高セキュリティなリモートアクセスのコンセプトを実現

組織をテーマにした連載記事の続き リモートアクセスVPN アクセス 興味深い導入体験を共有せずにはいられません 安全性の高い VPN 構成。 ある顧客 (ロシアの村にも発明家がいます) から簡単ではないタスクが提示されましたが、その課題は受け入れられ、創造的に実装されました。 その結果、次のような特徴を持つ興味深いコンセプトが生まれました。

1. 端末デバイスのすり替えに対する保護のいくつかの要素 (ユーザーに対する厳密な拘束力あり)。
   • ユーザーの PC が、認証データベース内の許可された PC に割り当てられた UDID に準拠しているかどうかを評価します。
   • Cisco DUO による二次認証に証明書の PC UDID を使用する MFA を使用する (SAML/Radius 互換のものを接続できます);
2. 多要素認証:
   • フィールド検証とそのいずれかに対する二次認証を備えたユーザー証明書。
   • ログイン名 (変更不可、証明書から取得) とパスワード。
3. 接続ホストの状態(Posture)の推定

使用されるソリューション コンポーネント:

• Cisco ASA (VPN ゲートウェイ);
• Cisco ISE (認証/認可/アカウンティング、状態評価、CA);
• Cisco DUO (多要素認証) (SAML/Radius 互換のものを接続できます);
• Cisco AnyConnect (ワークステーションおよびモバイル OS 用の多目的エージェント)。

まずは顧客の要件から始めましょう。

1. ユーザは、ログイン/パスワード認証を通じて、VPN ゲートウェイから AnyConnect クライアントをダウンロードできる必要があります。必要なすべての AnyConnect モジュールは、ユーザのポリシーに従って自動的にインストールされる必要があります。
2. ユーザーは証明書を自動的に発行できる必要があります (シナリオの XNUMX つでは、主なシナリオは手動で発行して PC にアップロードすることです) が、私はデモンストレーションのために自動発行を実装しました (削除するのに遅すぎるということはありません)。
3. 基本認証はいくつかの段階で行われる必要があります。最初に必要なフィールドとその値の分析による証明書認証があり、次にログイン/パスワードが行われます。このときのみ、証明書フィールドに指定されたユーザー名をログイン ウィンドウに挿入する必要があります。 件名(CN) 編集能力がなければ。
4. ログインしているデバイスが、リモート アクセス用にユーザーに発行された企業のラップトップであり、他のものではないことを確認する必要があります。 (この要件を満たすためにいくつかのオプションが用意されています)
5. 接続デバイス (この段階では PC) の状態は、顧客要件 (要約) の膨大な表全体をチェックして評価する必要があります。
   • ファイルとそのプロパティ。
   • レジストリエントリ。
   • 提供されたリストからの OS パッチ (後の SCCM 統合)。
   • 特定のメーカーからのアンチウイルスの入手可能性とシグネチャの関連性。
   • 特定のサービスのアクティビティ。
   • インストールされている特定のプログラムの可用性。

まず、結果として得られる実装のビデオ デモンストレーションを必ず見ることをお勧めします。 Youtube（5分）.

ここで、ビデオ クリップではカバーされていない実装の詳細について検討することを提案します。

AnyConnect プロファイルを準備しましょう。

以前、設定に関する記事でプロファイル（ASDM のメニュー項目に関して）を作成する例を示しました。 VPN ロードバランシング クラスター。 ここで、必要なオプションを個別にメモしたいと思います。

プロファイルでは、エンド クライアントに接続するための VPN ゲートウェイとプロファイル名を指定します。

プロファイル側から証明書の自動発行を設定しましょう。特に証明書パラメータを指定し、特徴的なフィールドに注意してください。 イニシャル（I）、特定の値が手動で入力されます UDID テスト マシン（Cisco AnyConnect クライアントによって生成される一意のデバイス ID）。

この記事では概念について説明しているので、ここで余談をさせていただきます。デモンストレーションの目的で、証明書を発行するための UDID が AnyConnect プロファイルの Initials フィールドに入力されます。 もちろん、実際には、これを行うと、すべてのクライアントがこのフィールドで同じ UDID を持つ証明書を受け取りますが、クライアントには特定の PC の UDID が必要なため、何も機能しません。 残念ながら、AnyConnect は、たとえば変数を使用する場合のように、環境変数を介した証明書要求プロファイルへの UDID フィールドの置換をまだ実装していません。 ％ユーザー％.

(このシナリオの) 顧客は当初、そのような保護された PC に対して手動モードで特定の UDID を持つ証明書を個別に発行することを計画していることに注意してください。これは顧客にとって問題ではありません。 しかし、私たちのほとんどは自動化を望んでいます (まあ、私にとってはそれが真実です =))。

これが自動化という観点から私が提供できるものです。 AnyConnect がまだ UDID を動的に置き換えることによって証明書を自動的に発行できない場合は、少し創造的な思考と熟練した手を必要とする別の方法があります。その概念を説明します。 まず、さまざまなオペレーティング システム上で AnyConnect エージェントによって UDID がどのように生成されるかを見てみましょう。

• Windows — DigitalProductID と Machine SID レジストリ キーの組み合わせの SHA-256 ハッシュ
• OSX — SHA-256 ハッシュ プラットフォーム UUID
• Linux — ルート パーティションの UUID の SHA-256 ハッシュ。
• アップルのiOS — SHA-256 ハッシュ プラットフォーム UUID
• Android – のドキュメントを参照してください。 リンク

したがって、当社では企業の Windows OS 用のスクリプトを作成します。このスクリプトを使用して、既知の入力を使用して UDID をローカルで計算し、この UDID を必須フィールドに入力して証明書の発行リクエストを作成します。ちなみに、マシンを使用することもできます。 ADが発行した証明書（スキームに証明書を用いた二重認証を追加） 複数の証明書).

