Parhau â'r gyfres o erthyglau ar y pwnc trefniadaeth VPN Mynediad o Bell mynediad Ni allaf helpu ond rhannu fy mhrofiad lleoli diddorol cyfluniad VPN hynod ddiogel. Cyflwynwyd tasg nad yw'n ddibwys gan un cwsmer (mae dyfeiswyr mewn pentrefi Rwsiaidd), ond derbyniwyd yr Her a'i gweithredu'n greadigol. Mae'r canlyniad yn gysyniad diddorol gyda'r nodweddion canlynol:
- Sawl ffactor o amddiffyniad rhag amnewid y ddyfais derfynell (gyda rhwymiad llym i'r defnyddiwr);
- Asesu cydymffurfiaeth PC y defnyddiwr â'r UDID a neilltuwyd ar gyfer y PC a ganiateir yn y gronfa ddata ddilysu;
- Gyda MFA yn defnyddio'r PC UDID o'r dystysgrif ar gyfer dilysu eilaidd trwy Cisco DUO (Gallwch atodi unrhyw un sy'n gydnaws â SAML/Radiws);
- Dilysu aml-ffactor:
- Tystysgrif defnyddiwr gyda dilysiad maes a dilysiad eilaidd yn erbyn un ohonynt;
- Mewngofnodi (anghyfnewidiol, wedi'i gymryd o'r dystysgrif) a chyfrinair;
- Amcangyfrif cyflwr y gwesteiwr cysylltu (Ystum)
Cydrannau datrysiad a ddefnyddir:
- Cisco ASA (Porth VPN);
- Cisco ISE (Dilysu / Awdurdodi / Cyfrifo, Gwerthuso'r Wladwriaeth, CA);
- Cisco DUO (Dilysu Aml-Ffactor) (Gallwch atodi unrhyw un sy'n gydnaws â SAML/Radiws);
- Cisco AnyConnect (Asiant amlbwrpas ar gyfer gweithfannau ac OS symudol);
Gadewch i ni ddechrau gyda gofynion y cwsmer:
- Rhaid i'r defnyddiwr, trwy ei ddilysiad Mewngofnodi / Cyfrinair, allu lawrlwytho'r cleient AnyConnect o borth VPN; rhaid gosod yr holl fodiwlau AnyConnect angenrheidiol yn awtomatig yn unol â pholisi'r defnyddiwr;
- Dylai'r defnyddiwr allu cyhoeddi tystysgrif yn awtomatig (ar gyfer un o'r senarios, y prif senario yw cyhoeddi â llaw a llwytho i fyny ar gyfrifiadur personol), ond rhoddais gyhoeddiad awtomatig ar waith i'w arddangos (nid yw byth yn rhy hwyr i'w dynnu).
- Rhaid i ddilysu sylfaenol ddigwydd mewn sawl cam, yn gyntaf mae dilysiad tystysgrif gyda dadansoddiad o'r meysydd angenrheidiol a'u gwerthoedd, yna mewngofnodi / cyfrinair, dim ond y tro hwn y mae'n rhaid mewnosod yr enw defnyddiwr a nodir yn y maes tystysgrif yn y ffenestr mewngofnodi Enw Pwnc (CN) heb y gallu i olygu.
- Mae angen i chi sicrhau mai'r ddyfais rydych chi'n mewngofnodi ohoni yw'r gliniadur corfforaethol a roddir i'r defnyddiwr ar gyfer mynediad o bell, ac nid rhywbeth arall. (Mae nifer o opsiynau wedi’u gwneud i fodloni’r gofyniad hwn)
- Dylid asesu cyflwr y ddyfais gysylltu (PC ar hyn o bryd) gyda gwiriad o dabl helaeth o ofynion cwsmeriaid (yn crynhoi):
- Ffeiliau a'u priodweddau;
- cofnodion cofrestrfa;
- Clytiau OS o'r rhestr a ddarperir (integreiddio SCCM yn ddiweddarach);
- Argaeledd Gwrth-feirws gan wneuthurwr penodol a pherthnasedd llofnodion;
- Gweithgarwch rhai gwasanaethau;
- Argaeledd rhai rhaglenni gosodedig;
I ddechrau, rwy'n awgrymu eich bod yn bendant yn edrych ar yr arddangosiad fideo o'r gweithredu canlyniadol ymlaen Youtube (5 munud).
