Urruneko sarbide oso seguruaren kontzeptua ezartzea
Antolakuntzaren gaiari buruzko artikulu sortari jarraipena ematea Urruneko sarbidea VPN sarbidea Ezin dut saihestu nire inplementazio esperientzia interesgarria partekatu VPN konfigurazio oso segurua. Bezero batek zeregin ez-trivial bat aurkeztu zuen (errusiako herrietan asmatzaileak daude), baina Erronka onartu eta sormenez inplementatu zen. Emaitza kontzeptu interesgarri bat da, ezaugarri hauek dituena:
Terminal-gailuaren ordezkapenaren aurka babesteko hainbat faktore (erabiltzailearekiko lotura zorrotzarekin);
Erabiltzailearen PCak autentifikazio datu-basean baimendutako PCari esleitutako UDID-arekin betetzen duen baloratzea;
MFArekin, Cisco DUO bidez bigarren autentifikaziorako ziurtagiriko PC UDID erabiliz (SAML/Radius bateragarria den edozein erantsi dezakezu);
Faktore anitzeko autentifikazioa:
Erabiltzaile-ziurtagiria eremu-egiaztapenarekin eta horietako baten aurkako bigarren autentifikazioarekin;
Saioa hasteko (aldaezina, ziurtagiritik hartutakoa) eta pasahitza;
Konektatzeko ostalariaren egoera kalkulatzea (Postura)
Erabilitako soluzio osagaiak:
Cisco ASA (VPN Gateway);
Cisco ISE (Autentifikazioa / Baimena / Kontabilitatea, Estatuaren Ebaluazioa, CA);
Cisco DUO (Faktore anitzeko autentifikazioa) (SAML/Radius bateragarria den edozein erantsi dezakezu);
Cisco AnyConnect (Lantokietarako eta OS mugikorretarako erabilera anitzeko agentea);
Has gaitezen bezeroaren eskakizunekin:
Erabiltzaileak, bere Login/Pasahitz autentifikazioaren bidez, AnyConnect bezeroa VPN atebidetik deskargatu ahal izan behar du; beharrezko AnyConnect modulu guztiak automatikoki instalatu behar dira erabiltzailearen politikaren arabera;
Erabiltzaileak ziurtagiri bat automatikoki igorri ahal izan beharko luke (eszenatokietako batean, agertoki nagusia eskuz jaulkitzea eta ordenagailuan kargatzea da), baina erakustaldirako jaulkipen automatikoa ezarri nuen (ez da inoiz berandu kentzeko).
Oinarrizko autentifikazioa hainbat fasetan egin behar da, lehenik eta behin ziurtagiriaren autentifikazioa dago beharrezko eremuen eta haien balioen azterketarekin, ondoren saioa hasteko/pasahitza, oraingo honetan bakarrik ziurtagiriaren eremuan zehaztutako erabiltzaile-izena sartu behar da saioa hasteko leihoan Gaiaren izena (CN) editatzeko gaitasunik gabe.
Ziurtatu behar duzu saioa hasten ari zaren gailua erabiltzaileari urruneko sarbidea izateko igorritako ordenagailu eramangarri korporatiboa dela, eta ez beste zerbait. (Hainbat aukera egin dira eskakizun hori betetzeko)
Konektatzeko gailuaren egoera (fase honetan ordenagailua) bezeroen eskakizunen taula handi baten egiaztapenarekin ebaluatu behar da (laburbilduz):
Fitxategiak eta haien propietateak;
Erregistroko sarrerak;
Emandako zerrendako OS adabakiak (geroago SCCM integrazioa);
Fabrikatzaile zehatz baten antibirusaren erabilgarritasuna eta sinaduren garrantzia;
Zenbait zerbitzuren jarduera;
Instalatutako zenbait programaren erabilgarritasuna;
Orain bideoklipean jasotzen ez diren ezarpen xehetasunak kontuan hartzea proposatzen dut.
Presta dezagun AnyConnect profila:
Aurretik profil bat sortzeko adibide bat eman nuen (ASDMko menu-elementu bati dagokionez) ezarpenari buruzko nire artikuluan VPN karga orekatzeko klusterra. Orain bereizita adierazi nahi nituzke beharko ditugun aukerak:
Profilean, VPN atebidea eta amaierako bezeroarekin konektatzeko profilaren izena adieraziko dugu:
Konfiguratu dezagun ziurtagiri baten igorpen automatikoa profilaren aldetik, bereziki ziurtagiriaren parametroak adieraziz eta, ezaugarri gisa, eremuari arreta jarri. Hasierakoak (I), non balio zehatz bat eskuz sartzen den UDID proba-makina (Cisco AnyConnect bezeroak sortzen duen gailu-identifikatzaile bakarra).
