Innleiðing á hugmyndinni um mjög öruggan fjaraðgang

Áframhaldandi greinaröð um skipulagsmál Fjaraðgangur VPN aðgangur Ég get ekki annað en deilt áhugaverðri upplifun minni mjög örugg VPN uppsetning. Einn viðskiptavinur kynnti verkefni sem ekki var léttvægt (það eru uppfinningamenn í rússneskum þorpum), en áskorunin var samþykkt og útfærð á skapandi hátt. Útkoman er áhugavert hugtak með eftirfarandi eiginleika:

1. Nokkrir þættir til að vernda gegn skiptingu á endabúnaði (með ströngu bindi við notandann);
   • Mat á samræmi tölvu notanda við úthlutað UDID leyfilegrar tölvu í auðkenningargagnagrunninum;
   • Með MFA að nota PC UDID frá skírteininu fyrir auka auðkenningu í gegnum Cisco DUO (Þú getur hengt við hvaða SAML/Radius sem er samhæft);
2. Fjölþátta auðkenning:
   • Notendavottorð með sannprófun á vettvangi og aukavottorð gegn einum þeirra;
   • Innskráning (óbreytanleg, tekin úr vottorðinu) og lykilorð;
3. Áætlun um stöðu tengihýsilsins (stelling)

Lausnaríhlutir notaðir:

• Cisco ASA (VPN Gateway);
• Cisco ISE (Auðkenning / Heimild / Bókhald, State Evaluation, CA);
• Cisco DUO (Multi-Factor Authentication) (Þú getur hengt við hvaða SAML/Radius sem er samhæft);
• Cisco AnyConnect (fjölnota umboðsmaður fyrir vinnustöðvar og farsímastýrikerfi);

Byrjum á kröfum viðskiptavinarins:

1. Notandinn verður, með auðkenningu innskráningar/lykilorðs, að geta hlaðið niður AnyConnect biðlaranum frá VPN gáttinni; allar nauðsynlegar AnyConnect einingar verða að vera settar upp sjálfkrafa í samræmi við stefnu notandans;
2. Notandinn ætti að geta gefið sjálfkrafa út vottorð (fyrir eitt af atburðarásunum er aðalatburðarás handvirk útgáfa og upphleðsla á tölvu), en ég innleiddi sjálfvirka útgáfu til sýnikennslu (það er aldrei of seint að fjarlægja það).
3. Grunnauðkenning þarf að fara fram í nokkrum áföngum, fyrst er vottorðsvottun með greiningu á nauðsynlegum reitum og gildum þeirra, síðan innskráningu/lykilorð, aðeins í þetta skiptið þarf að setja notandanafnið sem tilgreint er í vottorðsreitnum inn í innskráningargluggann Nafn efnis (CN) án getu til að breyta.
4. Þú þarft að ganga úr skugga um að tækið sem þú ert að skrá þig inn úr sé fyrirtækjafartölvan sem gefin er út til notandans fyrir fjaraðgang, en ekki eitthvað annað. (Nokkrir valkostir hafa verið gerðir til að uppfylla þessa kröfu)
5. Ástand tengibúnaðarins (á þessu stigi tölvunnar) ætti að meta með því að athuga heila stífa töflu yfir kröfur viðskiptavina (samantekt):
   • Skrár og eiginleikar þeirra;
   • Skráningarfærslur;
   • OS plástrar af listanum sem fylgir (síðar SCCM samþætting);
   • Framboð á vírusvörn frá tilteknum framleiðanda og mikilvægi undirskrifta;
   • Virkni ákveðinnar þjónustu;
   • Framboð ákveðinna uppsettra forrita;

Til að byrja með legg ég til að þú skoðir örugglega myndbandssýninguna á framkvæmdinni sem af því leiðir Youtube (5 mínútur).

Nú legg ég til að hugað verði að útfærsluupplýsingunum sem ekki er fjallað um í myndbandinu.

Við skulum undirbúa AnyConnect prófílinn:

Ég gaf áður dæmi um að búa til prófíl (hvað varðar valmyndaratriði í ASDM) í grein minni um stillingu VPN álagsjafnvægisþyrping. Nú langar mig að taka sérstaklega fram valkostina sem við þurfum:

Í prófílnum munum við gefa til kynna VPN gáttina og prófílnafnið fyrir tengingu við lokabiðlarann:

Við skulum stilla sjálfvirka útgáfu skírteinis frá prófílhliðinni, með því að gefa til kynna, einkum vottorðsfæribreytur, og, einkennandi, gaum að reitnum Upphafsstafir (I), þar sem ákveðið gildi er slegið inn handvirkt UID prófunarvél (Einstakt tækjaauðkenni sem er búið til af Cisco AnyConnect biðlaranum).

