ការអនុវត្តគំនិតនៃការចូលប្រើពីចម្ងាយដែលមានសុវត្ថិភាពខ្ពស់។

ការបន្តស៊េរីនៃអត្ថបទលើប្រធានបទនៃអង្គការ ការចូលប្រើពីចម្ងាយ VPN ការចូលប្រើ ខ្ញុំមិនអាចជួយបានទេ ប៉ុន្តែចែករំលែកបទពិសោធន៍នៃការដាក់ពង្រាយគួរឱ្យចាប់អារម្មណ៍របស់ខ្ញុំ ការកំណត់រចនាសម្ព័ន្ធ VPN សុវត្ថិភាពខ្ពស់។. កិច្ចការដែលមិនសំខាន់ត្រូវបានបង្ហាញដោយអតិថិជនម្នាក់ (មានអ្នកបង្កើតនៅក្នុងភូមិរុស្ស៊ី) ប៉ុន្តែការប្រកួតប្រជែងត្រូវបានទទួលយក និងអនុវត្តប្រកបដោយភាពច្នៃប្រឌិត។ លទ្ធផលគឺជាគំនិតគួរឱ្យចាប់អារម្មណ៍មួយជាមួយនឹងលក្ខណៈដូចខាងក្រោមៈ

1. កត្តាជាច្រើននៃការការពារប្រឆាំងនឹងការជំនួសឧបករណ៍ស្ថានីយ (ជាមួយនឹងការចងយ៉ាងតឹងរឹងចំពោះអ្នកប្រើប្រាស់);
   • ការវាយតម្លៃការអនុលោមតាមកុំព្យូទ័ររបស់អ្នកប្រើជាមួយនឹង UDID ដែលបានកំណត់នៃកុំព្យូទ័រដែលបានអនុញ្ញាតនៅក្នុងមូលដ្ឋានទិន្នន័យផ្ទៀងផ្ទាត់។
   • ជាមួយ MFA ដោយប្រើ PC UDID ពីវិញ្ញាបនបត្រសម្រាប់ការផ្ទៀងផ្ទាត់បន្ទាប់បន្សំតាមរយៈ Cisco DUO (អ្នកអាចភ្ជាប់ SAML/Radius ណាមួយដែលត្រូវគ្នា);
2. ការផ្ទៀងផ្ទាត់ពហុកត្តា៖
   • វិញ្ញាបនបត្រអ្នកប្រើប្រាស់ជាមួយនឹងការផ្ទៀងផ្ទាត់វាល និងការផ្ទៀងផ្ទាត់បន្ទាប់បន្សំប្រឆាំងនឹងមួយក្នុងចំណោមពួកគេ;
   • ចូល (មិនអាចផ្លាស់ប្តូរបានយកចេញពីវិញ្ញាបនបត្រ) និងពាក្យសម្ងាត់;
3. ការប៉ាន់ប្រមាណស្ថានភាពនៃម៉ាស៊ីនតភ្ជាប់ (ឥរិយាបថ)

សមាសធាតុដំណោះស្រាយដែលបានប្រើ៖

• Cisco ASA (VPN Gateway);
• Cisco ISE (ការផ្ទៀងផ្ទាត់/ការអនុញ្ញាត/គណនេយ្យ ការវាយតម្លៃរដ្ឋ, CA);
• Cisco DUO (ការផ្ទៀងផ្ទាត់កត្តាច្រើន) (អ្នកអាចភ្ជាប់ SAML/Radius ណាមួយដែលត្រូវគ្នា);
• Cisco AnyConnect (ភ្នាក់ងារពហុគោលបំណងសម្រាប់ស្ថានីយការងារ និងប្រព័ន្ធប្រតិបត្តិការចល័ត);

