ಹೆಚ್ಚು ಸುರಕ್ಷಿತ ದೂರಸ್ಥ ಪ್ರವೇಶದ ಪರಿಕಲ್ಪನೆಯ ಅನುಷ್ಠಾನ

ಸಂಘಟನೆಯ ವಿಷಯದ ಕುರಿತು ಲೇಖನಗಳ ಸರಣಿಯನ್ನು ಮುಂದುವರಿಸುವುದು ರಿಮೋಟ್-ಆಕ್ಸೆಸ್ VPN ಪ್ರವೇಶವನ್ನು ನಾನು ಸಹಾಯ ಮಾಡಲು ಸಾಧ್ಯವಿಲ್ಲ ಆದರೆ ನನ್ನ ಆಸಕ್ತಿದಾಯಕ ನಿಯೋಜನೆ ಅನುಭವವನ್ನು ಹಂಚಿಕೊಳ್ಳಲು ಸಾಧ್ಯವಿಲ್ಲ ಹೆಚ್ಚು ಸುರಕ್ಷಿತ VPN ಕಾನ್ಫಿಗರೇಶನ್. ಕ್ಷುಲ್ಲಕವಲ್ಲದ ಕಾರ್ಯವನ್ನು ಒಬ್ಬ ಗ್ರಾಹಕರು ಪ್ರಸ್ತುತಪಡಿಸಿದರು (ರಷ್ಯಾದ ಹಳ್ಳಿಗಳಲ್ಲಿ ಸಂಶೋಧಕರು ಇದ್ದಾರೆ), ಆದರೆ ಸವಾಲನ್ನು ಸ್ವೀಕರಿಸಲಾಯಿತು ಮತ್ತು ಸೃಜನಾತ್ಮಕವಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಯಿತು. ಫಲಿತಾಂಶವು ಈ ಕೆಳಗಿನ ಗುಣಲಕ್ಷಣಗಳೊಂದಿಗೆ ಆಸಕ್ತಿದಾಯಕ ಪರಿಕಲ್ಪನೆಯಾಗಿದೆ:

1. ಟರ್ಮಿನಲ್ ಸಾಧನದ ಪರ್ಯಾಯದ ವಿರುದ್ಧ ರಕ್ಷಣೆಯ ಹಲವಾರು ಅಂಶಗಳು (ಬಳಕೆದಾರರಿಗೆ ಕಟ್ಟುನಿಟ್ಟಾದ ಬಂಧಿಸುವಿಕೆಯೊಂದಿಗೆ);
   • ದೃಢೀಕರಣ ಡೇಟಾಬೇಸ್‌ನಲ್ಲಿ ಅನುಮತಿಸಲಾದ PC ಯ ನಿಯೋಜಿಸಲಾದ UDID ಯೊಂದಿಗೆ ಬಳಕೆದಾರರ PC ಯ ಅನುಸರಣೆಯನ್ನು ನಿರ್ಣಯಿಸುವುದು;
   • Cisco DUO ಮೂಲಕ ದ್ವಿತೀಯ ದೃಢೀಕರಣಕ್ಕಾಗಿ ಪ್ರಮಾಣಪತ್ರದಿಂದ PC UDID ಅನ್ನು ಬಳಸಿಕೊಂಡು MFA ಜೊತೆಗೆ (ನೀವು ಯಾವುದೇ SAML/ರೇಡಿಯಸ್ ಹೊಂದಾಣಿಕೆಯ ಒಂದನ್ನು ಲಗತ್ತಿಸಬಹುದು);
2. ಬಹು ಅಂಶ ದೃಢೀಕರಣ:
   • ಅವುಗಳಲ್ಲಿ ಒಂದರ ವಿರುದ್ಧ ಕ್ಷೇತ್ರ ಪರಿಶೀಲನೆ ಮತ್ತು ದ್ವಿತೀಯ ದೃಢೀಕರಣದೊಂದಿಗೆ ಬಳಕೆದಾರ ಪ್ರಮಾಣಪತ್ರ;
   • ಲಾಗಿನ್ (ಬದಲಾಯಿಸಲಾಗದ, ಪ್ರಮಾಣಪತ್ರದಿಂದ ತೆಗೆದುಕೊಳ್ಳಲಾಗಿದೆ) ಮತ್ತು ಪಾಸ್ವರ್ಡ್;
3. ಸಂಪರ್ಕಿಸುವ ಹೋಸ್ಟ್‌ನ ಸ್ಥಿತಿಯನ್ನು ಅಂದಾಜು ಮಾಡುವುದು (ಭಂಗಿ)

ಬಳಸಿದ ಪರಿಹಾರ ಘಟಕಗಳು:

• ಸಿಸ್ಕೋ ASA (VPN ಗೇಟ್‌ವೇ);
• ಸಿಸ್ಕೋ ISE (ದೃಢೀಕರಣ / ಅಧಿಕಾರ / ಲೆಕ್ಕಪತ್ರ ನಿರ್ವಹಣೆ, ರಾಜ್ಯ ಮೌಲ್ಯಮಾಪನ, CA);
• Cisco DUO (ಮಲ್ಟಿ-ಫ್ಯಾಕ್ಟರ್ ದೃಢೀಕರಣ) (ನೀವು ಯಾವುದೇ SAML/ರೇಡಿಯಸ್ ಹೊಂದಾಣಿಕೆಯ ಒಂದನ್ನು ಲಗತ್ತಿಸಬಹುದು);
• Cisco AnyConnect (ವರ್ಕ್‌ಸ್ಟೇಷನ್‌ಗಳು ಮತ್ತು ಮೊಬೈಲ್ OS ಗಾಗಿ ಬಹು-ಉದ್ದೇಶದ ಏಜೆಂಟ್);

