์กฐ์ง ์ฃผ์ ์ ๊ดํ ์ผ๋ จ์ ๊ธฐ์ฌ๋ฅผ ๊ณ์ํฉ๋๋ค. ์๊ฒฉ ์ก์ธ์ค VPN ๋ด ํฅ๋ฏธ๋ก์ด ๋ฐฐํฌ ๊ฒฝํ์ ๊ณต์ ํ์ง ์์ ์ ์์ต๋๋ค. ๋งค์ฐ ์์ ํ VPN ๊ตฌ์ฑ. ํ ๊ณ ๊ฐ(๋ฌ์์ ๋ง์์ ๋ฐ๋ช ๊ฐ๊ฐ ์์)์ด ์ฌ์ํ ์์ ์ ์ ์ํ์ง๋ง ์ฑ๋ฆฐ์ง๊ฐ ์๋ฝ๋์ด ์ฐฝ์์ ์ผ๋ก ๊ตฌํ๋์์ต๋๋ค. ๊ทธ ๊ฒฐ๊ณผ ๋ค์๊ณผ ๊ฐ์ ํน์ง์ ์ง๋ ํฅ๋ฏธ๋ก์ด ๊ฐ๋ ์ด ํ์ํ์ต๋๋ค.
- ๋จ๋ง ์ฅ์น ๋์ฒด์ ๋ํ ์ฌ๋ฌ ๊ฐ์ง ๋ณดํธ ์์(์ฌ์ฉ์์ ๋ํ ์๊ฒฉํ ๊ตฌ์๋ ฅ ํฌํจ)
- ์ธ์ฆ ๋ฐ์ดํฐ๋ฒ ์ด์ค์์ ํ์ฉ๋ PC์ ํ ๋น๋ UDID์ ๋ํ ์ฌ์ฉ์ PC์ ์ค์ ์ฌ๋ถ๋ฅผ ํ๊ฐํฉ๋๋ค.
- Cisco DUO๋ฅผ ํตํ ๋ณด์กฐ ์ธ์ฆ์ ์ํด ์ธ์ฆ์์ PC UDID๋ฅผ ์ฌ์ฉํ๋ MFA ์ฌ์ฉ (SAML/Radius ํธํ ํญ๋ชฉ์ ์ฒจ๋ถํ ์ ์์ต๋๋ค);
- ๋ค๋จ๊ณ ์ธ์ฆ:
- ํ๋ ๊ฒ์ฆ๊ณผ ๊ทธ ์ค ํ๋์ ๋ํ XNUMX์ฐจ ์ธ์ฆ์ด ํฌํจ๋ ์ฌ์ฉ์ ์ธ์ฆ์
- ๋ก๊ทธ์ธ(๋ณ๊ฒฝ ๋ถ๊ฐ๋ฅ, ์ธ์ฆ์์์ ๊ฐ์ ธ์ด) ๋ฐ ๋น๋ฐ๋ฒํธ
- ์ฐ๊ฒฐ ํธ์คํธ์ ์ํ ์ถ์ (Posture)
์ฌ์ฉ๋ ์๋ฃจ์ ๊ตฌ์ฑ ์์:
- Cisco ASA(VPN ๊ฒ์ดํธ์จ์ด);
- Cisco ISE(์ธ์ฆ/๊ถํ ๋ถ์ฌ/ํ๊ณ, ์ํ ํ๊ฐ, CA);
- Cisco DUO(๋ค๋จ๊ณ ์ธ์ฆ) (SAML/Radius ํธํ ํญ๋ชฉ์ ์ฒจ๋ถํ ์ ์์ต๋๋ค);
- Cisco AnyConnect(์ํฌ์คํ ์ด์ ๋ฐ ๋ชจ๋ฐ์ผ OS์ฉ ๋ค๋ชฉ์ ์์ด์ ํธ);
๊ณ ๊ฐ์ ์๊ตฌ์ฌํญ๋ถํฐ ์์ํด ๋ณด๊ฒ ์ต๋๋ค.
