Berdewamiya rêze gotaran li ser mijara rêxistinê Remote-Access VPN gihîştinê ez nikarim alîkariya tecrubeya bicihkirina xweya balkêş parve bikim veavakirina VPN ya pir ewledar. Karûbarek ne-pîvan ji hêla yek xerîdar ve hate pêşkêş kirin (li gundên rûsî dahêner hene), lê Zehf hate pejirandin û bi afirîner hate bicîh kirin. Encam têgehek balkêş e ku bi taybetmendiyên jêrîn ve girêdayî ye:
- Gelek faktorên parastinê yên li dijî guheztina cîhaza termînalê (bi girêdana hişk a bikarhêner);
- Nirxandina lihevhatina PC-ya bikarhêner bi UDID-a destnîşankirî ya PC-ya destûrkirî ya di databasa erêkirinê de;
- Bi MFA re PC UDID-ê ji sertîfîkayê ji bo pejirandina duyemîn bi navgîniya Cisco DUO ve bikar tîne (Hûn dikarin yek SAML/Radius-ê lihevhatî pêve bikin);
- Nasnameya pir-faktorî:
- Sertîfîkaya bikarhêner bi verastkirina zeviyê û pejirandina duyemîn li dijî yek ji wan;
- Têketin (neguhêrbar, ji sertîfîkayê hatî girtin) û şîfre;
- Texmînkirina rewşa mêvandarê girêdanê (Posture)
Beşên çareseriyê yên ku têne bikar anîn:
- Cisco ASA (VPN Gateway);
- Cisco ISE (Rastkirin / Destûrdan / Hesabkirin, Nirxandina Dewletê, CA);
- Cisco DUO (Rastkirina Pir Faktorî) (Hûn dikarin yek SAML/Radius-ê lihevhatî pêve bikin);
- Cisco AnyConnect (Ajansa pir-armanc ji bo qereqolên kar û OS-ya mobîl);
Ka em bi daxwazên xerîdar dest pê bikin:
- Bikarhêner divê, bi navgîniya erêkirina Têketinê / Şîfreya xwe, bikaribe xerîdar AnyConnect ji deriyê VPN-ê dakêşîne; Pêdivî ye ku hemî modulên AnyConnect-ê yên pêwîst li gorî polîtîkaya bikarhêner bixweber werin saz kirin;
- Pêdivî ye ku bikarhêner bikaribe bixweber sertîfîkayekê derxîne (ji bo yek ji senaryoyan, senaryoya sereke derxistina destan û barkirina li ser PC-yê ye), lê min pirsgirêka otomatîkî ji bo xwenîşandanê bicîh kir (ji bo rakirina wê qet ne dereng e).
- Nasnameya bingehîn divê di çend qonaxan de pêk were, pêşî rastkirina sertîfîkayê bi analîzkirina qadên pêwîst û nirxên wan heye, piştre têketin / şîfre, tenê vê carê divê navê bikarhênerê ku di qada sertîfîkayê de hatî destnîşan kirin di pencereya têketinê de were danîn. Navê mijarê (CN) bê kapasîteya guherandinê.
- Pêdivî ye ku hûn pê ewle bin ku cîhaza ku hûn jê têketinê laptopa pargîdanî ye ku ji bo gihîştina ji dûr ve ji bikarhêner re hatî dayîn, û ne tiştek din e. (Çend vebijark hatine çêkirin ji bo têrkirina vê daxwazê)
- Pêdivî ye ku rewşa cîhaza girêdanê (di vê qonaxê de PC) bi kontrolkirina tabloyek giran a hewcedariyên xerîdar were nirxandin (kurtkirin):
- Pelan û taybetmendiyên wan;
- Têketinên qeydê;
- Pelên OS-ê ji navnîşa peydakirî (paşê yekbûna SCCM);
- Hebûna Anti-Vîrûsê ji hilberînerek taybetî û têkildariya îmzeyan;
- Çalakiya hin xizmetê;
- Hebûna hin bernameyên sazkirî;
Ji bo destpêkê, ez pêşniyar dikim ku hûn bê guman li pêşandana vîdyoyê ya pêkanîna encam li ser binêrin Youtube (5 deqîqe).
