🥇עבור אל 2FA (אימות שני גורמים עבור ASA SSL VPN)

הצורך לספק גישה מרחוק לסביבה ארגונית מתעורר לעתים קרובות יותר ויותר, לא משנה אם אלו המשתמשים שלך או השותפים שזקוקים לגישה לשרת מסוים בארגון שלך.

למטרות אלו, רוב החברות משתמשות בטכנולוגיית VPN, אשר הוכיחה את עצמה כדרך מוגנת מהימנה לספק גישה למשאבים המקומיים של הארגון.

החברה שלי לא הייתה יוצאת דופן, ואנחנו, כמו רבים אחרים, משתמשים בטכנולוגיה הזו. וכמו רבים אחרים, אנו משתמשים ב-Cisco ASA 55xx כשער גישה מרחוק.

ככל שמספר המשתמשים המרוחקים גדל, יש צורך לפשט את הליך הנפקת האישורים. אך יחד עם זאת, יש לעשות זאת מבלי לפגוע בבטיחות.

עבור עצמנו, מצאנו פתרון בשימוש באימות דו-גורמי לחיבור באמצעות Cisco SSL VPN, באמצעות סיסמאות חד פעמיות. והפרסום הזה יספר לכם איך לארגן פתרון כזה במינימום זמן ואפס עלויות עבור התוכנה הדרושה (בתנאי שכבר יש לכם Cisco ASA בתשתית שלכם).

השוק גדוש בפתרונות ארגזים להפקת סיסמאות חד פעמיות, תוך שהוא מציע אפשרויות רבות להשגתן, בין אם זה שליחת הסיסמה באמצעות SMS או שימוש באסימונים, הן בחומרה והן בתוכנה (למשל, בטלפון נייד). אבל הרצון לחסוך כסף והרצון לחסוך כסף למעסיק שלי, במשבר הנוכחי, אילצו אותי למצוא דרך חינמית להטמיע שירות להפקת סיסמאות חד פעמיות. שאמנם חינמי, אבל לא נחות בהרבה מפתרונות מסחריים (כאן כדאי לעשות הזמנה, לציין שלמוצר הזה יש גם גרסה מסחרית, אבל הסכמנו שהעלויות שלנו, בכסף, יהיו אפס).

אז אנחנו צריכים:

- תמונת לינוקס עם סט כלים מובנה - multiOTP, FreeRADIUS ו-nginx, לגישה לשרת דרך האינטרנט (http://download.multiotp.net/ - השתמשתי בתמונה מוכנה עבור VMware)
- שרת Active Directory
— Cisco ASA עצמה (מטעמי נוחות, אני משתמש ב-ASDM)
- כל אסימון תוכנה שתומך במנגנון TOTP (אני, למשל, משתמש ב-Google Authenticator, אבל אותו FreeOTP יעשה)

אני לא אכנס לפרטים על איך התמונה מתפתחת. כתוצאה מכך, תקבל Debian Linux עם multiOTP ו-FreeRADIUS שכבר מותקנים, מוגדרים לעבוד יחד וממשק אינטרנט לניהול OTP.

שלב 1. אנו מפעילים את המערכת ומגדירים אותה עבור הרשת שלך
כברירת מחדל, המערכת מגיעה עם אישורי root root. אני חושב שכולם ניחשו שזה יהיה רעיון טוב לשנות את סיסמת משתמש השורש לאחר הכניסה הראשונה. אתה גם צריך לשנות את הגדרות הרשת (כברירת מחדל זה '192.168.1.44' עם השער '192.168.1.1'). לאחר מכן תוכל לאתחל את המערכת.

בואו ניצור משתמש ב-Active Directory Otp, עם סיסמה MySuperPassword.

שלב 2. הגדר את החיבור וייבא משתמשי Active Directory
לשם כך, אנו זקוקים לגישה לקונסולה, וישירות לקובץ multiotp.php, באמצעותו נגדיר את הגדרות החיבור ל-Active Directory.

עבור לספרייה /usr/local/bin/multiotp/ ובצע את הפקודות הבאות בתורן:

./multiotp.php -config default-request-prefix-pin=0

קובע אם נדרשת סיכה נוספת (קבועה) בעת הזנת סיכה חד פעמית (0 או 1)

./multiotp.php -config default-request-ldap-pwd=0

קובע אם נדרשת סיסמת דומיין בעת הזנת סיכה חד פעמית (0 או 1)

./multiotp.php -config ldap-server-type=1

סוג שרת LDAP מצוין (0 = שרת LDAP רגיל, במקרה שלנו 1 = Active Directory)

./multiotp.php -config ldap-cn-identifier="sAMAccountName"

מציין את הפורמט שבו יוצג שם המשתמש (ערך זה יציג רק את השם, ללא הדומיין)

./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"

אותו דבר, רק לקבוצה

./multiotp.php -config ldap-group-attribute="memberOf"

מציין שיטה לקביעה אם משתמש שייך לקבוצה

./multiotp.php -config ldap-ssl=1

האם עלי להשתמש בחיבור מאובטח לשרת LDAP (כמובן, כן!)

