Manohy ny andian-dahatsoratra momba ny lohahevitra momba ny fandaminana Remote Access VPN fidirana Tsy afaka ny tsy hizara ny traikefako amin'ny fametrahana mahaliana aho tena azo antoka VPN configuration. Asa tsy misy dikany no natolotry ny mpanjifa iray (misy mpamorona any amin'ny tanàna Rosiana), saingy nekena ny fanamby ary nampiharina tamin'ny famoronana. Ny vokatra dia hevitra mahaliana miaraka amin'ireto toetra manaraka ireto:
- Antony maro fiarovana amin'ny fanoloana ny fitaovana terminal (miaraka amin'ny famatorana henjana amin'ny mpampiasa);
- Fanombanana ny fanarahana ny PC an'ny mpampiasa amin'ny UDID nomena an'ny PC navela ao amin'ny angon-drakitra fanamarinana;
- Miaraka amin'ny MFA mampiasa ny PC UDID avy amin'ny taratasy fanamarinana ho an'ny fanamarinana faharoa amin'ny alàlan'ny Cisco DUO (Azonao apetaka izay SAML/Radius mifanaraka);
- Fanamarinana marobe:
- Taratasy ho an'ny mpampiasa miaraka amin'ny fanamarinana an-tsaha sy fanamarinana faharoa amin'ny iray amin'izy ireo;
- Login (tsy azo ovaina, nalaina tamin'ny taratasy fanamarinana) sy ny tenimiafina;
- Tombanana ny toetry ny mpampiantrano mampifandray (Posture)
Ny singa vahaolana ampiasaina:
- Cisco ASA (VPN Gateway);
- Cisco ISE (Authentication / Authorization / Accounting, State Evaluation, CA);
- Cisco DUO (Authentication Multi-Factor) (Azonao apetaka izay SAML/Radius mifanaraka);
- Cisco AnyConnect (Agent Multi-purpose ho an'ny toeram-piasana sy OS finday);
Andeha isika hanomboka amin'ny fepetra takian'ny mpanjifa:
- Ny mpampiasa dia tsy maintsy afaka misintona ny mpanjifa AnyConnect avy amin'ny vavahadin'ny VPN, amin'ny alàlan'ny fanamarinana Login/Password, ny mody AnyConnect rehetra ilaina dia tsy maintsy apetraka ho azy mifanaraka amin'ny politikan'ny mpampiasa;
- Ny mpampiasa dia tokony ho afaka mamoaka taratasy fanamarinana ho azy (ho an'ny iray amin'ireo trangan-javatra, ny tena zava-dehibe dia ny famoahana boky sy fampiakarana amin'ny PC), fa nametraka olana mandeha ho azy aho ho an'ny fihetsiketsehana (tsy tara loatra ny fanesorana azy).
- Ny fanamarinana fototra dia tsy maintsy atao amin'ny dingana maromaro, voalohany misy fanamarinana fanamarinana miaraka amin'ny famakafakana ny saha ilaina sy ny soatoaviny, avy eo ny fidirana / tenimiafina, amin'ity indray mitoraka ity dia tsy maintsy ampidirina ao amin'ny varavarankely fidirana ny anaran'ny mpampiasa voalaza ao amin'ny saha fanamarinana. Anaran'ny lohahevitra (CN) tsy misy fahaizana manova.
- Mila mahazo antoka ianao fa ny fitaovana idiranao dia ny solosaina finday navoakan'ny mpampiasa ho an'ny fidirana lavitra, fa tsy zavatra hafa. (Safidy maromaro no natao mba hanomezana fahafaham-po an'io fepetra io)
- Ny toetry ny fitaovana fampifandraisana (amin'ity dingana ity ny PC) dia tokony hojerena amin'ny alàlan'ny fisavana latabatra iray feno amin'ny fepetra takian'ny mpanjifa (famintinana):
- Files sy ny fananany;
- Fisoratana anarana;
- OS patch avy amin'ny lisitra nomena (fampidirana SCCM taty aoriana);
- Ny fisian'ny Anti-Virus avy amin'ny mpanamboatra manokana sy ny maha-zava-dehibe ny sonia;
- Hetsiky ny tolotra sasany;
- Ny fisian'ny programa sasany napetraka;
Hanombohana, manoro hevitra aho fa tena mijery ny fampisehoana horonan-tsary momba ny fampiharana vokatr'izany ianao Youtube (5 minitra).