Hér vil ég gera ljóðræna útrás, þar sem þessi grein lýsir hugtakinu; í sýnikennsluskyni er UDID fyrir útgáfu vottorðs slegið inn í upphafsreitinn í AnyConnect prófílnum. Auðvitað, í raunveruleikanum, ef þú gerir þetta, þá munu allir viðskiptavinir fá vottorð með sama UDID á þessu sviði og ekkert mun virka fyrir þá, þar sem þeir þurfa UDID á tilteknu tölvunni sinni. AnyConnect, því miður, innleiðir ekki enn skiptingu á UDID reitnum inn í vottorðsbeiðnarsniðið í gegnum umhverfisbreytu, eins og það gerir til dæmis með breytu %USER%.

Það er athyglisvert að viðskiptavinurinn (af þessari atburðarás) ætlar upphaflega að gefa út vottorð með tilteknu UDID í handvirkum ham á slíkar verndaðar tölvur, sem er ekki vandamál fyrir hann. Hins vegar viljum við flest okkar sjálfvirkni (jæja, fyrir mig er það satt =)).

Og þetta er það sem ég get boðið hvað varðar sjálfvirkni. Ef AnyConnect er ekki enn fær um að gefa út vottorð sjálfkrafa með því að skipta um UDID á virkan hátt, þá er önnur leið sem mun krefjast smá skapandi hugsunar og færra handa - ég skal segja þér hugmyndina. Fyrst skulum við skoða hvernig UDID er búið til á mismunandi stýrikerfum af AnyConnect umboðsmanni:

• Windows — SHA-256 kjötkássa samsetningar DigitalProductID og Machine SID skrásetningarlykilsins
• OSX — SHA-256 hash PlatformUUID
• Linux — SHA-256 kjötkássa af UUID rót skiptingarinnar.
• Apple iOS — SHA-256 hash PlatformUUID
• Android – Sjá skjal á tengill

Í samræmi við það búum við til skriftu fyrir fyrirtækis Windows OS okkar, með þessu skriftu reiknum við UDID staðbundið með því að nota þekkt inntak og myndum beiðni um útgáfu vottorðs með því að slá inn þetta UDID í áskilinn reit, við the vegur, þú getur líka notað vél vottorð gefið út af AD (með því að bæta tvöfaldri auðkenningu með því að nota vottorð við kerfið Margfalt skírteini).

Við skulum undirbúa stillingarnar á Cisco ASA hliðinni:

Við skulum búa til TrustPoint fyrir ISE CA netþjóninn, það mun vera sá sem gefur út skírteini til viðskiptavina. Ég mun ekki íhuga Key-Chain innflutningsaðferðina; dæmi er lýst í uppsetningargreininni minni VPN álagsjafnvægisþyrping.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

Við stillum dreifingu eftir Tunnel-Group út frá reglum í samræmi við reitina í vottorðinu sem er notað til auðkenningar. AnyConnect sniðið sem við gerðum á fyrra stigi er einnig stillt hér. Vinsamlegast athugaðu að ég er að nota gildið SECUREBANK-RA, til að flytja notendur með útgefið vottorð yfir í jarðgangahóp ÖRYGGI-BANK-VPN, vinsamlegast athugaðu að ég er með þennan reit í dálkinum fyrir beiðni um vottorð fyrir AnyConnect prófíl.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

Að setja upp auðkenningarþjóna. Í mínu tilfelli er þetta ISE fyrir fyrsta stig auðkenningar og DUO (Radius Proxy) sem MFA.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

Við búum til hópstefnur og jarðgangahópa og aukahluta þeirra:

Jarðgangahópur Sjálfgefin WEBVPNGroup verður fyrst og fremst notað til að hlaða niður AnyConnect VPN biðlaranum og gefa út notendaskírteini með því að nota SCEP-Proxy aðgerðina á ASA; fyrir þetta höfum við samsvarandi valkosti virka bæði á gönguhópnum sjálfum og á tilheyrandi hópstefnu AC-Hlaða niður, og á hlaðna AnyConnect prófílnum (reitir til að gefa út vottorð o.s.frv.). Einnig í þessari hópstefnu tilgreinum við nauðsyn þess að hlaða niður ISE Posture Module.

