Имплементација на концептот на високо безбеден далечински пристап

Продолжување на серијата написи на тема организација VPN со далечински пристап пристап Не можам а да не го споделам моето интересно искуство со распоредувањето високо безбедна VPN конфигурација. Нетривијална задача беше претставена од еден клиент (има пронаоѓачи во руските села), но Предизвикот беше прифатен и креативно имплементиран. Резултатот е интересен концепт со следниве карактеристики:

1. Неколку фактори на заштита од замена на терминалниот уред (со строго врзување за корисникот);
   • Проценка на усогласеноста на компјутерот на корисникот со доделениот UDID на дозволениот компјутер во базата на податоци за автентикација;
   • Со MFA користејќи го PC UDID од сертификатот за секундарна автентикација преку Cisco DUO (Можете да прикачите кој било компатибилен со SAML/Radius);
2. Повеќефакторска автентикација:
   • Кориснички сертификат со теренска проверка и секундарна автентикација против еден од нив;
   • Најава (непроменлива, преземена од сертификатот) и лозинка;
3. Проценка на состојбата на поврзувачкиот домаќин (држење на телото)

Користени компоненти на растворот:

• Cisco ASA (VPN Gateway);
• Cisco ISE (автентикација / овластување / сметководство, државна евалуација, CA);
• Cisco DUO (мулти-факторска автентикација) (Можете да прикачите кој било компатибилен со SAML/Radius);
• Cisco AnyConnect (Повеќенаменски агент за работни станици и мобилен оперативен систем);

Да почнеме со барањата на клиентите:

1. Корисникот мора, преку неговата автентикација за најава/лозинка, да може да го преземе клиентот AnyConnect од портата VPN; сите потребни AnyConnect модули мора да се инсталираат автоматски во согласност со политиката на корисникот;
2. Корисникот треба да може автоматски да издава сертификат (за едно од сценаријата, главното сценарио е рачно издавање и поставување на компјутер), но јас имплементирав автоматско издавање за демонстрација (никогаш не е доцна да се отстрани).
3. Основната автентикација мора да се одвива во неколку фази, прво има автентикација на сертификатот со анализа на потребните полиња и нивните вредности, потоа најава/лозинка, само овој пат корисничкото име наведено во полето за сертификат мора да се вметне во прозорецот за најавување. Име на предметот (CN) без можност за уредување.
4. Треба да бидете сигурни дека уредот од кој се најавувате е корпоративниот лаптоп издаден на корисникот за далечински пристап, а не нешто друго. (Направени се неколку опции за да се задоволи ова барање)
5. Состојбата на уредот за поврзување (во оваа фаза компјутер) треба да се процени со проверка на цела голема табела на барања на клиентите (сумирајќи):
   • Датотеки и нивните својства;
   • Записи во регистарот;
   • ОС закрпи од дадената листа (подоцна интеграција на SCCM);
   • Достапност на анти-вирус од специфичен производител и релевантност на потписите;
   • Дејност на одредени услуги;
   • Достапност на одредени инсталирани програми;

За почеток, предлагам дефинитивно да ја погледнете видео демонстрацијата на добиената имплементација на YouTube (5 минути).

Сега предлагам да ги разгледаме деталите за имплементацијата што не се опфатени во видео клипот.

Ајде да го подготвиме профилот AnyConnect:

Претходно дадов пример за создавање профил (во смисла на ставка од менито во ASDM) во мојата статија за поставување Кластер за балансирање на оптоварување VPN. Сега би сакал одделно да ги забележам опциите што ќе ни требаат:

Во профилот, ќе го означиме портата VPN и името на профилот за поврзување со крајниот клиент:

Ајде да го конфигурираме автоматското издавање сертификат од страната на профилот, означувајќи ги, особено, параметрите на сертификатот и, карактеристично, да обрнеме внимание на полето Иницијали (I), каде што рачно се внесува одредена вредност УДИД машина за тестирање (Уникатен идентификатор на уред кој е генериран од клиентот Cisco AnyConnect).