Ankehitriny aho dia manolotra ny handinika ny antsipirian'ny fampiharana tsy voarakitra ao amin'ny horonan-tsary.
Andao hanomana ny mombamomba ny AnyConnect:
Nanome ohatra momba ny famoronana profil aho teo aloha (amin'ny resaka sakafo ao amin'ny ASDM) ao amin'ny lahatsoratro momba ny fametrahana . Ankehitriny dia tiako ny hanamarika misaraka ireo safidy izay ilaintsika:
Ao amin'ny mombamomba, dia hanondro ny vavahadin'ny VPN sy ny anaran'ny mombamomba ny fifandraisana amin'ny mpanjifa farany:
Andao amboary ny famoahana taratasy fanamarinana mandeha ho azy avy amin'ny lafin'ny mombamomba, izay manondro, indrindra ny mari-pamantarana fanamarinana ary, amin'ny ankapobeny, tandremo ny saha. Voalohany (I), izay misy sanda manokana ampidirina tanana UID milina fitsapana (famantarana fitaovana tokana izay novokarin'ny mpanjifa Cisco AnyConnect).
Eto aho dia te-hanao digression tononkira, satria ity lahatsoratra ity dia mamaritra ny foto-kevitra; ho an'ny tanjona fihetsiketsehana, ny UDID amin'ny famoahana taratasy fanamarinana dia ampidirina ao amin'ny saha voalohany amin'ny mombamomba ny AnyConnect. Mazava ho azy, amin'ny tena fiainana, raha manao izany ianao, dia hahazo taratasy fanamarinana miaraka amin'ny UDID mitovy amin'io sehatra io ny mpanjifa rehetra ary tsy hisy na inona na inona hiasa ho azy ireo, satria mila ny UDID an'ny PC manokana izy ireo. Ny AnyConnect, indrisy, dia mbola tsy mametraka fanoloana ny saha UDID ho amin'ny mombamomba ny fangatahana fanamarinana amin'ny alàlan'ny fari-piainan'ny tontolo iainana, toy ny ataony, ohatra, miaraka amin'ny variable %USER%.
Tsara ny manamarika fa ny mpanjifa (amin'ity toe-javatra ity) dia mikasa ny hamoaka tsy miankina amin'ny UDID amin'ny fomba manual amin'ny PC voaaro toy izany, izay tsy olana ho azy. Na izany aza, ho an'ny ankamaroantsika dia mila automatique isika (eny, ho ahy dia marina izany =)).
Ary ity no azoko atolotra amin'ny resaka automation. Raha mbola tsy afaka mamoaka taratasy fanamarinana ho azy ny AnyConnect amin'ny alàlan'ny fanoloana ny UDID amin'ny fomba mavitrika, dia misy fomba hafa mitaky eritreritra mamorona sy tanana mahay - holazaiko aminao ny foto-kevitra. Voalohany, andeha hojerentsika ny fomba namoronana ny UDID amin'ny rafitra fiasa samihafa ataon'ny AnyConnect agent:
- Windows - SHA-256 hash amin'ny fampifangaroana ny lakile fisoratana anarana DigitalProductID sy Machine SID
- OSX - SHA-256 hash PlatformUUID
- Linux - SHA-256 hash an'ny UUID amin'ny fizarazarana faka.
- Apple iOS - SHA-256 hash PlatformUUID
- Android – Jereo ny antontan-taratasy eo
Noho izany dia mamorona script ho an'ny OS Windows orinasanay izahay, miaraka amin'ity script ity dia manao kajy eo an-toerana ny UDID amin'ny alàlan'ny fampidirana fantatra ary mamorona fangatahana hamoahana taratasy fanamarinana amin'ny alàlan'ny fampidirana ity UDID ity amin'ny saha ilaina, raha ny marina, azonao atao koa ny mampiasa milina. taratasy fanamarinana navoakan'ny AD (amin'ny fampidirana fanamarinana indroa amin'ny alàlan'ny taratasy fanamarinana amin'ny drafitra Taratasy maromaro).
