Kontinye seri atik sou sijè òganizasyon an Vpn Aksè Remote aksè Mwen pa ka ede men pataje eksperyans enteresan deplwaman mwen an konfigirasyon VPN trè an sekirite. Yon sèl kliyan te prezante yon travay ki pa trivial (gen envantè nan ti bouk Ris), men defi a te aksepte ak kreyativite aplike. Rezilta a se yon konsèp enteresan ak karakteristik sa yo:
- Plizyè faktè pwoteksyon kont sibstitisyon nan aparèy tèminal la (ak obligatwa strik nan itilizatè a);
- Evalye konfòmite PC itilizatè a ak UDID plase nan PC pèmèt nan baz done otantifikasyon an;
- Avèk MFA lè l sèvi avèk PC UDID a soti nan sètifika a pou otantifikasyon segondè atravè Cisco DUO (Ou ka tache nenpòt SAML/Radys konpatib youn);
- Otantifikasyon milti-faktè:
- Sètifika itilizatè ak verifikasyon jaden ak otantifikasyon segondè kont youn nan yo;
- Konekte (ki pa ka chanje, pran nan sètifika a) ak modpas;
- Estimasyon eta a nan lame a konekte (Pwèstans)
Konpozan solisyon yo itilize:
- Cisco ASA (VPN Gateway);
- Cisco ISE (Otantifikasyon / Otorizasyon / Kontablite, Evalyasyon Eta, CA);
- Cisco DUO (Otantifikasyon milti-faktè) (Ou ka tache nenpòt SAML/Radys konpatib youn);
- Cisco AnyConnect (ajan milti-bi pou estasyon travay ak eksplwatasyon mobil);
Ann kòmanse ak kondisyon kliyan an:
- Itilizatè a dwe, atravè otantifikasyon Login/Modpas li, kapab telechaje kliyan AnyConnect la soti nan pòtay VPN la; tout modil AnyConnect ki nesesè yo dwe enstale otomatikman an akò ak règleman itilizatè a;
- Itilizatè a ta dwe kapab bay yon sètifika otomatikman (pou youn nan senaryo yo, senaryo prensipal la se emisyon manyèl ak telechaje sou yon PC), men mwen aplike pwoblèm otomatik pou demonstrasyon (li pa janm twò ta pou retire li).
- Otantifikasyon debaz yo dwe pran plas nan plizyè etap, premye gen otantifikasyon sètifika ak analiz de jaden ki nesesè yo ak valè yo, Lè sa a, konekte / modpas, se sèlman fwa sa a non itilizatè a espesifye nan jaden an sètifika dwe antre nan fenèt la konekte. Non Sijè (CN) san yo pa kapab edite.
- Ou bezwen asire w ke aparèy la kote w ap konekte se laptop antrepriz la bay itilizatè a pou aksè aleka, epi li pa yon lòt bagay. (Plizyè opsyon yo te fè pou satisfè egzijans sa a)
- Eta a nan aparèy la konekte (nan etap sa a PC) yo ta dwe evalye ak yon chèk nan yon tablo konplè sou kondisyon kliyan (rezime):
- Fichye ak pwopriyete yo;
- Antre rejis;
- OS plak ki soti nan lis yo bay la (pita entegrasyon SCCM);
- Disponibilite Anti-Viris soti nan yon manifakti espesifik ak enpòtans siyati yo;
- Aktivite nan sèten sèvis;
- Disponibilite sèten pwogram enstale;
Pou kòmanse, mwen sijere ke ou definitivman gade nan demonstrasyon an videyo nan aplikasyon an ki kapab lakòz sou Youtube (5 minit).
Koulye a, mwen pwopoze yo konsidere detay aplikasyon yo pa kouvri nan clip videyo a.
Ann prepare pwofil AnyConnect la:
Mwen te deja bay yon egzanp pou kreye yon pwofil (an tèm de yon atik meni nan ASDM) nan atik mwen an sou anviwònman . Koulye a, mwen ta renmen note separeman opsyon sa yo ke nou pral bezwen:
Nan pwofil la, nou pral endike pòtay VPN la ak non pwofil la pou konekte ak kliyan final la:
Ann konfigirasyon emisyon otomatik nan yon sètifika nan bò pwofil la, ki endike, an patikilye, paramèt sètifika yo epi, karakteristik, peye atansyon sou jaden an. Inisyal (I), kote yon valè espesifik yo antre manyèlman UID machin tès (Idantifyan aparèy inik ki pwodwi pa kliyan Cisco AnyConnect).