Jarðgangahópur ÖRYGGI-BANK-VPN verður sjálfkrafa notað af viðskiptavininum við auðkenningu með útgefnu vottorði á fyrra stigi, þar sem, í samræmi við vottorðskortið, mun tengingin falla sérstaklega á þennan jarðgangahóp. Ég mun segja þér frá áhugaverðum valkostum hér:

• secondary-authentication-server-group DUO # Stilltu auka auðkenningu á DUO netþjóninum (Radius Proxy)
• notendanafn-frá-skírteiniCN # Fyrir aðal auðkenningu notum við CN reitinn í skírteininu til að erfa notandainnskráninguna
• aukanotendanafn-frá-vottorði I # Fyrir auka auðkenningu á DUO netþjóninum notum við notendanafnið sem dregið er út og upphafsstafir (I) reiti skírteinisins.
• forútfyllingar notendanafns viðskiptavinur # gerðu notandanafnið forútfyllt í auðkenningarglugganum án þess að hægt sé að breyta
• secondary-pre-fill-username client fela use-common-password push # Við felum innskráningargluggann / lykilorðsinnsláttargluggann fyrir auka auðkenningu DUO og notum tilkynningaaðferðina (sms/push/sími) - bryggju til að biðja um auðkenningu í stað lykilorðareitsins hér

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

Næst förum við yfir í ISE:

Við stillum staðbundinn notanda (þú getur notað AD/LDAP/ODBC osfrv.), til einföldunar bjó ég til staðbundinn notanda í ISE sjálfum og úthlutaði honum í reitinn lýsing UDID PC þaðan sem honum er heimilt að skrá sig inn í gegnum VPN. Ef ég nota staðbundna auðkenningu á ISE mun ég takmarkast við aðeins eitt tæki, þar sem það eru ekki margir reitir, en í auðkenningargagnagrunnum þriðja aðila mun ég ekki hafa slíkar takmarkanir.

Lítum á heimildastefnuna, henni er skipt í fjögur tengistig:

• Stig 1 — Stefna til að hlaða niður AnyConnect umboðsmanni og gefa út vottorð
• Stig 2 — Aðal auðkenningarstefna Innskráning (frá vottorði)/Lykilorð + vottorð með UDID staðfestingu
• Stig 3 — Auka auðkenning í gegnum Cisco DUO (MFA) með því að nota UDID sem notandanafn + ríkismat
• Stig 4 — Endanleg heimild er í ríkinu:
  • Samhæft;
  • UDID staðfesting (frá vottorði + innskráningarbindingu),
  • Cisco DUO MFA;
  • Staðfesting með innskráningu;
  • Staðfesting vottorðs;

Við skulum skoða áhugavert ástand UUID_VALIDATED, það lítur bara út fyrir að auðkenningarnotandinn hafi í raun komið frá tölvu með leyfilegt UDID tengt í reitnum Lýsing reikning, þá líta skilyrðin svona út:

Leyfissniðið sem notað er á stigum 1,2,3 er sem hér segir:

Þú getur athugað nákvæmlega hvernig UDID frá AnyConnect viðskiptavininum berst til okkar með því að skoða upplýsingar um biðlarlotu í ISE. Í smáatriðum munum við sjá að AnyConnect í gegnum vélbúnaðinn ACIDEX sendir ekki aðeins upplýsingar um vettvang, heldur einnig UDID tækisins sem Cisco-AV-PAIR:

Við skulum gefa gaum að skírteininu sem gefið er út til notandans og sviðinu Upphafsstafir (I), sem er notað til að taka það sem innskráningu fyrir auka MFA auðkenningu á Cisco DUO:

Á DUO Radius Proxy hliðinni í skránni getum við greinilega séð hvernig auðkenningarbeiðnin er gerð, hún kemur með UDID sem notandanafn:

Frá DUO gáttinni sjáum við árangursríkan auðkenningarviðburð:

Og í notendaeiginleikum hef ég það stillt NÁNNAÐUR, sem ég notaði fyrir innskráningu, aftur á móti, þetta er UDID tölvunnar sem er leyfilegt fyrir innskráningu:

Í kjölfarið fengum við:

• Fjölþátta auðkenning notenda og tækis;
• Vörn gegn skopstælingum á tæki notandans;
• Mat á ástandi tækisins;
• Möguleiki á aukinni stjórn með lénsvélarvottorði o.s.frv.;
• Alhliða vernd á ytri vinnustað með sjálfvirkum öryggiseiningum;

Tenglar á greinar í Cisco VPN röð:

• Uppsetning á ASA VPN álagsjafnvægisklasa
• Hagræðing skýjaþjónustu í AnyConnect VPN göngunum á Cisco ASA

Heimild: www.habr.com