- ์ฌ์ฉ์๋ ๋ก๊ทธ์ธ/๋น๋ฐ๋ฒํธ ์ธ์ฆ์ ํตํด VPN ๊ฒ์ดํธ์จ์ด์์ AnyConnect ํด๋ผ์ด์ธํธ๋ฅผ ๋ค์ด๋ก๋ํ ์ ์์ด์ผ ํ๋ฉฐ, ํ์ํ ๋ชจ๋ AnyConnect ๋ชจ๋์ ์ฌ์ฉ์ ์ ์ฑ ์ ๋ฐ๋ผ ์๋์ผ๋ก ์ค์น๋์ด์ผ ํฉ๋๋ค.
- ์ฌ์ฉ์๋ ์ธ์ฆ์๋ฅผ ์๋์ผ๋ก ๋ฐ๊ธํ ์ ์์ด์ผ ํ์ง๋ง(์๋๋ฆฌ์ค ์ค ํ๋์ ๊ฒฝ์ฐ ์ฃผ์ ์๋๋ฆฌ์ค๋ ์๋์ผ๋ก ๋ฐ๊ธํ๊ณ PC์ ์ ๋ก๋ํ๋ ๊ฒ์) ์์ฐ์ ์ํด ์๋ ๋ฐ๊ธ์ ๊ตฌํํ์ต๋๋ค(์ ๊ฑฐํ๊ธฐ์๋ ๋๋ฌด ๋ฆ์ง ์์์ต๋๋ค).
- ๊ธฐ๋ณธ ์ธ์ฆ์ ์ฌ๋ฌ ๋จ๊ณ๋ก ์ด๋ฃจ์ด์ ธ์ผ ํฉ๋๋ค. ๋จผ์ ํ์ํ ํ๋์ ํด๋น ๊ฐ์ ๋ถ์ํ ์ธ์ฆ์ ์ธ์ฆ, ๋ก๊ทธ์ธ/๋น๋ฐ๋ฒํธ, ์ด๋ฒ์๋ ์ธ์ฆ์ ํ๋์ ์ง์ ๋ ์ฌ์ฉ์ ์ด๋ฆ์ ๋ก๊ทธ์ธ ์ฐฝ์ ์ฝ์ ํด์ผ ํฉ๋๋ค. ์ฃผ์ฒด ์ด๋ฆ(CN) ํธ์ง ๋ฅ๋ ฅ ์์ด.
- ๋ก๊ทธ์ธํ๋ ์ฅ์น๊ฐ ์๊ฒฉ ์ก์ธ์ค๋ฅผ ์ํด ์ฌ์ฉ์์๊ฒ ๋ฐ๊ธ๋ ํ์ฌ ๋ ธํธ๋ถ์ธ์ง, ๋ค๋ฅธ ์ฅ์น๊ฐ ์๋์ง ํ์ธํด์ผ ํฉ๋๋ค. (์ด ์๊ตฌ ์ฌํญ์ ์ถฉ์กฑํ๊ธฐ ์ํด ์ฌ๋ฌ ๊ฐ์ง ์ต์ ์ด ๋ง๋ค์ด์ก์ต๋๋ค.)
- ์ฐ๊ฒฐ ์ฅ์น(์ด ๋จ๊ณ์ PC) ์ํ๋ ๊ณ ๊ฐ ์๊ตฌ ์ฌํญ(์์ฝ)์ ๋ํ ์ ์ฒด ํ๋ฅผ ํ์ธํ์ฌ ํ๊ฐํด์ผ ํฉ๋๋ค.
