VPN অ্যাক্সেস আমি সাহায্য করতে পারি না কিন্তু আমার আকর্ষণীয় স্থাপনার অভিজ্ঞতা শেয়ার করতে পারি অত্যন্ত নিরাপদ VPN কনফিগারেশন. একটি অ-তুচ্ছ কাজ একজন গ্রাহক দ্বারা উপস্থাপিত হয়েছিল (রাশিয়ান গ্রামে উদ্ভাবক রয়েছে), তবে চ্যালেঞ্জটি গৃহীত হয়েছিল এবং সৃজনশীলভাবে প্রয়োগ করা হয়েছিল। ফলাফল নিম্নলিখিত বৈশিষ্ট্য সহ একটি আকর্ষণীয় ধারণা:

টার্মিনাল ডিভাইসের প্রতিস্থাপনের বিরুদ্ধে সুরক্ষার বেশ কয়েকটি কারণ (ব্যবহারকারীর সাথে কঠোর আবদ্ধতার সাথে);
- প্রমাণীকরণ ডাটাবেসে অনুমোদিত পিসির নির্ধারিত ইউডিআইডি সহ ব্যবহারকারীর পিসির সম্মতি মূল্যায়ন করা;
- Cisco DUO এর মাধ্যমে সেকেন্ডারি প্রমাণীকরণের জন্য সার্টিফিকেট থেকে PC UDID ব্যবহার করে MFA এর সাথে (আপনি যেকোনো SAML/ব্যাসার্ধ সামঞ্জস্যপূর্ণ সংযুক্ত করতে পারেন);
মাল্টি-ফ্যাক্টর প্রমাণীকরণ:
- তাদের মধ্যে একটির বিরুদ্ধে ফিল্ড যাচাইকরণ এবং সেকেন্ডারি প্রমাণীকরণ সহ ব্যবহারকারীর শংসাপত্র;
- লগইন (অপরিবর্তনযোগ্য, শংসাপত্র থেকে নেওয়া) এবং পাসওয়ার্ড;
সংযোগকারী হোস্টের অবস্থা অনুমান করা (ভঙ্গি)

সমাধান উপাদান ব্যবহৃত:

সিসকো এএসএ (ভিপিএন গেটওয়ে);
Cisco ISE (প্রমাণিকরণ / অনুমোদন / অ্যাকাউন্টিং, রাজ্য মূল্যায়ন, CA);
Cisco DUO (মাল্টি-ফ্যাক্টর প্রমাণীকরণ) (আপনি যেকোনো SAML/ব্যাসার্ধ সামঞ্জস্যপূর্ণ সংযুক্ত করতে পারেন);
Cisco AnyConnect (ওয়ার্কস্টেশন এবং মোবাইল ওএসের জন্য মাল্টি-পারপাস এজেন্ট);

গ্রাহকের প্রয়োজনীয়তা দিয়ে শুরু করা যাক:

ব্যবহারকারীকে অবশ্যই, তার লগইন/পাসওয়ার্ড প্রমাণীকরণের মাধ্যমে, VPN গেটওয়ে থেকে AnyConnect ক্লায়েন্ট ডাউনলোড করতে সক্ষম হতে হবে; সমস্ত প্রয়োজনীয় AnyConnect মডিউল অবশ্যই ব্যবহারকারীর নীতি অনুসারে স্বয়ংক্রিয়ভাবে ইনস্টল করতে হবে;
ব্যবহারকারীর স্বয়ংক্রিয়ভাবে একটি শংসাপত্র ইস্যু করতে সক্ষম হওয়া উচিত (একটি পরিস্থিতির জন্য, প্রধান দৃশ্য হ'ল ম্যানুয়াল ইস্যু করা এবং একটি পিসিতে আপলোড করা), তবে আমি প্রদর্শনের জন্য স্বয়ংক্রিয় সমস্যা প্রয়োগ করেছি (এটি সরাতে কখনই দেরি হয়নি)।
মৌলিক প্রমাণীকরণ অবশ্যই বেশ কয়েকটি ধাপে ঘটতে হবে, প্রথমে প্রয়োজনীয় ক্ষেত্র এবং তাদের মানগুলির বিশ্লেষণ সহ সার্টিফিকেট প্রমাণীকরণ রয়েছে, তারপরে লগইন/পাসওয়ার্ড, শুধুমাত্র এই সময় শংসাপত্র ক্ষেত্রে নির্দিষ্ট ব্যবহারকারীর নামটি লগইন উইন্ডোতে ঢোকাতে হবে বিষয়ের নাম (CN) সম্পাদনা করার ক্ষমতা ছাড়া।
আপনাকে নিশ্চিত করতে হবে যে ডিভাইসটি থেকে আপনি লগ ইন করছেন সেটি কর্পোরেট ল্যাপটপ যা ব্যবহারকারীকে দূরবর্তী অ্যাক্সেসের জন্য জারি করা হয়েছে, অন্য কিছু নয়। (এই প্রয়োজনীয়তা মেটানোর জন্য বেশ কয়েকটি বিকল্প তৈরি করা হয়েছে)
কানেক্টিং ডিভাইসের অবস্থা (এই পর্যায়ে পিসি) গ্রাহকের প্রয়োজনীয়তার একটি সম্পূর্ণ মোটা টেবিলের চেক দিয়ে মূল্যায়ন করা উচিত (সারাংশ):
- ফাইল এবং তাদের বৈশিষ্ট্য;
- রেজিস্ট্রি এন্ট্রি;
- প্রদত্ত তালিকা থেকে OS প্যাচ (পরে SCCM ইন্টিগ্রেশন);
- একটি নির্দিষ্ট নির্মাতার কাছ থেকে অ্যান্টি-ভাইরাসের প্রাপ্যতা এবং স্বাক্ষরের প্রাসঙ্গিকতা;
- নির্দিষ্ট পরিষেবার কার্যকলাপ;
- কিছু ইনস্টল করা প্রোগ্রামের প্রাপ্যতা;