Овде сакам да направам лирска дигресија, бидејќи овој напис го опишува концептот; за демонстративни цели, UDID за издавање сертификат се внесува во полето Initials на профилот AnyConnect. Се разбира, во реалниот живот, ако го направите ова, тогаш сите клиенти ќе добијат сертификат со истиот UDID во оваа област и ништо нема да им помогне, бидејќи им треба UDID на нивниот специфичен компјутер. AnyConnect, за жал, сè уште не спроведува замена на полето UDID во профилот за барање сертификат преку променлива на животната средина, како што прави, на пример, со променлива %USER%.

Вреди да се напомене дека клиентот (од ова сценарио) првично планира самостојно да издава сертификати со даден UDID во рачен режим на такви Заштитени компјутери, што за него не е проблем. Сепак, за повеќето од нас сакаме автоматизација (добро, за мене тоа е вистина =)).

И ова е она што можам да го понудам во однос на автоматизацијата. Ако AnyConnect сè уште не може автоматски да издава сертификат со динамичка замена на UDID, тогаш постои друг начин на кој ќе треба малку креативна мисла и вешти раце - ќе ви го кажам концептот. Прво, да погледнеме како UDID се генерира на различни оперативни системи од агентот AnyConnect:

• Windows — SHA-256 хаш на комбинацијата на регистарскиот клуч DigitalProductID и Machine SID
• OSX — SHA-256 хаш платформаUUID
• Linux — SHA-256 хаш на UUID на root партицијата.
• Apple iOS — SHA-256 хаш платформаUUID
• Андроид – Видете документ на линк

Според тоа, создаваме скрипта за нашиот корпоративен Windows OS, со оваа скрипта локално го пресметуваме UDID користејќи познати влезови и формираме барање за издавање сертификат со внесување на овој UDID во потребното поле, патем, можете да користите и машина сертификат издаден од AD (со додавање на двојна автентикација со помош на сертификат во шемата Повеќекратен сертификат).

Ајде да ги подготвиме поставките на страната на Cisco ASA:

Ајде да создадеме TrustPoint за серверот ISE CA, тој ќе биде оној што ќе издава сертификати на клиентите. Нема да ја разгледам процедурата за увоз на синџир на клучеви; пример е опишан во мојата статија за поставување Кластер за балансирање на оптоварување VPN.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

Ја конфигурираме дистрибуцијата по Tunnel-Group врз основа на правила во согласност со полињата во сертификатот што се користи за автентикација. Профилот AnyConnect што го направивме во претходната фаза е исто така конфигуриран овде. Ве молиме имајте предвид дека ја користам вредноста SECUREBANK-RA, за пренос на корисници со издаден сертификат во група тунели БЕЗБЕДНА БАНКА-ВПН, имајте предвид дека го имам ова поле во колоната за барање сертификат за профил на AnyConnect.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

Поставување сервери за автентикација. Во мојот случај, ова е ISE за првата фаза на автентикација и DUO (Radius Proxy) како MFA.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

Ние создаваме групни политики и тунелни групи и нивните помошни компоненти:

Тунел група СтандарднаWEBVPNGгрупа ќе се користи првенствено за преземање на клиентот AnyConnect VPN и издавање кориснички сертификат користејќи ја функцијата SCEP-Proxy на ASA; за ова ги имаме соодветните опции активирани и на самата тунелна група и на поврзаната групна политика AC-Преземи, и на вчитаниот профил AnyConnect (полиња за издавање сертификат и сл.). Исто така, во оваа групна политика укажуваме на потребата за преземање ISE модул за држење на телото.

