ProHoster > Blag > Riarachán > Coincheap an chianrochtain atá thar a bheith slán a chur i bhfeidhm

Coincheap an chianrochtain atá thar a bheith slán a chur i bhfeidhm

Ag leanúint leis an tsraith alt ar an ábhar na heagraíochta Cianda-Rochtain VPN rochtain Ní féidir liom cabhrú ach mo thaithí imscartha suimiúil a roinnt cumraíocht VPN an-slán. Chuir custaiméir amháin tasc neamhfhánach i láthair (tá aireagóirí i sráidbhailte na Rúise), ach glacadh leis an Dúshlán agus cuireadh i bhfeidhm go cruthaitheach é. Is coincheap suimiúil é an toradh leis na tréithe seo a leanas:

  1. Roinnt fachtóirí cosanta in aghaidh ionadú na feiste teirminéil (le ceangal daingean ar an úsáideoir);
    • Measúnú a dhéanamh ar chomhlíonadh PC an úsáideora le UDID sannta an ríomhaire ceadaithe sa bhunachar sonraí fíordheimhnithe;
    • Le MFA ag baint úsáide as an PC UDID ón deimhniú le haghaidh fíordheimhnithe tánaisteach trí Cisco DUO (Is féidir leat aon cheann atá comhoiriúnach le SAML/Ga a cheangal);
  2. Fíordheimhniú ilfhachtóir:
    • Deimhniú úsáideora le fíorú réimse agus fíordheimhniú tánaisteach i gcoinne ceann amháin acu;
    • Logáil isteach (gan athrú, tógtha ón deimhniú) agus pasfhocal;
  3. Ag déanamh meastachán ar staid an óstaigh chónaisc (Posture)

Comhpháirteanna réitigh a úsáidtear:

  • Cisco ASA (Tairseach VPN);
  • Cisco ISE (Fíordheimhniú / Údarú / Cuntasaíocht, Measúnú Stáit, CA);
  • Cisco DUO (Fíordheimhniú Ilfhachtóiriúil) (Is féidir leat aon cheann atá comhoiriúnach le SAML/Ga a cheangal);
  • Cisco AnyConnect (Gníomhaire ilchuspóireach do stáisiúin oibre agus OS soghluaiste);

Tosaímid le riachtanais an chustaiméara:

  1. Ní mór don úsáideoir, trína fhíordheimhniú Logáil Isteach/Pasfhocail, a bheith in ann an cliant AnyConnect a íoslódáil ó gheata VPN; ní mór gach modúl AnyConnect riachtanach a shuiteáil go huathoibríoch de réir bheartas an úsáideora;
  2. Ba cheart go mbeadh an t-úsáideoir in ann deimhniú a eisiúint go huathoibríoch (i gcás ceann amháin de na cásanna, is é an príomh chás a eisiúint de láimh agus a uaslódáil ar ríomhaire), ach chuir mé eisiúint uathoibríoch i bhfeidhm le haghaidh taispeána (níl sé ró-dhéanach é a bhaint).
  3. Ní mór fíordheimhniú bunúsach a dhéanamh i roinnt céimeanna, ar dtús tá fíordheimhniú teastais le hanailís ar na réimsí riachtanacha agus a luachanna, ansin logáil isteach / pasfhocal, ní mór ach an uair seo an t-ainm úsáideora atá sonraithe sa réimse teastais a chur isteach sa fhuinneog logáil isteach Ainm an Ábhair (CN) gan an cumas eagarthóireacht a dhéanamh.
  4. Ní mór duit a chinntiú gurb é an gléas óna bhfuil tú ag logáil isteach an ríomhaire glúine corparáideach a eisítear don úsáideoir le haghaidh cianrochtain, agus ní rud éigin eile. (Tá roinnt roghanna déanta chun an riachtanas seo a shásamh)
  5. Ba cheart staid an fheiste nasctha (ríomhaire ag an gcéim seo) a mheas le tábla iomlán de riachtanais an chustaiméara a sheiceáil (achoimriú):
    • Comhaid agus a n-airíonna;
    • iontrálacha clárlainne;
    • paistí OS ón liosta a cuireadh ar fáil (comhtháthú SCCM níos déanaí);
    • Infhaighteacht Frithvíreas ó mhonaróir sonrach agus ábharthacht sínithe;
    • gníomhaíocht seirbhísí áirithe;
    • Infhaighteacht clár suiteáilte áirithe;

Ar dtús, molaim duit féachaint go cinnte ar an léiriú físeán ar an gcur chun feidhme a bheidh mar thoradh air Youtube (5 nóiméad).