ចូរចាប់ផ្តើមជាមួយនឹងតម្រូវការរបស់អតិថិជន៖

1. អ្នកប្រើប្រាស់ត្រូវតែតាមរយៈការផ្ទៀងផ្ទាត់ការចូល/ពាក្យសម្ងាត់របស់គាត់ អាចទាញយកកម្មវិធី AnyConnect ពីច្រកចេញចូល VPN ម៉ូឌុល AnyConnect ចាំបាច់ទាំងអស់ត្រូវតែដំឡើងដោយស្វ័យប្រវត្តិស្របតាមគោលការណ៍របស់អ្នកប្រើប្រាស់។
2. អ្នកប្រើប្រាស់គួរតែអាចចេញវិញ្ញាបនបត្រដោយស្វ័យប្រវត្តិ (សម្រាប់សេណារីយ៉ូមួយ សេណារីយ៉ូចម្បងគឺការចេញដោយដៃ និងការបង្ហោះនៅលើកុំព្យូទ័រ) ប៉ុន្តែខ្ញុំបានអនុវត្តបញ្ហាដោយស្វ័យប្រវត្តិសម្រាប់ការធ្វើបាតុកម្ម (វាមិនដែលយឺតពេលក្នុងការលុបវាចេញទេ)។
3. ការផ្ទៀងផ្ទាត់ជាមូលដ្ឋានត្រូវតែធ្វើឡើងក្នុងដំណាក់កាលជាច្រើន ជាដំបូងមានការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រជាមួយនឹងការវិភាគនៃវាលចាំបាច់ និងតម្លៃរបស់វា បន្ទាប់មកចូល/ពាក្យសម្ងាត់ មានតែពេលនេះទេ ដែលឈ្មោះអ្នកប្រើប្រាស់ដែលបានបញ្ជាក់ក្នុងវាលវិញ្ញាបនបត្រត្រូវតែបញ្ចូលទៅក្នុងបង្អួចចូល។ ឈ្មោះប្រធានបទ (CN) ដោយគ្មានសមត្ថភាពក្នុងការកែសម្រួល។
4. អ្នកត្រូវប្រាកដថាឧបករណ៍ដែលអ្នកកំពុងចូលគឺជាកុំព្យូទ័រយួរដៃរបស់ក្រុមហ៊ុនដែលចេញឱ្យអ្នកប្រើប្រាស់សម្រាប់ការចូលប្រើពីចម្ងាយ ហើយមិនមែនជាអ្វីផ្សេងទៀតទេ។ (ជម្រើសជាច្រើនត្រូវបានធ្វើឡើងដើម្បីបំពេញតម្រូវការនេះ)
5. ស្ថានភាពនៃឧបករណ៍ភ្ជាប់ (នៅដំណាក់កាលនេះកុំព្យូទ័រ) គួរតែត្រូវបានវាយតម្លៃដោយការត្រួតពិនិត្យតារាងទាំងមូលនៃតម្រូវការអតិថិជន (សង្ខេប):
   • ឯកសារនិងលក្ខណៈសម្បត្តិរបស់វា;
   • ធាតុចុះឈ្មោះ;
   • បំណះ OS ពីបញ្ជីដែលបានផ្តល់ (ការរួមបញ្ចូល SCCM នៅពេលក្រោយ);
   • ភាពអាចរកបាននៃការប្រឆាំងមេរោគពីក្រុមហ៊ុនផលិតជាក់លាក់ និងភាពពាក់ព័ន្ធនៃហត្ថលេខា;
   • សកម្មភាពនៃសេវាកម្មជាក់លាក់;
   • ភាពអាចរកបាននៃកម្មវិធីដែលបានដំឡើងជាក់លាក់;

ដើម្បីចាប់ផ្តើមជាមួយ ខ្ញុំស្នើឱ្យអ្នកមើលវីដេអូបង្ហាញពីការអនុវត្តលទ្ធផលនៅលើ Youtube (៥ នាទី).

