Қауіпсіздігі жоғары қашықтан қол жеткізу тұжырымдамасын жүзеге асыру

Ұйымдастыру тақырыбы бойынша мақалалар топтамасын жалғастыру Қашықтан қол жеткізу VPN қатынасу Мен қызықты орналастыру тәжірибесімен бөлісе алмаймын жоғары қауіпсіз VPN конфигурациясы. Тривиальды емес тапсырманы бір тапсырыс беруші шығарды (орыс ауылдарында өнертапқыштар бар), бірақ Challenge Accepted шығармашылықпен жүзеге асырылды. Нәтижесінде келесі сипаттамалары бар қызықты тұжырымдама пайда болды:

1. Терминалды құрылғыны ауыстырудан қорғаудың бірнеше факторлары (пайдаланушыға қатаң байланыстырумен);
   • аутентификация базасында рұқсат етілген ДК-нің тағайындалған UDID-ге пайдаланушының ДК сәйкестігін бағалау;
   • Cisco DUO арқылы қайталама аутентификация үшін сертификаттан ДК UDID пайдалана отырып, СІМ (Сіз кез келген SAML/Радиуспен үйлесімді бұрауға болады);
2. Көп факторлы аутентификация:
   • өріс валидациясы бар пайдаланушы сертификаты және олардың біреуі үшін қосымша аутентификация;
   • Логин (өзгермейтін, сертификаттан алынған) және пароль;
3. Қосылатын хосттың күйін бағалау (Поза)

Қолданылатын ерітінді компоненттері:

• Cisco ASA (VPN шлюзі);
• Cisco ISE (аутентификация / авторизация / бухгалтерлік есеп, мемлекеттік бағалау, CA);
• Cisco DUO (көп факторлы аутентификация) (Сіз кез келген SAML/Радиуспен үйлесімді бұрауға болады);
• Cisco AnyConnect (жұмыс станциялары мен мобильді ОЖ үшін көп мақсатты агент);

Тұтынушы талаптарынан бастайық:

1. Пайдаланушы логин/пароль аутентификациясы арқылы AnyConnect клиентін VPN шлюзінен жүктеп алу мүмкіндігі болуы керек, барлық қажетті AnyConnect модульдері пайдаланушы саясатына сәйкес автоматты түрде орнатылуы керек;
2. Пайдаланушы сертификатты автоматты түрде бере алуы керек (сценарийлердің бірі үшін негізгі сценарий қолмен шығару және компьютерге жүктеп салу), бірақ мен демонстрация үшін автоматты түрде шығаруды жүзеге асырдым (оны жоюға ешқашан кеш емес).
3. Негізгі аутентификация бірнеше кезеңде өтуі керек, алдымен сертификат қажетті өрістерді және олардың мәндерін талдау арқылы аутентификацияланады, содан кейін логин/пароль, тек осы жолы кіру терезесінде сертификат өрісінде көрсетілген пайдаланушы аты ауыстырылуы керек. Тақырып атауы (CN) өңдеу мүмкіндігінсіз.
4. Сіз жүйеге кіретін құрылғы пайдаланушыға қашықтан қол жеткізу үшін берілген корпоративтік ноутбук екеніне көз жеткізуіңіз керек, басқа ештеңе жоқ. (Бұл талапты қанағаттандыру үшін бірнеше нұсқалар жасалды)
5. Қосылатын құрылғының күйін бағалау керек (осы кезеңде ДК) тұтынушы талаптарының бүкіл ауқымды кестесін тексеру (қорытындылау):
   • Файлдар және олардың қасиеттері;
   • Тіркеу жазбалары;
   • Берілген тізімнен ОЖ патчтары (бұдан әрі SCCM интеграциясы);
   • Белгілі бір өндірушінің Антивирусының болуы және қолтаңбалардың өзектілігі;
   • Белгілі бір қызметтердің қызметі;
   • Белгілі бір орнатылған бағдарламалардың болуы;

Бастау үшін мен сізге нәтижені іске асырудың бейне көрсетілімін міндетті түрде қарауды ұсынамын Youtube (5 минут).

Енді мен бейнеклипте көрсетілмеген іске асыру мәліметтерін қарастыруды ұсынамын.

AnyConnect профилін дайындаймыз:

Профиль жасаудың мысалы (ASDM-дегі мәзір элементі бойынша) мен орнату туралы мақаламда бұрын берген болатынмын. VPN жүктемені теңестіру кластері. Енді мен бізге қажет опцияларды бөлек атап өткім келеді:

Профильде соңғы клиентте қосылу үшін VPN шлюзін және профиль атауын көрсетіңіз:

Атап айтқанда, куәліктің параметрлерін көрсете отырып, профиль жағынан сертификатты автоматты түрде беруді баптайық және әдеттегідей өріске назар аударайық. Бас әріптер (I), мұнда белгілі бір мән қолмен енгізіледі UDID сынақ машинасы (Cisco AnyConnect клиенті жасаған бірегей құрылғы идентификаторы).