Nawr rwy'n bwriadu ystyried y manylion gweithredu nad ydynt wedi'u cynnwys yn y clip fideo.
Gadewch i ni baratoi proffil AnyConnect:
Rhoddais enghraifft yn flaenorol o greu proffil (o ran eitem dewislen yn ASDM) yn fy erthygl ar osod . Nawr hoffwn nodi ar wahân yr opsiynau y bydd eu hangen arnom:
Yn y proffil, byddwn yn nodi'r porth VPN a'r enw proffil ar gyfer cysylltu â'r cleient terfynol:
Gadewch i ni ffurfweddu cyhoeddi tystysgrif yn awtomatig o ochr y proffil, gan nodi, yn benodol, paramedrau'r dystysgrif ac, yn nodweddiadol, rhoi sylw i'r maes Llythrennau blaen (I), lle mae gwerth penodol yn cael ei gofnodi â llaw UDID peiriant prawf (Dynodwr dyfais unigryw a gynhyrchir gan y cleient Cisco AnyConnect).
Yma rwyf am wneud gwyriad telynegol, gan fod yr erthygl hon yn disgrifio'r cysyniad; at ddibenion arddangos, mae'r UDID ar gyfer rhoi tystysgrif yn cael ei nodi ym maes Llythrennau Cyntaf proffil AnyConnect. Wrth gwrs, mewn bywyd go iawn, os gwnewch hyn, yna bydd pob cleient yn derbyn tystysgrif gyda'r un UDID yn y maes hwn ac ni fydd unrhyw beth yn gweithio iddynt, gan fod angen UDID eu cyfrifiadur personol penodol arnynt. Yn anffodus, nid yw AnyConnect eto'n gweithredu amnewid y maes UDID i'r proffil cais am dystysgrif trwy newidyn amgylchedd, fel y mae, er enghraifft, gyda newidyn % USER%.
Mae'n werth nodi bod y cwsmer (o'r senario hwn) yn bwriadu cyhoeddi tystysgrifau UDID penodol yn annibynnol yn y modd llaw i gyfrifiaduron personol Gwarchodedig o'r fath, nad yw'n broblem iddo. Fodd bynnag, i'r rhan fwyaf ohonom rydyn ni eisiau awtomeiddio (wel, i mi mae'n wir =)).
A dyma'r hyn y gallaf ei gynnig o ran awtomeiddio. Os nad yw AnyConnect yn gallu cyhoeddi tystysgrif yn awtomatig eto trwy amnewid yr UDID yn ddeinamig, yna mae yna ffordd arall a fydd yn gofyn am ychydig o feddwl creadigol a dwylo medrus - byddaf yn dweud wrthych y cysyniad. Yn gyntaf, gadewch i ni edrych ar sut mae'r UDID yn cael ei gynhyrchu ar wahanol systemau gweithredu gan yr asiant AnyConnect:
- ffenestri — hash SHA-256 o'r cyfuniad o allwedd cofrestrfa DigitalProductID a Machine SID
- OSX — SHA-256 Llwyfan hashUUID
- Linux — SHA-256 hash o UUID y rhaniad gwraidd.
- Apple iOS — SHA-256 Llwyfan hashUUID
- Android – Gweler y ddogfen ar
Yn unol â hynny, rydym yn creu sgript ar gyfer ein Windows OS corfforaethol, gyda'r sgript hon rydym yn cyfrifo'r UDID yn lleol gan ddefnyddio mewnbynnau hysbys ac yn ffurfio cais am gyhoeddi tystysgrif trwy nodi'r UDID hwn yn y maes gofynnol, gyda llaw, gallwch hefyd ddefnyddio peiriant tystysgrif a gyhoeddwyd gan AD (drwy ychwanegu dilysiad dwbl gan ddefnyddio tystysgrif i'r cynllun Tystysgrif Lluosog).