Cisco ASA 側の設定を準備しましょう。

ISE CA サーバの TrustPoint を作成しましょう。これがクライアントに証明書を発行するものになります。 キーチェーンのインポート手順については考慮しません。例はセットアップの記事で説明されています。 VPN ロードバランシング クラスター.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

認証に使用される証明書のフィールドに従ったルールに基づいて、Tunnel-Group による配布を構成します。 前の段階で作成した AnyConnect プロファイルもここで設定されます。 値を使用していることに注意してください セキュアバンク-RA、発行された証明書を持つユーザーをトンネル グループに転送します。 セキュアバンクVPNこのフィールドは AnyConnect プロファイル証明書要求列にあることに注意してください。

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

認証サーバーのセットアップ。 私の場合、これは認証の最初の段階の ISE と MFA としての DUO (Radius Proxy) です。

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

グループ ポリシー、トンネル グループ、およびその補助コンポーネントを作成します。

トンネルグループ デフォルトWEBVPNグループ これは主に、AnyConnect VPN クライアントをダウンロードし、ASA の SCEP プロキシ機能を使用してユーザ証明書を発行するために使用されます。このために、トンネル グループ自体と関連するグループ ポリシーの両方で対応するオプションがアクティブ化されています。 ACダウンロード、ロードされた AnyConnect プロファイル（証明書を発行するためのフィールドなど）。 また、このグループ ポリシーでは、ダウンロードする必要があることを示しています。 ISE ポスチャ モジュール.

トンネルグループ セキュアバンクVPN 証明書マップに従って、接続は特にこのトンネル グループに属するため、前の段階で発行された証明書で認証するときにクライアントによって自動的に使用されます。 ここでは興味深いオプションについて説明します。

• セカンダリ認証サーバグループ DUO # DUOサーバー（Radius Proxy）に二次認証を設定する
• 証明書CNからのユーザー名 # プライマリ認証の場合、証明書の CN フィールドを使用してユーザー ログインを継承します。
• 証明書からのセカンダリユーザー名 I # DUO サーバーでの二次認証には、抽出されたユーザー名と証明書のイニシャル (I) フィールドが使用されます。
• 事前入力ユーザー名クライアント # 認証ウィンドウにユーザー名を事前に入力し、変更できないようにします
• セカンダリ-pre-fill-username クライアントは use-common-password プッシュを非表示にします # 二次認証 DUO のログイン/パスワード入力ウィンドウを非表示にし、パスワード フィールドの代わりに認証を要求する通知方法 (SMS/プッシュ/電話) - ドックを使用します。 ここで

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

次に ISE に進みます。

ローカル ユーザーを設定します（AD/LDAP/ODBC などを使用できます）。簡単にするために、ISE 自体でローカル ユーザーを作成し、フィールドに割り当てました。 説明 UDIDパソコン そこから VPN 経由でログインできるようになります。 ISE でローカル認証を使用する場合、フィールドが少ないためデバイスは XNUMX 台のみに制限されますが、サードパーティの認証データベースではそのような制限はありません。

認可ポリシーを見てみましょう。認可ポリシーは XNUMX つの接続ステージに分かれています。

• 段階1 — AnyConnect エージェントのダウンロードと証明書の発行に関するポリシー
• 段階2 — プライマリ認証ポリシー ログイン (証明書から)/パスワード + UDID 検証付き証明書
• 段階3 — UDID をユーザー名として使用する Cisco DUO (MFA) による二次認証 + 状態評価
• 段階4 — 最終的な承認は次の状態にあります。
  • 準拠;
  • UDID 検証 (証明書 + ログイン バインディングから)、
  • Cisco DUO MFA;
  • ログインによる認証。
  • 証明書認証。

興味深い条件を見てみましょう UUID_VALIDATED、認証ユーザーが実際にフィールドで関連付けられた許可された UDID を持つ PC から来たように見えるだけです。 説明 アカウントの場合、条件は次のようになります。

ステージ 1,2,3、XNUMX、XNUMX で使用される認可プロファイルは次のとおりです。

ISE でクライアント セッションの詳細を確認することで、AnyConnect クライアントから UDID がどのように到着するかを正確に確認できます。 AnyConnect のメカニズムを詳しく見ていきます。 アシデックス プラットフォームに関する情報だけでなく、デバイスの UDID も送信します。 Cisco-AV-ペア:

ユーザーとフィールドに発行される証明書に注目しましょう イニシャル（I）これは、Cisco DUO でのセカンダリ MFA 認証のログインとして取得するために使用されます。

ログの DUO Radius Proxy 側では、認証リクエストがどのように行われたかを明確に確認できます。ユーザー名として UDID が使用されています。

DUO ポータルから、認証イベントが成功したことがわかります。

そしてユーザープロパティでそれを設定しました ALIAS、ログインに使用したもの、つまり、ログインが許可されている PC の UDID です。

その結果、次のことが得られました。

• 多要素のユーザーおよびデバイス認証。
• ユーザーのデバイスのなりすましに対する保護。
• デバイスの状態を評価する。
• ドメインマシン証明書などによる制御が強化される可能性。
• 自動的に展開されるセキュリティ モジュールによる包括的なリモート ワークプレイス保護。

Cisco VPN シリーズ記事へのリンク:

• ASA VPN ロードバランシング クラスタの展開
• Cisco ASA 上の AnyConnect VPN トンネルでのクラウド サービスの最適化

出所： habr.com