ឥឡូវនេះខ្ញុំស្នើឱ្យពិចារណាព័ត៌មានលម្អិតនៃការអនុវត្តដែលមិនមាននៅក្នុងឈុតវីដេអូ។

តោះរៀបចំប្រវត្តិរូប AnyConnect៖

ពីមុនខ្ញុំបានផ្តល់ឧទាហរណ៍នៃការបង្កើតទម្រង់ (នៅក្នុងលក្ខខណ្ឌនៃធាតុម៉ឺនុយនៅក្នុង ASDM) នៅក្នុងអត្ថបទរបស់ខ្ញុំស្តីពីការកំណត់ VPN Load-Balance Cluster. ឥឡូវនេះខ្ញុំចង់កត់សម្គាល់ដាច់ដោយឡែកពីជម្រើសដែលយើងនឹងត្រូវការ:

នៅក្នុងកម្រងព័ត៌មាន យើងនឹងបង្ហាញផ្លូវចេញចូល VPN និងឈ្មោះទម្រង់សម្រាប់ភ្ជាប់ទៅម៉ាស៊ីនភ្ញៀវចុងក្រោយ៖

ចូរកំណត់រចនាសម្ព័ន្ធការចេញវិញ្ញាបនបត្រដោយស្វ័យប្រវត្តិពីផ្នែកទម្រង់ ដោយបង្ហាញជាពិសេស ប៉ារ៉ាម៉ែត្រវិញ្ញាបនបត្រ និងលក្ខណៈដោយយកចិត្តទុកដាក់លើវាល ដើម (I)ដែលតម្លៃជាក់លាក់មួយត្រូវបានបញ្ចូលដោយដៃ យូឌីឌី ម៉ាស៊ីនសាកល្បង (ឧបករណ៍កំណត់អត្តសញ្ញាណតែមួយគត់ដែលត្រូវបានបង្កើតដោយម៉ាស៊ីនភ្ញៀវ Cisco AnyConnect) ។

នៅទីនេះខ្ញុំចង់បង្កើតការបកស្រាយអត្ថបទចម្រៀង ព្រោះអត្ថបទនេះពិពណ៌នាអំពីគោលគំនិត សម្រាប់គោលបំណងបង្ហាញ UDID សម្រាប់ការចេញវិញ្ញាបនបត្រត្រូវបានបញ្ចូលក្នុងវាលដំបូងនៃទម្រង់ AnyConnect ។ ជាការពិតណាស់នៅក្នុងជីវិតពិត ប្រសិនបើអ្នកធ្វើដូចនេះ អតិថិជនទាំងអស់នឹងទទួលបានវិញ្ញាបនបត្រជាមួយ UDID ដូចគ្នានៅក្នុងវិស័យនេះ ហើយគ្មានអ្វីនឹងដំណើរការសម្រាប់ពួកគេទេ ដោយសារពួកគេត្រូវការ UDID នៃកុំព្យូទ័រជាក់លាក់របស់ពួកគេ។ ជាអកុសល AnyConnect មិនទាន់អនុវត្តការជំនួសវាល UDID ទៅក្នុងទម្រង់សំណើវិញ្ញាបនបត្រតាមរយៈអថេរបរិស្ថាន ដូចដែលវាធ្វើ ឧទាហរណ៍ជាមួយអថេរ %អ្នក​ប្រើ%.

គួរកត់សម្គាល់ថាអតិថិជន (នៃសេណារីយ៉ូនេះ) ដំបូងមានគម្រោងចេញវិញ្ញាបនបត្រដោយឯករាជ្យជាមួយនឹង UDID ដែលបានផ្តល់ឱ្យនៅក្នុងរបៀបដោយដៃទៅកុំព្យូទ័រដែលមានការការពារបែបនេះ ដែលមិនមែនជាបញ្ហាសម្រាប់គាត់នោះទេ។ ទោះយ៉ាងណាក៏ដោយ សម្រាប់ពួកយើងភាគច្រើន យើងចង់បានស្វ័យប្រវត្តិកម្ម (ល្អសម្រាប់ខ្ញុំ វាជាការពិត =))។