Hemen digresio liriko bat egin nahi dut, artikulu honek kontzeptua deskribatzen baitu; erakustaldietarako, ziurtagiria emateko UDID-a AnyConnect profileko Hasierako eremuan sartzen da. Noski, bizitza errealean, hau egiten baduzu, bezero guztiek eremu honetan UDID berdina duen ziurtagiria jasoko dute eta ezer ez zaie balioko, euren PC espezifikoko UDID-a behar baitute. AnyConnect, zoritxarrez, oraindik ez du ezartzen UDID eremuaren ordezkapena ziurtagiri-eskaeraren profilean ingurune-aldagai baten bidez, adibidez, aldagai batekin egiten duen bezala. %USER%.
Aipatzekoa da bezeroak (eszenatoki honetakoa) hasiera batean UDID jakin batekin ziurtagiriak eskuz eskuzko moduan igortzea aurreikusten duela, eta hori ez da arazo bat berarentzat. Hala ere, gutako gehienok automatizazioa nahi dugu (beno, niretzat egia da =)).
Eta hau da automatizazioari dagokionez eskain dezakedana. AnyConnect oraindik ezin bada ziurtagiri bat automatikoki igortzeko UDID dinamikoki ordezkatuz, bada pentsamendu sortzaile apur bat eta esku trebeak beharko dituen beste modu bat - kontzeptua esango dizut. Lehenik eta behin, ikus dezagun AnyConnect agenteak UDID sistema eragile ezberdinetan nola sortzen den:
Windows β DigitalProductID eta Machine SID erregistro-gakoaren konbinazioaren SHA-256 hash
OSX - SHA-256 hash PlatformUUID
Linux β Erro partizioaren UUIDaren SHA-256 hash.
Horren arabera, gure Windows OS korporatiboaren script-a sortzen dugu, script honekin lokalean UDID-a kalkulatzen dugu sarrera ezagunak erabiliz eta ziurtagiri bat emateko eskaera osatzen dugu UDID hau eskatutako eremuan sartuz, bide batez, makina bat ere erabil dezakezu. ADk emandako ziurtagiria (eskeman ziurtagiri bat erabiliz autentifikazio bikoitza gehituz Ziurtagiri anitzak).
Presta ditzagun ezarpenak Cisco ASA aldean:
Sortu dezagun TrustPoint bat ISE CA zerbitzariarentzat, bera izango da bezeroei ziurtagiriak emango dizkiena. Ez dut kontuan hartuko Key-Chain inportatzeko prozedura; adibide bat nire konfigurazio-artikuluan deskribatzen da VPN karga orekatzeko klusterra.
crypto ca trustpoint ISE-CA
enrollment terminal
crl configure
Tunnel-Group-en banaketa arauen arabera konfiguratzen dugu autentifikaziorako erabiltzen den ziurtagiriaren eremuen arabera. Aurreko fasean egin genuen AnyConnect profila ere hemen konfiguratuta dago. Kontuan izan balioa erabiltzen ari naizela SECUREBANK-RA, igorritako ziurtagiria duten erabiltzaileak tunel talde batera transferitzeko SEGURUA-BANKUA-VPN, kontuan izan eremu hau AnyConnect profilaren ziurtagiriaren eskaera zutabean daukadala.
Autentifikazio-zerbitzariak konfiguratzea. Nire kasuan, hau ISE da autentifikazioaren lehen faserako eta DUO (Radius Proxy) MFA gisa.
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!
Talde-politikak eta tunel-taldeak eta haien osagai laguntzaileak sortzen ditugu:
Tunel taldea WEBVPNGroup lehenetsia batez ere AnyConnect VPN bezeroa deskargatzeko eta ASAren SCEP-Proxy funtzioa erabiliz erabiltzaile-ziurtagiria igortzeko erabiliko da; horretarako dagozkion aukerak aktibatuta ditugu bai tunel-taldean bertan, bai lotutako talde-politikan. AC-Deskarga, eta kargatutako AnyConnect profilean (ziurtagiria emateko eremuak, etab.). Talde-politika honetan ere deskargatu beharra adierazten dugu ISE Postura Modulua.
