Augsti droÅ”as attÄlÄs piekļuves koncepcijas Ä«stenoÅ”ana
Turpinot rakstu sÄriju par organizÄcijas tÄmu AttÄlÄs piekļuves VPN piekļuve Es nevaru nedalÄ«ties savÄ interesantajÄ izvietoÅ”anas pieredzÄ Ä¼oti droÅ”a VPN konfigurÄcija. NetriviÄlu uzdevumu uzrÄdÄ«ja viens klients (krievu ciemos ir izgudrotÄji), bet IzaicinÄjums tika pieÅemts un radoÅ”i Ä«stenots. RezultÄts ir interesants koncepts ar Å”ÄdÄm Ä«paŔībÄm:
VairÄki aizsardzÄ«bas faktori pret terminÄļa ierÄ«ces aizstÄÅ”anu (ar stingru saistÄ«bu ar lietotÄju);
LietotÄja datora atbilstÄ«bas novÄrtÄÅ”ana atļautÄ datora pieŔķirtajam UDID autentifikÄcijas datubÄzÄ;
Ar MFA, izmantojot datora UDID no sertifikÄta sekundÄrajai autentifikÄcijai, izmantojot Cisco DUO (Varat pievienot jebkuru ar SAML/Radius saderÄ«gu vienu);
Daudzfaktoru autentifikÄcija:
LietotÄja sertifikÄts ar lauka pÄrbaudi un sekundÄro autentifikÄciju pret vienu no tiem;
PieteikÅ”anÄs (nemainÄma, Åemta no sertifikÄta) un parole;
Cisco ISE (autentifikÄcija / autorizÄcija / grÄmatvedÄ«ba, valsts novÄrtÄjums, CA);
Cisco DUO (daudzfaktoru autentifikÄcija) (Varat pievienot jebkuru ar SAML/Radius saderÄ«gu vienu);
Cisco AnyConnect (daudzfunkcionÄls aÄ£ents darbstacijÄm un mobilajÄm operÄtÄjsistÄmÄm);
SÄksim ar klienta prasÄ«bÄm:
LietotÄjam, izmantojot savu PieteikÅ”anÄs/Paroles autentifikÄciju, ir jÄspÄj lejupielÄdÄt AnyConnect klientu no VPN vÄrtejas; visi nepiecieÅ”amie AnyConnect moduļi ir jÄinstalÄ automÄtiski saskaÅÄ ar lietotÄja politiku;
LietotÄjam vajadzÄtu bÅ«t iespÄjai automÄtiski izsniegt sertifikÄtu (vienam no scenÄrijiem galvenais scenÄrijs ir manuÄla izsniegÅ”ana un augÅ”upielÄde datorÄ), bet es ieviesu automÄtisku izdoÅ”anu demonstrÄÅ”anai (to noÅemt nekad nav par vÄlu).
Pamata autentifikÄcijai jÄnotiek vairÄkos posmos, vispirms ir sertifikÄta autentifikÄcija ar nepiecieÅ”amo lauku un to vÄrtÄ«bu analÄ«zi, tad login/parole, tikai Å”oreiz pieteikÅ”anÄs logÄ jÄievieto sertifikÄta laukÄ norÄdÄ«tais lietotÄjvÄrds PriekÅ”meta nosaukums (CN) bez iespÄjas rediÄ£Ät.
Jums ir jÄpÄrliecinÄs, ka ierÄ«ce, no kuras piesakÄties, ir uzÅÄmuma klÄpjdators, kas lietotÄjam ir izsniegts attÄlinÄtai piekļuvei, nevis kaut kas cits. (Lai izpildÄ«tu Å”o prasÄ«bu, ir izveidotas vairÄkas iespÄjas)
OS ielÄpi no nodroÅ”inÄtÄ saraksta (vÄlÄk SCCM integrÄcija);
KonkrÄta ražotÄja Anti-Virus pieejamÄ«ba un parakstu atbilstÄ«ba;
AtseviŔķu pakalpojumu darbība;
Dažu instalÄtu programmu pieejamÄ«ba;
SÄkumÄ es iesaku jums noteikti noskatÄ«ties iegÅ«tÄs ievieÅ”anas video demonstrÄciju Youtube (5 minÅ«tes).