ហើយនេះគឺជាអ្វីដែលខ្ញុំអាចផ្តល់ជូនក្នុងលក្ខខណ្ឌនៃស្វ័យប្រវត្តិកម្ម។ ប្រសិនបើ AnyConnect មិនទាន់អាចចេញវិញ្ញាបនបត្រដោយស្វ័យប្រវត្តិដោយការជំនួស UDID ថាមវន្តទេនោះ មានវិធីមួយផ្សេងទៀតដែលនឹងតម្រូវឱ្យមានការគិតប្រកបដោយភាពច្នៃប្រឌិត និងដៃដ៏ប៉ិនប្រសប់ - ខ្ញុំនឹងប្រាប់អ្នកពីគំនិត។ ដំបូង សូមមើលពីរបៀបដែល UDID ត្រូវបានបង្កើតនៅលើប្រព័ន្ធប្រតិបត្តិការផ្សេងៗគ្នាដោយភ្នាក់ងារ AnyConnect៖

• ប្រព័ន្ធប្រតិបត្តិការ Windows - SHA-256 hash នៃការរួមបញ្ចូលគ្នានៃ DigitalProductID និងសោចុះបញ្ជីម៉ាស៊ីន SID
• OSX - SHA-256 hash PlatformUUID
• Linux - SHA-256 hash នៃ UUID នៃភាគថាសជា root ។
• Apple iOS - SHA-256 hash PlatformUUID
• ប្រព័ន្ធប្រតិបត្តិការ Android - សូមមើលឯកសារនៅលើ តំណភ្ជាប់

ដូច្នោះហើយ យើងបង្កើតស្គ្រីបសម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Windows របស់ក្រុមហ៊ុនយើង ដោយស្គ្រីបនេះយើងគណនា UDID ក្នុងស្រុកដោយប្រើធាតុបញ្ចូលដែលគេស្គាល់ និងបង្កើតសំណើសម្រាប់ការចេញវិញ្ញាបនបត្រដោយបញ្ចូល UDID នេះក្នុងវាលដែលត្រូវការ ដោយវិធីនេះ អ្នកក៏អាចប្រើម៉ាស៊ីន វិញ្ញាបនបត្រដែលចេញដោយ AD (ដោយបន្ថែមការផ្ទៀងផ្ទាត់ពីរដងដោយប្រើវិញ្ញាបនបត្រទៅគ្រោងការណ៍ វិញ្ញាបនប័ត្រច្រើន។).

តោះរៀបចំការកំណត់នៅខាង Cisco ASA៖

ចូរយើងបង្កើត TrustPoint សម្រាប់ម៉ាស៊ីនមេ ISE CA វានឹងជាអ្នកចេញវិញ្ញាបនបត្រដល់អតិថិជន។ ខ្ញុំនឹងមិនពិចារណានីតិវិធីនាំចូល Key-Chain ទេ ឧទាហរណ៍មួយត្រូវបានពិពណ៌នានៅក្នុងអត្ថបទរៀបចំរបស់ខ្ញុំ VPN Load-Balance Cluster.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

យើងកំណត់រចនាសម្ព័ន្ធការចែកចាយដោយ Tunnel-Group ដោយផ្អែកលើច្បាប់ដោយអនុលោមតាមវាលនៅក្នុងវិញ្ញាបនបត្រដែលត្រូវបានប្រើសម្រាប់ការផ្ទៀងផ្ទាត់។ ទម្រង់ AnyConnect ដែលយើងបានធ្វើនៅដំណាក់កាលមុនក៏ត្រូវបានកំណត់នៅទីនេះផងដែរ។ សូមចំណាំថាខ្ញុំកំពុងប្រើតម្លៃ SECUREBANK-RAដើម្បីផ្ទេរអ្នកប្រើប្រាស់ដែលមានវិញ្ញាបនបត្រចេញទៅកាន់ក្រុមផ្លូវរូងក្រោមដី សុវត្ថិភាព-ធនាគារ-VPNសូមចំណាំថាខ្ញុំមានវាលនេះនៅក្នុងជួរឈរសំណើវិញ្ញាបនបត្រទម្រង់ AnyConnect ។

