ProHoster > Π‘Π»ΠΎΠ³ > Pagdumala > Pagpatuman sa konsepto sa labi ka luwas nga layo nga pag-access

Pagpatuman sa konsepto sa labi ka luwas nga layo nga pag-access

Pagpadayon sa serye sa mga artikulo sa hilisgutan sa organisasyon Remote Access VPN access Dili nako malikayan nga ipaambit ang akong makapaikag nga kasinatian sa pagdeploy labi ka luwas nga pag-configure sa VPN. Usa ka dili hinungdanon nga buluhaton ang gipresentar sa usa ka kustomer (adunay mga imbentor sa mga baryo sa Russia), apan ang Hagit gidawat ug gipatuman nga mamugnaon. Ang resulta mao ang usa ka makapaikag nga konsepto uban sa mosunod nga mga kinaiya:

  1. Daghang mga hinungdan sa pagpanalipod batok sa pag-ilis sa terminal device (nga adunay higpit nga pagbugkos sa tiggamit);
    • Pag-assess sa pagsunod sa PC sa user sa gi-assign nga UDID sa gitugotan nga PC sa database sa pag-authenticate;
    • Uban sa MFA gamit ang PC UDID gikan sa sertipiko alang sa sekondaryang pag-ila pinaagi sa Cisco DUO (Mahimo nimong i-attach ang bisan unsang SAML/Radius compatible);
  2. Multi-factor nga panghimatuud:
    • Sertipiko sa tiggamit nga adunay pag-verify sa uma ug ikaduha nga pag-authenticate batok sa usa niini;
    • Login (dili mausab, gikuha gikan sa sertipiko) ug password;
  3. Pagbanabana sa kahimtang sa nagkonektar nga host (Posture)

Mga sangkap sa solusyon nga gigamit:

  • Cisco ASA (VPN Gateway);
  • Cisco ISE (Authentication / Authorization / Accounting, State Evaluation, CA);
  • Cisco DUO (Multi-Factor Authentication) (Mahimo nimong i-attach ang bisan unsang SAML/Radius compatible);
  • Cisco AnyConnect (Multi-purpose agent alang sa mga workstation ug mobile OS);

Magsugod kita sa mga kinahanglanon sa kustomer:

  1. Ang user kinahanglang, pinaagi sa iyang Login/Password authentication, maka-download sa AnyConnect client gikan sa VPN gateway; ang tanang gikinahanglan nga AnyConnect modules kinahanglang awtomatikong i-install sumala sa polisiya sa user;
  2. Ang tiggamit kinahanglan nga makahimo sa awtomatikong pag-isyu sa usa ka sertipiko (alang sa usa sa mga senaryo, ang panguna nga senaryo mao ang manual nga pag-isyu ug pag-upload sa usa ka PC), apan akong gipatuman ang awtomatik nga isyu alang sa demonstrasyon (dili pa ulahi ang pagtangtang niini).
  3. Ang sukaranan nga panghimatuud kinahanglan nga mahitabo sa daghang mga yugto, una adunay sertipiko nga panghimatuud nga adunay pag-analisar sa kinahanglan nga mga natad ug ang ilang mga kantidad, unya pag-login / password, niining higayona ang username nga gipiho sa natad sa sertipiko kinahanglan isulud sa window sa pag-login Ngalan sa Subject (CN) walay abilidad sa pag-edit.
  4. Kinahanglan nimo nga sigurohon nga ang device nga imong gi-log in mao ang corporate laptop nga gi-isyu sa user para sa remote access, ug dili sa laing butang. (Daghang mga kapilian ang gihimo aron matagbaw kini nga kinahanglanon)
  5. Ang kahimtang sa nagkonektar nga aparato (sa kini nga yugto sa PC) kinahanglan nga susihon sa usa ka tseke sa usa ka bug-os nga dako nga lamesa sa mga kinahanglanon sa kustomer (pagsumaryo):
    • Mga file ug ang ilang mga kabtangan;
    • Mga entri sa rehistro;
    • OS patch gikan sa gihatag nga listahan (sa ulahi SCCM integration);
    • Anaa sa Anti-Virus gikan sa usa ka piho nga tiggama ug kalabutan sa mga pirma;
    • Kalihokan sa pipila ka mga serbisyo;
    • Ang pagkaanaa sa pipila nga na-install nga mga programa;

Sa pagsugod, gisugyot ko nga siguradong tan-awon nimo ang pagpakita sa video sa sangputanan nga pagpatuman sa Youtube (5 minutos).

