A’ leantainn leis an t-sreath artaigilean air cuspair na buidhne VPN ruigsinneachd iomallach ruigsinneachd chan urrainn dhomh cuideachadh ach an t-eòlas inntinneach agam a cho-roinn rèiteachadh VPN air leth tèarainte. Chaidh gnìomh neo-bheag a thoirt seachad le aon neach-ceannach (tha innleadairean ann am bailtean Ruiseanach), ach chaidh gabhail ris an Dùbhlan agus chaidh a chuir an gnìomh gu cruthachail. Is e an toradh bun-bheachd inntinneach leis na feartan a leanas:
- Grunn nithean a thaobh dìon an aghaidh ionad an inneal crìche (le ceangal teann don neach-cleachdaidh);
- A’ measadh gèilleadh PC an neach-cleachdaidh leis an UDID ainmichte den PC ceadaichte san stòr-dàta dearbhaidh;
- Le MFA a’ cleachdadh PC UDID bhon teisteanas airson dearbhadh àrd-sgoile tro Cisco DUO (Faodaidh tu fear sam bith co-chosmhail ri SAML/Radius a cheangal);
- Dearbhadh ioma-fhactaraidh:
- Teisteanas cleachdaiche le dearbhadh achaidh agus dearbhadh àrd-sgoile an aghaidh aon dhiubh;
- Log a-steach (gun atharrachadh, air a thoirt bhon teisteanas) agus facal-faire;
- A 'toirt tuairmse air staid an aoigh ceangail (Stòr)
Co-phàirtean fuasglaidh air an cleachdadh:
- Cisco ASA (Geata VPN);
- Cisco ISE (Dearbhadh / Ùghdarrachadh / Cunntasachd, Measadh Stàite, CA);
- Cisco DUO (Dearbhadh ioma-fhactaraidh) (Faodaidh tu fear sam bith co-chosmhail ri SAML/Radius a cheangal);
- Cisco AnyConnect (àidseant ioma-adhbhar airson ionadan-obrach agus OS gluasadach);
Feuch an tòisich sinn le riatanasan an neach-ceannach:
- Feumaidh an neach-cleachdaidh, tro a dhearbhadh Log a-steach / Facal-faire, a bhith comasach air an neach-dèiligidh AnyConnect a luchdachadh sìos bho gheata VPN; feumaidh a h-uile modal AnyConnect riatanach a bhith air a chuir a-steach gu fèin-ghluasadach a rèir poileasaidh an neach-cleachdaidh;
- Bu chòir gum biodh e comasach don neach-cleachdaidh teisteanas a chuir a-mach gu fèin-ghluasadach (airson aon de na suidheachaidhean, is e am prìomh shuidheachadh foillseachadh làimhe agus luchdachadh suas air PC), ach chuir mi a-mach cùis fèin-ghluasadach airson taisbeanadh (chan eil e a-riamh ro fhadalach airson a thoirt air falbh).
- Feumaidh dearbhadh bunaiteach tachairt ann an grunn ìrean, an toiseach tha dearbhadh teisteanais ann le mion-sgrùdadh air na raointean riatanach agus na luachan aca, an uairsin logadh a-steach / facal-faire, dìreach an turas seo feumar an t-ainm-cleachdaidh a tha air a shònrachadh ann an raon an teisteanais a chuir a-steach don uinneag logadh a-steach. Ainm a' Chuspair (CN) gun chomas deasachadh.
- Feumaidh tu dèanamh cinnteach gur e an inneal às a bheil thu a’ logadh a-steach an laptop corporra a chaidh a thoirt don neach-cleachdaidh airson ruigsinneachd iomallach, agus chan e rudeigin eile. (Chaidh grunn roghainnean a dhèanamh gus an riatanas seo a shàsachadh)
- Bu chòir staid an inneal ceangail (PC aig an ìre seo) a bhith air a mheasadh le sgrùdadh air clàr làn de riatanasan teachdaiche (a ’toirt geàrr-chunntas):
- Faidhlichean agus na feartan aca;
- Clàr-inntrigidhean;
- Paidhrichean OS bhon liosta a chaidh a thoirt seachad (amalachadh SCCM nas fhaide air adhart);
- Na tha ri fhaighinn de Anti-Virus bho neach-dèanamh sònraichte agus buntainneachd ainmean-sgrìobhte;
- gnìomhachd cuid de sheirbheisean;
- Cothrom air cuid de phrògraman stàlaichte;
An toiseach, tha mi a’ moladh gun coimhead thu gu cinnteach air an taisbeanadh bhidio den bhuileachadh a thàinig air adhart Youtube (5 mionaidean).