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

ការដំឡើងម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់។ ក្នុងករណីរបស់ខ្ញុំ នេះគឺជា ISE សម្រាប់ដំណាក់កាលដំបូងនៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និង DUO (Radius Proxy) ជា MFA ។

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

យើងបង្កើតគោលការណ៍ក្រុម និងក្រុមផ្លូវរូងក្រោមដី និងសមាសធាតុជំនួយរបស់ពួកគេ៖

ក្រុមផ្លូវរូងក្រោមដី លំនាំដើមWEBVPNGក្រុម នឹងត្រូវបានប្រើជាចម្បងដើម្បីទាញយកកម្មវិធី AnyConnect VPN និងចេញវិញ្ញាបនបត្រអ្នកប្រើប្រាស់ដោយប្រើមុខងារ SCEP-Proxy របស់ ASA សម្រាប់បញ្ហានេះ យើងមានជម្រើសដែលត្រូវគ្នាបានដំណើរការទាំងនៅលើក្រុមផ្លូវរូងក្រោមដីខ្លួនឯង និងនៅលើគោលការណ៍ក្រុមដែលពាក់ព័ន្ធ។ AC-ទាញយកនិងនៅលើទម្រង់ AnyConnect ដែលបានផ្ទុក (វាលសម្រាប់ចេញវិញ្ញាបនបត្រ។ល។)។ ផងដែរនៅក្នុងគោលការណ៍ក្រុមនេះ យើងបង្ហាញពីតម្រូវការក្នុងការទាញយក ម៉ូឌុលឥរិយាបថ ISE.

ក្រុមផ្លូវរូងក្រោមដី សុវត្ថិភាព-ធនាគារ-VPN នឹង​ត្រូវ​បាន​ប្រើ​ដោយ​ស្វ័យ​ប្រវត្តិ​ដោយ​អតិថិជន​នៅ​ពេល​ផ្ទៀងផ្ទាត់​ជាមួយ​នឹង​វិញ្ញាបនបត្រ​ដែល​បាន​ចេញ​នៅ​ក្នុង​ដំណាក់​កាល​មុន ដោយ​សារ​តែ​អនុលោម​តាម​ផែនទី​វិញ្ញាបនបត្រ ការ​តភ្ជាប់​នឹង​ធ្លាក់​ចុះ​ជា​ពិសេស​លើ​ក្រុម​ផ្លូវ​រូង​ក្រោម​ដី​នេះ។ ខ្ញុំនឹងប្រាប់អ្នកអំពីជម្រើសគួរឱ្យចាប់អារម្មណ៍នៅទីនេះ៖