শুরু করার জন্য, আমি পরামর্শ দিচ্ছি যে আপনি অবশ্যই ফলাফলের বাস্তবায়নের ভিডিও প্রদর্শনীটি দেখুন ইউটিউব (৫ মিনিট).

এখন আমি ভিডিও ক্লিপে কভার না করা বাস্তবায়নের বিবরণ বিবেচনা করার প্রস্তাব করছি।

আসুন AnyConnect প্রোফাইল প্রস্তুত করি:

আমি পূর্বে সেটিং সম্পর্কিত আমার নিবন্ধে একটি প্রোফাইল তৈরি করার একটি উদাহরণ দিয়েছিলাম (ASDM-তে একটি মেনু আইটেমের পরিপ্রেক্ষিতে) ভিপিএন লোড-ব্যালেন্সিং ক্লাস্টার. এখন আমি আলাদাভাবে আমাদের প্রয়োজনীয় বিকল্পগুলি নোট করতে চাই:

প্রোফাইলে, আমরা শেষ ক্লায়েন্টের সাথে সংযোগ করার জন্য VPN গেটওয়ে এবং প্রোফাইল নাম নির্দেশ করব:

আসুন প্রোফাইলের দিক থেকে একটি শংসাপত্রের স্বয়ংক্রিয় ইস্যু কনফিগার করি, বিশেষত, শংসাপত্রের পরামিতিগুলি নির্দেশ করে এবং বৈশিষ্ট্যগতভাবে, ক্ষেত্রের দিকে মনোযোগ দিন আদ্যক্ষর (I), যেখানে একটি নির্দিষ্ট মান ম্যানুয়ালি প্রবেশ করানো হয় তুমি করেছিলে টেস্ট মেশিন (সিসকো অ্যানিকানেক্ট ক্লায়েন্ট দ্বারা তৈরি করা অনন্য ডিভাইস শনাক্তকারী)।

এখানে আমি একটি লিরিকাল ডিগ্রেশন করতে চাই, যেহেতু এই নিবন্ধটি ধারণাটি বর্ণনা করে; প্রদর্শনের উদ্দেশ্যে, একটি শংসাপত্র প্রদানের জন্য UDID AnyConnect প্রোফাইলের প্রাথমিক ক্ষেত্রে প্রবেশ করানো হয়েছে। অবশ্যই, বাস্তব জীবনে, আপনি যদি এটি করেন, তবে সমস্ত ক্লায়েন্ট এই ক্ষেত্রে একই ইউডিআইডি সহ একটি শংসাপত্র পাবেন এবং তাদের জন্য কিছুই কাজ করবে না, যেহেতু তাদের তাদের নির্দিষ্ট পিসির ইউডিআইডি প্রয়োজন। দুর্ভাগ্যবশত, যেকোন কানেক্ট এখনও এনভায়রনমেন্ট ভেরিয়েবলের মাধ্যমে সার্টিফিকেট রিকোয়েস্ট প্রোফাইলে UDID ফিল্ডের প্রতিস্থাপন বাস্তবায়ন করে না, যেমন এটি করে, যেমন একটি ভেরিয়েবলের সাথে %USER%.

