보안성이 뛰어난 원격 액세스 개념 구현

조직 주제에 관한 일련의 기사를 계속합니다. 원격 액세스 VPN 내 흥미로운 배포 경험을 공유하지 않을 수 없습니다. 매우 안전한 VPN 구성. 한 고객(러시아 마을에 발명가가 있음)이 사소한 작업을 제시했지만 챌린지가 수락되어 창의적으로 구현되었습니다. 그 결과 다음과 같은 특징을 지닌 흥미로운 개념이 탄생했습니다.

1. 단말 장치 대체에 대한 여러 가지 보호 요소(사용자에 대한 엄격한 구속력 포함)
   • 인증 데이터베이스에서 허용된 PC의 할당된 UDID에 대한 사용자 PC의 준수 여부를 평가합니다.
   • Cisco DUO를 통한 보조 인증을 위해 인증서의 PC UDID를 사용하는 MFA 사용 (SAML/Radius 호환 항목을 첨부할 수 있습니다);
2. 다단계 인증:
   • 필드 검증과 그 중 하나에 대한 XNUMX차 인증이 포함된 사용자 인증서
   • 로그인(변경 불가능, 인증서에서 가져옴) 및 비밀번호
3. 연결 호스트의 상태 추정(Posture)

사용된 솔루션 구성 요소:

• Cisco ASA(VPN 게이트웨이);
• Cisco ISE(인증/권한 부여/회계, 상태 평가, CA);
• Cisco DUO(다단계 인증) (SAML/Radius 호환 항목을 첨부할 수 있습니다);
• Cisco AnyConnect(워크스테이션 및 모바일 OS용 다목적 에이전트);

고객의 요구사항부터 시작해 보겠습니다.

1. 사용자는 로그인/비밀번호 인증을 통해 VPN 게이트웨이에서 AnyConnect 클라이언트를 다운로드할 수 있어야 하며, 필요한 모든 AnyConnect 모듈은 사용자 정책에 따라 자동으로 설치되어야 합니다.
2. 사용자는 인증서를 자동으로 발급할 수 있어야 하지만(시나리오 중 하나의 경우 주요 시나리오는 수동으로 발급하고 PC에 업로드하는 것임) 시연을 위해 자동 발급을 구현했습니다(제거하기에는 너무 늦지 않았습니다).
3. 기본 인증은 여러 단계로 이루어져야 합니다. 먼저 필요한 필드와 해당 값을 분석한 인증서 인증, 로그인/비밀번호, 이번에는 인증서 필드에 지정된 사용자 이름을 로그인 창에 삽입해야 합니다. 주체 이름(CN) 편집 능력 없이.
4. 로그인하는 장치가 원격 액세스를 위해 사용자에게 발급된 회사 노트북인지, 다른 장치가 아닌지 확인해야 합니다. (이 요구 사항을 충족하기 위해 여러 가지 옵션이 만들어졌습니다.)
5. 연결 장치(이 단계의 PC) 상태는 고객 요구 사항(요약)에 대한 전체 표를 확인하여 평가해야 합니다.
   • 파일 및 해당 속성
   • 레지스트리 항목;
   • 제공된 목록의 OS 패치(나중에 SCCM 통합)
   • 특정 제조업체의 안티 바이러스 가용성 및 서명의 관련성
   • 특정 서비스의 활동
   • 설치된 특정 프로그램의 가용성

우선, 결과 구현에 대한 비디오 데모를 꼭 보시기 바랍니다. 유튜브(5분).

이제 비디오 클립에서 다루지 않은 구현 세부 사항을 고려할 것을 제안합니다.

AnyConnect 프로필을 준비해 보겠습니다.

이전에 설정에 대한 내 기사에서 프로필 생성(ASDM의 메뉴 항목 측면에서)에 대한 예를 제공했습니다. VPN 부하 분산 클러스터. 이제 필요한 옵션을 별도로 기록하고 싶습니다.

프로필에는 최종 클라이언트에 연결하기 위한 VPN 게이트웨이와 프로필 이름이 표시됩니다.

특히 인증서 매개변수를 표시하고 특징적으로 필드에 주의를 기울여 프로필 측에서 인증서 자동 발급을 구성해 보겠습니다. 이니셜(I), 특정 값을 수동으로 입력하는 경우 UDID 테스트 머신(Cisco AnyConnect 클라이언트에서 생성된 고유 장치 식별자).