Naha ez pêşniyar dikim ku hûrguliyên pêkanînê yên ku di vîdyoyê de negirtî bihesibînin.
Ka em profîla AnyConnect amade bikin:
Min berê di gotara xwe ya li ser mîhengê de mînakek afirandina profîlek (di warê hêmanek menuya ASDM de) da . Naha ez dixwazim vebijarkên ku em ê hewce ne ji hev veqetînin:
Di profîlê de, em ê deriyê VPN û navê profîlê ji bo girêdana bi muwekîlê dawîn re destnîşan bikin:
Werin em danasîna otomatîkî ya sertîfîkayekê ji alîyê profîlê ve mîheng bikin, bi taybetî, pîvanên sertîfîkayê destnîşan bikin û, bi taybetî, bala xwe bidin zeviyê Destpêk (I), li ku derê nirxek taybetî bi destan tête navnîş kirin UID makîneya ceribandinê (Nasnameya cîhaza bêhempa ya ku ji hêla xerîdar Cisco AnyConnect ve hatî çêkirin).
Li vir ez dixwazim veqetînek lîrîk bikim, ji ber ku ev gotar têgehê vedibêje; ji bo mebestên xwenîşandanê, UDID ji bo weşandina sertîfîkayê di qada Destpêkê ya profîla AnyConnect de tê navnîş kirin. Bê guman, di jiyana rast de, heke hûn wiya bikin, wê hingê hemî xerîdar dê di vî warî de bi heman UDID sertîfîkayek bistînin û tiştek ji wan re nexebite, ji ber ku ew hewceyê UDID-ya PC-ya xweya taybetî ne. AnyConnect, mixabin, hîna veguheztina qada UDID-ê di profîla daxwaznameya sertîfîkayê de bi guhêrbarek jîngehê pêk nayîne, wekî mînak, bi guhêrbarek. %BIKARANÎVAN%.
Hêjayî gotinê ye ku xerîdar (ya vê senaryoyê) di destpêkê de plan dike ku serbixwe bi UDID-ya diyarkirî re sertîfîkayan di moda destan de ji PC-yên Parastî yên weha re bide, ku ji bo wî ne pirsgirêk e. Lêbelê, ji bo piraniya me em xweseriyê dixwazin (baş, ji bo min ew rast e =)).
Û ev e ya ku ez dikarim di warê otomasyonê de pêşkêş bikim. Ger AnyConnect hîna nikaribe bi veguheztina dînamîkî ya UDID-ê bixweber sertîfîkayekê derxîne, wê hingê rêyek din heye ku pêdivî bi ramanek afirîner û destên jêhatî heye - ez ê têgehê ji we re vebêjim. Pêşîn, em binihêrin ka UDID çawa li ser pergalên xebitandinê yên cihêreng ji hêla nûnerê AnyConnect ve hatî çêkirin:
- Windows - SHA-256 hash ji berhevoka dîjîtalProductID û Mifteya qeydê ya Machine SID
- OSX - SHA-256 hash PlatformUUID
- Linux - SHA-256 hash ya UUID ya dabeşkirina root.
- Apple iOS - SHA-256 hash PlatformUUID
- Android - Belgeya li ser binêre
Li gorî vê yekê, em ji bo OS-ya xweya pargîdanî ya Windows-ê skrîptek diafirînin, bi vê skrîptê re em UDID-ya herêmî bi karanîna têketinên naskirî hesab dikin û bi ketina vê UDID-ê di qada pêwîst de daxwazek ji bo derxistina sertîfîkayê pêk tînin, bi awayê, hûn dikarin makîneyek jî bikar bînin. sertîfîkaya ku ji hêla AD-ê ve hatî derxistin (bi lêzêdekirina rastkirina ducarî bi karanîna sertîfîkayê li pileyê Sertîfîkaya Pirjimar).