- ํ์ผ ๋ฐ ํด๋น ์์ฑ
- ๋ ์ง์คํธ๋ฆฌ ํญ๋ชฉ;
- ์ ๊ณต๋ ๋ชฉ๋ก์ OS ํจ์น(๋์ค์ SCCM ํตํฉ)
- ํน์ ์ ์กฐ์ ์ฒด์ ์ํฐ ๋ฐ์ด๋ฌ์ค ๊ฐ์ฉ์ฑ ๋ฐ ์๋ช ์ ๊ด๋ จ์ฑ
- ํน์ ์๋น์ค์ ํ๋
- ์ค์น๋ ํน์ ํ๋ก๊ทธ๋จ์ ๊ฐ์ฉ์ฑ
์ฐ์ , ๊ฒฐ๊ณผ ๊ตฌํ์ ๋ํ ๋น๋์ค ๋ฐ๋ชจ๋ฅผ ๊ผญ ๋ณด์๊ธฐ ๋ฐ๋๋๋ค. ์ ํ๋ธ(5๋ถ).
์ด์ ๋น๋์ค ํด๋ฆฝ์์ ๋ค๋ฃจ์ง ์์ ๊ตฌํ ์ธ๋ถ ์ฌํญ์ ๊ณ ๋ คํ ๊ฒ์ ์ ์ํฉ๋๋ค.
AnyConnect ํ๋กํ์ ์ค๋นํด ๋ณด๊ฒ ์ต๋๋ค.
์ด์ ์ ์ค์ ์ ๋ํ ๋ด ๊ธฐ์ฌ์์ ํ๋กํ ์์ฑ(ASDM์ ๋ฉ๋ด ํญ๋ชฉ ์ธก๋ฉด์์)์ ๋ํ ์๋ฅผ ์ ๊ณตํ์ต๋๋ค.
ํ๋กํ์๋ ์ต์ข ํด๋ผ์ด์ธํธ์ ์ฐ๊ฒฐํ๊ธฐ ์ํ VPN ๊ฒ์ดํธ์จ์ด์ ํ๋กํ ์ด๋ฆ์ด ํ์๋ฉ๋๋ค.
ํนํ ์ธ์ฆ์ ๋งค๊ฐ๋ณ์๋ฅผ ํ์ํ๊ณ ํน์ง์ ์ผ๋ก ํ๋์ ์ฃผ์๋ฅผ ๊ธฐ์ธ์ฌ ํ๋กํ ์ธก์์ ์ธ์ฆ์ ์๋ ๋ฐ๊ธ์ ๊ตฌ์ฑํด ๋ณด๊ฒ ์ต๋๋ค. ์ด๋์ (I), ํน์ ๊ฐ์ ์๋์ผ๋ก ์ ๋ ฅํ๋ ๊ฒฝ์ฐ UDID ํ ์คํธ ๋จธ์ (Cisco AnyConnect ํด๋ผ์ด์ธํธ์์ ์์ฑ๋ ๊ณ ์ ์ฅ์น ์๋ณ์).
์ด ๊ธฐ์ฌ์์๋ ๊ฐ๋ ์ ์ค๋ช ํ๋ฏ๋ก ์์ ์ ์ผ๋ก ์ฌ๋ด์ ๋ง๋ค๊ณ ์ถ์ต๋๋ค. ๋ฐ๋ชจ ๋ชฉ์ ์ผ๋ก ์ธ์ฆ์ ๋ฐ๊ธ์ ์ํ UDID๊ฐ AnyConnect ํ๋กํ์ ์ด๋์ ํ๋์ ์ ๋ ฅ๋ฉ๋๋ค. ๋ฌผ๋ก ์ค์ ์ํ์์ ์ด๋ ๊ฒ ํ๋ฉด ๋ชจ๋ ํด๋ผ์ด์ธํธ๋ ์ด ํ๋์์ ๋์ผํ UDID๊ฐ ์๋ ์ธ์ฆ์๋ฅผ ๋ฐ๊ฒ ๋๋ฉฐ ํน์ PC์ UDID๊ฐ ํ์ํ๊ธฐ ๋๋ฌธ์ ์๋ฌด ๊ฒ๋ ์๋ํ์ง ์์ต๋๋ค. ์ํ๊น๊ฒ๋ AnyConnect๋ ํ๊ฒฝ ๋ณ์(์: ๋ณ์)๋ฅผ ํตํด UDID ํ๋๋ฅผ ์ธ์ฆ์ ์์ฒญ ํ๋กํ๋ก ๋์ฒดํ๋ ๊ธฐ๋ฅ์ ์์ง ๊ตฌํํ์ง ์์ต๋๋ค. %์ฌ์ฉ์%.