A-nis tha mi a’ moladh beachdachadh air mion-fhiosrachadh buileachaidh nach eil air a chòmhdach sa chriomag bhidio.
Nach ullaich sinn am pròifil AnyConnect:
Thug mi seachad eisimpleir roimhe de bhith a’ cruthachadh pròifil (a thaobh rud clàr ann an ASDM) anns an artaigil agam air suidheachadh . A-nis bu mhath leam fa-leth a thoirt fa-near na roghainnean a dh’ fheumas sinn:
Anns a 'phròifil, seallaidh sinn an geata VPN agus an t-ainm pròifil airson ceangal ris a' chleachdaiche deireannach:
Feuch an rèiteachadh sinn cuir a-mach teisteanas gu fèin-ghluasadach bho thaobh na pròifil, a ’nochdadh, gu sònraichte, paramadairean an teisteanais agus, gu àbhaisteach, aire a thoirt don raon Litrichean (I), far a bheil luach sònraichte air a chuir a-steach le làimh UDID inneal deuchainn (aithnichear inneal sònraichte a tha air a chruthachadh leis an neach-dèiligidh Cisco AnyConnect).
An seo tha mi airson gluasad liriceach a dhèanamh, leis gu bheil an artaigil seo a ’toirt cunntas air a’ bhun-bheachd; airson adhbharan taisbeanaidh, tha an UDID airson teisteanas a chuir a-mach air a chuir a-steach ann an raon Túslitrichean ìomhaigh AnyConnect. Gu dearbh, ann am fìor bheatha, ma nì thu seo, gheibh a h-uile neach-dèiligidh teisteanas leis an aon UDID san raon seo agus cha obraich dad dhaibh, leis gu bheil feum aca air an UDID den PC sònraichte aca. Gu mì-fhortanach, chan eil AnyConnect fhathast a’ buileachadh ionadachadh raon UDID a-steach don phròifil iarrtas teisteanais tro chaochladair àrainneachd, mar a tha e, mar eisimpleir, le caochladair % USER%.
Is fhiach a bhith mothachail gu bheil an neach-ceannach (den t-suidheachadh seo) an toiseach an dùil teisteanasan a thoirt seachad gu neo-eisimeileach le UDID sònraichte ann am modh làimhe gu PCan Dìon mar sin, rud nach eil na dhuilgheadas dha. Ach, airson a’ mhòr-chuid againn tha sinn ag iarraidh fèin-ghluasad (uill, dhòmhsa tha e fìor =)).
Agus is e seo as urrainn dhomh a thabhann a thaobh fèin-ghluasad. Mura h-urrainn dha AnyConnect teisteanas a chuir a-mach gu fèin-ghluasadach le bhith a’ cur an UDID an àite gu dinamach, tha dòigh eile ann a dh’ fheumas beagan smaoineachaidh cruthachail agus làmhan sgileil - innsidh mi dhut am bun-bheachd. An toiseach, leig dhuinn sùil a thoirt air mar a tha an UDID air a chruthachadh air diofar shiostaman obrachaidh leis an neach-ionaid AnyConnect:
- Windows - SHA-256 hash den mheasgachadh de iuchair clàraidh DigitalProductID agus Machine SID
- OSX - Àrd-ùrlar hash SHA-256UUID
- Linux - SHA-256 hash den UUID den sgaradh freumh.
- Apple iOS - Àrd-ùrlar hash SHA-256UUID
- Android - Faic an sgrìobhainn air
Mar sin, bidh sinn a’ cruthachadh sgriobt airson ar corporra Windows OS, leis an sgriobt seo bidh sinn gu h-ionadail ag obrachadh a-mach an UDID a’ cleachdadh cuir a-steach aithnichte agus a’ dèanamh iarrtas airson teisteanas a chuir a-mach le bhith a’ dol a-steach don UDID seo san raon a tha a dhìth, co-dhiù, faodaidh tu inneal a chleachdadh cuideachd. teisteanas air a chuir a-mach le AD (le bhith a’ cur dearbhadh dùbailte a’ cleachdadh teisteanas ris an sgeama Teisteanas iomadach).