Ka em mîhengên li ser Cisco ASA-yê amade bikin:
Ka em ji bo servera ISE CA TrustPoint biafirînin, ew ê bibe yê ku dê sertîfîkayan bide xerîdaran. Ez ê prosedûra importa Key-Zincîra bihesibînim; mînakek di gotara sazkirinê ya min de tê vegotin .
crypto ca trustpoint ISE-CA
enrollment terminal
crl configureEm belavkirina ji hêla Tunnel-Group ve li gorî qaîdeyên li gorî qadên di sertîfîkayê de ku ji bo pejirandinê tê bikar anîn mîheng dikin. Profîla AnyConnect ya ku me di qonaxa berê de çêkir jî li vir tê mîheng kirin. Ji kerema xwe not bikin ku ez nirxê bikar tînim SECUREBANK-RA, da ku bikarhênerên bi sertîfîkayek hatî derxistin veguhezînin komek tunelê EWLE-BANK-VPN, ji kerema xwe not bikin ku di stûna daxwaza sertîfîkaya profîla AnyConnect de ev qada min heye.
tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
subject-name attr ou eq securebank-ra
!
webvpn
anyconnect profiles SECUREBANK disk0:/securebank.xml
certificate-group-map OU-Map 6 SECURE-BANK-VPN
!Sazkirina pêşkêşkerên erêkirinê. Di doza min de, ev ISE ji bo qonaxa yekem a rastkirinê û DUO (Radius Proxy) wekî MFA ye.
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!Em polîtîkayên komê û komên tunelê û hêmanên wan ên alîkar diafirînin:
Koma tunelê DefaultWEBVPNGkom dê di serî de were bikar anîn da ku xerîdar AnyConnect VPN dakêşin û sertîfîkayek bikarhêner bi karanîna fonksiyona SCEP-Proxy ya ASA-yê derxînin; ji bo vê yekê me vebijarkên têkildar hem li ser koma tunelê bixwe û hem jî li ser polîtîkaya komê ya têkildar ve çalak kirin. AC-Daxistin, û li ser profîla AnyConnect ya barkirî (qavên ji bo weşandina sertîfîkayê, hwd.). Di heman demê de di vê polîtîkaya komê de em hewcedariya dakêşanê destnîşan dikin ISE Posture Module.
Koma tunelê EWLE-BANK-VPN Dema ku di qonaxa berê de bi sertîfîkaya hatî dayîn verastkirin bixweber ji hêla xerîdar ve were bikar anîn, ji ber ku, li gorî Nexşeya Sertîfîkayê, girêdan dê bi taybetî li ser vê koma tunelê têkeve. Ez ê ji we re li ser vebijarkên balkêş li vir bibêjim:
- duyemîn-authentication-server-group DUO # Nasnameya duyemîn li ser servera DUO saz bikin (Radius Proxy)
- navê bikarhêner-ji-certificateCN # Ji bo verastkirina seretayî, em qada CN ya sertîfîkayê bikar tînin da ku têketina bikarhêner mîras bistînin
- duyemîn-navê bikarhêner-ji-sertîfîka I # Ji bo verastkirina duyemîn li ser servera DUO, em navê bikarhênerê hatî derxistin û qadên Destpêk (I) yên sertîfîkayê bikar tînin.