Тунел група БЕЗБЕДНА БАНКА-ВПН ќе се користи автоматски од клиентот при автентикација со издадениот сертификат во претходната фаза, бидејќи, во согласност со Картата на сертификати, врската ќе падне конкретно на оваа тунелна група. Ќе ви кажам за интересни опции овде:

• секундарна-автентикација-сервер-група DUO # Поставете секундарна автентикација на серверот DUO (Radius Proxy)
• корисничко име-од-сертификатCN # За примарна автентикација, го користиме полето CN на сертификатот за да го наследиме најавувањето на корисникот
• секундарно-корисничко име-од-сертификат I # За секундарна автентикација на серверот DUO, го користиме извлеченото корисничко име и полињата Иницијали (I) на сертификатот.
• клиент за претходно пополнување на корисничко име # направете го корисничкото име претходно пополнето во прозорецот за автентикација без можност за промена
• секундарно-пред-пополнување-корисничко име клиент крие употреба-заедничка-притисни лозинка # Го криеме прозорецот за внесување најава/лозинка за секундарна автентикација DUO и го користиме методот за известување (sms/push/phone) - приклучете за да побарате автентикација наместо полето за лозинка тука

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

Следно, продолжуваме кон ISE:

Конфигурираме локален корисник (можете да користите AD/LDAP/ODBC итн.), за едноставност, создадов локален корисник во самиот ISE и го доделив во полето опис UDID компјутер од кои му е дозволено да се логира преку VPN. Ако користам локална автентикација на ISE, ќе бидам ограничен на само еден уред, бидејќи нема многу полиња, но во базите на податоци за автентикација од трети лица нема да имам такви ограничувања.

Ајде да ја погледнеме политиката за овластување, таа е поделена на четири фази на поврзување:

• Фаза 1 — Политика за преземање на агентот AnyConnect и издавање сертификат
• Фаза 2 — Примарна политика за автентикација Најава (од сертификат)/Лозинка + Сертификат со валидација UDID
• Фаза 3 — Секундарна автентикација преку Cisco DUO (MFA) користејќи UDID како корисничко име + проценка на состојбата
• Фаза 4 — Конечното овластување е во државата:
  • Усогласен;
  • валидација UDID (од сертификат + обврзувачки за најава),
  • Cisco DUO МНР;
  • Автентикација со најава;
  • автентикација на сертификатот;

Ајде да погледнеме една интересна состојба UUID_VALIDATED, едноставно изгледа дека корисникот за автентикација всушност доаѓа од компјутер со дозволен UDID поврзан на полето Опис сметка, условите изгледаат вака:

Профилот за овластување што се користи во фазите 1,2,3 е како што следува:

Можете да проверите како точно UDID од клиентот AnyConnect пристигнува кај нас со гледање на деталите за сесијата на клиентот во ISE. Детално ќе видиме дека AnyConnect преку механизмот АЦИДЕКС испраќа не само информации за платформата, туку и UDID на уредот како Cisco-AV-PAIR:

Да обрнеме внимание на сертификатот издаден на корисникот и на теренот Иницијали (I), што се користи за да се земе како најава за секундарна MFA автентикација на Cisco DUO:

На страната на DUO Radius Proxy во дневникот јасно можеме да видиме како се прави барањето за автентикација, тоа доаѓа со користење на UDID како корисничко име:

Од порталот DUO гледаме успешен настан за автентикација:

И во корисничките својства го имам поставено ALIAS, што го користев за најавување, пак, ова е UDID на компјутерот дозволен за најава:

Како резултат добивме:

• Повеќефакторска автентикација на корисникот и уредот;
• Заштита од измама на уредот на корисникот;
• Проценка на состојбата на уредот;
• Потенцијал за зголемена контрола со сертификат за машина за домен итн.;
• Сеопфатна заштита на далечинското работно место со автоматски распоредени безбедносни модули;

Врски до написите од серијата Cisco VPN:

• Распоредување на ASA VPN кластер за балансирање на оптоварување
• Оптимизирање на облак услуги во AnyConnect VPN тунел на Cisco ASA

Извор: www.habr.com