Gadewch i ni baratoi'r gosodiadau ar ochr Cisco ASA:
Gadewch i ni greu TrustPoint ar gyfer gweinydd ISE CA, hwn fydd yr un a fydd yn cyhoeddi tystysgrifau i gleientiaid. Ni fyddaf yn ystyried y weithdrefn mewnforio Key-Chain; disgrifir enghraifft yn fy erthygl ar setup .
crypto ca trustpoint ISE-CA
enrollment terminal
crl configureRydym yn ffurfweddu dosbarthiad fesul Twnnel-Group yn seiliedig ar reolau yn unol â'r meysydd yn y dystysgrif a ddefnyddir ar gyfer dilysu. Mae'r proffil AnyConnect a wnaethom yn y cam blaenorol hefyd wedi'i ffurfweddu yma. Sylwch fy mod yn defnyddio'r gwerth SECUREBANK-RA, i drosglwyddo defnyddwyr â thystysgrif a gyhoeddwyd i grŵp twnnel DIOGEL-BANK-VPN, nodwch fod gennyf y maes hwn yn y golofn cais tystysgrif proffil AnyConnect.
tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
subject-name attr ou eq securebank-ra
!
webvpn
anyconnect profiles SECUREBANK disk0:/securebank.xml
certificate-group-map OU-Map 6 SECURE-BANK-VPN
!Sefydlu gweinyddion dilysu. Yn fy achos i, dyma ISE ar gyfer cam cyntaf y dilysu a DUO (Radius Proxy) fel MFA.
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!Rydym yn creu polisïau grŵp a grwpiau twnnel a'u cydrannau ategol:
Grŵp twnnel Grŵp diofynWEBVPNG yn cael ei ddefnyddio'n bennaf i lawrlwytho cleient AnyConnect VPN a chyhoeddi tystysgrif defnyddiwr gan ddefnyddio swyddogaeth SCEP-Proxy yr ASA; ar gyfer hyn mae gennym yr opsiynau cyfatebol wedi'u gweithredu ar y grŵp twnnel ei hun ac ar y polisi grŵp cysylltiedig AC-Lawrlwytho, ac ar y proffil AnyConnect wedi'i lwytho (meysydd ar gyfer rhoi tystysgrif, ac ati). Hefyd yn y polisi grŵp hwn rydym yn nodi'r angen i lawrlwytho Modiwl Ystum ISE.
Grŵp twnnel DIOGEL-BANK-VPN yn cael ei ddefnyddio'n awtomatig gan y cleient wrth ddilysu gyda'r dystysgrif a gyhoeddwyd yn y cam blaenorol, oherwydd, yn unol â'r Map Tystysgrif, bydd y cysylltiad yn disgyn yn benodol ar y grŵp twnnel hwn. Byddaf yn dweud wrthych am opsiynau diddorol yma:
- uwchradd-dilysu-gweinydd-grŵp DUO # Gosod dilysiad eilaidd ar y gweinydd DUO (Radius Proxy)
- enw defnyddiwr-o-dystysgrifCN # Ar gyfer dilysu cynradd, rydym yn defnyddio maes CN y dystysgrif i etifeddu'r mewngofnodi defnyddiwr
- ail-enw defnyddiwr-o-dystysgrif I # Ar gyfer dilysu eilaidd ar y gweinydd DUO, rydym yn defnyddio'r enw defnyddiwr a dynnwyd a meysydd Llythrennau (I) y dystysgrif.