이 기사에서는 개념을 설명하므로 서정적으로 여담을 만들고 싶습니다. 데모 목적으로 인증서 발급을 위한 UDID가 AnyConnect 프로필의 이니셜 필드에 입력됩니다. 물론 실제 생활에서 이렇게 하면 모든 클라이언트는 이 필드에서 동일한 UDID가 있는 인증서를 받게 되며 특정 PC의 UDID가 필요하기 때문에 아무 것도 작동하지 않습니다. 안타깝게도 AnyConnect는 환경 변수(예: 변수)를 통해 UDID 필드를 인증서 요청 프로필로 대체하는 기능을 아직 구현하지 않습니다. %사용자%.

(이 시나리오의) 고객은 처음에 해당 보호된 PC에 대해 수동 모드에서 지정된 UDID가 있는 인증서를 독립적으로 발급할 계획이며 이는 문제가 되지 않는다는 점은 주목할 가치가 있습니다. 그러나 우리 대부분은 자동화를 원합니다(나에게는 그것이 사실입니다 =)).

이것이 제가 자동화 측면에서 제공할 수 있는 것입니다. AnyConnect가 아직 UDID를 동적으로 대체하여 자동으로 인증서를 발급할 수 없는 경우 약간의 창의적인 생각과 숙련된 손이 필요한 또 다른 방법이 있습니다. 개념을 알려드리겠습니다. 먼저 AnyConnect 에이전트가 다양한 운영 체제에서 UDID를 생성하는 방법을 살펴보겠습니다.

• Windows — DigitalProductID와 Machine SID 레지스트리 키 조합의 SHA-256 해시
• OSX — SHA-256 해시 PlatformUUID
• Linux — 루트 파티션 UUID의 SHA-256 해시입니다.
• 애플 아이폰 OS — SHA-256 해시 PlatformUUID
• Android – 문서 참조 링크

따라서 우리는 회사 Windows OS용 스크립트를 만듭니다. 이 스크립트를 사용하여 알려진 입력을 사용하여 로컬로 UDID를 계산하고 필수 필드에 이 UDID를 입력하여 인증서 발급 요청을 구성합니다. 그런데 기계를 사용할 수도 있습니다. AD에서 발급한 인증서(인증서를 이용한 이중 인증을 체계에 추가하여) 다중 인증서).

Cisco ASA 측에서 설정을 준비해 보겠습니다.

ISE CA 서버용 TrustPoint를 생성해 보겠습니다. 이는 클라이언트에 인증서를 발급하는 것입니다. 키체인 가져오기 절차는 고려하지 않겠습니다. 예는 설정에 대한 내 기사에 설명되어 있습니다. VPN 부하 분산 클러스터.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

인증에 사용되는 인증서의 필드에 따른 규칙을 기반으로 터널 그룹별 배포를 구성합니다. 이전 단계에서 만든 AnyConnect 프로필도 여기에서 구성됩니다. 값을 사용하고 있음을 참고하세요. 시큐어뱅크라, 발급된 인증서를 가진 사용자를 터널 그룹으로 전송합니다. 보안-은행-VPN, AnyConnect 프로필 인증서 요청 열에 이 필드가 있습니다.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

인증 서버를 설정합니다. 제 경우에는 XNUMX단계 인증은 ISE이고, MFA는 DUO(Radius Proxy)입니다.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

그룹 정책, 터널 그룹 및 해당 보조 구성 요소를 생성합니다.

터널 그룹 기본WEBVPN그룹 주로 AnyConnect VPN 클라이언트를 다운로드하고 ASA의 SCEP-Proxy 기능을 사용하여 사용자 인증서를 발급하는 데 사용됩니다. 이를 위해 터널 그룹 자체와 관련 그룹 정책 모두에서 해당 옵션이 활성화되어 있습니다. AC-다운로드및 로드된 AnyConnect 프로필(인증서 발급을 위한 필드 등)에 있습니다. 또한 이 그룹 정책에서는 다운로드가 필요함을 나타냅니다. ISE 자세 모듈.

터널 그룹 보안-은행-VPN 이전 단계에서 발급된 인증서로 인증할 때 클라이언트가 자동으로 사용합니다. 왜냐하면 인증서 맵에 따라 연결이 특별히 이 터널 그룹에 속하기 때문입니다. 여기서 흥미로운 옵션에 대해 설명하겠습니다.