Andao hanomana ny fandrindrana amin'ny lafiny Cisco ASA:
Andao hamorona TrustPoint ho an'ny mpizara ISE CA, io no hanome taratasy fanamarinana ho an'ny mpanjifa. Tsy handinika ny fomba fanafarana Key-Chain aho; misy ohatra iray voalaza ao amin'ny lahatsoratro fananganana .
crypto ca trustpoint ISE-CA
enrollment terminal
crl configureIzahay dia manamboatra ny fizarana amin'ny alàlan'ny Tunnel-Group mifototra amin'ny fitsipika mifanaraka amin'ireo saha ao amin'ny taratasy fanamarinana izay ampiasaina amin'ny fanamarinana. Ny mombamomba ny AnyConnect nataontsika tamin'ny dingana teo aloha dia namboarina eto ihany koa. Mariho fa mampiasa ny sanda aho SECUREBANK-RA, hamindra ireo mpampiasa manana taratasy fanamarinana navoaka ho any amin'ny vondrona tonelina SECURE-BANK-VPN, mariho azafady fa manana an'ity saha ity aho ao amin'ny tsanganana fangatahana fanamarinana momba ny mombamomba ny AnyConnect.
tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
subject-name attr ou eq securebank-ra
!
webvpn
anyconnect profiles SECUREBANK disk0:/securebank.xml
certificate-group-map OU-Map 6 SECURE-BANK-VPN
!Mametraka mpizara fanamarinana. Raha ny amiko, ity dia ISE ho an'ny dingana voalohany amin'ny fanamarinana ary DUO (Radius Proxy) ho MFA.
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!Mamorona politikan'ny vondrona sy vondrona tonelina ary ireo singa fanampiny:
Vondrona tonelina DefaultWEBVPNGroup dia hampiasaina voalohany indrindra hisintonana ny mpanjifa AnyConnect VPN ary hamoahana taratasy fanamarinana mpampiasa amin'ny fampiasana ny fiasan'ny SCEP-Proxy an'ny ASA; noho izany dia manana safidy mifanaraka amin'izany isika na amin'ny vondrona tonelina sy amin'ny politikan'ny vondrona mifandraika AC-Download, ary amin'ny mombamomba ny AnyConnect feno (saha hamoahana taratasy fanamarinana, sns.). Ao anatin'ity politikan'ny vondrona ity ihany koa dia manondro fa ilaina ny misintona ISE Posture Module.
Vondrona tonelina SECURE-BANK-VPN dia ho ampiasain'ny mpanjifa ho azy rehefa manamarina miaraka amin'ny taratasy fanamarinana navoaka tamin'ny dingana teo aloha, satria, mifanaraka amin'ny sarintany fanamarinana, ny fifandraisana dia hianjera manokana amin'ity vondrona tonelina ity. Holazaiko aminao ny safidy mahaliana eto:
- DUO-authentication-server-groupe faharoa # Mametraha fanamarinana faharoa amin'ny mpizara DUO (Radius Proxy)
- username-from-certificateCN # Ho an'ny fanamarinana voalohany, mampiasa ny saha CN amin'ny taratasy fanamarinana izahay mba handova ny fidiran'ny mpampiasa
- anarana faharoa-avy amin'ny-certificat I # Ho an'ny fanamarinana faharoa amin'ny mpizara DUO dia mampiasa ny solon'anarana nalaina sy ny saha voalohany (I) amin'ny taratasy fanamarinana.