Tunel taldea SEGURUA-BANKUA-VPN Bezeroak automatikoki erabiliko du aurreko fasean emandako ziurtagiriarekin autentifikatzean, izan ere, Ziurtagirien Maparen arabera, konexioa berariaz tunel-talde horretan kokatuko da. Aukera interesgarrien berri emango dizut hemen:
bigarren mailako autentifikazio-zerbitzari-talde DUO # Ezarri bigarren mailako autentifikazioa DUO zerbitzarian (Radius Proxy)
erabiltzaile-izena-tik-ziurtagiriaCN # Lehen autentifikaziorako, ziurtagiriaren CN eremua erabiltzen dugu erabiltzailearen saioa heredatzeko
bigarren mailako-erabiltzaile-izena-ziurtagiritik I # DUO zerbitzarian bigarren autentifikaziorako, ateratako erabiltzaile-izena eta ziurtagiriaren hasierako (I) eremuak erabiltzen ditugu.
aurre-betetze-erabiltzaile-izena bezeroa # egin erabiltzaile-izena aurrez bete autentifikazio-leihoan aldatzeko gaitasunik gabe
secondary-pre-fill-username bezeroa ezkutatu use-common-password push # Saio-hasiera/pasahitza idazteko leihoa ezkutatzen dugu bigarren autentifikaziorako DUO eta jakinarazpen-metodoa erabiltzen dugu (sms/push/telefonoa) - dock autentifikazioa eskatzeko pasahitzaren eremuaren ordez Hemen
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!
Jarraian, ISEra joango gara:
Erabiltzaile lokal bat konfiguratzen dugu (AD/LDAP/ODBC, etab. erabil dezakezu), sinpletasunerako, ISEn bertan erabiltzaile lokal bat sortu nuen eta eremuan esleitu nuen. deskribapenaUDID ordenagailua bertatik VPN bidez saioa hasteko baimena dauka. ISEn tokiko autentifikazioa erabiltzen badut, gailu bakarrera mugatuko naiz, eremu asko ez baitaude, baina hirugarrenen autentifikazio datu-baseetan ez dut horrelako murrizketarik izango.
Ikus dezagun baimen-politika, lau konexio fasetan banatuta dago:
1 etapa β AnyConnect agentea deskargatzeko eta ziurtagiria emateko politika
2 etapa β Lehen autentifikazio-politika Saioa hasi (ziurtagiritik)/Pasahitza + Ziurtagiria UDID baliozkotzearekin
3 etapa β Bigarren mailako autentifikazioa Cisco DUO (MFA) bidez UDID erabiltzaile izen gisa + Estatuaren ebaluazioa erabiliz
Ikus dezagun egoera interesgarri bat UUID_VALIDADED, badirudi autentifikatzen duen erabiltzailea benetan eremuan lotutako UDID baimendu bat duen PC batetik etorri dela. Deskribapena kontuan, baldintzek honelakoak dira:
1,2,3, XNUMX, XNUMX etapetan erabilitako baimen-profila hau da:
AnyConnect bezeroaren UDID-a nola iristen den egiazta dezakezu bezeroaren saioen xehetasunak ISEn begiratuta. Zehazki, AnyConnect hori mekanismoaren bidez ikusiko dugu AZIDOA plataformari buruzko informazioa ez ezik, gailuaren UDID-a ere bidaltzen du Cisco-AV-PAIR:
Errepara diezaiogun erabiltzaileari emandako ziurtagiriari eta eremuari Hasierakoak (I), Cisco DUO-n bigarren mailako MFA autentifikaziorako saioa hasteko erabiltzen dena:
Erregistroko DUO Radius Proxy aldean argi eta garbi ikus dezakegu nola egiten den autentifikazio-eskaera, UDID erabiltzen da erabiltzaile-izen gisa:
DUO atarikotik autentifikazio-gertaera arrakastatsua ikusten dugu:
Eta erabiltzailearen propietateetan ezarrita daukat ALIAS, saioa hasteko erabili dudana, hau da saioa hasteko baimendutako ordenagailuaren UDID-a:
Ondorioz lortu dugu:
Faktore anitzeko erabiltzaile eta gailuen autentifikazioa;
Erabiltzailearen gailua faltsutzearen aurkako babesa;
Gailuaren egoera ebaluatzea;
Kontrola areagotzeko potentziala domeinu-makinaren ziurtagiriarekin, etab.;
Urruneko lantokiaren babes osoa automatikoki zabaldutako segurtasun moduluekin;