• Secondary-authentication-server-group DUO # កំណត់ការផ្ទៀងផ្ទាត់ទីពីរនៅលើម៉ាស៊ីនមេ DUO (Radius Proxy)
• ឈ្មោះអ្នកប្រើ-ពី-certificateCN # សម្រាប់ការផ្ទៀងផ្ទាត់បឋម យើងប្រើវាល CN នៃវិញ្ញាបនបត្រ ដើម្បីទទួលការចូលរបស់អ្នកប្រើប្រាស់
• ឈ្មោះអ្នកប្រើបន្ទាប់បន្សំ-ពីវិញ្ញាបនបត្រ I # សម្រាប់ការផ្ទៀងផ្ទាត់ទីពីរនៅលើម៉ាស៊ីនមេ DUO យើងប្រើឈ្មោះអ្នកប្រើប្រាស់ដែលបានស្រង់ចេញ និងវាលដំបូង (I) នៃវិញ្ញាបនបត្រ។
• ការបំពេញឈ្មោះអ្នកប្រើប្រាស់ជាមុន # ធ្វើឱ្យឈ្មោះអ្នកប្រើប្រាស់ត្រូវបានបំពេញជាមុននៅក្នុងបង្អួចផ្ទៀងផ្ទាត់ដោយមិនមានលទ្ធភាពផ្លាស់ប្តូរ
• បន្ទាប់​មក​ម៉ាស៊ីន​ភ្ញៀវ​ឈ្មោះ​អ្នក​ប្រើ​បន្ទាប់​បន្សំ​លាក់​ការ​ជំរុញ​ដោយ​ប្រើ​ពាក្យ​សម្ងាត់​ទូទៅ # យើងលាក់បង្អួចចូល/បញ្ចូលពាក្យសម្ងាត់សម្រាប់ការផ្ទៀងផ្ទាត់ទីពីរ DUO ហើយប្រើវិធីសាស្ត្រជូនដំណឹង (sms/push/phone) - ចតដើម្បីស្នើសុំការផ្ទៀងផ្ទាត់ជំនួសឱ្យវាលពាក្យសម្ងាត់ នៅទីនេះ

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

បន្ទាប់យើងបន្តទៅ ISE៖

យើងកំណត់រចនាសម្ព័ន្ធអ្នកប្រើប្រាស់ក្នុងស្រុក (អ្នកអាចប្រើ AD/LDAP/ODBC ។ បរិយាយ UDID កុំព្យូទ័រ ដែលគាត់ត្រូវបានអនុញ្ញាតឱ្យចូលតាមរយៈ VPN ។ ប្រសិនបើខ្ញុំប្រើការផ្ទៀងផ្ទាត់មូលដ្ឋាននៅលើ ISE ខ្ញុំនឹងត្រូវបានកំណត់ត្រឹមតែឧបករណ៍មួយប៉ុណ្ណោះ ដោយសារមិនមានវាលច្រើន ប៉ុន្តែនៅក្នុងមូលដ្ឋានទិន្នន័យការផ្ទៀងផ្ទាត់ភាគីទីបី ខ្ញុំនឹងមិនមានការរឹតបន្តឹងបែបនេះទេ។

សូមក្រឡេកមើលគោលការណ៍អនុញ្ញាតវាចែកចេញជាបួនដំណាក់កាលតភ្ជាប់៖

• ដំណាក់កាលទី 1 - គោលការណ៍សម្រាប់ការទាញយកភ្នាក់ងារ AnyConnect និងចេញវិញ្ញាបនបត្រ
• ដំណាក់កាលទី 2 - គោលការណ៍ផ្ទៀងផ្ទាត់បឋម ការចូល (ពីវិញ្ញាបនបត្រ) / ពាក្យសម្ងាត់ + វិញ្ញាបនបត្រដែលមានសុពលភាព UDID
• ដំណាក់កាលទី 3 - ការផ្ទៀងផ្ទាត់ទីពីរតាមរយៈ Cisco DUO (MFA) ដោយប្រើ UDID ជាឈ្មោះអ្នកប្រើប្រាស់ + ការវាយតម្លៃរដ្ឋ
• ដំណាក់កាលទី 4 - ការអនុញ្ញាតចុងក្រោយគឺស្ថិតនៅក្នុងរដ្ឋ៖
  • អនុលោមតាម;
  • សុពលភាព UDID (ពីវិញ្ញាបនបត្រ + ការភ្ជាប់ការចូល),
  • ស៊ីស្កូ DUO MFA;
  • ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដោយការចូល;
  • ការផ្ទៀងផ្ទាត់វិញ្ញាបនប័ត្រ;