Karon gisugyot ko nga ikonsiderar ang mga detalye sa pagpatuman nga wala nasakup sa video clip.

Atong andamon ang AnyConnect profile:

Naghatag ako kaniadto usa ka pananglitan sa paghimo og profile (sa termino sa usa ka menu item sa ASDM) sa akong artikulo sa setting VPN Load-Balancing Cluster. Karon gusto nako nga ibulag ang mga kapilian nga kinahanglan namon:

Sa profile, ipakita namon ang gateway sa VPN ug ang ngalan sa profile alang sa pagkonektar sa katapusan nga kliyente:

Pagpatuman sa konsepto sa labi ka luwas nga layo nga pag-access

Atong i-configure ang awtomatik nga pag-isyu sa usa ka sertipiko gikan sa kilid sa profile, nga nagpaila, labi na, ang mga parameter sa sertipiko ug, sa kinaiya, pagtagad sa uma. Inisyal (I), diin ang usa ka piho nga bili manu-mano nga gisulod UDID test machine (Talagsaong device identifier nga gihimo sa Cisco AnyConnect client).

Pagpatuman sa konsepto sa labi ka luwas nga layo nga pag-access

Dinhi gusto ko nga maghimo usa ka lyrical digression, tungod kay kini nga artikulo naghulagway sa konsepto; alang sa mga katuyoan sa pagpakita, ang UDID alang sa pag-isyu sa usa ka sertipiko gisulod sa natad sa Initials sa AnyConnect profile. Siyempre, sa tinuud nga kinabuhi, kung buhaton nimo kini, nan ang tanan nga mga kliyente makadawat usa ka sertipiko nga adunay parehas nga UDID sa kini nga uma ug wala’y magamit alang kanila, tungod kay kinahanglan nila ang UDID sa ilang piho nga PC. Ang AnyConnect, sa walay palad, wala pa mag-implementar sa pag-ilis sa field sa UDID ngadto sa profile sa hangyo sa sertipiko pinaagi sa usa ka variable sa palibot, sama sa gibuhat niini, pananglitan, sa usa ka variable %USER%.

Angay nga matikdan nga ang kostumer (sa kini nga senaryo) sa sinugdan nagplano nga independente nga mag-isyu sa mga sertipiko nga adunay gihatag nga UDID sa manual mode sa ingon nga Protektado nga mga PC, nga dili usa ka problema alang kaniya. Bisan pa, alang sa kadaghanan kanato gusto namon ang automation (maayo, alang kanako kini tinuod =)).

Ug kini ang akong matanyag bahin sa automation. Kung ang AnyConnect dili pa makahimo sa pag-isyu sa usa ka sertipiko nga awtomatiko pinaagi sa dinamikong pag-ilis sa UDID, nan adunay lain nga paagi nga magkinahanglan usa ka gamay nga mamugnaon nga panghunahuna ug hanas nga mga kamot - isulti ko kanimo ang konsepto. Una, atong tan-awon kung giunsa ang UDID namugna sa lainlaing mga operating system sa ahente sa AnyConnect:

  • Windows β€” SHA-256 hash sa kombinasyon sa DigitalProductID ug Machine SID registry key
  • OSX β€” SHA-256 hash PlatformUUID
  • Linux - SHA-256 hash sa UUID sa root partition.
  • Apple iOS β€” SHA-256 hash PlatformUUID
  • Android - Tan-awa ang dokumento sa link

Tungod niini, naghimo kami usa ka script alang sa among corporate nga Windows OS, uban niini nga script among lokal nga gikalkula ang UDID gamit ang nahibal-an nga mga input ug nagporma usa ka hangyo alang sa pag-isyu sa usa ka sertipiko pinaagi sa pagsulod niini nga UDID sa gikinahanglan nga uma, sa paagi, mahimo ka usab mogamit usa ka makina sertipiko nga gi-isyu sa AD (pinaagi sa pagdugang doble nga pag-authenticate gamit ang usa ka sertipiko sa laraw Daghang Sertipiko).