• 보조 인증 서버 그룹 DUO # DUO 서버(Radius Proxy)에 XNUMX차 인증을 설정합니다.
• 사용자 이름-인증서CN # 기본 인증의 경우 인증서의 CN 필드를 사용하여 사용자 로그인을 상속합니다.
• 인증서의 보조 사용자 이름 I # DUO 서버에서의 XNUMX차 인증을 위해 추출된 사용자 이름과 인증서의 이니셜(I) 필드를 사용합니다.
• 사용자 이름 미리 채우기 클라이언트 # 사용자 이름을 변경할 수 없도록 인증 창에 미리 채워 넣습니다.
• 보조-사전 채우기-사용자 이름 클라이언트 숨기기-공통 비밀번호 푸시 # XNUMX차 인증을 위해 로그인/비밀번호 입력창을 숨기고 DUO 알림방식(SMS/푸시/전화)을 사용 - 비밀번호 입력란 대신 인증요청을 위한 도킹 여기에

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

다음으로 ISE로 이동합니다.

로컬 사용자를 구성합니다(AD/LDAP/ODBC 등 사용 가능). 단순화를 위해 ISE 자체에서 로컬 사용자를 생성하고 현장에서 할당했습니다. 설명 유디드 PC VPN을 통해 로그인할 수 있습니다. ISE에서 로컬 인증을 사용하는 경우 필드가 많지 않기 때문에 하나의 디바이스로만 제한되지만 타사 인증 데이터베이스에서는 이러한 제한이 없습니다.

권한 부여 정책을 살펴보면 다음과 같은 네 가지 연결 단계로 구분됩니다.

• 단계 1 — AnyConnect 에이전트 다운로드 및 인증서 발급 정책
• 단계 2 — 기본 인증 정책 로그인(인증서에서)/비밀번호 + UDID 검증이 포함된 인증서
• 단계 3 — 사용자 이름으로 UDID를 사용하는 Cisco DUO(MFA)를 통한 보조 인증 + 상태 평가
• 단계 4 — 최종 승인 상태는 다음과 같습니다.
  • 준수;
  • UDID 검증(인증서 + 로그인 바인딩에서),
  • 시스코 듀오 MFA;
  • 로그인을 통한 인증;
  • 인증서 인증;

흥미로운 조건을 살펴보겠습니다. UUID_검증됨, 인증 사용자가 실제로 필드에 연결된 허용된 UDID가 있는 PC에서 온 것처럼 보입니다. 상품 설명 계정의 조건은 다음과 같습니다.

1,2,3단계에서 사용되는 인증 프로필은 다음과 같습니다.

ISE에서 클라이언트 세션 세부 정보를 보면 AnyConnect 클라이언트의 UDID가 어떻게 우리에게 도착하는지 정확하게 확인할 수 있습니다. 자세한 내용은 메커니즘을 통해 AnyConnect가 ACIDEX 플랫폼에 대한 정보뿐만 아니라 장치의 UDID도 전송합니다. Cisco-AV-쌍:

사용자에게 발급되는 인증서와 현장에 주목하자 이니셜(I), Cisco DUO에서 보조 MFA 인증을 위한 로그인으로 사용됩니다.

로그의 DUO Radius Proxy 측에서 인증 요청이 어떻게 이루어지는지 명확하게 확인할 수 있으며, UDID를 사용자 이름으로 사용합니다.

DUO 포털에서 성공적인 인증 이벤트가 표시됩니다.

그리고 사용자 속성에서 설정했습니다. ALIAS, 로그인에 사용한 것은 로그인이 허용된 PC의 UDID입니다.

결과적으로 우리는 다음을 얻었습니다:

• 다단계 사용자 및 장치 인증
• 사용자 장치의 스푸핑으로부터 보호합니다.
• 장치 상태 평가
• 도메인 머신 인증서 등을 통해 제어가 강화될 가능성이 있습니다.
• 자동으로 배포된 보안 모듈을 통한 포괄적인 원격 작업 공간 보호

Cisco VPN 시리즈 기사 링크:

• ASA VPN 로드 밸런싱 클러스터 배포
• Cisco ASA의 AnyConnect VPN 터널에서 클라우드 서비스 최적화

출처 : habr.com