Tagad es ierosinu apsvÄrt ievieÅ”anas detaļas, kas nav aplÅ«kotas videoklipÄ.
Sagatavosim AnyConnect profilu:
IepriekÅ” es sniedzu piemÄru profila izveidei (izvÄlnes vienumam ASDM) savÄ rakstÄ par iestatÄ«Å”anu VPN slodzes lÄ«dzsvaroÅ”anas klasteris. Tagad es vÄlos atseviŔķi atzÄ«mÄt iespÄjas, kas mums bÅ«s nepiecieÅ”amas:
ProfilÄ mÄs norÄdÄ«sim VPN vÄrteju un profila nosaukumu savienojuma izveidei ar gala klientu:
KonfigurÄsim sertifikÄta automÄtisko izsniegÅ”anu no profila puses, norÄdot Ä«paÅ”i sertifikÄta parametrus un raksturÄ«gi pievÄrÅ”ot uzmanÄ«bu laukam IniciÄļi (I), kur konkrÄta vÄrtÄ«ba tiek ievadÄ«ta manuÄli UDID testa maŔīna (unikÄls ierÄ«ces identifikators, ko Ä£enerÄ Cisco AnyConnect klients).
Å eit es vÄlos izdarÄ«t lirisku atkÄpi, jo Å”ajÄ rakstÄ ir aprakstÄ«ts jÄdziens; demonstrÄcijas nolÅ«kos UDID sertifikÄta izsniegÅ”anai tiek ievadÄ«ts AnyConnect profila laukÄ Initials. Protams, reÄlajÄ dzÄ«vÄ, ja jÅ«s to darÄt, visi klienti Å”ajÄ laukÄ saÅems sertifikÄtu ar vienu un to paÅ”u UDID, un viÅiem nekas nedarbosies, jo viÅiem ir nepiecieÅ”ams viÅu konkrÄtÄ datora UDID. DiemžÄl AnyConnect vÄl neievieÅ” UDID lauka aizstÄÅ”anu sertifikÄta pieprasÄ«juma profilÄ, izmantojot vides mainÄ«go, kÄ tas notiek, piemÄram, ar mainÄ«go. %USER%.
Ir vÄrts atzÄ«mÄt, ka klients (Ŕī scenÄrija gadÄ«jumÄ) sÄkotnÄji plÄno patstÄvÄ«gi izsniegt sertifikÄtus ar noteiktu UDID manuÄlÄ režīmÄ Å”Ädiem Protected PC, kas viÅam nav problÄma. TomÄr lielÄkajai daļai no mums mÄs vÄlamies automatizÄciju (labi, man tÄ ir taisnÄ«ba =)).
Un tas ir tas, ko es varu piedÄvÄt automatizÄcijas ziÅÄ. Ja AnyConnect vÄl nevar automÄtiski izsniegt sertifikÄtu, dinamiski aizstÄjot UDID, tad ir vÄl viens veids, kas prasÄ«s nedaudz radoÅ”as domas un prasmÄ«gas rokas - es jums pastÄstÄ«Å”u koncepciju. Vispirms apskatÄ«sim, kÄ AnyConnect aÄ£ents dažÄdÄs operÄtÄjsistÄmÄs Ä£enerÄ UDID:
Windows ā SHA-256 jaucÄjkoda DigitalProductID un Machine SID reÄ£istra atslÄgas kombinÄcijai
OSX ā SHA-256 hash PlatformUUID
Linux ā saknes nodalÄ«juma UUID jaucÄjkoda SHA-256.
AttiecÄ«gi mÄs izveidojam skriptu mÅ«su korporatÄ«vajai Windows OS, ar Å”o skriptu mÄs lokÄli aprÄÄ·inÄm UDID, izmantojot zinÄmas ievades, un veidojam sertifikÄta izsniegÅ”anas pieprasÄ«jumu, ievadot Å”o UDID vajadzÄ«gajÄ laukÄ, starp citu, jÅ«s varat arÄ« izmantot maŔīnu AD izsniegts sertifikÄts (shÄmai pievienojot dubultu autentifikÄciju, izmantojot sertifikÄtu VairÄki sertifikÄti).