(์ด ์๋๋ฆฌ์ค์) ๊ณ ๊ฐ์ ์ฒ์์ ํด๋น ๋ณดํธ๋ PC์ ๋ํด ์๋ ๋ชจ๋์์ ์ง์ ๋ UDID๊ฐ ์๋ ์ธ์ฆ์๋ฅผ ๋ ๋ฆฝ์ ์ผ๋ก ๋ฐ๊ธํ ๊ณํ์ด๋ฉฐ ์ด๋ ๋ฌธ์ ๊ฐ ๋์ง ์๋๋ค๋ ์ ์ ์ฃผ๋ชฉํ ๊ฐ์น๊ฐ ์์ต๋๋ค. ๊ทธ๋ฌ๋ ์ฐ๋ฆฌ ๋๋ถ๋ถ์ ์๋ํ๋ฅผ ์ํฉ๋๋ค(๋์๊ฒ๋ ๊ทธ๊ฒ์ด ์ฌ์ค์ ๋๋ค =)).
์ด๊ฒ์ด ์ ๊ฐ ์๋ํ ์ธก๋ฉด์์ ์ ๊ณตํ ์ ์๋ ๊ฒ์ ๋๋ค. AnyConnect๊ฐ ์์ง UDID๋ฅผ ๋์ ์ผ๋ก ๋์ฒดํ์ฌ ์๋์ผ๋ก ์ธ์ฆ์๋ฅผ ๋ฐ๊ธํ ์ ์๋ ๊ฒฝ์ฐ ์ฝ๊ฐ์ ์ฐฝ์์ ์ธ ์๊ฐ๊ณผ ์๋ จ๋ ์์ด ํ์ํ ๋ ๋ค๋ฅธ ๋ฐฉ๋ฒ์ด ์์ต๋๋ค. ๊ฐ๋ ์ ์๋ ค๋๋ฆฌ๊ฒ ์ต๋๋ค. ๋จผ์ AnyConnect ์์ด์ ํธ๊ฐ ๋ค์ํ ์ด์ ์ฒด์ ์์ UDID๋ฅผ ์์ฑํ๋ ๋ฐฉ๋ฒ์ ์ดํด๋ณด๊ฒ ์ต๋๋ค.
- Windows โ DigitalProductID์ Machine SID ๋ ์ง์คํธ๋ฆฌ ํค ์กฐํฉ์ SHA-256 ํด์
- OSX โ SHA-256 ํด์ PlatformUUID
- Linux โ ๋ฃจํธ ํํฐ์ UUID์ SHA-256 ํด์์ ๋๋ค.
- ์ ํ ์์ดํฐ OS โ SHA-256 ํด์ PlatformUUID
- Android โ ๋ฌธ์ ์ฐธ์กฐ
๋งํฌ
๋ฐ๋ผ์ ์ฐ๋ฆฌ๋ ํ์ฌ Windows OS์ฉ ์คํฌ๋ฆฝํธ๋ฅผ ๋ง๋ญ๋๋ค. ์ด ์คํฌ๋ฆฝํธ๋ฅผ ์ฌ์ฉํ์ฌ ์๋ ค์ง ์ ๋ ฅ์ ์ฌ์ฉํ์ฌ ๋ก์ปฌ๋ก UDID๋ฅผ ๊ณ์ฐํ๊ณ ํ์ ํ๋์ ์ด UDID๋ฅผ ์ ๋ ฅํ์ฌ ์ธ์ฆ์ ๋ฐ๊ธ ์์ฒญ์ ๊ตฌ์ฑํฉ๋๋ค. ๊ทธ๋ฐ๋ฐ ๊ธฐ๊ณ๋ฅผ ์ฌ์ฉํ ์๋ ์์ต๋๋ค. AD์์ ๋ฐ๊ธํ ์ธ์ฆ์(์ธ์ฆ์๋ฅผ ์ด์ฉํ ์ด์ค ์ธ์ฆ์ ์ฒด๊ณ์ ์ถ๊ฐํ์ฌ) ๋ค์ค ์ธ์ฆ์).