ಗ್ರಾಹಕರ ಅಗತ್ಯತೆಗಳೊಂದಿಗೆ ಪ್ರಾರಂಭಿಸೋಣ:

1. ಬಳಕೆದಾರನು ತನ್ನ ಲಾಗಿನ್/ಪಾಸ್‌ವರ್ಡ್ ದೃಢೀಕರಣದ ಮೂಲಕ, VPN ಗೇಟ್‌ವೇನಿಂದ AnyConnect ಕ್ಲೈಂಟ್ ಅನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ; ಎಲ್ಲಾ ಅಗತ್ಯ AnyConnect ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ಬಳಕೆದಾರರ ನೀತಿಗೆ ಅನುಗುಣವಾಗಿ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಸ್ಥಾಪಿಸಬೇಕು;
2. ಬಳಕೆದಾರರು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ (ಸನ್ನಿವೇಶಗಳಲ್ಲಿ ಒಂದಕ್ಕೆ, ಮುಖ್ಯ ಸನ್ನಿವೇಶವು ಕೈಯಿಂದ ನೀಡುವುದು ಮತ್ತು PC ಯಲ್ಲಿ ಅಪ್‌ಲೋಡ್ ಮಾಡುವುದು), ಆದರೆ ನಾನು ಪ್ರದರ್ಶನಕ್ಕಾಗಿ ಸ್ವಯಂಚಾಲಿತ ಸಮಸ್ಯೆಯನ್ನು ಜಾರಿಗೆ ತಂದಿದ್ದೇನೆ (ಅದನ್ನು ತೆಗೆದುಹಾಕಲು ಇದು ಎಂದಿಗೂ ತಡವಾಗಿಲ್ಲ).
3. ಮೂಲಭೂತ ದೃಢೀಕರಣವು ಹಲವಾರು ಹಂತಗಳಲ್ಲಿ ನಡೆಯಬೇಕು, ಮೊದಲು ಅಗತ್ಯ ಕ್ಷೇತ್ರಗಳು ಮತ್ತು ಅವುಗಳ ಮೌಲ್ಯಗಳ ವಿಶ್ಲೇಷಣೆಯೊಂದಿಗೆ ಪ್ರಮಾಣಪತ್ರ ದೃಢೀಕರಣವಿದೆ, ನಂತರ ಲಾಗಿನ್/ಪಾಸ್ವರ್ಡ್, ಈ ಬಾರಿ ಮಾತ್ರ ಪ್ರಮಾಣಪತ್ರ ಕ್ಷೇತ್ರದಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಬಳಕೆದಾರ ಹೆಸರನ್ನು ಲಾಗಿನ್ ವಿಂಡೋದಲ್ಲಿ ಸೇರಿಸಬೇಕು. ವಿಷಯದ ಹೆಸರು (CN) ಸಂಪಾದಿಸುವ ಸಾಮರ್ಥ್ಯವಿಲ್ಲದೆ.
4. ನೀವು ಲಾಗ್ ಇನ್ ಮಾಡುತ್ತಿರುವ ಸಾಧನವು ರಿಮೋಟ್ ಪ್ರವೇಶಕ್ಕಾಗಿ ಬಳಕೆದಾರರಿಗೆ ನೀಡಲಾದ ಕಾರ್ಪೊರೇಟ್ ಲ್ಯಾಪ್‌ಟಾಪ್ ಆಗಿದೆಯೇ ಹೊರತು ಬೇರೆ ಯಾವುದೋ ಅಲ್ಲ ಎಂದು ನೀವು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಬೇಕು. (ಈ ಅಗತ್ಯವನ್ನು ಪೂರೈಸಲು ಹಲವಾರು ಆಯ್ಕೆಗಳನ್ನು ಮಾಡಲಾಗಿದೆ)
5. ಸಂಪರ್ಕಿಸುವ ಸಾಧನದ ಸ್ಥಿತಿಯನ್ನು (ಈ ಹಂತದಲ್ಲಿ ಪಿಸಿ) ಗ್ರಾಹಕರ ಅಗತ್ಯತೆಗಳ ಸಂಪೂರ್ಣ ಭಾರೀ ಕೋಷ್ಟಕದ ಪರಿಶೀಲನೆಯೊಂದಿಗೆ ಮೌಲ್ಯಮಾಪನ ಮಾಡಬೇಕು (ಸಂಗ್ರಹಿಸಿ):
   • ಫೈಲ್ಗಳು ಮತ್ತು ಅವುಗಳ ಗುಣಲಕ್ಷಣಗಳು;
   • ನೋಂದಾವಣೆ ನಮೂದುಗಳು;
   • ಒದಗಿಸಿದ ಪಟ್ಟಿಯಿಂದ OS ಪ್ಯಾಚ್‌ಗಳು (ನಂತರ SCCM ಏಕೀಕರಣ);
   • ನಿರ್ದಿಷ್ಟ ತಯಾರಕರಿಂದ ಆಂಟಿ-ವೈರಸ್ ಲಭ್ಯತೆ ಮತ್ತು ಸಹಿಗಳ ಪ್ರಸ್ತುತತೆ;
   • ಕೆಲವು ಸೇವೆಗಳ ಚಟುವಟಿಕೆ;
   • ಕೆಲವು ಸ್ಥಾಪಿಸಲಾದ ಕಾರ್ಯಕ್ರಮಗಳ ಲಭ್ಯತೆ;