এটি লক্ষণীয় যে গ্রাহক (এই দৃশ্যের) প্রাথমিকভাবে এই জাতীয় সুরক্ষিত পিসিগুলিতে একটি প্রদত্ত ইউডিআইডি সহ স্বতন্ত্রভাবে শংসাপত্র ইস্যু করার পরিকল্পনা করে, যা তার জন্য কোনও সমস্যা নয়। যাইহোক, আমাদের বেশিরভাগের জন্য আমরা অটোমেশন চাই (ভাল, আমার জন্য এটি সত্য =))।

এবং এটিই আমি অটোমেশনের ক্ষেত্রে অফার করতে পারি। যদি AnyConnect এখনও গতিশীলভাবে UDID প্রতিস্থাপন করে স্বয়ংক্রিয়ভাবে একটি শংসাপত্র ইস্যু করতে সক্ষম না হয়, তাহলে আরেকটি উপায় আছে যার জন্য একটু সৃজনশীল চিন্তাভাবনা এবং দক্ষ হাতের প্রয়োজন হবে - আমি আপনাকে ধারণাটি বলব। প্রথমে, আসুন দেখি কিভাবে UDID বিভিন্ন অপারেটিং সিস্টেমে AnyConnect এজেন্ট দ্বারা তৈরি হয়:

উইন্ডোজ — DigitalProductID এবং মেশিন SID রেজিস্ট্রি কী-এর সমন্বয়ের SHA-256 হ্যাশ
ওএসএক্স — SHA-256 হ্যাশ প্ল্যাটফর্ম ইউইউআইডি
লিনাক্স রুট পার্টিশনের UUID-এর SHA-256 হ্যাশ।
অ্যাপল আইওএস — SHA-256 হ্যাশ প্ল্যাটফর্ম ইউইউআইডি
অ্যান্ড্রয়েড - নথি দেখুন লিংক

তদনুসারে, আমরা আমাদের কর্পোরেট উইন্ডোজ ওএসের জন্য একটি স্ক্রিপ্ট তৈরি করি, এই স্ক্রিপ্টের সাহায্যে আমরা স্থানীয়ভাবে পরিচিত ইনপুটগুলি ব্যবহার করে UDID গণনা করি এবং প্রয়োজনীয় ক্ষেত্রে এই UDID প্রবেশ করে একটি শংসাপত্র ইস্যু করার জন্য একটি অনুরোধ তৈরি করি, যাইহোক, আপনি একটি মেশিনও ব্যবহার করতে পারেন। AD দ্বারা জারি করা শংসাপত্র (স্কিমটিতে একটি শংসাপত্র ব্যবহার করে ডবল প্রমাণীকরণ যোগ করে একাধিক সার্টিফিকেট).

আসুন Cisco ASA দিকে সেটিংস প্রস্তুত করি:

আসুন ISE CA সার্ভারের জন্য একটি TrustPoint তৈরি করি, এটি এমন একটি হবে যা ক্লায়েন্টদের সার্টিফিকেট প্রদান করবে। আমি কী-চেইন আমদানি পদ্ধতি বিবেচনা করব না; সেটআপ সম্পর্কিত আমার নিবন্ধে একটি উদাহরণ বর্ণনা করা হয়েছে ভিপিএন লোড-ব্যালেন্সিং ক্লাস্টার.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

আমরা প্রমাণীকরণের জন্য ব্যবহৃত শংসাপত্রের ক্ষেত্র অনুসারে নিয়মের ভিত্তিতে টানেল-গ্রুপ দ্বারা বিতরণ কনফিগার করি। পূর্ববর্তী পর্যায়ে আমরা যে AnyConnect প্রোফাইল তৈরি করেছি সেটিও এখানে কনফিগার করা হয়েছে। দয়া করে মনে রাখবেন যে আমি মান ব্যবহার করছি সিকিউরব্যাঙ্ক-আরএ, একটি টানেল গ্রুপে একটি জারি সার্টিফিকেট সহ ব্যবহারকারীদের স্থানান্তর করতে সিকিউর-ব্যাঙ্ক-ভিপিএন, অনুগ্রহ করে মনে রাখবেন যে আমার কাছে AnyConnect প্রোফাইল সার্টিফিকেট অনুরোধ কলামে এই ক্ষেত্রটি আছে।

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

প্রমাণীকরণ সার্ভার সেট আপ করা হচ্ছে। আমার ক্ষেত্রে, এটি প্রমাণীকরণের প্রথম পর্যায়ের জন্য ISE এবং MFA হিসাবে DUO (রেডিয়াস প্রক্সি)।