Isit la mwen vle fè yon digresyon lirik, paske atik sa a dekri konsèp la; pou rezon demonstrasyon, UDID pou bay yon sètifika antre nan jaden Inisyal nan pwofil AnyConnect la. Natirèlman, nan lavi reyèl, si ou fè sa, Lè sa a, tout kliyan yo pral resevwa yon sètifika ak menm UDID nan jaden sa a epi pa gen anyen pral travay pou yo, depi yo bezwen UDID a nan PC espesifik yo. AnyConnect, malerezman, poko aplike sibstitisyon jaden UDID nan pwofil demann sètifika a atravè yon varyab anviwònman, menm jan li fè sa, pou egzanp, ak yon varyab. %USER%.
Li se vo anyen ke kliyan an (nan senaryo sa a) okòmansman planifye bay sètifika poukont yo ak yon UDID bay nan mòd manyèl nan PC sa yo Pwoteje, ki se pa yon pwoblèm pou li. Sepandan, pou pifò nan nou nou vle automatisation (byen, pou mwen se vre =)).
Ak sa a se sa mwen ka ofri an tèm de automatisation. Si AnyConnect poko kapab bay yon sètifika otomatikman nan ranplase dinamik UDID a, Lè sa a, gen yon lòt fason ki pral mande pou yon ti panse kreyatif ak men ladrès - mwen pral di w konsèp la. Premyèman, ann gade ki jan ajan AnyConnect a pwodwi UDID sou diferan sistèm opere:
- Windows — SHA-256 hash nan konbinezon an nan DigitalProductID la ak kle rejis Machine SID
- OSX — SHA-256 hash PlatformUUID
- Linux — SHA-256 hash nan UUID patisyon rasin lan.
- Apple iOS — SHA-256 hash PlatformUUID
- android – Gade dokiman sou
An konsekans, nou kreye yon script pou antrepriz Windows OS nou an, ak script sa a nou lokalman kalkile UDID a lè l sèvi avèk entrain li te ye epi fòme yon demann pou bay yon sètifika lè w antre UDID sa a nan jaden ki nesesè yo, nan chemen an, ou ka tou itilize yon machin. sètifika AD ki soti (nan ajoute otantifikasyon doub lè l sèvi avèk yon sètifika nan konplo a Sètifika miltip).
Ann prepare anviwònman yo sou bò Cisco ASA:
Ann kreye yon TrustPoint pou sèvè ISE CA a, se li ki pral bay sètifika pou kliyan yo. Mwen pa pral konsidere pwosedi enpòte Key-Chain la; gen yon egzanp ki dekri nan atik konfigirasyon mwen an .
crypto ca trustpoint ISE-CA
enrollment terminal
crl configureNou konfigirasyon distribisyon pa Tinèl-Group ki baze sou règ an akò ak jaden ki nan sètifika a ki itilize pou otantifikasyon. Se pwofil AnyConnect nou te fè nan etap anvan an tou configuré isit la. Tanpri sonje ke mwen ap itilize valè a SECUREBANK-RA, pou transfere itilizatè yo ak yon sètifika bay nan yon gwoup tinèl SECURE-BANK-VPN, tanpri sonje ke mwen gen jaden sa a nan kolòn demann sètifika pwofil AnyConnect.
tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
subject-name attr ou eq securebank-ra
!
webvpn
anyconnect profiles SECUREBANK disk0:/securebank.xml
certificate-group-map OU-Map 6 SECURE-BANK-VPN
!Mete kanpe serveurs otantifikasyon. Nan ka mwen an, sa a se ISE pou premye etap otantifikasyon ak DUO (Radius Proxy) kòm MFA.
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!Nou kreye politik gwoup ak gwoup tinèl ak eleman oksilyè yo:
Gwoup tinèl DefaultWEBVPNGroup yo pral itilize prensipalman pou telechaje kliyan AnyConnect VPN la epi bay yon sètifika itilizatè lè l sèvi avèk fonksyon SCEP-Proxy ASA a; pou sa nou gen opsyon korespondan yo aktive tou de sou gwoup tinèl la tèt li ak sou politik gwoup ki asosye a. AC-Telechaje, ak sou pwofil AnyConnect ki chaje (jaden pou bay yon sètifika, elatriye). Epitou nan politik gwoup sa a nou endike nesesite pou telechaje ISE Modil Pwèstans.