Sagatavosim iestatÄ«jumus Cisco ASA pusÄ:
Izveidosim TrustPoint ISE CA serverim, tas bÅ«s tas, kas izsniegs klientiem sertifikÄtus. Es neapskatÄ«Å”u atslÄgu Ä·Ädes importÄÅ”anas procedÅ«ru; piemÄrs ir aprakstÄ«ts manÄ rakstÄ par iestatÄ«Å”anu VPN slodzes lÄ«dzsvaroÅ”anas klasteris.
crypto ca trustpoint ISE-CA
enrollment terminal
crl configure
MÄs konfigurÄjam izplatÄ«Å”anu pÄc tuneļa grupas, pamatojoties uz noteikumiem saskaÅÄ ar autentifikÄcijai izmantotÄ sertifikÄta laukiem. Å eit ir konfigurÄts arÄ« AnyConnect profils, ko izveidojÄm iepriekÅ”ÄjÄ posmÄ. LÅ«dzu, Åemiet vÄrÄ, ka es izmantoju vÄrtÄ«bu SECUREBANK-RA, lai lietotÄjus ar izsniegtu sertifikÄtu nodotu tuneļu grupai SECURE-BANK-VPN, lÅ«dzu, Åemiet vÄrÄ, ka man ir Å”is lauks AnyConnect profila sertifikÄta pieprasÄ«juma kolonnÄ.
AutentifikÄcijas serveru iestatÄ«Å”ana. ManÄ gadÄ«jumÄ tas ir ISE pirmajam autentifikÄcijas posmam un DUO (Radius Proxy) kÄ MFA.
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!
MÄs veidojam grupu politikas un tuneļu grupas un to palÄ«gkomponentus:
Tuneļu grupa NoklusÄjumaWEBVPNGgrupa galvenokÄrt tiks izmantots, lai lejupielÄdÄtu AnyConnect VPN klientu un izsniegtu lietotÄja sertifikÄtu, izmantojot ASA funkciju SCEP-Proxy; Å”im nolÅ«kam mums ir aktivizÄtas atbilstoÅ”Äs opcijas gan paÅ”Ä tuneļa grupÄ, gan saistÄ«tajÄ grupas politikÄ. AC ā lejupielÄde, un ielÄdÄtajÄ AnyConnect profilÄ (sertifikÄta izsniegÅ”anas lauki utt.). ArÄ« Å”ajÄ grupas politikÄ mÄs norÄdÄm uz nepiecieÅ”amÄ«bu lejupielÄdÄt ISE pozas modulis.
Tuneļu grupa SECURE-BANK-VPN automÄtiski izmantos klients, autentificÄjoties ar izsniegto sertifikÄtu iepriekÅ”ÄjÄ posmÄ, jo saskaÅÄ ar SertifikÄtu karti savienojums tiks tieÅ”i uz Å”o tuneļu grupu. Es jums pastÄstÄ«Å”u par interesantÄm iespÄjÄm Å”eit:
sekundÄrÄ-autentifikÄcijas-servera-grupa DUO # IestatÄ«t sekundÄro autentifikÄciju DUO serverÄ« (rÄdiusa starpniekserveris)
lietotÄjvÄrds no sertifikÄtaCN # PrimÄrajai autentifikÄcijai mÄs izmantojam sertifikÄta CN lauku, lai mantotu lietotÄja pieteikÅ”anos
sekundÄrais lietotÄjvÄrds no sertifikÄta I # SekundÄrajai autentifikÄcijai DUO serverÄ« mÄs izmantojam izvilkto lietotÄjvÄrdu un sertifikÄta laukus Initials (I).
pirms aizpildÄ«Å”anas lietotÄjvÄrda klients # padarÄ«t lietotÄjvÄrdu iepriekÅ” aizpildÄ«tu autentifikÄcijas logÄ bez iespÄjas mainÄ«t
Second-pre-fill-username klients paslÄpt use-common-password push # MÄs slÄpjam pieteikÅ”anÄs/paroles ievades logu sekundÄrajai autentifikÄcijai DUO un izmantojam paziÅoÅ”anas metodi (sms/push/phone) - piestÄj, lai pieprasÄ«tu autentifikÄciju, nevis paroles lauka. Å”eit
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!