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

আমরা গ্রুপ নীতি এবং টানেল গ্রুপ এবং তাদের সহায়ক উপাদান তৈরি করি:

টানেল গ্রুপ ডিফল্টWEBVPNGগ্রুপ প্রাথমিকভাবে AnyConnect VPN ক্লায়েন্ট ডাউনলোড করতে এবং ASA-এর SCEP-Proxy ফাংশন ব্যবহার করে একটি ব্যবহারকারীর শংসাপত্র ইস্যু করতে ব্যবহার করা হবে; এর জন্য আমাদের কাছে টানেল গ্রুপে এবং সংশ্লিষ্ট গ্রুপ নীতি উভয় ক্ষেত্রেই সংশ্লিষ্ট বিকল্পগুলি সক্রিয় করা হয়েছে। এসি-ডাউনলোড, এবং লোড করা AnyConnect প্রোফাইলে (একটি শংসাপত্র প্রদানের জন্য ক্ষেত্র, ইত্যাদি)। এছাড়াও এই গ্রুপ নীতিতে আমরা ডাউনলোড করার প্রয়োজনীয়তা নির্দেশ করি ISE ভঙ্গি মডিউল.

টানেল গ্রুপ সিকিউর-ব্যাঙ্ক-ভিপিএন পূর্ববর্তী পর্যায়ে জারি করা শংসাপত্রের সাথে প্রমাণীকরণ করার সময় ক্লায়েন্ট স্বয়ংক্রিয়ভাবে ব্যবহার করবে, যেহেতু, শংসাপত্রের মানচিত্র অনুসারে, সংযোগটি বিশেষভাবে এই টানেল গ্রুপে পড়বে। আমি আপনাকে এখানে আকর্ষণীয় বিকল্পগুলি সম্পর্কে বলব:

সেকেন্ডারি-প্রমাণিকরণ-সার্ভার-গ্রুপ DUO # DUO সার্ভারে সেকেন্ডারি প্রমাণীকরণ সেট করুন (রেডিয়াস প্রক্সি)
ইউজারনেম-থেকে-প্রত্যয়নপত্রCN # প্রাথমিক প্রমাণীকরণের জন্য, আমরা ব্যবহারকারীর লগইন উত্তরাধিকারী হতে শংসাপত্রের CN ক্ষেত্র ব্যবহার করি
সেকেন্ডারি-ইউজারনেম-থেকে-প্রত্যয়নপত্র I # DUO সার্ভারে মাধ্যমিক প্রমাণীকরণের জন্য, আমরা ব্যবহারকারীর নাম এক্সট্র্যাক্ট করা এবং শংসাপত্রের প্রাথমিক (I) ক্ষেত্রগুলি ব্যবহার করি।
প্রি-ফিল-ইউজারনেম ক্লায়েন্ট # পরিবর্তন করার ক্ষমতা ছাড়াই প্রমাণীকরণ উইন্ডোতে ব্যবহারকারীর নামটি আগে থেকে পূরণ করুন
সেকেন্ডারি-প্রি-ফিল-ইউজারনেম ক্লায়েন্ট হাইড ইউজ-কমন-পাসওয়ার্ড পুশ # আমরা সেকেন্ডারি প্রমাণীকরণ DUO-এর জন্য লগইন/পাসওয়ার্ড ইনপুট উইন্ডোটি লুকিয়ে রাখি এবং বিজ্ঞপ্তি পদ্ধতি (sms/push/phone) ব্যবহার করি - পাসওয়ার্ড ক্ষেত্রের পরিবর্তে প্রমাণীকরণের অনুরোধ করতে ডক করি এখানে

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

এরপরে আমরা ISE-তে চলে যাই:

আমরা একজন স্থানীয় ব্যবহারকারীকে কনফিগার করি (আপনি AD/LDAP/ODBC ইত্যাদি ব্যবহার করতে পারেন), সরলতার জন্য, আমি নিজেই ISE-তে একটি স্থানীয় ব্যবহারকারী তৈরি করেছি এবং এটিকে ক্ষেত্রে বরাদ্দ করেছি বিবরণ ইউডিআইডি পিসি যেখান থেকে তাকে VPN এর মাধ্যমে লগ ইন করার অনুমতি দেওয়া হয়। যদি আমি ISE-তে স্থানীয় প্রমাণীকরণ ব্যবহার করি, আমি শুধুমাত্র একটি ডিভাইসে সীমাবদ্ধ থাকব, যেহেতু অনেকগুলি ক্ষেত্র নেই, তবে তৃতীয় পক্ষের প্রমাণীকরণ ডেটাবেসে আমার এই ধরনের সীমাবদ্ধতা থাকবে না।