Gwoup tinèl SECURE-BANK-VPN yo pral otomatikman itilize pa kliyan an lè otantifikasyon ak sètifika a bay nan etap anvan an, depi, an akò ak Kat Sètifika, koneksyon an pral tonbe espesyalman sou gwoup tinèl sa a. Mwen pral di ou sou opsyon enteresan isit la:
- segondè-otantifikasyon-sèvè-gwoup DUO # Mete otantifikasyon segondè sou sèvè DUO (Radius Proxy)
- non itilizatè-soti nan-sètifikaCN # Pou otantifikasyon prensipal, nou itilize jaden CN sètifika a pou eritye koneksyon itilizatè a
- dezyèm-non itilizatè-apati-sètifika I # Pou otantifikasyon segondè sou sèvè DUO a, nou itilize non itilizatè a extrait ak Inisyal (I) jaden sètifika a.
- kliyan pre-ranpli non itilizatè # fè non itilizatè a pre-ranpli nan fenèt otantifikasyon an san yo pa kapab chanje
- segondè-pre-fill-username kliyan kache itilize-komen-modpas pouse # Nou kache fenèt antre login/modpas la pou otantifikasyon segondè DUO epi sèvi ak metòd notifikasyon (sms/push/telefòn) - waf pou mande otantifikasyon olye de jaden modpas la.
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!Apre sa, nou ale nan ISE:
Nou konfigirasyon yon itilizatè lokal (ou ka itilize AD/LDAP/ODBC, elatriye), pou senplisite, mwen te kreye yon itilizatè lokal nan ISE tèt li epi asiyen li nan jaden an. deskripsyon UDID PC kote li gen dwa konekte via VPN. Si mwen itilize otantifikasyon lokal sou ISE, mwen pral limite a sèlman yon aparèy, paske pa gen anpil jaden, men nan baz done otantifikasyon twazyèm pati mwen pa pral gen restriksyon sa yo.
Ann gade nan politik otorizasyon an, li divize an kat etap koneksyon:
- Etap 1 — Règleman pou telechaje ajan AnyConnect ak bay yon sètifika
- Etap 2 — Règleman prensipal otantifikasyon Login (nan sètifika)/Modpas + Sètifika ak validation UDID
- Etap 3 — Segondè otantifikasyon atravè Cisco DUO (MFA) lè l sèvi avèk UDID kòm non itilizatè + evalyasyon Eta a
- Etap 4 — Otorizasyon final la nan eta a:
- Konfòme;
- Validasyon UDID (ki soti nan sètifika + login obligatwa),
- Cisco DUO MFA;
- Otantifikasyon pa login;
- Otantifikasyon sètifika;
Ann gade nan yon kondisyon enteresan UUID_VALIDAD, li jis sanble itilizatè otantifikasyon an aktyèlman soti nan yon PC ak yon UDID pèmèt ki asosye nan jaden an. Deskripsyon kont, kondisyon yo sanble sa a:
Pwofil otorizasyon yo itilize nan etap 1,2,3 se jan sa a:
Ou ka tcheke egzakteman ki jan UDID kliyan AnyConnect rive jwenn nou lè w gade detay sesyon kliyan an nan ISE. An detay nou pral wè ke AnyConnect atravè mekanis la ACIDEX voye non sèlman enfòmasyon sou platfòm la, men tou, UDID aparèy la kòm Cisco-AV-PAIR:
Ann peye atansyon sou sètifika a bay itilizatè a ak jaden an Inisyal (I), ki itilize pou pran li kòm yon login pou segondè otantifikasyon MFA sou Cisco DUO:
Sou bò DUO Radius Proxy nan boutèy demi lit la, nou ka byen klè wè ki jan demann otantifikasyon an fèt, li vini lè l sèvi avèk UDID kòm non itilizatè a:
Soti nan pòtal DUO nou wè yon evènman otantifikasyon siksè:
Ak nan pwopriyete yo itilizatè mwen gen li mete ALIAS, ke mwen te itilize pou konekte, nan vire, sa a se UDID nan PC a pèmèt pou konekte:
Kòm rezilta nou te jwenn:
- Otantifikasyon itilizatè ak aparèy milti-faktè;
- Pwoteksyon kont spoofing nan aparèy itilizatè a;
- Evalye kondisyon aparèy la;
- Potansyèl pou ogmante kontwòl ak sètifika machin domèn, elatriye;
- Pwoteksyon konplè nan espas travay aleka ak modil sekirite otomatikman deplwaye;
Lyen ki mennen nan atik seri Cisco VPN:
Sous: www.habr.com