Мұнда мен лирикалық шегініс жасағым келеді, өйткені бұл мақала тұжырымдаманы сипаттайды, демонстрациялық мақсаттар үшін мұнда AnyConnect профилінің Бастауыштар өрісінде сертификат беруге арналған UDID берілген. Әрине, нақты өмірде, егер сіз мұны жасасаңыз, онда барлық клиенттер осы салада бірдей UDID сертификатын алады және олар үшін ештеңе жұмыс істемейді, өйткені оларға өздерінің жеке компьютерінің UDID қажет. AnyConnect, өкінішке орай, сертификат сұрау профиліндегі UDID өрісін орта айнымалысы арқылы ауыстыруды әлі жүзеге асырмайды, мысалы, ол айнымалымен орындалады. %USER%.

Айта кету керек, тұтынушы (бұл сценарийде) бастапқыда көрсетілген UDID бар сертификаттарды қолмен осындай Қорғалған ДК-ге беруді жоспарлайды, бұл оған қиындық тудырмайды. Дегенмен, көпшілігіміз үшін біз автоматтандыруды қалаймыз (жақсы, мен үшін бұл сөзсіз =)).

Бұл автоматтандыру тұрғысынан мен ұсына алатын нәрсе. Егер UDID-ді динамикалық түрде алмастыратын AnyConnect сертификатын автоматты түрде беру әлі мүмкін болмаса, онда кішкене шығармашылық ой мен шебер қолды қажет ететін тағы бір әдіс бар - мен сізге тұжырымдаманы айтып беремін. Алдымен, AnyConnect агентімен UDID әртүрлі операциялық жүйелерде қалай құрылатынын қарастырайық:

• Windows - DigitalProductID және Machine SID тіркеу кілті тіркесімінің SHA-256 хэші
• OSX - PlatformUUID SHA-256 хэші
• Linux - түбірлік бөлімнің UUID идентификаторының SHA-256 хэші.
• Apple IOS - PlatformUUID SHA-256 хэші
• Android – Құжатты қараңыз байланыс

Тиісінше, біз корпоративтік Windows ОЖ үшін сценарий жасаймыз, бұл сценарийдің көмегімен біз UDID-ді белгілі кірістерден жергілікті түрде есептейміз және осы UDID-ті қажетті өріске енгізу арқылы сертификат беруге сұраныс қалыптастырамыз, айтпақшы, сіз машинаны да пайдалана аласыз. AD берген сертификат (схемаға сертификат бойынша қосарланған аутентификацияны қосу бірнеше сертификат).

Cisco ASA жағынан параметрлерді дайындаймыз:

ISE CA сервері үшін TrustPoint жасайық, ол клиенттерге сертификаттар береді. Мен Key-Chain импорттау процедурасын қарастырмаймын, мысал менің орнату мақаламда сипатталған VPN жүктемені теңестіру кластері.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

Түпнұсқалықты растау үшін пайдаланылатын сертификаттағы өрістерге сәйкес ережелерге негізделген Tunnel-Group бойынша таратуды орнаттық. Сондай-ақ, біз соңғы кезеңде жасаған AnyConnect профилі осы жерде конфигурацияланған. Мен мәнді қолданатынымды ескеріңіз SECUREBANK-RA, берілген сертификаты бар пайдаланушыларды туннель тобына тасымалдау үшін SECURE-BANK-VPN, бұл өріс менің AnyConnect профилінің сертификатын сұрау бағанында бар екенін ескеріңіз.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

Аутентификация серверін орнатыңыз. Менің жағдайда, бұл аутентификацияның бірінші кезеңіне арналған ISE және СІМ ретінде DUO (Radius Proxy).

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

Біз топтық саясаттар мен туннель топтарын және олардың қосалқы құрамдастарын жасаймыз:

туннель тобы ӘдепкіWEBVPNGroup негізінен AnyConnect VPN клиентін жүктеп алу және ASA-ның SCEP-Proxy функциясын пайдаланып пайдаланушы сертификатын шығару үшін пайдаланылады, бұл үшін біз туннель тобының өзінде де, байланысты топтық саясатта да сәйкес опцияларды белсендірдік. AC жүктеп алу, және жүктелген AnyConnect профилінде (сертификат беру өрістері, т.б.). Сондай-ақ осы топтық саясатта жүктеп алу қажеттігін көрсетеміз ISE қалып модулі.