សូមក្រឡេកមើលលក្ខខណ្ឌគួរឱ្យចាប់អារម្មណ៍មួយ។ UUID_VALIDATEDវាហាក់ដូចជាអ្នកប្រើប្រាស់ដែលផ្ទៀងផ្ទាត់ពិតប្រាកដបានមកពីកុំព្យូទ័រដែលមាន UDID ដែលត្រូវបានអនុញ្ញាតដែលពាក់ព័ន្ធនៅក្នុងវាល ការពិពណ៌នា គណនី, លក្ខខណ្ឌមើលទៅដូចនេះ:

ទម្រង់ការអនុញ្ញាតដែលបានប្រើនៅដំណាក់កាលទី 1,2,3 មានដូចខាងក្រោម៖

អ្នកអាចពិនិត្យមើលបានច្បាស់អំពីរបៀបដែល UDID ពីអតិថិជន AnyConnect មកដល់យើងដោយមើលព័ត៌មានលម្អិតនៃវគ្គអតិថិជននៅក្នុង ISE ។ នៅក្នុងលម្អិតយើងនឹងឃើញថា AnyConnect តាមរយៈយន្តការ អាសុីដអិច ផ្ញើមិនត្រឹមតែព័ត៌មានអំពីវេទិកាប៉ុណ្ណោះទេប៉ុន្តែថែមទាំង UDID នៃឧបករណ៍ផងដែរ។ Cisco-AV-PAIR:

ចូរយើងយកចិត្តទុកដាក់ចំពោះវិញ្ញាបនបត្រដែលចេញឱ្យអ្នកប្រើប្រាស់ និងវាល ដើម (I)ដែលត្រូវបានប្រើដើម្បីយកវាជាការចូលសម្រាប់ការផ្ទៀងផ្ទាត់ MFA ទីពីរនៅលើ Cisco DUO៖

នៅលើផ្នែក DUO Radius Proxy នៅក្នុងកំណត់ហេតុ យើងអាចមើលឃើញយ៉ាងច្បាស់ពីរបៀបដែលសំណើផ្ទៀងផ្ទាត់ត្រូវបានធ្វើឡើង វាមកដោយប្រើ UDID ជាឈ្មោះអ្នកប្រើប្រាស់៖

ពីវិបផតថល DUO យើងឃើញព្រឹត្តិការណ៍ផ្ទៀងផ្ទាត់ដោយជោគជ័យ៖

ហើយនៅក្នុងលក្ខណៈសម្បត្តិអ្នកប្រើប្រាស់ ខ្ញុំបានកំណត់វាហើយ។ អាលីអេសដែលខ្ញុំបានប្រើសម្រាប់ការចូល វាជា UDID នៃកុំព្យូទ័រដែលត្រូវបានអនុញ្ញាតសម្រាប់ការចូល៖

ជាលទ្ធផលយើងទទួលបាន៖

• ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃអ្នកប្រើប្រាស់ និងឧបករណ៍ច្រើនកត្តា;
• ការការពារប្រឆាំងនឹងការក្លែងបន្លំឧបករណ៍របស់អ្នកប្រើ;
• ការវាយតម្លៃស្ថានភាពនៃឧបករណ៍;
• សក្ដានុពលសម្រាប់ការបង្កើនការគ្រប់គ្រងជាមួយវិញ្ញាបនបត្រម៉ាស៊ីនដែន។ល។
• ការការពារកន្លែងធ្វើការពីចម្ងាយដ៏ទូលំទូលាយជាមួយនឹងម៉ូឌុលសុវត្ថិភាពដែលបានដាក់ឱ្យប្រើប្រាស់ដោយស្វ័យប្រវត្តិ;

តំណភ្ជាប់ទៅអត្ថបទស៊េរី Cisco VPN៖

• ការដាក់ពង្រាយ ASA VPN Load-Balance Cluster
• ការបង្កើនប្រសិទ្ធភាពសេវាកម្មពពកនៅក្នុងផ្លូវរូងក្រោមដី AnyConnect VPN នៅលើ Cisco ASA

ប្រភព: www.habr.com