Cisco ASA ์ธก์์ ์ค์ ์ ์ค๋นํด ๋ณด๊ฒ ์ต๋๋ค.
ISE CA ์๋ฒ์ฉ TrustPoint๋ฅผ ์์ฑํด ๋ณด๊ฒ ์ต๋๋ค. ์ด๋ ํด๋ผ์ด์ธํธ์ ์ธ์ฆ์๋ฅผ ๋ฐ๊ธํ๋ ๊ฒ์
๋๋ค. ํค์ฒด์ธ ๊ฐ์ ธ์ค๊ธฐ ์ ์ฐจ๋ ๊ณ ๋ คํ์ง ์๊ฒ ์ต๋๋ค. ์๋ ์ค์ ์ ๋ํ ๋ด ๊ธฐ์ฌ์ ์ค๋ช
๋์ด ์์ต๋๋ค.
crypto ca trustpoint ISE-CA
enrollment terminal
crl configure
์ธ์ฆ์ ์ฌ์ฉ๋๋ ์ธ์ฆ์์ ํ๋์ ๋ฐ๋ฅธ ๊ท์น์ ๊ธฐ๋ฐ์ผ๋ก ํฐ๋ ๊ทธ๋ฃน๋ณ ๋ฐฐํฌ๋ฅผ ๊ตฌ์ฑํฉ๋๋ค. ์ด์ ๋จ๊ณ์์ ๋ง๋ AnyConnect ํ๋กํ๋ ์ฌ๊ธฐ์์ ๊ตฌ์ฑ๋ฉ๋๋ค. ๊ฐ์ ์ฌ์ฉํ๊ณ ์์์ ์ฐธ๊ณ ํ์ธ์. ์ํ์ด๋ฑ ํฌ๋ผ, ๋ฐ๊ธ๋ ์ธ์ฆ์๋ฅผ ๊ฐ์ง ์ฌ์ฉ์๋ฅผ ํฐ๋ ๊ทธ๋ฃน์ผ๋ก ์ ์กํฉ๋๋ค. ๋ณด์-์ํ-VPN, AnyConnect ํ๋กํ ์ธ์ฆ์ ์์ฒญ ์ด์ ์ด ํ๋๊ฐ ์์ต๋๋ค.
tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
subject-name attr ou eq securebank-ra
!
webvpn
anyconnect profiles SECUREBANK disk0:/securebank.xml
certificate-group-map OU-Map 6 SECURE-BANK-VPN
!
์ธ์ฆ ์๋ฒ๋ฅผ ์ค์ ํฉ๋๋ค. ์ ๊ฒฝ์ฐ์๋ XNUMX๋จ๊ณ ์ธ์ฆ์ ISE์ด๊ณ , MFA๋ DUO(Radius Proxy)์ ๋๋ค.
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!
๊ทธ๋ฃน ์ ์ฑ , ํฐ๋ ๊ทธ๋ฃน ๋ฐ ํด๋น ๋ณด์กฐ ๊ตฌ์ฑ ์์๋ฅผ ์์ฑํฉ๋๋ค.