туннель тобы SECURE-BANK-VPN алдыңғы қадамда берілген сертификатпен аутентификация кезінде клиент автоматты түрде пайдаланылады, өйткені Сертификаттар картасына сәйкес байланыс осы туннель тобына түседі. Мен мұнда қызықты нұсқалар туралы айтып беремін:

• қосымша аутентификация сервер тобы DUO # DUO серверінде (Radius Proxy) қосымша аутентификацияны орнатыңыз
• пайдаланушы аты-сертификат-CN # Пайдаланушының логинін мұраға алу үшін бастапқы аутентификация үшін сертификаттың CN өрісін пайдаланыңыз
• екінші пайдаланушы аты-сертификат I # DUO серверінде қосымша аутентификация үшін шығарылған пайдаланушы атын және сертификаттың Initials (I) өрістерін пайдаланыңыз.
• пайдаланушы атын алдын ала толтыру клиенті # пайдаланушы атын өзгерту мүмкіндігінсіз аутентификация терезесінде алдын ала толтырылған етіп жасаңыз
• пайдаланушы атын алдын ала толтыру үшін қосымша клиент жасырын пайдалану-жалпы құпия сөзді басу # DUO қайталама аутентификациясы үшін логин/пароль енгізу терезесін жасырыңыз және аутентификацияны сұрау үшін құпия сөз өрісінің орнына хабарландыру әдісін (sms/push/phone) пайдаланыңыз - doc осында

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

Әрі қарай, ISE-ге көшейік:

Біз жергілікті пайдаланушыны орнаттық (сіз AD / LDAP / ODBC және т.б. пайдалана аласыз), қарапайымдылық үшін мен жергілікті пайдаланушыны ISE-нің өзінде жасадым және оны өріске тағайындадым. сипаттамасы ДК UDID оған VPN арқылы кіруге рұқсат етіледі. ISE-де жергілікті аутентификацияны пайдаланған жағдайда мен тек бір құрылғымен шектелемін, өйткені өрістер онша көп емес, бірақ үшінші тарап аутентификация дерекқорларында менде мұндай шектеулер болмайды.

Авторизация саясатын қарастырайық, ол қосылудың төрт кезеңіне бөлінеді:

• кезеңі 1 - AnyConnect агентін жүктеп алу және сертификат беру саясаты
• кезеңі 2 — Негізгі аутентификация саясаты Логин (сертификаттан)/Пароль + UDID валидациясы бар сертификат
• кезеңі 3 - Пайдаланушы аты ретінде UDID арқылы Cisco DUO (MFA) арқылы қайталама аутентификация + күйді бағалау
• кезеңі 4 - штаттағы түпкілікті рұқсат:
  • Сәйкес;
  • UDID валидациясы (сертификаттан + логинге байланыстыру),
  • Cisco DUO СІМ
  • Жүйеге кіру аутентификациясы;
  • Сертификаттың аутентификациясы;

Бір қызық жағдайды қарастырайық UUID_VALIDATED, аутентификациялаушы пайдаланушы шынымен өрісте рұқсат етілген байланысты UDID бар компьютерден шыққан сияқты. сипаттамасы шот, шарттар келесідей:

1,2,3 кезеңдерде пайдаланылған авторизация профилі келесідей:

ISE ішіндегі клиент сеансы мәліметтерін қарау арқылы AnyConnect клиентінен UDID дәл қалай келетінін тексеруге болады. Біз AnyConnect механизмі арқылы егжей-тегжейлі көреміз АСИДЕКС ретінде платформа туралы деректерді ғана емес, сонымен қатар құрылғының UDID-ін де жібереді Cisco-AV-PAIR:

Пайдаланушыға және өріске берілген сертификатқа назар аударыңыз Бас әріптер (I), ол оны Cisco DUO жүйесінде СІМ қайталама аутентификациясы үшін логин ретінде қабылдау үшін пайдаланылады:

DUO Radius Proxy жағында біз журналда аутентификация сұрауының қалай жүретінін анық көре аламыз, ол UDID пайдаланушы аты ретінде пайдаланылады:

DUO порталынан біз сәтті аутентификация оқиғасын көреміз:

Мен орнатқан пайдаланушы сипаттарында ӘЛИАС, мен оған кіретінмін, өз кезегінде бұл кіруге рұқсат етілген ДК UDID:

Нәтижесінде біз алдық:

• Көп факторлы пайдаланушы және құрылғы аутентификациясы;
• Пайдаланушы құрылғысын ауыстырудан қорғау;
• Құрылғының күйін бағалау;
• Домендік машина сертификатымен бақылауды арттыру мүмкіндігі және т.б.;
• Қашықтағы жұмыс орнын автоматты түрде орналастырылған қауіпсіздік модульдерімен кешенді қорғау;

Cisco VPN сериясындағы мақалаларға сілтемелер:

• ASA VPN Load-Balancing кластерін қолдану
• Cisco ASA жүйесіндегі AnyConnect VPN туннелінде бұлттық қызметтерді оңтайландыру

Ақпарат көзі: www.habr.com