আসুন অনুমোদন নীতিটি দেখি, এটি চারটি সংযোগ পর্যায়ে বিভক্ত:

পর্যায় 1 — AnyConnect এজেন্ট ডাউনলোড এবং একটি শংসাপত্র প্রদানের জন্য নীতি
পর্যায় 2 — প্রাথমিক প্রমাণীকরণ নীতি লগইন (শংসাপত্র থেকে)/পাসওয়ার্ড + ইউডিআইডি বৈধতা সহ শংসাপত্র
পর্যায় 3 — ইউজারনেম + স্টেট অ্যাসেসমেন্ট হিসাবে UDID ব্যবহার করে Cisco DUO (MFA) এর মাধ্যমে মাধ্যমিক প্রমাণীকরণ
পর্যায় 4 - চূড়ান্ত অনুমোদন রাজ্যে রয়েছে:
- অনুযোগ;
- UDID বৈধতা (শংসাপত্র + লগইন বাঁধাই থেকে),
- Cisco DUO MFA;
- লগইন দ্বারা প্রমাণীকরণ;
- শংসাপত্র প্রমাণীকরণ;

আসুন একটি আকর্ষণীয় শর্ত দেখুন UUID_VALIDATED, দেখে মনে হচ্ছে প্রমাণীকরণকারী ব্যবহারকারী আসলে একটি পিসি থেকে এসেছেন যার সাথে একটি অনুমোদিত UDID ক্ষেত্রের সাথে যুক্ত বিবরণ অ্যাকাউন্ট, শর্ত এই মত দেখায়:

1,2,3 ধাপে ব্যবহৃত অনুমোদনের প্রোফাইলটি নিম্নরূপ:

আপনি ISE-তে ক্লায়েন্ট সেশনের বিবরণ দেখে যেকোন কানেক্ট ক্লায়েন্ট থেকে UDID কীভাবে আমাদের কাছে আসে তা পরীক্ষা করতে পারেন। বিস্তারিতভাবে আমরা দেখতে পাব যে এনিকানেক্ট মেকানিজমের মাধ্যমে এসিডেক্স প্ল্যাটফর্ম সম্পর্কে না শুধুমাত্র তথ্য পাঠায়, কিন্তু ডিভাইসের UDID হিসাবে Cisco-AV-PAIR:

আসুন ব্যবহারকারী এবং ক্ষেত্রের জন্য জারি করা শংসাপত্রের দিকে মনোযোগ দিন আদ্যক্ষর (I), যা Cisco DUO-তে সেকেন্ডারি MFA প্রমাণীকরণের জন্য লগইন হিসাবে নেওয়ার জন্য ব্যবহৃত হয়:

লগের DUO ব্যাসার্ধ প্রক্সির দিকে আমরা স্পষ্টভাবে দেখতে পাচ্ছি যে কীভাবে প্রমাণীকরণের অনুরোধ করা হয়, এটি ব্যবহারকারীর নাম হিসাবে UDID ব্যবহার করে আসে:

DUO পোর্টাল থেকে আমরা একটি সফল প্রমাণীকরণ ইভেন্ট দেখতে পাচ্ছি:

এবং ব্যবহারকারী বৈশিষ্ট্য আমি এটি সেট আছে উপায় দ্বারা, যা আমি লগইন করার জন্য ব্যবহার করেছি, ঘুরে, এটি লগইন করার জন্য অনুমোদিত পিসির UDID:

ফলস্বরূপ আমরা পেয়েছি:

মাল্টি-ফ্যাক্টর ব্যবহারকারী এবং ডিভাইস প্রমাণীকরণ;
ব্যবহারকারীর ডিভাইস স্পুফিং বিরুদ্ধে সুরক্ষা;
ডিভাইসের অবস্থা মূল্যায়ন;
ডোমেইন মেশিন সার্টিফিকেট, ইত্যাদি সহ বর্ধিত নিয়ন্ত্রণের জন্য সম্ভাব্য;
স্বয়ংক্রিয়ভাবে স্থাপন করা নিরাপত্তা মডিউল সহ ব্যাপক দূরবর্তী কর্মক্ষেত্র সুরক্ষা;

সিসকো ভিপিএন সিরিজের নিবন্ধগুলির লিঙ্ক:

উত্স: www.habr.com

অত্যন্ত সুরক্ষিত দূরবর্তী অ্যাক্সেসের ধারণার বাস্তবায়ন

একটি মন্তব্য জুড়ুন উত্তর বাতিল