- cleient cyn-lenwi-enw defnyddiwr # gwneud yr enw defnyddiwr wedi'i lenwi ymlaen llaw yn y ffenestr ddilysu heb y gallu i newid
- uwchradd-cyn-lenwi-enw defnyddiwr cleient cuddio defnydd-cyffredin-gwthiad cyfrinair # Rydym yn cuddio'r ffenestr mewnbwn mewngofnodi / cyfrinair ar gyfer dilysu eilaidd DUO ac yn defnyddio'r dull hysbysu (sms / push / phone) - doc i ofyn am ddilysiad yn lle'r maes cyfrinair
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!Nesaf symudwn ymlaen i ISE:
Rydym yn ffurfweddu defnyddiwr lleol (gallwch ddefnyddio AD/LDAP/ODBC, ac ati), er symlrwydd, creais ddefnyddiwr lleol yn ISE ei hun a'i aseinio yn y maes disgrifiad PC UDID y caniateir iddo fewngofnodi trwy VPN ohono. Os byddaf yn defnyddio dilysu lleol ar ISE, byddaf yn gyfyngedig i un ddyfais yn unig, gan nad oes llawer o feysydd, ond mewn cronfeydd data dilysu trydydd parti ni fydd gennyf gyfyngiadau o'r fath.
Edrychwn ar y polisi awdurdodi, mae wedi'i rannu'n bedwar cam cysylltu:
- Cam 1 — Polisi ar gyfer lawrlwytho'r asiant AnyConnect a rhoi tystysgrif
- Cam 2 — Polisi dilysu cynradd Mewngofnodi (o dystysgrif)/Cyfrinair + Tystysgrif gyda dilysiad UDID
- Cam 3 — Dilysiad eilaidd trwy Cisco DUO (MFA) gan ddefnyddio UDID fel enw defnyddiwr + asesiad talaith
- Cam 4 — Mae'r awdurdodiad terfynol yn y cyflwr:
- Cydymffurfio;
- Dilysiad UDID (o dystysgrif + rhwymiad mewngofnodi),
- Cisco DUO MFA;
- Dilysu trwy fewngofnodi;
- Dilysu tystysgrif;
Gadewch i ni edrych ar gyflwr diddorol UUID_VALIDATED, Mae'n edrych fel bod y defnyddiwr dilysu wedi dod o gyfrifiadur personol gyda UDID a ganiateir yn gysylltiedig yn y maes Disgrifiad cyfrif, mae'r amodau'n edrych fel hyn:
Mae'r proffil awdurdodi a ddefnyddiwyd yng nghamau 1,2,3 fel a ganlyn:
Gallwch wirio'n union sut mae'r UDID o'r cleient AnyConnect yn cyrraedd atom trwy edrych ar fanylion sesiwn y cleient yn ISE. Yn fanwl byddwn yn gweld bod AnyConnect drwy'r mecanwaith ACIDEX yn anfon nid yn unig gwybodaeth am y llwyfan, ond hefyd y UDID y ddyfais fel Cisco-AV-PAIR:
Gadewch i ni dalu sylw i'r dystysgrif a roddwyd i'r defnyddiwr a'r maes Llythrennau blaen (I), a ddefnyddir i'w gymryd fel mewngofnodi ar gyfer dilysu MFA eilaidd ar Cisco DUO:
Ar ochr DUO Radius Proxy yn y log gallwn weld yn glir sut y gwneir y cais dilysu, mae'n dod gan ddefnyddio UDID fel yr enw defnyddiwr:
O borth DUO gwelwn ddigwyddiad dilysu llwyddiannus:
Ac yn yr eiddo defnyddiwr rwyf wedi ei osod ALIAS, a ddefnyddiais ar gyfer mewngofnodi, yn ei dro, dyma UDID y PC a ganiateir ar gyfer mewngofnodi:
O ganlyniad cawsom:
- Dilysu defnyddiwr a dyfais aml-ffactor;
- Amddiffyniad rhag ffugio dyfais y defnyddiwr;
- Asesu cyflwr y ddyfais;
- Potensial ar gyfer mwy o reolaeth gyda thystysgrif peiriant parth, ac ati;
- Diogelu gweithleoedd o bell cynhwysfawr gyda modiwlau diogelwch a ddefnyddir yn awtomatig;
Dolenni i erthyglau cyfres Cisco VPN:
Ffynhonnell: hab.com