ಮೊದಲಿಗೆ, ಫಲಿತಾಂಶದ ಅನುಷ್ಠಾನದ ವೀಡಿಯೊ ಪ್ರದರ್ಶನವನ್ನು ನೀವು ಖಂಡಿತವಾಗಿ ನೋಡಬೇಕೆಂದು ನಾನು ಸೂಚಿಸುತ್ತೇನೆ ಯುಟ್ಯೂಬ್ (5 ನಿಮಿಷಗಳು).

ವೀಡಿಯೊ ಕ್ಲಿಪ್‌ನಲ್ಲಿ ಒಳಗೊಂಡಿರದ ಅನುಷ್ಠಾನದ ವಿವರಗಳನ್ನು ಪರಿಗಣಿಸಲು ಈಗ ನಾನು ಪ್ರಸ್ತಾಪಿಸುತ್ತೇನೆ.

AnyConnect ಪ್ರೊಫೈಲ್ ಅನ್ನು ಸಿದ್ಧಪಡಿಸೋಣ:

ನಾನು ಈ ಹಿಂದೆ ಸೆಟ್ಟಿಂಗ್ ಕುರಿತು ನನ್ನ ಲೇಖನದಲ್ಲಿ ಪ್ರೊಫೈಲ್ (ASDM ನಲ್ಲಿ ಮೆನು ಐಟಂನ ವಿಷಯದಲ್ಲಿ) ರಚಿಸುವ ಉದಾಹರಣೆಯನ್ನು ನೀಡಿದ್ದೇನೆ VPN ಲೋಡ್-ಬ್ಯಾಲೆನ್ಸಿಂಗ್ ಕ್ಲಸ್ಟರ್. ಈಗ ನಾನು ನಮಗೆ ಅಗತ್ಯವಿರುವ ಆಯ್ಕೆಗಳನ್ನು ಪ್ರತ್ಯೇಕವಾಗಿ ಗಮನಿಸಲು ಬಯಸುತ್ತೇನೆ:

ಪ್ರೊಫೈಲ್‌ನಲ್ಲಿ, ಅಂತಿಮ ಕ್ಲೈಂಟ್‌ಗೆ ಸಂಪರ್ಕಿಸಲು ನಾವು VPN ಗೇಟ್‌ವೇ ಮತ್ತು ಪ್ರೊಫೈಲ್ ಹೆಸರನ್ನು ಸೂಚಿಸುತ್ತೇವೆ:

ಪ್ರೊಫೈಲ್ ಬದಿಯಿಂದ ಪ್ರಮಾಣಪತ್ರದ ಸ್ವಯಂಚಾಲಿತ ವಿತರಣೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡೋಣ, ನಿರ್ದಿಷ್ಟವಾಗಿ, ಪ್ರಮಾಣಪತ್ರ ನಿಯತಾಂಕಗಳನ್ನು ಸೂಚಿಸುತ್ತದೆ ಮತ್ತು ವಿಶಿಷ್ಟವಾಗಿ, ಕ್ಷೇತ್ರಕ್ಕೆ ಗಮನ ಕೊಡಿ ಮೊದಲಕ್ಷರಗಳು (I), ಅಲ್ಲಿ ನಿರ್ದಿಷ್ಟ ಮೌಲ್ಯವನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ನಮೂದಿಸಲಾಗುತ್ತದೆ ಯುಡಿಐಡಿ ಪರೀಕ್ಷಾ ಯಂತ್ರ (Cisco AnyConnect ಕ್ಲೈಂಟ್‌ನಿಂದ ರಚಿಸಲಾದ ವಿಶಿಷ್ಟ ಸಾಧನ ಗುರುತಿಸುವಿಕೆ).

ಇಲ್ಲಿ ನಾನು ಭಾವಗೀತಾತ್ಮಕ ವ್ಯತಿರಿಕ್ತತೆಯನ್ನು ಮಾಡಲು ಬಯಸುತ್ತೇನೆ, ಏಕೆಂದರೆ ಈ ಲೇಖನವು ಪರಿಕಲ್ಪನೆಯನ್ನು ವಿವರಿಸುತ್ತದೆ; ಪ್ರದರ್ಶನ ಉದ್ದೇಶಗಳಿಗಾಗಿ, ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡುವ UDID ಅನ್ನು AnyConnect ಪ್ರೊಫೈಲ್‌ನ ಆರಂಭಿಕ ಕ್ಷೇತ್ರದಲ್ಲಿ ನಮೂದಿಸಲಾಗಿದೆ. ಸಹಜವಾಗಿ, ನಿಜ ಜೀವನದಲ್ಲಿ, ನೀವು ಇದನ್ನು ಮಾಡಿದರೆ, ಎಲ್ಲಾ ಕ್ಲೈಂಟ್‌ಗಳು ಈ ಕ್ಷೇತ್ರದಲ್ಲಿ ಒಂದೇ ಯುಡಿಐಡಿಯೊಂದಿಗೆ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸ್ವೀಕರಿಸುತ್ತಾರೆ ಮತ್ತು ಅವರಿಗೆ ಅವರ ನಿರ್ದಿಷ್ಟ ಪಿಸಿಯ ಯುಡಿಐಡಿ ಅಗತ್ಯವಿರುವುದರಿಂದ ಅವರಿಗೆ ಏನೂ ಕೆಲಸ ಮಾಡುವುದಿಲ್ಲ. AnyConnect, ದುರದೃಷ್ಟವಶಾತ್, ಯುಡಿಐಡಿ ಕ್ಷೇತ್ರವನ್ನು ಎನ್ವಿರಾನ್ಮೆಂಟ್ ವೇರಿಯಬಲ್ ಮೂಲಕ ಪ್ರಮಾಣಪತ್ರ ವಿನಂತಿಯ ಪ್ರೊಫೈಲ್‌ಗೆ ಪರ್ಯಾಯವಾಗಿ ಇನ್ನೂ ಕಾರ್ಯಗತಗೊಳಿಸಿಲ್ಲ, ಉದಾಹರಣೆಗೆ, ವೇರಿಯಬಲ್‌ನೊಂದಿಗೆ %ಬಳಕೆದಾರ%.