Atong andamon ang mga setting sa Cisco ASA nga bahin:

Maghimo kita ug TrustPoint para sa server sa ISE CA, kini ang mag-isyu ug mga sertipiko sa mga kliyente. Dili nako ikonsiderar ang pamaagi sa pag-import sa Key-Chain; usa ka pananglitan ang gihulagway sa akong artikulo sa pag-setup VPN Load-Balancing Cluster. 

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

Gi-configure namon ang pag-apod-apod pinaagi sa Tunnel-Group base sa mga lagda uyon sa mga natad sa sertipiko nga gigamit alang sa pag-authenticate. Ang AnyConnect nga profile nga among gihimo sa miaging yugto gi-configure usab dinhi. Palihug timan-i nga akong gigamit ang bili SECUREBANK-RA, aron ibalhin ang mga tiggamit nga adunay gi-isyu nga sertipiko sa usa ka grupo sa tunel SECURE-BANK-VPN, palihug timan-i nga naa nako kini nga field sa AnyConnect profile certificate request column.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

Pag-set up sa mga server sa panghimatuud. Sa akong kaso, kini ang ISE para sa unang yugto sa pag-authenticate ug DUO (Radius Proxy) isip MFA.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

Naghimo kami og mga polisiya sa grupo ug mga grupo sa tunnel ug ang ilang mga auxiliary nga sangkap:

Tunnel nga grupo DefaultWEBVPNGroup gamiton una sa pag-download sa kliyente sa AnyConnect VPN ug pag-isyu sa usa ka sertipiko sa gumagamit gamit ang SCEP-Proxy function sa ASA; tungod niini kami adunay katugbang nga mga kapilian nga gi-aktibo sa tunnel group mismo ug sa kauban nga palisiya sa grupo AC-Download, ug sa gikarga nga profile sa AnyConnect (mga field para sa pag-isyu og sertipiko, ug uban pa). Usab sa kini nga polisiya sa grupo gipakita namon ang panginahanglan sa pag-download ISE Posture Module.

Tunnel nga grupo SECURE-BANK-VPN awtomatik nga gamiton sa kliyente kung mag-authenticate sa gi-isyu nga sertipiko sa miaging yugto, tungod kay, uyon sa Certificate Map, ang koneksyon mahulog espesipiko sa kini nga grupo sa tunnel. Sultihan ko ikaw bahin sa makapaikag nga mga kapilian dinhi:

  • secondary-authentication-server-group DUO # Itakda ang sekundaryong panghimatuud sa DUO server (Radius Proxy)
  • username-from-certificateCN # Para sa panguna nga pag-authenticate, among gigamit ang CN field sa sertipiko aron mapanunod ang user login
  • secondary-username-gikan sa-certificate I # Para sa sekondaryang pag-authenticate sa DUO server, among gigamit ang username nga gikuha ug ang Initials (I) nga mga field sa certificate.
  • pre-fill-username nga kliyente # himoa nga napuno ang username sa bintana sa pag-authenticate nga wala’y katakus sa pagbag-o
  • secondary-pre-fill-username nga kliyente itago ang use-common-password push # Gitago namon ang window sa pag-login / password sa pag-input alang sa sekondaryang pag-authenticate nga DUO ug gigamit ang pamaagi sa pagpahibalo (sms / push / telepono) - dock aron mangayo og panghimatuud imbis sa field sa password dinhi

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

Sunod kita magpadayon sa ISE:

Gi-configure namo ang usa ka lokal nga tiggamit (mahimo nimong gamiton ang AD/LDAP/ODBC, ug uban pa), alang sa kayano, naghimo ko og lokal nga user sa ISE mismo ug gi-assign kini sa field paghulagway UDID PC diin siya gitugotan sa pag-log in pinaagi sa VPN. Kung mogamit ko sa lokal nga pag-authenticate sa ISE, limitado ra ako sa usa ka aparato, tungod kay wala’y daghang mga natad, apan sa mga database sa pag-authenticate sa ikatulo nga partido wala akoy ingon nga mga pagdili.