./multiotp.php -config ldap-port=636

יציאה לחיבור לשרת LDAP

./multiotp.php -config ldap-domain-controllers=adSRV.domain.local

כתובת שרת ה-Active Directory שלך

./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"

אנו מציינים היכן להתחיל לחפש משתמשים בדומיין

./multiotp.php -config ldap-bind-dn="[email protected]"

ציין משתמש שיש לו זכויות חיפוש ב-Active Directory

./multiotp.php -config ldap-server-password="MySuperPassword"

ציין את סיסמת המשתמש כדי להתחבר ל-Active Directory

./multiotp.php -config ldap-network-timeout=10

הגדרת זמן קצוב לחיבור ל-Active Directory

./multiotp.php -config ldap-time-limit=30

קבענו מגבלת זמן לפעולת ייבוא המשתמש

./multiotp.php -config ldap-activated=1

הפעלת תצורת החיבור של Active Directory

./multiotp.php -debug -display-log -ldap-users-sync

אנו מייבאים משתמשים מ- Active Directory

שלב 3. צור קוד QR עבור האסימון
הכל כאן פשוט ביותר. פתחו את ממשק האינטרנט של שרת ה-OTP בדפדפן, היכנסו (אל תשכחו לשנות את סיסמת ברירת המחדל של המנהל!), ולחץ על כפתור "הדפס":

התוצאה של פעולה זו תהיה דף שיכיל שני קודי QR. אנחנו מתעלמים באומץ מהראשון שבהם (למרות הכתובת האטרקטיבית Google Authenticator / Authenticator / 2 Steps Authenticator), ושוב אנו סורקים באומץ את הקוד השני לתוך אסימון תוכנה בטלפון:

(כן, בכוונה קלקלתי את קוד ה-QR כדי שיהיה בלתי קריא).

לאחר השלמת פעולות אלו, סיסמה בת שש ספרות תתחיל להיווצר באפליקציה שלך כל שלושים שניות.

כדי להיות בטוח, אתה יכול לבדוק את זה באותו ממשק:

על ידי הזנת שם המשתמש והסיסמה החד פעמית מהאפליקציה בטלפון. האם קיבלת תשובה חיובית? אז בואו נמשיך הלאה.

שלב 4. תצורה ובדיקה נוספת של פעולת FreeRADIUS
כפי שציינתי לעיל, multiOTP כבר מוגדר לעבוד עם FreeRADIUS, כל מה שנותר הוא להריץ בדיקות ולהוסיף מידע על שער ה-VPN שלנו לקובץ התצורה של FreeRADIUS.

אנחנו חוזרים לקונסולת השרת, לספרייה /usr/local/bin/multiotp/, להיכנס:

./multiotp.php -config debug=1
./multiotp.php -config display-log=1

כולל רישום מפורט יותר.

בקובץ התצורה של לקוחות FreeRADIUS (/etc/freeeradius/clinets.conf) הערה את כל השורות הקשורות localhost והוסף שני ערכים:

client localhost {
        ipaddr = 127.0.0.1
        secret          = testing321
        require_message_authenticator = no
}

- למבחן

client 192.168.1.254/32 {
        shortname =     CiscoASA
        secret =        ConnectToRADIUSSecret
}

- עבור שער ה-VPN שלנו.

הפעל מחדש את FreeRADIUS ונסה להיכנס:

radtest username 100110 localhost 1812 testing321

איפה שם משתמש = שם משתמש, 100110 = סיסמה שניתנה לנו על ידי האפליקציה בטלפון, localhost = כתובת שרת RADIUS, 1812 - יציאת שרת RADIUS, testing321 - סיסמת לקוח שרת RADIUS (שציינו בתצורה).

התוצאה של פקודה זו תוצא בערך כך:

Sending Access-Request of id 44 to 127.0.0.1 port 1812
        User-Name = "username"
        User-Password = "100110"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20

כעת עלינו לוודא שהמשתמש מאומת בהצלחה. לשם כך, נסתכל על היומן של multiotp עצמו:

tail /var/log/multiotp/multiotp.log

ואם הערך האחרון יש:

2016-09-01 08:58:17     notice  username  User    OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17     debug           Debug   Debug: 0 OK: Token accepted from 127.0.0.1

ואז הכל הלך כשורה ונוכל להשלים

שלב 5: הגדר את Cisco ASA
בואו נסכים שכבר יש לנו קבוצה מוגדרת ומדיניות לגישה דרך SLL VPN, המוגדרים בשילוב עם Active Directory, ועלינו להוסיף אימות דו-גורמי עבור פרופיל זה.

1. הוסף קבוצת שרת AAA חדשה:

2. הוסף את שרת ה-multiOTP שלנו לקבוצה:

3. אנחנו עורכים פרופיל חיבור, הגדרת קבוצת שרתי Active Directory כשרת האימות הראשי:

4. כרטיסייה מתקדם -> אימות אנו גם בוחרים את קבוצת השרתים של Active Directory:

5. כרטיסייה מתקדם -> משני אימות, בחר את קבוצת השרתים שנוצרה בה רשום שרת multiOTP. שים לב ששם המשתמש ב-Session עובר בירושה מקבוצת שרתי AAA הראשית:

החל את ההגדרות ו

שלב 6, הלא הוא האחרון
בואו נבדוק אם אימות דו-שלבי עובד עבור SLL VPN:

וואלה! בעת התחברות דרך Cisco AnyConnect VPN Client, תתבקש גם להזין סיסמה שנייה וחד פעמית.

אני מקווה שהמאמר הזה יעזור למישהו, ושהוא ייתן למישהו חומר למחשבה איך להשתמש בזה, חופשי שרת OTP, למשימות אחרות. שתפו בתגובות אם תרצו.

מקור: www.habr.com

עבור אל 2FA (אימות דו-שלבי עבור ASA SSL VPN)

הוספת תגובה ביטול תגובה