ಗ್ರಾಹಕರು (ಈ ಸನ್ನಿವೇಶದಲ್ಲಿ) ಆರಂಭದಲ್ಲಿ ಅಂತಹ ಸಂರಕ್ಷಿತ ಪಿಸಿಗಳಿಗೆ ಮ್ಯಾನ್ಯುವಲ್ ಮೋಡ್‌ನಲ್ಲಿ ನೀಡಿದ ಯುಡಿಐಡಿಯೊಂದಿಗೆ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಸ್ವತಂತ್ರವಾಗಿ ನೀಡಲು ಯೋಜಿಸಿದ್ದಾರೆ ಎಂದು ಗಮನಿಸಬೇಕಾದ ಅಂಶವಾಗಿದೆ, ಅದು ಅವರಿಗೆ ಸಮಸ್ಯೆಯಲ್ಲ. ಆದಾಗ್ಯೂ, ನಮ್ಮಲ್ಲಿ ಹೆಚ್ಚಿನವರಿಗೆ ನಾವು ಯಾಂತ್ರೀಕರಣವನ್ನು ಬಯಸುತ್ತೇವೆ (ಅಲ್ಲದೆ, ನನಗೆ ಇದು ನಿಜ =)).

ಮತ್ತು ಯಾಂತ್ರೀಕೃತಗೊಂಡ ವಿಷಯದಲ್ಲಿ ನಾನು ನೀಡಬಹುದಾದದ್ದು ಇದನ್ನೇ. ಯುಡಿಐಡಿಯನ್ನು ಕ್ರಿಯಾತ್ಮಕವಾಗಿ ಬದಲಿಸುವ ಮೂಲಕ AnyConnect ಇನ್ನೂ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡಲು ಸಾಧ್ಯವಾಗದಿದ್ದರೆ, ಸ್ವಲ್ಪ ಸೃಜನಶೀಲ ಚಿಂತನೆ ಮತ್ತು ಕೌಶಲ್ಯಪೂರ್ಣ ಕೈಗಳ ಅಗತ್ಯವಿರುವ ಇನ್ನೊಂದು ಮಾರ್ಗವಿದೆ - ನಾನು ನಿಮಗೆ ಪರಿಕಲ್ಪನೆಯನ್ನು ಹೇಳುತ್ತೇನೆ. ಮೊದಲಿಗೆ, AnyConnect ಏಜೆಂಟ್‌ನಿಂದ ವಿಭಿನ್ನ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್‌ಗಳಲ್ಲಿ UDID ಅನ್ನು ಹೇಗೆ ರಚಿಸಲಾಗಿದೆ ಎಂಬುದನ್ನು ನೋಡೋಣ:

• ವಿಂಡೋಸ್ - ಡಿಜಿಟಲ್ ಉತ್ಪನ್ನ ಐಡಿ ಮತ್ತು ಯಂತ್ರ SID ರಿಜಿಸ್ಟ್ರಿ ಕೀ ಸಂಯೋಜನೆಯ SHA-256 ಹ್ಯಾಶ್
• OSX — SHA-256 ಹ್ಯಾಶ್ PlatformUUID
• ಲಿನಕ್ಸ್ — ರೂಟ್ ವಿಭಾಗದ UUID ನ SHA-256 ಹ್ಯಾಶ್.
• ಆಪಲ್ ಐಒಎಸ್ — SHA-256 ಹ್ಯಾಶ್ PlatformUUID
• ಆಂಡ್ರಾಯ್ಡ್ - ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ನೋಡಿ ಲಿಂಕ್