Molaim anois breathnú ar na sonraí cur chun feidhme nach bhfuil clúdaithe sa ghearrthóg físe.

Déanaimis próifíl AnyConnect a ullmhú:

Thug mé sampla roimhe seo de phróifíl a chruthú (i dtéarmaí mír roghchláir in ASDM) i mo alt ar shocrú Braisle Cothromaithe Ualach VPN. Anois ba mhaith liom na roghanna a bheidh ag teastáil uainn a thabhairt faoi deara ar leithligh:

Sa phróifíl, cuirfimid in iúl an geata VPN agus an t-ainm próifíl chun nascadh leis an gcliant deiridh:

Coincheap an chianrochtain atá thar a bheith slán a chur i bhfeidhm

Déanaimis eisiúint uathoibríoch deimhnithe a chumrú ó thaobh na próifíle, ag léiriú, go háirithe, paraiméadair an deimhnithe agus, go tipiciúil, aird a thabhairt ar an réimse Túslitreacha (I), i gcás ina gcuirtear luach sonrach isteach de láimh AitheantasÚsáideora meaisín tástála (Aitheantóir gléas uathúil a ghineann cliant Cisco AnyConnect).

Coincheap an chianrochtain atá thar a bheith slán a chur i bhfeidhm

Anseo ba mhaith liom dul chun cinn lyrical a dhéanamh, ós rud é go ndéanann an t-alt seo cur síos ar an gcoincheap; chun críocha taispeána, cuirtear an UDID chun teastas a eisiúint isteach sa réimse Túslitreacha de phróifíl AnyConnect. Ar ndóigh, sa saol fíor, má dhéanann tú é seo, gheobhaidh gach cliant teastas leis an UDID céanna sa réimse seo agus ní oibreoidh aon rud dóibh, ós rud é go dteastaíonn UDID a ríomhaire pearsanta uathu. Ar an drochuair, ní chuireann AnyConnect ionadú an réimse UDID isteach sa phróifíl iarratais ar dheimhniú trí athróg timpeallachta i bhfeidhm go fóill, mar a dhéanann sé, mar shampla, le hathróg % USER%.

Is fiú a thabhairt faoi deara go bhfuil sé beartaithe ag an gcustaiméir (an cás seo) ar dtús deimhnithe a eisiúint go neamhspleách le UDID tugtha i mód láimhe chuig ríomhairí pearsanta Cosanta den sórt sin, rud nach fadhb dó. Mar sin féin, don chuid is mó againn ba mhaith linn uathoibriú (bhuel, domsa tá sé fíor =)).

Agus is é seo an méid is féidir liom a thairiscint i dtéarmaí uathoibrithe. Mura bhfuil AnyConnect in ann deimhniú a eisiúint go huathoibríoch go fóill tríd an UDID a chur in ionad go dinimiciúil, tá bealach eile ann ina mbeidh gá le beagán smaoinimh chruthaitheach agus lámha sciliúla - inseoidh mé an coincheap duit. Ar dtús, déanaimis féachaint ar conas a ghineann gníomhaire AnyConnect an UDID ar chórais oibriúcháin éagsúla:

  • Windows — SHA-256 hash den teaglaim den eochair chláraithe DigitalProductID agus Machine SID
  • OSX — SHA-256 Ardán hashUUID
  • Linux — SHA-256 hash de UUID na críochdheighilte.
  • Apple iOS — SHA-256 Ardán hashUUID
  • Android – Féach an doiciméad ar nasc

Dá réir sin, cruthaímid script dár Windows OS corparáideach, leis an script seo ríomhaimid an UDID go háitiúil ag baint úsáide as ionchuir aitheanta agus foirmímid iarratas ar dheimhniú a eisiúint tríd an UDID seo a chur isteach sa réimse riachtanach, dála an scéil, is féidir leat meaisín a úsáid freisin. deimhniú arna eisiúint ag AD (trí fhíordheimhniú dúbailte a chur leis ag baint úsáide as deimhniú leis an scéim Deimhniú Il).