ํฐ๋ ๊ทธ๋ฃน ๊ธฐ๋ณธWEBVPN๊ทธ๋ฃน ์ฃผ๋ก AnyConnect VPN ํด๋ผ์ด์ธํธ๋ฅผ ๋ค์ด๋ก๋ํ๊ณ ASA์ SCEP-Proxy ๊ธฐ๋ฅ์ ์ฌ์ฉํ์ฌ ์ฌ์ฉ์ ์ธ์ฆ์๋ฅผ ๋ฐ๊ธํ๋ ๋ฐ ์ฌ์ฉ๋ฉ๋๋ค. ์ด๋ฅผ ์ํด ํฐ๋ ๊ทธ๋ฃน ์์ฒด์ ๊ด๋ จ ๊ทธ๋ฃน ์ ์ฑ ๋ชจ๋์์ ํด๋น ์ต์ ์ด ํ์ฑํ๋์ด ์์ต๋๋ค. AC-๋ค์ด๋ก๋๋ฐ ๋ก๋๋ AnyConnect ํ๋กํ(์ธ์ฆ์ ๋ฐ๊ธ์ ์ํ ํ๋ ๋ฑ)์ ์์ต๋๋ค. ๋ํ ์ด ๊ทธ๋ฃน ์ ์ฑ ์์๋ ๋ค์ด๋ก๋๊ฐ ํ์ํจ์ ๋ํ๋ ๋๋ค. ISE ์์ธ ๋ชจ๋.
ํฐ๋ ๊ทธ๋ฃน ๋ณด์-์ํ-VPN ์ด์ ๋จ๊ณ์์ ๋ฐ๊ธ๋ ์ธ์ฆ์๋ก ์ธ์ฆํ ๋ ํด๋ผ์ด์ธํธ๊ฐ ์๋์ผ๋ก ์ฌ์ฉํฉ๋๋ค. ์๋ํ๋ฉด ์ธ์ฆ์ ๋งต์ ๋ฐ๋ผ ์ฐ๊ฒฐ์ด ํน๋ณํ ์ด ํฐ๋ ๊ทธ๋ฃน์ ์ํ๊ธฐ ๋๋ฌธ์ ๋๋ค. ์ฌ๊ธฐ์ ํฅ๋ฏธ๋ก์ด ์ต์ ์ ๋ํด ์ค๋ช ํ๊ฒ ์ต๋๋ค.
- ๋ณด์กฐ ์ธ์ฆ ์๋ฒ ๊ทธ๋ฃน DUO # DUO ์๋ฒ(Radius Proxy)์ XNUMX์ฐจ ์ธ์ฆ์ ์ค์ ํฉ๋๋ค.
- ์ฌ์ฉ์ ์ด๋ฆ-์ธ์ฆ์CN # ๊ธฐ๋ณธ ์ธ์ฆ์ ๊ฒฝ์ฐ ์ธ์ฆ์์ CN ํ๋๋ฅผ ์ฌ์ฉํ์ฌ ์ฌ์ฉ์ ๋ก๊ทธ์ธ์ ์์ํฉ๋๋ค.
- ์ธ์ฆ์์ ๋ณด์กฐ ์ฌ์ฉ์ ์ด๋ฆ I # DUO ์๋ฒ์์์ XNUMX์ฐจ ์ธ์ฆ์ ์ํด ์ถ์ถ๋ ์ฌ์ฉ์ ์ด๋ฆ๊ณผ ์ธ์ฆ์์ ์ด๋์ (I) ํ๋๋ฅผ ์ฌ์ฉํฉ๋๋ค.
- ์ฌ์ฉ์ ์ด๋ฆ ๋ฏธ๋ฆฌ ์ฑ์ฐ๊ธฐ ํด๋ผ์ด์ธํธ # ์ฌ์ฉ์ ์ด๋ฆ์ ๋ณ๊ฒฝํ ์ ์๋๋ก ์ธ์ฆ ์ฐฝ์ ๋ฏธ๋ฆฌ ์ฑ์ ๋ฃ์ต๋๋ค.
- ๋ณด์กฐ-์ฌ์ ์ฑ์ฐ๊ธฐ-์ฌ์ฉ์ ์ด๋ฆ ํด๋ผ์ด์ธํธ ์จ๊ธฐ๊ธฐ-๊ณตํต ๋น๋ฐ๋ฒํธ ํธ์ # XNUMX์ฐจ ์ธ์ฆ์ ์ํด ๋ก๊ทธ์ธ/๋น๋ฐ๋ฒํธ ์
๋ ฅ์ฐฝ์ ์จ๊ธฐ๊ณ DUO ์๋ฆผ๋ฐฉ์(SMS/ํธ์/์ ํ)์ ์ฌ์ฉ - ๋น๋ฐ๋ฒํธ ์
๋ ฅ๋ ๋์ ์ธ์ฆ์์ฒญ์ ์ํ ๋ํน
์ฌ๊ธฐ์
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!
