Augsti drošas attālās piekļuves koncepcijas īstenošana

Turpinot rakstu sēriju par organizācijas tēmu Attālās piekļuves VPN piekļuve Es nevaru nedalīties savā interesantajā izvietošanas pieredzē ļoti droša VPN konfigurācija. Netriviālu uzdevumu uzrādīja viens klients (krievu ciemos ir izgudrotāji), bet Izaicinājums tika pieņemts un radoši īstenots. Rezultāts ir interesants koncepts ar šādām īpašībām:

1. Vairāki aizsardzības faktori pret termināļa ierīces aizstāšanu (ar stingru saistību ar lietotāju);
   • Lietotāja datora atbilstības novērtēšana atļautā datora piešķirtajam UDID autentifikācijas datubāzē;
   • Ar MFA, izmantojot datora UDID no sertifikāta sekundārajai autentifikācijai, izmantojot Cisco DUO (Varat pievienot jebkuru ar SAML/Radius saderīgu vienu);
2. Daudzfaktoru autentifikācija:
   • Lietotāja sertifikāts ar lauka pārbaudi un sekundāro autentifikāciju pret vienu no tiem;
   • Pieteikšanās (nemaināma, ņemta no sertifikāta) un parole;
3. Savienojošā resursdatora stāvokļa novērtēšana (Posture)

Izmantotās risinājuma sastāvdaļas:

• Cisco ASA (VPN vārteja);
• Cisco ISE (autentifikācija / autorizācija / grāmatvedība, valsts novērtējums, CA);
• Cisco DUO (daudzfaktoru autentifikācija) (Varat pievienot jebkuru ar SAML/Radius saderīgu vienu);
• Cisco AnyConnect (daudzfunkcionāls aģents darbstacijām un mobilajām operētājsistēmām);

Sāksim ar klienta prasībām:

1. Lietotājam, izmantojot savu Pieteikšanās/Paroles autentifikāciju, ir jāspēj lejupielādēt AnyConnect klientu no VPN vārtejas; visi nepieciešamie AnyConnect moduļi ir jāinstalē automātiski saskaņā ar lietotāja politiku;
2. Lietotājam vajadzētu būt iespējai automātiski izsniegt sertifikātu (vienam no scenārijiem galvenais scenārijs ir manuāla izsniegšana un augšupielāde datorā), bet es ieviesu automātisku izdošanu demonstrēšanai (to noņemt nekad nav par vēlu).
3. Pamata autentifikācijai jānotiek vairākos posmos, vispirms ir sertifikāta autentifikācija ar nepieciešamo lauku un to vērtību analīzi, tad login/parole, tikai šoreiz pieteikšanās logā jāievieto sertifikāta laukā norādītais lietotājvārds Priekšmeta nosaukums (CN) bez iespējas rediģēt.
4. Jums ir jāpārliecinās, ka ierīce, no kuras piesakāties, ir uzņēmuma klēpjdators, kas lietotājam ir izsniegts attālinātai piekļuvei, nevis kaut kas cits. (Lai izpildītu šo prasību, ir izveidotas vairākas iespējas)
5. Savienojošās ierīces (šajā posmā PC) stāvoklis jānovērtē, pārbaudot veselu klientu prasību tabulu (kopsavilkums):
   • Faili un to īpašības;
   • Reģistra ieraksti;
   • OS ielāpi no nodrošinātā saraksta (vēlāk SCCM integrācija);
   • Konkrēta ražotāja Anti-Virus pieejamība un parakstu atbilstība;
   • Atsevišķu pakalpojumu darbība;
   • Dažu instalētu programmu pieejamība;

Sākumā es iesaku jums noteikti noskatīties iegūtās ieviešanas video demonstrāciju Youtube (5 minūtes).

Tagad es ierosinu apsvērt ieviešanas detaļas, kas nav aplūkotas videoklipā.

Sagatavosim AnyConnect profilu:

Iepriekš es sniedzu piemēru profila izveidei (izvēlnes vienumam ASDM) savā rakstā par iestatīšanu VPN slodzes līdzsvarošanas klasteris. Tagad es vēlos atsevišķi atzīmēt iespējas, kas mums būs nepieciešamas:

Profilā mēs norādīsim VPN vārteju un profila nosaukumu savienojuma izveidei ar gala klientu:

Konfigurēsim sertifikāta automātisko izsniegšanu no profila puses, norādot īpaši sertifikāta parametrus un raksturīgi pievēršot uzmanību laukam Iniciāļi (I), kur konkrēta vērtība tiek ievadīta manuāli UDID testa mašīna (unikāls ierīces identifikators, ko ģenerē Cisco AnyConnect klients).