Déanaimis na socruithe ar thaobh Cisco ASA a ullmhú:

Cruthaímid TrustPoint don fhreastalaí ISE CA, is é an ceann a eiseoidh teastais do chliaint. Ní bhreithneoidh mé an nós imeachta iompórtála Eochairshlabhra; tá cur síos ar shampla i mo alt socraithe Braisle Cothromaithe Ualach VPN. 

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

Déanaimid dáileadh de réir Grúpa Tollán a chumrú bunaithe ar rialacha de réir na réimsí sa deimhniú a úsáidtear le haghaidh fíordheimhnithe. Tá próifíl AnyConnect a rinneamar ag an gcéim roimhe seo cumraithe anseo freisin. Tabhair faoi deara go bhfuil mé ag baint úsáide as an luach SECUREBANK-RA, chun úsáideoirí a bhfuil deimhniú eisithe acu a aistriú chuig grúpa tolláin SLÁNDÁLA-BHAINC-VPN, tabhair faoi deara go bhfuil an réimse seo agam sa cholún iarratais ar dheimhniú próifíl AnyConnect.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

Freastalaithe fíordheimhnithe a shocrú. I mo chás, is é seo ISE don chéad chéim fíordheimhnithe agus DUO (Radius Proxy) mar MFA.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

Cruthaímid polasaithe grúpa agus grúpaí tolláin agus a gcomhpháirteanna cúnta:

Grúpa tollán RéamhshocrúWEBVPNGghrúpa a úsáid go príomha chun cliant AnyConnect VPN a íoslódáil agus deimhniú úsáideora a eisiúint ag baint úsáide as feidhm SCEP-Proxy an ASA; chuige seo tá na roghanna comhfhreagracha againn i ngníomh ar an ngrúpa tolláin féin agus ar an mbeartas grúpa gaolmhar AC-íosluchtaigh, agus ar phróifíl luchtaithe AnyConnect (réimsí chun deimhniú a eisiúint, etc.). Chomh maith leis sin sa bheartas grúpa seo léirímid an gá atá le híoslódáil Modúl Staidiúir ISE.

Grúpa tollán SLÁNDÁLA-BHAINC-VPN úsáidfidh an cliant go huathoibríoch é agus é ag fíordheimhniú leis an deimhniú eisithe sa chéim roimhe seo, ós rud é, i gcomhréir leis an Léarscáil Teastais, go dtitfidh an nasc go sonrach ar an ngrúpa tollán seo. Inseoidh mé duit faoi roghanna suimiúla anseo:

  • tánaisteach-fhíordheimhniú-freastalaí-ghrúpa DUO # Socraigh fíordheimhniú tánaisteach ar an bhfreastalaí DUO (Seachfhreastalaí Radius)
  • ainm úsáideora-ó-teastasCN # Maidir le fíordheimhniú príomhúil, bainimid úsáid as an réimse CN den deimhniú chun logáil isteach an úsáideora a oidhreacht
  • tánaisteach-ainm úsáideora-ó-teastas I # Le haghaidh fíordheimhnithe tánaisteach ar an bhfreastalaí DUO, úsáidimid an t-ainm úsáideora a bhaintear agus na réimsí Tosaigh (I) den teastas.
  • réamh-líonadh-ainm úsáideora cliant # déan an t-ainm úsáideora réamhlíonta sa fhuinneog fíordheimhnithe gan a bheith in ann athrú
  • tánaisteach-réamh-líonadh-ainm úsáideora cliant hide úsáid-coitianta-pasfhocal bhrú # Cuirimid an fhuinneog ionchuir logáil isteach/pasfhocail i bhfolach le haghaidh fíordheimhnithe tánaisteach DUO agus úsáidimid an modh fógra (sms/bhrú/fón) - duga chun fíordheimhniú a iarraidh in ionad an réimse pasfhocail anseo

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

Ansin bogaimid ar aghaidh go dtí ISE:

Déanaimid úsáideoir áitiúil a chumrú (is féidir leat AD/LDAP/ODBC, srl. a úsáid), ar mhaithe le simplíocht, chruthaigh mé úsáideoir áitiúil in ISE féin agus sannadh é sa réimse tuairisc UDID ríomhaire óna bhfuil cead aige logáil isteach trí VPN. Má úsáideann mé fíordheimhniú áitiúil ar ISE, beidh mé teoranta d'fheiste amháin, ós rud é nach bhfuil go leor réimsí ann, ach i bunachair shonraí fíordheimhnithe tríú páirtí ní bheidh srianta den sórt sin agam.