๋ค์์ผ๋ก ISE๋ก ์ด๋ํฉ๋๋ค.
๋ก์ปฌ ์ฌ์ฉ์๋ฅผ ๊ตฌ์ฑํฉ๋๋ค(AD/LDAP/ODBC ๋ฑ ์ฌ์ฉ ๊ฐ๋ฅ). ๋จ์ํ๋ฅผ ์ํด ISE ์์ฒด์์ ๋ก์ปฌ ์ฌ์ฉ์๋ฅผ ์์ฑํ๊ณ ํ์ฅ์์ ํ ๋นํ์ต๋๋ค. ์ค๋ช ์ ๋๋ PC VPN์ ํตํด ๋ก๊ทธ์ธํ ์ ์์ต๋๋ค. ISE์์ ๋ก์ปฌ ์ธ์ฆ์ ์ฌ์ฉํ๋ ๊ฒฝ์ฐ ํ๋๊ฐ ๋ง์ง ์๊ธฐ ๋๋ฌธ์ ํ๋์ ๋๋ฐ์ด์ค๋ก๋ง ์ ํ๋์ง๋ง ํ์ฌ ์ธ์ฆ ๋ฐ์ดํฐ๋ฒ ์ด์ค์์๋ ์ด๋ฌํ ์ ํ์ด ์์ต๋๋ค.
๊ถํ ๋ถ์ฌ ์ ์ฑ ์ ์ดํด๋ณด๋ฉด ๋ค์๊ณผ ๊ฐ์ ๋ค ๊ฐ์ง ์ฐ๊ฒฐ ๋จ๊ณ๋ก ๊ตฌ๋ถ๋ฉ๋๋ค.
- ๋จ๊ณ 1 โ AnyConnect ์์ด์ ํธ ๋ค์ด๋ก๋ ๋ฐ ์ธ์ฆ์ ๋ฐ๊ธ ์ ์ฑ
- ๋จ๊ณ 2 โ ๊ธฐ๋ณธ ์ธ์ฆ ์ ์ฑ ๋ก๊ทธ์ธ(์ธ์ฆ์์์)/๋น๋ฐ๋ฒํธ + UDID ๊ฒ์ฆ์ด ํฌํจ๋ ์ธ์ฆ์
- ๋จ๊ณ 3 โ ์ฌ์ฉ์ ์ด๋ฆ์ผ๋ก UDID๋ฅผ ์ฌ์ฉํ๋ Cisco DUO(MFA)๋ฅผ ํตํ ๋ณด์กฐ ์ธ์ฆ + ์ํ ํ๊ฐ
- ๋จ๊ณ 4 โ ์ต์ข
์น์ธ ์ํ๋ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
- ์ค์;
- UDID ๊ฒ์ฆ(์ธ์ฆ์ + ๋ก๊ทธ์ธ ๋ฐ์ธ๋ฉ์์),
- ์์ค์ฝ ๋์ค MFA;
- ๋ก๊ทธ์ธ์ ํตํ ์ธ์ฆ;
- ์ธ์ฆ์ ์ธ์ฆ;
ํฅ๋ฏธ๋ก์ด ์กฐ๊ฑด์ ์ดํด๋ณด๊ฒ ์ต๋๋ค. UUID_๊ฒ์ฆ๋จ, ์ธ์ฆ ์ฌ์ฉ์๊ฐ ์ค์ ๋ก ํ๋์ ์ฐ๊ฒฐ๋ ํ์ฉ๋ UDID๊ฐ ์๋ PC์์ ์จ ๊ฒ์ฒ๋ผ ๋ณด์ ๋๋ค. ์ํ ์ค๋ช ๊ณ์ ์ ์กฐ๊ฑด์ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