- famenoana anarana mpanjifa mialoha # ataovy fenoina mialoha ny solon'anarana ao amin'ny varavarankelin'ny fanamarinana tsy misy fahafahana manova
- second-pre-fill-username client afeno ny fampiasana-common-password push # Afeninay ny varavarankely fidirana / tenimiafina ho an'ny fanamarinana faharoa DUO ary mampiasa ny fomba fampahafantarana (sms / push / phone) - dock mba hangataka fanamarinana fa tsy ny saha tenimiafina
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!Avy eo dia miroso amin'ny ISE isika:
Namboarina mpampiasa eo an-toerana izahay (azonao ampiasaina ny AD/LDAP/ODBC, sns.), ho an'ny fahatsorana, namorona mpampiasa eo an-toerana ao amin'ny ISE aho ary nanendry azy teo amin'ny saha. famaritana UDID PC izay ahafahany miditra amin'ny alàlan'ny VPN. Raha mampiasa fanamarinana eo an-toerana amin'ny ISE aho dia ho voafetra amin'ny fitaovana iray ihany, satria tsy misy sehatra maro, fa amin'ny angon-drakitra fanamarinana avy amin'ny antoko fahatelo dia tsy hanana famerana toy izany aho.
Andeha hojerentsika ny politikan'ny fanomezan-dàlana, mizara ho dingana efatra izy io:
- Stage 1 - Politika momba ny fampidinana ny mpandraharaha AnyConnect sy ny famoahana taratasy fanamarinana
- Stage 2 - Politika fanamarinana voalohany Login (avy amin'ny taratasy fanamarinana)/Password + Certificate miaraka amin'ny fanamarinana UDID
- Stage 3 - Fanamarinana faharoa amin'ny alàlan'ny Cisco DUO (MFA) mampiasa UDID ho solon'anarana + fanombanana fanjakana
- Stage 4 - Ny fanomezan-dàlana farany dia ao amin'ny fanjakana:
- Mifanaraka;
- Fanamarinana UDID (avy amin'ny taratasy fanamarinana + famatorana fidirana),
- Cisco DUO MFA;
- Fanamarinana amin'ny fidirana;
- Fanamarinana fanamarinana;
Andeha isika hijery toe-javatra mahaliana UUID_VALIDATE, toa avy amin'ny PC misy UDID navela mifandray amin'ny saha ilay mpampiasa manamarina. Description kaonty, ny fepetra dia toy izao:
Ny mombamomba ny fanomezan-dàlana ampiasaina amin'ny dingana 1,2,3 dia toy izao manaraka izao:
Azonao atao ny manamarina tsara ny fahatongavan'ny UDID avy amin'ny mpanjifa AnyConnect aminay amin'ny fijerena ny antsipirian'ny fivoriana mpanjifa ao amin'ny ISE. Amin'ny antsipiriany dia ho hitantsika fa AnyConnect amin'ny alàlan'ny mekanika ACIDEX tsy mandefa vaovao momba ny sehatra ihany, fa koa ny UDID ny fitaovana toy ny Cisco-AV-PAIR:
Andeha hojerentsika ny taratasy fanamarinana nomena ny mpampiasa sy ny saha Voalohany (I), izay ampiasaina handraisana azy ho fidirana ho an'ny fanamarinana MFA faharoa amin'ny Cisco DUO:
Amin'ny lafiny DUO Radius Proxy ao amin'ny log dia hitantsika mazava tsara ny fomba nanaovana ny fangatahana fanamarinana, dia tonga amin'ny UDID ho solon'anarana:
Avy amin'ny vavahadin'ny DUO dia mahita hetsika fanamarinana mahomby izahay:
Ary ao amin'ny fananan'ny mpampiasa no napetrako Alias, izay nampiasaiko ho an'ny fidirana, dia izao no UDID an'ny PC navela hidirana:
Vokatr'izany dia nahazo:
- Fanamarinana mpampiasa sy fitaovana marobe;
- Fiarovana amin'ny fanambakana ny fitaovan'ny mpampiasa;
- Fanombanana ny toetry ny fitaovana;
- Mety hampitombo ny fanaraha-maso miaraka amin'ny mari-pamantarana milina sehatra, sns.;
- Fiarovana feno amin'ny toeram-piasana lavitra miaraka amin'ny maodely fiarovana mandeha ho azy;
Rohy mankany amin'ireo lahatsoratra andiany Cisco VPN:
Source: www.habr.com