ಅಂತೆಯೇ, ನಾವು ನಮ್ಮ ಕಾರ್ಪೊರೇಟ್ ವಿಂಡೋಸ್ ಓಎಸ್‌ಗಾಗಿ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ರಚಿಸುತ್ತೇವೆ, ಈ ಸ್ಕ್ರಿಪ್ಟ್‌ನೊಂದಿಗೆ ನಾವು ಸ್ಥಳೀಯವಾಗಿ ತಿಳಿದಿರುವ ಇನ್‌ಪುಟ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಯುಡಿಐಡಿಯನ್ನು ಲೆಕ್ಕಾಚಾರ ಮಾಡುತ್ತೇವೆ ಮತ್ತು ಅಗತ್ಯವಿರುವ ಕ್ಷೇತ್ರದಲ್ಲಿ ಈ ಯುಡಿಐಡಿಯನ್ನು ನಮೂದಿಸುವ ಮೂಲಕ ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡಲು ವಿನಂತಿಯನ್ನು ರೂಪಿಸುತ್ತೇವೆ, ಮೂಲಕ, ನೀವು ಯಂತ್ರವನ್ನು ಸಹ ಬಳಸಬಹುದು AD ಯಿಂದ ನೀಡಲಾದ ಪ್ರಮಾಣಪತ್ರ (ಸ್ಕೀಮ್‌ಗೆ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಬಳಸಿಕೊಂಡು ಡಬಲ್ ದೃಢೀಕರಣವನ್ನು ಸೇರಿಸುವ ಮೂಲಕ ಬಹು ಪ್ರಮಾಣಪತ್ರ).

ಸಿಸ್ಕೋ ASA ಬದಿಯಲ್ಲಿ ಸೆಟ್ಟಿಂಗ್‌ಗಳನ್ನು ಸಿದ್ಧಪಡಿಸೋಣ:

ISE CA ಸರ್ವರ್‌ಗಾಗಿ TrustPoint ಅನ್ನು ರಚಿಸೋಣ, ಅದು ಗ್ರಾಹಕರಿಗೆ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀಡುತ್ತದೆ. ನಾನು ಕೀ-ಚೈನ್ ಆಮದು ವಿಧಾನವನ್ನು ಪರಿಗಣಿಸುವುದಿಲ್ಲ; ಸೆಟಪ್ ಕುರಿತು ನನ್ನ ಲೇಖನದಲ್ಲಿ ಉದಾಹರಣೆಯನ್ನು ವಿವರಿಸಲಾಗಿದೆ VPN ಲೋಡ್-ಬ್ಯಾಲೆನ್ಸಿಂಗ್ ಕ್ಲಸ್ಟರ್.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

ದೃಢೀಕರಣಕ್ಕಾಗಿ ಬಳಸಲಾಗುವ ಪ್ರಮಾಣಪತ್ರದಲ್ಲಿನ ಕ್ಷೇತ್ರಗಳಿಗೆ ಅನುಸಾರವಾಗಿ ನಿಯಮಗಳ ಆಧಾರದ ಮೇಲೆ ನಾವು ಟನಲ್-ಗ್ರೂಪ್ ಮೂಲಕ ವಿತರಣೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುತ್ತೇವೆ. ಹಿಂದಿನ ಹಂತದಲ್ಲಿ ನಾವು ಮಾಡಿದ AnyConnect ಪ್ರೊಫೈಲ್ ಅನ್ನು ಸಹ ಇಲ್ಲಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ. ನಾನು ಮೌಲ್ಯವನ್ನು ಬಳಸುತ್ತಿದ್ದೇನೆ ಎಂಬುದನ್ನು ದಯವಿಟ್ಟು ಗಮನಿಸಿ ಸೆಕ್ಯೂರ್‌ಬ್ಯಾಂಕ್-ಆರ್‌ಎ, ನೀಡಿದ ಪ್ರಮಾಣಪತ್ರದೊಂದಿಗೆ ಬಳಕೆದಾರರನ್ನು ಸುರಂಗ ಗುಂಪಿಗೆ ವರ್ಗಾಯಿಸಲು ಸೆಕ್ಯೂರ್-ಬ್ಯಾಂಕ್-ವಿಪಿಎನ್, AnyConnect ಪ್ರೊಫೈಲ್ ಪ್ರಮಾಣಪತ್ರ ವಿನಂತಿ ಕಾಲಮ್‌ನಲ್ಲಿ ನಾನು ಈ ಕ್ಷೇತ್ರವನ್ನು ಹೊಂದಿದ್ದೇನೆ ಎಂಬುದನ್ನು ದಯವಿಟ್ಟು ಗಮನಿಸಿ.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

ದೃಢೀಕರಣ ಸರ್ವರ್‌ಗಳನ್ನು ಹೊಂದಿಸಲಾಗುತ್ತಿದೆ. ನನ್ನ ಸಂದರ್ಭದಲ್ಲಿ, ಇದು ದೃಢೀಕರಣದ ಮೊದಲ ಹಂತಕ್ಕೆ ISE ಮತ್ತು MFA ಆಗಿ DUO (ರೇಡಿಯಸ್ ಪ್ರಾಕ್ಸಿ) ಆಗಿದೆ.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

ನಾವು ಗುಂಪು ನೀತಿಗಳು ಮತ್ತು ಸುರಂಗ ಗುಂಪುಗಳು ಮತ್ತು ಅವುಗಳ ಸಹಾಯಕ ಘಟಕಗಳನ್ನು ರಚಿಸುತ್ತೇವೆ:

ಸುರಂಗ ಗುಂಪು ಡೀಫಾಲ್ಟ್‌ವೆಬಿವಿಪಿಎನ್‌ಗ್ರೂಪ್ AnyConnect VPN ಕ್ಲೈಂಟ್ ಅನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಲು ಮತ್ತು ASA ಯ SCEP-ಪ್ರಾಕ್ಸಿ ಕಾರ್ಯವನ್ನು ಬಳಸಿಕೊಂಡು ಬಳಕೆದಾರ ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡಲು ಪ್ರಾಥಮಿಕವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ; ಇದಕ್ಕಾಗಿ ನಾವು ಸುರಂಗ ಗುಂಪಿನಲ್ಲಿ ಮತ್ತು ಸಂಬಂಧಿತ ಗುಂಪಿನ ನೀತಿಯಲ್ಲಿ ಅನುಗುಣವಾದ ಆಯ್ಕೆಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದ್ದೇವೆ. AC-ಡೌನ್‌ಲೋಡ್, ಮತ್ತು ಲೋಡ್ ಮಾಡಲಾದ AnyConnect ಪ್ರೊಫೈಲ್‌ನಲ್ಲಿ (ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡುವ ಕ್ಷೇತ್ರಗಳು, ಇತ್ಯಾದಿ.). ಈ ಗುಂಪಿನ ನೀತಿಯಲ್ಲಿ ನಾವು ಡೌನ್‌ಲೋಡ್ ಮಾಡುವ ಅಗತ್ಯವನ್ನು ಸೂಚಿಸುತ್ತೇವೆ ISE ಭಂಗಿ ಮಾಡ್ಯೂಲ್.

ಸುರಂಗ ಗುಂಪು ಸೆಕ್ಯೂರ್-ಬ್ಯಾಂಕ್-ವಿಪಿಎನ್ ಹಿಂದಿನ ಹಂತದಲ್ಲಿ ನೀಡಿದ ಪ್ರಮಾಣಪತ್ರದೊಂದಿಗೆ ದೃಢೀಕರಿಸುವಾಗ ಕ್ಲೈಂಟ್ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಬಳಸಲ್ಪಡುತ್ತದೆ, ಏಕೆಂದರೆ ಪ್ರಮಾಣಪತ್ರ ನಕ್ಷೆಗೆ ಅನುಗುಣವಾಗಿ ಸಂಪರ್ಕವು ನಿರ್ದಿಷ್ಟವಾಗಿ ಈ ಸುರಂಗ ಗುಂಪಿನ ಮೇಲೆ ಬೀಳುತ್ತದೆ. ಆಸಕ್ತಿದಾಯಕ ಆಯ್ಕೆಗಳ ಬಗ್ಗೆ ನಾನು ನಿಮಗೆ ಹೇಳುತ್ತೇನೆ:

• ದ್ವಿತೀಯ-ದೃಢೀಕರಣ-ಸರ್ವರ್-ಗುಂಪು DUO # DUO ಸರ್ವರ್‌ನಲ್ಲಿ ದ್ವಿತೀಯ ದೃಢೀಕರಣವನ್ನು ಹೊಂದಿಸಿ (ರೇಡಿಯಸ್ ಪ್ರಾಕ್ಸಿ)
• ಬಳಕೆದಾರಹೆಸರು-ಸರ್ಟಿಫಿಕೇಟ್CN ನಿಂದ # ಪ್ರಾಥಮಿಕ ದೃಢೀಕರಣಕ್ಕಾಗಿ, ಬಳಕೆದಾರರ ಲಾಗಿನ್ ಅನ್ನು ಆನುವಂಶಿಕವಾಗಿ ಪಡೆಯಲು ನಾವು ಪ್ರಮಾಣಪತ್ರದ CN ಕ್ಷೇತ್ರವನ್ನು ಬಳಸುತ್ತೇವೆ
• ದ್ವಿತೀಯ-ಬಳಕೆದಾರಹೆಸರು-ಪ್ರಮಾಣಪತ್ರ I # DUO ಸರ್ವರ್‌ನಲ್ಲಿ ದ್ವಿತೀಯ ದೃಢೀಕರಣಕ್ಕಾಗಿ, ನಾವು ಹೊರತೆಗೆಯಲಾದ ಬಳಕೆದಾರಹೆಸರು ಮತ್ತು ಪ್ರಮಾಣಪತ್ರದ ಮೊದಲಕ್ಷರಗಳು (I) ಕ್ಷೇತ್ರಗಳನ್ನು ಬಳಸುತ್ತೇವೆ.
• ಪೂರ್ವ-ಭರ್ತಿ-ಬಳಕೆದಾರಹೆಸರು ಕ್ಲೈಂಟ್ # ಬಳಕೆದಾರರ ಹೆಸರನ್ನು ಬದಲಾಯಿಸುವ ಸಾಮರ್ಥ್ಯವಿಲ್ಲದೆಯೇ ದೃಢೀಕರಣ ವಿಂಡೋದಲ್ಲಿ ಮೊದಲೇ ಭರ್ತಿ ಮಾಡಿ
• ಸೆಕೆಂಡರಿ-ಪ್ರಿ-ಫಿಲ್-ಯೂಸರ್ ನೇಮ್ ಕ್ಲೈಂಟ್ ಹೈಡ್ ಬಳಕೆ-ಸಾಮಾನ್ಯ-ಪಾಸ್‌ವರ್ಡ್ ಪುಶ್ # ನಾವು ದ್ವಿತೀಯ ದೃಢೀಕರಣ DUO ಗಾಗಿ ಲಾಗಿನ್/ಪಾಸ್‌ವರ್ಡ್ ಇನ್‌ಪುಟ್ ವಿಂಡೋವನ್ನು ಮರೆಮಾಡುತ್ತೇವೆ ಮತ್ತು ಅಧಿಸೂಚನೆ ವಿಧಾನವನ್ನು ಬಳಸುತ್ತೇವೆ (sms/ಪುಶ್/ಫೋನ್) - ಪಾಸ್‌ವರ್ಡ್ ಕ್ಷೇತ್ರದ ಬದಲಿಗೆ ದೃಢೀಕರಣವನ್ನು ವಿನಂತಿಸಲು ಡಾಕ್ ಮಾಡಿ ಇಲ್ಲಿ