1,2,3๋จ๊ณ์์ ์ฌ์ฉ๋๋ ์ธ์ฆ ํ๋กํ์ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
ISE์์ ํด๋ผ์ด์ธํธ ์ธ์ ์ธ๋ถ ์ ๋ณด๋ฅผ ๋ณด๋ฉด AnyConnect ํด๋ผ์ด์ธํธ์ UDID๊ฐ ์ด๋ป๊ฒ ์ฐ๋ฆฌ์๊ฒ ๋์ฐฉํ๋์ง ์ ํํ๊ฒ ํ์ธํ ์ ์์ต๋๋ค. ์์ธํ ๋ด์ฉ์ ๋ฉ์ปค๋์ฆ์ ํตํด AnyConnect๊ฐ ACIDEX ํ๋ซํผ์ ๋ํ ์ ๋ณด๋ฟ๋ง ์๋๋ผ ์ฅ์น์ UDID๋ ์ ์กํฉ๋๋ค. Cisco-AV-์:
์ฌ์ฉ์์๊ฒ ๋ฐ๊ธ๋๋ ์ธ์ฆ์์ ํ์ฅ์ ์ฃผ๋ชฉํ์ ์ด๋์ (I), Cisco DUO์์ ๋ณด์กฐ MFA ์ธ์ฆ์ ์ํ ๋ก๊ทธ์ธ์ผ๋ก ์ฌ์ฉ๋ฉ๋๋ค.
๋ก๊ทธ์ DUO Radius Proxy ์ธก์์ ์ธ์ฆ ์์ฒญ์ด ์ด๋ป๊ฒ ์ด๋ฃจ์ด์ง๋์ง ๋ช ํํ๊ฒ ํ์ธํ ์ ์์ผ๋ฉฐ, UDID๋ฅผ ์ฌ์ฉ์ ์ด๋ฆ์ผ๋ก ์ฌ์ฉํฉ๋๋ค.
DUO ํฌํธ์์ ์ฑ๊ณต์ ์ธ ์ธ์ฆ ์ด๋ฒคํธ๊ฐ ํ์๋ฉ๋๋ค.
๊ทธ๋ฆฌ๊ณ ์ฌ์ฉ์ ์์ฑ์์ ์ค์ ํ์ต๋๋ค. ALIAS, ๋ก๊ทธ์ธ์ ์ฌ์ฉํ ๊ฒ์ ๋ก๊ทธ์ธ์ด ํ์ฉ๋ PC์ UDID์ ๋๋ค.
๊ฒฐ๊ณผ์ ์ผ๋ก ์ฐ๋ฆฌ๋ ๋ค์์ ์ป์์ต๋๋ค:
- ๋ค๋จ๊ณ ์ฌ์ฉ์ ๋ฐ ์ฅ์น ์ธ์ฆ
- ์ฌ์ฉ์ ์ฅ์น์ ์คํธํ์ผ๋ก๋ถํฐ ๋ณดํธํฉ๋๋ค.
- ์ฅ์น ์ํ ํ๊ฐ
- ๋๋ฉ์ธ ๋จธ์ ์ธ์ฆ์ ๋ฑ์ ํตํด ์ ์ด๊ฐ ๊ฐํ๋ ๊ฐ๋ฅ์ฑ์ด ์์ต๋๋ค.
- ์๋์ผ๋ก ๋ฐฐํฌ๋ ๋ณด์ ๋ชจ๋์ ํตํ ํฌ๊ด์ ์ธ ์๊ฒฉ ์์ ๊ณต๊ฐ ๋ณดํธ
Cisco VPN ์๋ฆฌ์ฆ ๊ธฐ์ฌ ๋งํฌ:
ASA VPN ๋ก๋ ๋ฐธ๋ฐ์ฑ ํด๋ฌ์คํฐ ๋ฐฐํฌ Cisco ASA์ AnyConnect VPN ํฐ๋์์ ํด๋ผ์ฐ๋ ์๋น์ค ์ต์ ํ
์ถ์ฒ : habr.com