Šeit es vēlos izdarīt lirisku atkāpi, jo šajā rakstā ir aprakstīts jēdziens; demonstrācijas nolūkos UDID sertifikāta izsniegšanai tiek ievadīts AnyConnect profila laukā Initials. Protams, reālajā dzīvē, ja jūs to darāt, visi klienti šajā laukā saņems sertifikātu ar vienu un to pašu UDID, un viņiem nekas nedarbosies, jo viņiem ir nepieciešams viņu konkrētā datora UDID. Diemžēl AnyConnect vēl neievieš UDID lauka aizstāšanu sertifikāta pieprasījuma profilā, izmantojot vides mainīgo, kā tas notiek, piemēram, ar mainīgo. %USER%.

Ir vērts atzīmēt, ka klients (šī scenārija gadījumā) sākotnēji plāno patstāvīgi izsniegt sertifikātus ar noteiktu UDID manuālā režīmā šādiem Protected PC, kas viņam nav problēma. Tomēr lielākajai daļai no mums mēs vēlamies automatizāciju (labi, man tā ir taisnība =)).

Un tas ir tas, ko es varu piedāvāt automatizācijas ziņā. Ja AnyConnect vēl nevar automātiski izsniegt sertifikātu, dinamiski aizstājot UDID, tad ir vēl viens veids, kas prasīs nedaudz radošas domas un prasmīgas rokas - es jums pastāstīšu koncepciju. Vispirms apskatīsim, kā AnyConnect aģents dažādās operētājsistēmās ģenerē UDID:

• Windows — SHA-256 jaucējkoda DigitalProductID un Machine SID reģistra atslēgas kombinācijai
• OSX — SHA-256 hash PlatformUUID
• Linux — saknes nodalījuma UUID jaucējkoda SHA-256.
• Apple iOS — SHA-256 hash PlatformUUID
• android – Skatīt dokumentu par saite

Attiecīgi mēs izveidojam skriptu mūsu korporatīvajai Windows OS, ar šo skriptu mēs lokāli aprēķinām UDID, izmantojot zināmas ievades, un veidojam sertifikāta izsniegšanas pieprasījumu, ievadot šo UDID vajadzīgajā laukā, starp citu, jūs varat arī izmantot mašīnu AD izsniegts sertifikāts (shēmai pievienojot dubultu autentifikāciju, izmantojot sertifikātu Vairāki sertifikāti).

Sagatavosim iestatījumus Cisco ASA pusē:

Izveidosim TrustPoint ISE CA serverim, tas būs tas, kas izsniegs klientiem sertifikātus. Es neapskatīšu atslēgu ķēdes importēšanas procedūru; piemērs ir aprakstīts manā rakstā par iestatīšanu VPN slodzes līdzsvarošanas klasteris.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

Mēs konfigurējam izplatīšanu pēc tuneļa grupas, pamatojoties uz noteikumiem saskaņā ar autentifikācijai izmantotā sertifikāta laukiem. Šeit ir konfigurēts arī AnyConnect profils, ko izveidojām iepriekšējā posmā. Lūdzu, ņemiet vērā, ka es izmantoju vērtību SECUREBANK-RA, lai lietotājus ar izsniegtu sertifikātu nodotu tuneļu grupai SECURE-BANK-VPN, lūdzu, ņemiet vērā, ka man ir šis lauks AnyConnect profila sertifikāta pieprasījuma kolonnā.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

Autentifikācijas serveru iestatīšana. Manā gadījumā tas ir ISE pirmajam autentifikācijas posmam un DUO (Radius Proxy) kā MFA.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

Mēs veidojam grupu politikas un tuneļu grupas un to palīgkomponentus:

Tuneļu grupa NoklusējumaWEBVPNGgrupa galvenokārt tiks izmantots, lai lejupielādētu AnyConnect VPN klientu un izsniegtu lietotāja sertifikātu, izmantojot ASA funkciju SCEP-Proxy; šim nolūkam mums ir aktivizētas atbilstošās opcijas gan pašā tuneļa grupā, gan saistītajā grupas politikā. AC — lejupielāde, un ielādētajā AnyConnect profilā (sertifikāta izsniegšanas lauki utt.). Arī šajā grupas politikā mēs norādām uz nepieciešamību lejupielādēt ISE pozas modulis.