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

ಮುಂದೆ ನಾವು ISE ಗೆ ಹೋಗುತ್ತೇವೆ:

ನಾವು ಸ್ಥಳೀಯ ಬಳಕೆದಾರರನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುತ್ತೇವೆ (ನೀವು AD/LDAP/ODBC, ಇತ್ಯಾದಿಗಳನ್ನು ಬಳಸಬಹುದು), ಸರಳತೆಗಾಗಿ, ನಾನು ISE ನಲ್ಲಿಯೇ ಸ್ಥಳೀಯ ಬಳಕೆದಾರರನ್ನು ರಚಿಸಿದ್ದೇನೆ ಮತ್ತು ಅದನ್ನು ಕ್ಷೇತ್ರದಲ್ಲಿ ನಿಯೋಜಿಸಿದ್ದೇನೆ ವಿವರಣೆ ಯುಡಿಐಡಿ ಪಿಸಿ ಇದರಿಂದ ಅವರು VPN ಮೂಲಕ ಲಾಗ್ ಇನ್ ಮಾಡಲು ಅನುಮತಿಸಲಾಗಿದೆ. ನಾನು ISE ನಲ್ಲಿ ಸ್ಥಳೀಯ ದೃಢೀಕರಣವನ್ನು ಬಳಸಿದರೆ, ನಾನು ಒಂದು ಸಾಧನಕ್ಕೆ ಮಾತ್ರ ಸೀಮಿತವಾಗಿರುತ್ತೇನೆ, ಏಕೆಂದರೆ ಹೆಚ್ಚಿನ ಕ್ಷೇತ್ರಗಳಿಲ್ಲ, ಆದರೆ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ದೃಢೀಕರಣ ಡೇಟಾಬೇಸ್‌ಗಳಲ್ಲಿ ನಾನು ಅಂತಹ ನಿರ್ಬಂಧಗಳನ್ನು ಹೊಂದಿರುವುದಿಲ್ಲ.

ಅಧಿಕಾರ ನೀತಿಯನ್ನು ನೋಡೋಣ, ಇದನ್ನು ನಾಲ್ಕು ಸಂಪರ್ಕ ಹಂತಗಳಾಗಿ ವಿಂಗಡಿಸಲಾಗಿದೆ:

• ಹಂತ 1 — AnyConnect ಏಜೆಂಟ್ ಅನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಲು ಮತ್ತು ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡುವ ನೀತಿ
• ಹಂತ 2 — ಪ್ರಾಥಮಿಕ ದೃಢೀಕರಣ ನೀತಿ ಲಾಗಿನ್ (ಪ್ರಮಾಣಪತ್ರದಿಂದ)/ಪಾಸ್‌ವರ್ಡ್ + ಯುಡಿಐಡಿ ಮೌಲ್ಯೀಕರಣದೊಂದಿಗೆ ಪ್ರಮಾಣಪತ್ರ
• ಹಂತ 3 - UDID ಅನ್ನು ಬಳಕೆದಾರಹೆಸರು + ರಾಜ್ಯ ಮೌಲ್ಯಮಾಪನವಾಗಿ ಬಳಸಿಕೊಂಡು Cisco DUO (MFA) ಮೂಲಕ ದ್ವಿತೀಯ ದೃಢೀಕರಣ
• ಹಂತ 4 - ಅಂತಿಮ ಅಧಿಕಾರವು ರಾಜ್ಯದಲ್ಲಿದೆ:
  • ಕಂಪ್ಲೈಂಟ್;
  • UDID ಮೌಲ್ಯೀಕರಣ (ಪ್ರಮಾಣಪತ್ರ + ಲಾಗಿನ್ ಬೈಂಡಿಂಗ್‌ನಿಂದ),
  • Cisco DUO MFA;
  • ಲಾಗಿನ್ ಮೂಲಕ ದೃಢೀಕರಣ;
  • ಪ್ರಮಾಣಪತ್ರ ದೃಢೀಕರಣ;

ಆಸಕ್ತಿದಾಯಕ ಸ್ಥಿತಿಯನ್ನು ನೋಡೋಣ UUID_VALIDATED, ಕ್ಷೇತ್ರದಲ್ಲಿ ಸಂಯೋಜಿತವಾಗಿರುವ ಅನುಮತಿಸಲಾದ UDID ಹೊಂದಿರುವ PC ಯಿಂದ ದೃಢೀಕರಿಸುವ ಬಳಕೆದಾರರು ನಿಜವಾಗಿ ಬಂದಿರುವಂತೆ ತೋರುತ್ತಿದೆ ವಿವರಣೆ ಖಾತೆ, ಷರತ್ತುಗಳು ಈ ರೀತಿ ಕಾಣುತ್ತವೆ:

1,2,3 ಹಂತಗಳಲ್ಲಿ ಬಳಸಲಾದ ಅಧಿಕೃತ ಪ್ರೊಫೈಲ್ ಈ ಕೆಳಗಿನಂತಿದೆ:

ISE ನಲ್ಲಿನ ಕ್ಲೈಂಟ್ ಸೆಶನ್ ವಿವರಗಳನ್ನು ನೋಡುವ ಮೂಲಕ AnyConnect ಕ್ಲೈಂಟ್‌ನಿಂದ UDID ನಮಗೆ ಹೇಗೆ ಬರುತ್ತದೆ ಎಂಬುದನ್ನು ನೀವು ನಿಖರವಾಗಿ ಪರಿಶೀಲಿಸಬಹುದು. ವಿವರವಾಗಿ ನಾವು ಯಾಂತ್ರಿಕತೆಯ ಮೂಲಕ AnyConnect ಎಂದು ನೋಡುತ್ತೇವೆ ACIDEX ಪ್ಲಾಟ್‌ಫಾರ್ಮ್ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಮಾತ್ರವಲ್ಲದೆ ಸಾಧನದ UDID ಅನ್ನು ಸಹ ಕಳುಹಿಸುತ್ತದೆ ಸಿಸ್ಕೋ-ಎವಿ-ಪೇರ್:

ಬಳಕೆದಾರರಿಗೆ ನೀಡಿದ ಪ್ರಮಾಣಪತ್ರ ಮತ್ತು ಕ್ಷೇತ್ರಕ್ಕೆ ಗಮನ ಕೊಡೋಣ ಮೊದಲಕ್ಷರಗಳು (I), ಇದನ್ನು Cisco DUO ನಲ್ಲಿ ದ್ವಿತೀಯ MFA ದೃಢೀಕರಣಕ್ಕಾಗಿ ಲಾಗಿನ್ ಆಗಿ ತೆಗೆದುಕೊಳ್ಳಲು ಬಳಸಲಾಗುತ್ತದೆ:

ಲಾಗ್‌ನಲ್ಲಿನ DUO ತ್ರಿಜ್ಯದ ಪ್ರಾಕ್ಸಿ ಭಾಗದಲ್ಲಿ ದೃಢೀಕರಣ ವಿನಂತಿಯನ್ನು ಹೇಗೆ ಮಾಡಲಾಗಿದೆ ಎಂಬುದನ್ನು ನಾವು ಸ್ಪಷ್ಟವಾಗಿ ನೋಡಬಹುದು, ಇದು UDID ಅನ್ನು ಬಳಕೆದಾರಹೆಸರಾಗಿ ಬಳಸುತ್ತದೆ:

DUO ಪೋರ್ಟಲ್‌ನಿಂದ ನಾವು ಯಶಸ್ವಿ ದೃಢೀಕರಣ ಈವೆಂಟ್ ಅನ್ನು ನೋಡುತ್ತೇವೆ:

ಮತ್ತು ಬಳಕೆದಾರ ಗುಣಲಕ್ಷಣಗಳಲ್ಲಿ ನಾನು ಅದನ್ನು ಹೊಂದಿಸಿದ್ದೇನೆ ಅಲಿಯಾಸ್, ನಾನು ಲಾಗಿನ್ ಮಾಡಲು ಬಳಸಿದ್ದೇನೆ, ಇದು ಲಾಗಿನ್ ಮಾಡಲು ಅನುಮತಿಸಲಾದ PC ಯ UDID ಆಗಿದೆ:

ಪರಿಣಾಮವಾಗಿ ನಾವು ಪಡೆದುಕೊಂಡಿದ್ದೇವೆ:

• ಬಹು ಅಂಶ ಬಳಕೆದಾರ ಮತ್ತು ಸಾಧನದ ದೃಢೀಕರಣ;
• ಬಳಕೆದಾರರ ಸಾಧನದ ವಂಚನೆಯ ವಿರುದ್ಧ ರಕ್ಷಣೆ;
• ಸಾಧನದ ಸ್ಥಿತಿಯನ್ನು ನಿರ್ಣಯಿಸುವುದು;
• ಡೊಮೇನ್ ಯಂತ್ರ ಪ್ರಮಾಣಪತ್ರ, ಇತ್ಯಾದಿಗಳೊಂದಿಗೆ ಹೆಚ್ಚಿದ ನಿಯಂತ್ರಣದ ಸಂಭಾವ್ಯತೆ;
• ಸ್ವಯಂಚಾಲಿತವಾಗಿ ನಿಯೋಜಿಸಲಾದ ಭದ್ರತಾ ಮಾಡ್ಯೂಲ್‌ಗಳೊಂದಿಗೆ ಸಮಗ್ರ ದೂರಸ್ಥ ಕಾರ್ಯಸ್ಥಳದ ರಕ್ಷಣೆ;

Cisco VPN ಸರಣಿಯ ಲೇಖನಗಳಿಗೆ ಲಿಂಕ್‌ಗಳು:

• ASA VPN ಲೋಡ್-ಬ್ಯಾಲೆನ್ಸಿಂಗ್ ಕ್ಲಸ್ಟರ್ ಅನ್ನು ನಿಯೋಜಿಸಲಾಗುತ್ತಿದೆ
• Cisco ASA ನಲ್ಲಿ AnyConnect VPN ಸುರಂಗದಲ್ಲಿ ಕ್ಲೌಡ್ ಸೇವೆಗಳನ್ನು ಆಪ್ಟಿಮೈಜ್ ಮಾಡುವುದು

ಮೂಲ: www.habr.com