Nach ullaich sinn na roghainnean air taobh Cisco ASA:
Nach cruthaich sinn TrustPoint airson frithealaiche ISE CA, is e am fear a bheir seachad teisteanasan do luchd-dèiligidh. Cha bheachdaich mi air modh in-mhalairt Key-Chain; tha eisimpleir air a mhìneachadh anns an artaigil rèiteachaidh agam .
crypto ca trustpoint ISE-CA
enrollment terminal
crl configureBidh sinn a’ rèiteachadh cuairteachadh le Tunnel-Group stèidhichte air riaghailtean a rèir nan raointean san teisteanas a thathas a’ cleachdadh airson dearbhadh. Tha am pròifil AnyConnect a rinn sinn aig an ìre roimhe seo cuideachd air a rèiteachadh an seo. Thoir an aire gu bheil mi a 'cleachdadh an luach SECUREBANK-RA, gus luchd-cleachdaidh le teisteanas foillsichte a ghluasad gu buidheann tunail SECURE-BANK-VPN, thoir an aire gu bheil an raon seo agam ann an colbh iarrtas teisteanas pròifil AnyConnect.
tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
subject-name attr ou eq securebank-ra
!
webvpn
anyconnect profiles SECUREBANK disk0:/securebank.xml
certificate-group-map OU-Map 6 SECURE-BANK-VPN
!A’ stèidheachadh frithealaichean dearbhaidh. Anns a 'chùis agam, is e seo ISE airson a' chiad ìre de dhearbhadh agus DUO (Radius Proxy) mar MFA.
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!Bidh sinn a’ cruthachadh phoileasaidhean buidhne agus buidhnean tunail agus na pàirtean taice aca:
Buidheann tunail Buidheann bunaiteachWEBVPNG thèid a chleachdadh gu sònraichte gus an neach-dèiligidh AnyConnect VPN a luchdachadh sìos agus teisteanas cleachdaiche a thoirt seachad a’ cleachdadh gnìomh SCEP-Proxy an ASA; airson seo tha na roghainnean co-fhreagarrach againn air an cur an gnìomh an dà chuid air a ’bhuidheann tunail fhèin agus air a’ phoileasaidh buidhne co-cheangailte ris AC - Luchdaich sìos, agus air a’ phròifil luchdaichte AnyConnect (raointean airson teisteanas a thoirt seachad, msaa). Cuideachd anns a 'phoileasaidh buidhne seo tha sinn a' comharrachadh gu bheil feum air luchdachadh sìos Modal Posture ISE.
Buidheann tunail SECURE-BANK-VPN thèid a chleachdadh gu fèin-ghluasadach leis an neach-dèiligidh nuair a thathar a’ dearbhadh leis an teisteanas a chaidh a thoirt seachad san ìre roimhe, oir, a rèir Mapa an Teisteanais, tuitidh an ceangal gu sònraichte air a’ bhuidheann tunail seo. Innsidh mi dhut mu roghainnean inntinneach an seo:
- àrd-sgoil-dearbhaidh-buidheann frithealaiche DUO # Suidhich dearbhadh àrd-sgoile air an fhrithealaiche DUO (Radius Proxy)
- ainm-cleachdaidh-bho-teisteanasCN # Airson prìomh dhearbhadh, bidh sinn a’ cleachdadh raon CN an teisteanais gus logadh a-steach a’ chleachdaiche a shealbhachadh
- dàrna-ainm-cleachdaidh-bho-theisteanas I # Airson dearbhadh àrd-sgoile air an fhrithealaiche DUO, cleachdaidh sinn an t-ainm-cleachdaiche a chaidh a thoirt a-mach agus na raointean ciad litrichean (I) den teisteanas.