TÄlÄk mÄs pÄrejam uz ISE:
KonfigurÄjam lokÄlo lietotÄju (var izmantot AD/LDAP/ODBC u.c.), vienkÄrŔības labad izveidoju lokÄlo lietotÄju paÅ”Ä ISE un pieŔķiru laukÄ DetalizÄta informÄcija:UDID dators no kuras viÅam ir atļauts pieteikties, izmantojot VPN. Ja izmantoÅ”u lokÄlo autentifikÄciju ISE, es bÅ«Å”u ierobežots tikai ar vienu ierÄ«ci, jo lauku nav daudz, bet treÅ”o puÅ”u autentifikÄcijas datu bÄzÄs man Å”Ädu ierobežojumu nebÅ«s.
ApskatÄ«sim autorizÄcijas politiku, tÄ ir sadalÄ«ta Äetros savienojuma posmos:
Posms 1 ā AnyConnect aÄ£enta lejupielÄdes un sertifikÄta izsniegÅ”anas politika
Posms 2 ā PrimÄrÄ autentifikÄcijas politika PieteikÅ”anÄs (no sertifikÄta)/Parole + SertifikÄts ar UDID validÄciju
Posms 3 ā SekundÄrÄ autentifikÄcija, izmantojot Cisco DUO (MFA), izmantojot UDID kÄ lietotÄjvÄrdu + stÄvokļa novÄrtÄjums
Posms 4 ā GalÄ«gÄ atļauja ir Å”ÄdÄ stÄvoklÄ«:
AtbilstoŔs;
UDID validÄcija (no sertifikÄta + pieteikÅ”anÄs saistÄ«Å”ana),
Cisco DUO MFA;
AutentifikÄcija, piesakoties;
SertifikÄta autentifikÄcija;
ApskatÄ«sim interesantu stÄvokli UUID_VALIDÄTS, izskatÄs, ka autentificÄjoÅ”ais lietotÄjs patieÅ”Äm nÄca no datora, kuram laukÄ ir piesaistÄ«ts atļauts UDID Apraksts konta nosacÄ«jumi izskatÄs Å”Ädi:
1,2,3., XNUMX., XNUMX. posmÄ izmantotais autorizÄcijas profils ir Å”Äds:
JÅ«s varat precÄ«zi pÄrbaudÄ«t, kÄ UDID no AnyConnect klienta nonÄk pie mums, apskatot klienta sesijas informÄciju ISE. DetalizÄti mÄs redzÄsim, ka AnyConnect, izmantojot mehÄnismu SKÄBE nosÅ«ta ne tikai informÄciju par platformu, bet arÄ« ierÄ«ces UDID kÄ Cisco-AV-PAIR:
PievÄrsÄ«sim uzmanÄ«bu lietotÄjam izsniegtajam sertifikÄtam un laukam IniciÄļi (I), kas tiek izmantots, lai to uzskatÄ«tu par pieteikÅ”anos sekundÄrajai MFA autentifikÄcijai pakalpojumÄ Cisco DUO:
ŽurnÄla DUO rÄdiusa starpniekservera pusÄ mÄs varam skaidri redzÄt, kÄ tiek veikts autentifikÄcijas pieprasÄ«jums, kÄ lietotÄjvÄrds tiek izmantots UDID:
No portÄla DUO mÄs redzam veiksmÄ«gu autentifikÄcijas notikumu:
Un lietotÄja rekvizÄ«tos man tas ir iestatÄ«ts STARP CITU, kuru izmantoju pieteikÅ”anai, savukÄrt Å”is ir pieteikÅ”anÄs atļautais datora UDID:
RezultÄtÄ mÄs saÅÄmÄm:
Daudzfaktoru lietotÄju un ierÄ«Äu autentifikÄcija;
AizsardzÄ«ba pret lietotÄja ierÄ«ces viltoÅ”anu;
IerÄ«ces stÄvokļa novÄrtÄÅ”ana;
IespÄja palielinÄt kontroli ar domÄna maŔīnas sertifikÄtu utt.;
VisaptveroÅ”a attÄlinÄta darba vietas aizsardzÄ«ba ar automÄtiski izvietotiem droŔības moduļiem;