Tuneļu grupa SECURE-BANK-VPN automātiski izmantos klients, autentificējoties ar izsniegto sertifikātu iepriekšējā posmā, jo saskaņā ar Sertifikātu karti savienojums tiks tieši uz šo tuneļu grupu. Es jums pastāstīšu par interesantām iespējām šeit:

• sekundārā-autentifikācijas-servera-grupa DUO # Iestatīt sekundāro autentifikāciju DUO serverī (rādiusa starpniekserveris)
• lietotājvārds no sertifikātaCN # Primārajai autentifikācijai mēs izmantojam sertifikāta CN lauku, lai mantotu lietotāja pieteikšanos
• sekundārais lietotājvārds no sertifikāta I # Sekundārajai autentifikācijai DUO serverī mēs izmantojam izvilkto lietotājvārdu un sertifikāta laukus Initials (I).
• pirms aizpildīšanas lietotājvārda klients # padarīt lietotājvārdu iepriekš aizpildītu autentifikācijas logā bez iespējas mainīt
• Second-pre-fill-username klients paslēpt use-common-password push # Mēs slēpjam pieteikšanās/paroles ievades logu sekundārajai autentifikācijai DUO un izmantojam paziņošanas metodi (sms/push/phone) - piestāj, lai pieprasītu autentifikāciju, nevis paroles lauka. šeit

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

Tālāk mēs pārejam uz ISE:

Konfigurējam lokālo lietotāju (var izmantot AD/LDAP/ODBC u.c.), vienkāršības labad izveidoju lokālo lietotāju pašā ISE un piešķiru laukā Detalizēta informācija: UDID dators no kuras viņam ir atļauts pieteikties, izmantojot VPN. Ja izmantošu lokālo autentifikāciju ISE, es būšu ierobežots tikai ar vienu ierīci, jo lauku nav daudz, bet trešo pušu autentifikācijas datu bāzēs man šādu ierobežojumu nebūs.

Apskatīsim autorizācijas politiku, tā ir sadalīta četros savienojuma posmos:

• Posms 1 — AnyConnect aģenta lejupielādes un sertifikāta izsniegšanas politika
• Posms 2 — Primārā autentifikācijas politika Pieteikšanās (no sertifikāta)/Parole + Sertifikāts ar UDID validāciju
• Posms 3 — Sekundārā autentifikācija, izmantojot Cisco DUO (MFA), izmantojot UDID kā lietotājvārdu + stāvokļa novērtējums
• Posms 4 — Galīgā atļauja ir šādā stāvoklī:
  • Atbilstošs;
  • UDID validācija (no sertifikāta + pieteikšanās saistīšana),
  • Cisco DUO MFA;
  • Autentifikācija, piesakoties;
  • Sertifikāta autentifikācija;

Apskatīsim interesantu stāvokli UUID_VALIDĒTS, izskatās, ka autentificējošais lietotājs patiešām nāca no datora, kuram laukā ir piesaistīts atļauts UDID Apraksts konta nosacījumi izskatās šādi:

1,2,3., XNUMX., XNUMX. posmā izmantotais autorizācijas profils ir šāds:

Jūs varat precīzi pārbaudīt, kā UDID no AnyConnect klienta nonāk pie mums, apskatot klienta sesijas informāciju ISE. Detalizēti mēs redzēsim, ka AnyConnect, izmantojot mehānismu SKĀBE nosūta ne tikai informāciju par platformu, bet arī ierīces UDID kā Cisco-AV-PAIR:

Pievērsīsim uzmanību lietotājam izsniegtajam sertifikātam un laukam Iniciāļi (I), kas tiek izmantots, lai to uzskatītu par pieteikšanos sekundārajai MFA autentifikācijai pakalpojumā Cisco DUO:

Žurnāla DUO rādiusa starpniekservera pusē mēs varam skaidri redzēt, kā tiek veikts autentifikācijas pieprasījums, kā lietotājvārds tiek izmantots UDID:

No portāla DUO mēs redzam veiksmīgu autentifikācijas notikumu:

Un lietotāja rekvizītos man tas ir iestatīts STARP CITU, kuru izmantoju pieteikšanai, savukārt šis ir pieteikšanās atļautais datora UDID:

Rezultātā mēs saņēmām:

• Daudzfaktoru lietotāju un ierīču autentifikācija;
• Aizsardzība pret lietotāja ierīces viltošanu;
• Ierīces stāvokļa novērtēšana;
• Iespēja palielināt kontroli ar domēna mašīnas sertifikātu utt.;
• Visaptveroša attālināta darba vietas aizsardzība ar automātiski izvietotiem drošības moduļiem;

Saites uz Cisco VPN sērijas rakstiem:

• ASA VPN slodzes līdzsvarošanas klastera izvietošana
• Mākoņpakalpojumu optimizēšana AnyConnect VPN tunelī vietnē Cisco ASA

Avots: www.habr.com