- neach-dèiligidh ainm-cleachdaidh ro-lìonadh # dèan an t-ainm-cleachdaidh ro-lìonta san uinneag dearbhaidh gun chomas atharrachadh
- cleachdaiche ainm-cleachdaiche àrd-sgoile-ro-lìonadh cuir am falach putadh cleachdadh-cumanta-facal-faire # Bidh sinn a ’falach an uinneag logadh a-steach / facal-faire airson dearbhadh àrd-sgoile DUO agus a’ cleachdadh an dòigh fios (sms / push / phone) - doca gus dearbhadh iarraidh an àite an raon facal-faire
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!An uairsin gluaisidh sinn air adhart gu ISE:
Bidh sinn a’ rèiteachadh neach-cleachdaidh ionadail (faodaidh tu AD/LDAP/ODBC, msaa a chleachdadh), airson sìmplidheachd, chruthaich mi neach-cleachdaidh ionadail ann an ISE fhèin agus shònraich mi e san raon Tuairisgeul UDID airson PC às a bheil cead aige logadh a-steach tro VPN. Ma chleachdas mi dearbhadh ionadail air ISE, bidh mi cuingealaichte ri aon inneal a-mhàin, leis nach eil mòran raointean ann, ach ann an stòran-dàta dearbhaidh treas-phàrtaidh cha bhi an leithid de chuingealachaidhean agam.
Bheir sinn sùil air a’ phoileasaidh ùghdarrais, tha e air a roinn ann an ceithir ìrean ceangail:
- Ìre 1 - Poileasaidh airson an neach-ionaid AnyConnect a luchdachadh sìos agus teisteanas a thoirt seachad
- Ìre 2 - Poileasaidh dearbhaidh bun-sgoile Log a-steach (bho theisteanas) / Facal-faire + Teisteanas le dearbhadh UDID
- Ìre 3 - Dearbhadh àrd-sgoile tro Cisco DUO (MFA) a’ cleachdadh UDID mar ainm-cleachdaidh + measadh stàite
- Ìre 4 - Tha an cead deireannach anns an stàit:
- Gèilleadh;
- Dearbhadh UDID (bho theisteanas + ceangal logadh a-steach),
- Cisco DUO MFA;
- Dearbhadh le logadh a-steach;
- Dearbhadh teisteanais;
Bheir sinn sùil air suidheachadh inntinneach UUID_VALIDATED, tha e dìreach a’ coimhead coltach gun tàinig an neach-cleachdaidh dearbhaidh bho PC le UDID ceadaichte co-cheangailte ris an raon Tuairisgeul cunntas, tha na suidheachaidhean a’ coimhead mar seo:
Tha a’ phròifil ùghdarrais a thathar a’ cleachdadh aig ìrean 1,2,3 mar a leanas:
Faodaidh tu sgrùdadh dìreach mar a ruigeas an UDID bhon neach-dèiligidh AnyConnect thugainn le bhith a’ coimhead air mion-fhiosrachadh seisean teachdaiche ann an ISE. Gu mionaideach chì sinn sin AnyConnect tron inneal ACIDEX a’ cur chan ann a-mhàin fiosrachadh mun àrd-ùrlar, ach cuideachd UDID an inneil mar Cisco-AV-PAIR:
Bheir sinn aire don teisteanas a chaidh a thoirt don neach-cleachdaidh agus don raon Litrichean (I), a thathas a’ cleachdadh airson a ghabhail mar logadh a-steach airson dearbhadh MFA àrd-sgoile air Cisco DUO:
Air taobh DUO Radius Proxy anns a’ log chì sinn gu soilleir mar a thèid an t-iarrtas dearbhaidh a dhèanamh, thig e a’ cleachdadh UDID mar an t-ainm-cleachdaidh:
Bho portal DUO chì sinn tachartas dearbhaidh soirbheachail:
Agus anns na feartan cleachdaiche tha e air a shuidheachadh agam Alias, a chleachd mi airson logadh a-steach, an uair sin, is e seo an UDID den PC a tha ceadaichte airson logadh a-steach:
Mar thoradh air an sin fhuair sinn:
- Dearbhadh cleachdaiche is inneal ioma-fhactaraidh;
- Dìon an aghaidh spoofing inneal an neach-cleachdaidh;
- measadh a dhèanamh air staid an uidheam;
- Comasach air barrachd smachd le teisteanas inneal fearainn, msaa;
- Dìon farsaing san àite-obrach iomallach le modalan tèarainteachd air an cleachdadh gu fèin-ghluasadach;
Ceanglaichean gu artaigilean sreath Cisco VPN:
Source: www.habr.com