Pagpatuman sa konsepto sa labi ka luwas nga layo nga pag-access

Atong tan-awon ang polisiya sa pagtugot, gibahin kini sa upat ka yugto sa koneksyon:

  • 1 Stage β€” Patakaran sa pag-download sa ahente sa AnyConnect ug pag-isyu og sertipiko
  • 2 Stage β€” Primary authentication policy Login (gikan sa certificate)/Password + Certificate with UDID validation
  • 3 Stage - Secondary authentication pinaagi sa Cisco DUO (MFA) gamit ang UDID isip username + State assessment
  • 4 Stage - Ang katapusan nga pagtugot anaa sa estado:
    • Nagsunod;
    • UDID validation (gikan sa certificate + login binding),
    • Cisco DUO MFA;
    • Pagpamatuod pinaagi sa pag-login;
    • Pagpamatuod sa sertipiko;

Pagpatuman sa konsepto sa labi ka luwas nga layo nga pag-access

Atong tan-awon ang usa ka makapaikag nga kahimtang UUID_VALIDATE, morag ang nag-authenticate nga tiggamit tinuod nga gikan sa usa ka PC nga adunay gitugotan nga UDID nga nalangkit sa natad. Description account, ang mga kondisyon ingon niini:

Pagpatuman sa konsepto sa labi ka luwas nga layo nga pag-access

Ang profile sa pagtugot nga gigamit sa yugto 1,2,3 mao ang mosunod:

Pagpatuman sa konsepto sa labi ka luwas nga layo nga pag-access

Mahimo nimong susihon kung giunsa ang UDID gikan sa kliyente sa AnyConnect moabut kanamo pinaagi sa pagtan-aw sa mga detalye sa sesyon sa kliyente sa ISE. Sa detalye atong makita nga ang AnyConnect pinaagi sa mekanismo ACIDEX nagpadala dili lamang sa impormasyon mahitungod sa plataporma, apan usab sa UDID sa device ingon nga Cisco-AV-PAIR:

Pagpatuman sa konsepto sa labi ka luwas nga layo nga pag-access

Atong hatagan ug pagtagad ang sertipiko nga gihatag sa tiggamit ug sa uma Inisyal (I), nga gigamit sa pagkuha niini isip usa ka pag-login alang sa sekondaryang MFA authentication sa Cisco DUO:

Pagpatuman sa konsepto sa labi ka luwas nga layo nga pag-access

Sa bahin sa DUO Radius Proxy sa log klaro natong makita kung giunsa gihimo ang hangyo sa pag-authenticate, kini nag-abut gamit ang UDID isip username:

Pagpatuman sa konsepto sa labi ka luwas nga layo nga pag-access

Gikan sa DUO portal atong makita ang usa ka malampuson nga panghimatuud nga panghitabo:

Pagpatuman sa konsepto sa labi ka luwas nga layo nga pag-access

Ug sa mga kabtangan sa gumagamit nga akong gitakda ALIAS, nga akong gigamit sa pag-login, sa baylo, kini ang UDID sa PC nga gitugotan sa pag-login:

Pagpatuman sa konsepto sa labi ka luwas nga layo nga pag-access

Ingon usa ka sangputanan nakuha namon:

  • Multi-factor user ug device authentication;
  • Proteksyon batok sa spoofing sa device sa user;
  • Pagtimbang-timbang sa kahimtang sa aparato;
  • Potensyal alang sa dugang nga pagkontrol sa sertipiko sa domain machine, ug uban pa;
  • Komprehensibo nga proteksyon sa hilit nga lugar sa trabahoan nga adunay awtomatikong gipakatap nga mga module sa seguridad;

Mga link sa mga artikulo sa serye sa Cisco VPN:

Source: www.habr.com

Idugang sa usa ka comment