- muwekîlê pêş-tije-navê bikarhêner # navê bikarhêner di pencereya erêkirinê de bêyî ku bikaribe were guheztin berî-dagirtî bike
- muwekîlê duyemîn-pêş-dagirtin-navê bikarhênerê veşêre bikaranîn-hevbeş-şîfre push # Em pencereya têketinê / şîfreya têketinê ji bo erêkirina duyemîn DUO vedişêrin û rêbaza ragihandinê (sms/push/telefon) bikar tînin - ji bo ku li şûna qada şîfreyê verastkirinê bixwazin
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!Piştre em diçin ISE:
Em bikarhênerek herêmî mîheng dikin (hûn dikarin AD/LDAP/ODBC, hwd. bikar bînin), ji bo sadebûnê, min bikarhênerek herêmî di ISE-ê bixwe de çêkir û li zeviyê tayîn kir terîf UDID PC ku jê destûr tê dayîn ku bi riya VPN-ê têkeve. Ger ez erêkirina herêmî li ser ISE bikar bînim, ez ê tenê bi yek amûrekê re sînordar bim, ji ber ku gelek zevî tune ne, lê di databasên pejirandina partiya sêyemîn de ez ê ne xwediyê van qedexeyan bin.
Ka em li polîtîkaya destûrnameyê binihêrin, ew li çar qonaxên girêdanê tê dabeş kirin:
- Stage 1 - Siyaseta dakêşana nûnerê AnyConnect û derxistina sertîfîkayê
- Stage 2 - Siyaseta pejirandina seretayî Têkeve (ji sertîfîkayê) / Şîfre + Sertîfîka bi pejirandina UDID
- Stage 3 - Nasnameya duyemîn bi navgîniya Cisco DUO (MFA) ve UDID wekî navê bikarhêner + Nirxandina dewletê bikar tîne
- Stage 4 - Destûra dawîn di dewletê de ye:
- Compliant;
- Rastkirina UDID (ji sertîfîka + girêdana têketinê),
- Cisco DUO MFA;
- Nasname bi têketinê;
- Rastkirina sertîfîkayê;
Ka em li rewşek balkêş binêrin UUID_VALIDATED, tenê dixuye ku bikarhênerê rastgir bi rastî ji PC-ya ku bi UDID-ya destûrkirî ve girêdayî ye li zeviyê hatî. Terîf hesab, şert wiha xuya dike:
Profîla destûrnameyê ku di qonaxên 1,2,3 de hatî bikar anîn wiha ye:
Hûn dikarin tam kontrol bikin ka UDID ji xerîdar AnyConnect çawa digihîje me bi nihêrîna hûrguliyên danişîna xerîdar di ISE de. Bi hûrgulî em ê bibînin ku AnyConnect bi mekanîzmayê ve ACIDEX ne tenê agahdariya li ser platformê, lê di heman demê de UDID-ya cîhazê jî dişîne Cisco-AV-PAIR:
Ka em bala xwe bidin sertîfîkaya ku ji bikarhêner û zeviyê re hatî dayîn Destpêk (I), ku ji bo pejirandina MFA-ya duyemîn a li ser Cisco DUO wekî têketinek tê bikar anîn:
Li milê DUO Radius Proxy di têketinê de em dikarin bi zelalî bibînin ka daxwaza pejirandinê çawa tête çêkirin, ew wekî navê bikarhêner UDID bikar tîne:
Ji portalê DUO em bûyerek piştrastkirina serketî dibînin:
Û di taybetmendiyên bikarhêner de min ew destnîşan kiriye ALIAS, ku min ji bo têketinê bikar anî, di encamê de, ev UDID-ya PC-ya ku ji bo têketinê hatî destûr kirin e:
Di encamê de me got:
- Nasnameya bikarhêner û cîhazê ya pir-faktorî;
- Parastina li dijî xapandina cîhaza bikarhêner;
- Nirxandina rewşa amûrê;
- Potansiyela zêdebûna kontrola bi sertîfîkaya makîneya domainê, hwd.;
- Parastina cîhê xebatê ya dûr a berfireh bi modulên ewlehiyê yên ku bixweber têne bicîh kirin;
Girêdanên bi gotarên rêzikên Cisco VPN:
Source: www.habr.com