Coincheap an chianrochtain atá thar a bheith slán a chur i bhfeidhm

Breathnaímid ar an mbeartas údaraithe, tá sé roinnte ina cheithre chéim nasctha:

  • Céim 1 — Beartas chun an gníomhaire AnyConnect a íoslódáil agus deimhniú a eisiúint
  • Céim 2 — Príomhbheartas fíordheimhnithe Logáil isteach (ón teastas)/Pasfhocal + Teastas le bailíochtú UDID
  • Céim 3 — Fíordheimhniú tánaisteach trí Cisco DUO (MFA) ag úsáid UDID mar ainm úsáideora + measúnú Stáit
  • Céim 4 — Tá an t-údarú deiridh sa stát:
    • Comhlíontach;
    • Bailíochtú UDID (ón teastas + ceangailteach logáil isteach),
    • Cisco DUO MFA;
    • Fíordheimhniú trí logáil isteach;
    • fíordheimhniú teastais;

Coincheap an chianrochtain atá thar a bheith slán a chur i bhfeidhm

Breathnaímid ar riocht suimiúil UUID_VALIDATED, is cosúil gur tháinig an t-úsáideoir fíordheimhnithe ó ríomhaire le UDID ceadaithe a bhaineann leis an réimse Tuairisc cuntas, cuma na coinníollacha mar seo:

Coincheap an chianrochtain atá thar a bheith slán a chur i bhfeidhm

Is é seo a leanas an phróifíl údaraithe a úsáideadh ag céimeanna 1,2,3:

Coincheap an chianrochtain atá thar a bheith slán a chur i bhfeidhm

Is féidir leat a sheiceáil go díreach conas a thagann an UDID ón gcliant AnyConnect chugainn trí bhreathnú ar shonraí seisiúin an chliaint in ISE. Go mion feicfimid AnyConnect tríd an meicníocht AICIDEX seolann ní hamháin faisnéis faoin ardán, ach freisin UDID an fheiste mar Cisco-AV-PAIR:

Coincheap an chianrochtain atá thar a bheith slán a chur i bhfeidhm

A ligean ar aird a thabhairt ar an deimhniú a eisíodh don úsáideoir agus an réimse Túslitreacha (I), a úsáidtear chun é a ghlacadh mar logáil isteach le haghaidh fíordheimhnithe tánaisteach MFA ar Cisco DUO:

Coincheap an chianrochtain atá thar a bheith slán a chur i bhfeidhm

Ar thaobh Seachfhreastalaí Radius DUO sa loga is féidir linn a fheiceáil go soiléir conas a dhéantar an t-iarratas fíordheimhnithe, tagann sé ag baint úsáide as UDID mar an t-ainm úsáideora:

Coincheap an chianrochtain atá thar a bheith slán a chur i bhfeidhm

Ó thairseach DUO feicimid imeacht fíordheimhnithe rathúil:

Coincheap an chianrochtain atá thar a bheith slán a chur i bhfeidhm

Agus sna hairíonna úsáideora tá sé socraithe agam Alias, a d'úsáid mé le haghaidh logáil isteach, ar a seal, is é seo an UDID den ríomhaire a cheadaítear le haghaidh logáil isteach:

Coincheap an chianrochtain atá thar a bheith slán a chur i bhfeidhm

Mar thoradh air sin fuaireamar:

  • Fíordheimhniú úsáideora agus gléas ilfhachtóiriúil;
  • Cosaint i gcoinne spoofing gléas an úsáideora;
  • Measúnú a dhéanamh ar riocht an fheiste;
  • Poitéinseal do rialú méadaithe le deimhniú meaisín fearainn, srl .;
  • Cosaint chuimsitheach iargúlta san ionad oibre le modúil slándála a imscartar go huathoibríoch;

Naisc chuig ailt sa tsraith Cisco VPN:

Foinse: will.com

Add a comment