Өндөр хамгаалалттай алсаас нэвтрэх үзэл баримтлалыг хэрэгжүүлэх

Зохион байгуулалтын сэдвээр цуврал нийтлэлүүдийг үргэлжлүүлж байна Алсын хандалтын VPN хандалт Би өөрийн сонирхолтой байршуулалтын туршлагаа хуваалцахгүй байж чадахгүй өндөр хамгаалалттай VPN тохиргоо. Нэг үйлчлүүлэгч (Оросын тосгонд зохион бүтээгчид байдаг) энгийн бус даалгаврыг танилцуулсан боловч сорилтыг хүлээн авч, бүтээлчээр хэрэгжүүлэв. Үр дүн нь дараах шинж чанаруудтай сонирхолтой ойлголт юм.

1. Терминал төхөөрөмжийг орлуулахаас хамгаалах хэд хэдэн хүчин зүйл (хэрэглэгчтэй хатуу холбоотой);
   • Хэрэглэгчийн компьютерийг баталгаажуулалтын мэдээллийн санд зөвшөөрөгдсөн PC-ийн UDID-тэй нийцэж байгаа эсэхийг үнэлэх;
   • MFA нь Cisco DUO-ээр дамжуулан хоёрдогч баталгаажуулалт хийхдээ гэрчилгээний PC UDID-г ашиглана (Та ямар ч SAML/Radius-тай тохирохыг хавсаргаж болно);
2. Олон хүчин зүйлийн баталгаажуулалт:
   • Талбайн баталгаажуулалт, тэдгээрийн аль нэгнийх нь эсрэг хоёрдогч баталгаажуулалт бүхий хэрэглэгчийн гэрчилгээ;
   • Нэвтрэх (өөрчлөх боломжгүй, гэрчилгээнээс авсан) болон нууц үг;
3. Холбогч хостын төлөвийг тооцоолох (Байршил)

Ашигласан уусмалын бүрэлдэхүүн хэсгүүд:

• Cisco ASA (VPN гарц);
• Cisco ISE (Баталгаажуулалт / Зөвшөөрөл / Нягтлан бодох бүртгэл, Төрийн үнэлгээ, CA);
• Cisco DUO (Олон хүчин зүйлийн баталгаажуулалт) (Та ямар ч SAML/Radius-тай тохирохыг хавсаргаж болно);
• Cisco AnyConnect (Ажлын станц болон гар утасны үйлдлийн системд зориулсан олон зориулалттай агент);

Хэрэглэгчийн шаардлагаас эхэлье:

1. Хэрэглэгч өөрийн Нэвтрэх/Нууц үгийн баталгаажуулалтаараа VPN гарцаас AnyConnect клиентийг татаж авах боломжтой байх ёстой; шаардлагатай бүх AnyConnect модулиудыг хэрэглэгчийн бодлогын дагуу автоматаар суулгасан байх ёстой;
2. Хэрэглэгч автоматаар гэрчилгээ олгох боломжтой байх ёстой (нэг хувилбарын хувьд үндсэн хувилбар нь гараар олгох, компьютер дээр байршуулах явдал юм), гэхдээ би үзүүлэхийн тулд автомат асуудлыг хэрэгжүүлсэн (үүнийг арилгахад хэзээ ч оройтдоггүй).
3. Үндсэн баталгаажуулалт нь хэд хэдэн үе шаттайгаар явагдах ёстой бөгөөд эхлээд шаардлагатай талбарууд болон тэдгээрийн утгуудын дүн шинжилгээ бүхий гэрчилгээний баталгаажуулалт, дараа нь нэвтрэх/нууц үг, зөвхөн энэ удаад гэрчилгээний талбарт заасан хэрэглэгчийн нэрийг нэвтрэх цонхонд оруулах ёстой. Сэдвийн нэр (CN) засварлах чадваргүй.
4. Таны нэвтэрч буй төхөөрөмж нь хэрэглэгчдэд зайнаас хандах зорилгоор олгосон корпорацийн зөөврийн компьютер мөн эсэхийг шалгах хэрэгтэй. (Энэ шаардлагыг хангахын тулд хэд хэдэн сонголт хийсэн)
5. Холбох төхөөрөмжийн төлөвийг (энэ үе шатанд компьютер) хэрэглэгчийн шаардлагын бүхэл бүтэн хүснэгтийг (дүгнэлт) шалгах замаар үнэлэх ёстой.
   • Файлууд ба тэдгээрийн шинж чанарууд;
   • Бүртгэлийн бүртгэл;
   • Өгөгдсөн жагсаалтаас үйлдлийн системийн засварууд (дараа нь SCCM интеграцчилал);
   • Тодорхой үйлдвэрлэгчээс вирусны эсрэг програм байгаа эсэх, гарын үсгийн хамаарал;
   • Тодорхой үйлчилгээний үйл ажиллагаа;
   • Зарим суулгасан програмуудын бэлэн байдал;

Эхлэхийн тулд би танд үр дүнгийн хэрэгжилтийн видео үзүүлбэрийг үзэхийг зөвлөж байна Youtube (5 минут).

Одоо би видео клипэнд тусгаагүй хэрэгжилтийн нарийн ширийн зүйлийг авч үзэхийг санал болгож байна.

AnyConnect профайлыг бэлдье:

Би өмнө нь тохиргооны тухай нийтлэлдээ профайл үүсгэх жишээг (ASDM дахь цэсийн зүйлийн хувьд) өгсөн. VPN ачааллыг тэнцвэржүүлэх кластер. Одоо би бидэнд хэрэгтэй сонголтуудыг тусад нь тэмдэглэхийг хүсч байна:

Профайл дээр бид VPN гарц болон эцсийн үйлчлүүлэгчтэй холбогдох профайлын нэрийг зааж өгнө.

Сертификатыг автоматаар олгохыг профайл талаас нь тохируулцгаая, тухайлбал гэрчилгээний параметрүүдийг зааж, талбарт анхаарлаа хандуулцгаая. Эх үсэг (I), тодорхой утгыг гараар оруулдаг UDID туршилтын машин (Cisco AnyConnect үйлчлүүлэгчийн үүсгэсэн өвөрмөц төхөөрөмж танигч).

Энд би уянгын ухралт хийхийг хүсч байна, учир нь энэ нийтлэлд энэ үзэл баримтлалыг тайлбарласан болно; үзүүлэх зорилгоор гэрчилгээ олгох UDID-ийг AnyConnect профайлын Initials талбарт оруулсан болно. Мэдээжийн хэрэг, бодит амьдрал дээр, хэрэв та үүнийг хийвэл бүх үйлчлүүлэгчид энэ талбарт ижил UDID-тэй гэрчилгээ авах бөгөөд тэдэнд зориулж юу ч ажиллахгүй, учир нь тэдэнд тусгай компьютерийн UDID хэрэгтэй болно. Харамсалтай нь AnyConnect нь UDID талбарыг гэрчилгээний хүсэлтийн профайлд орлуулахыг орчны хувьсагчаар дамжуулан хараахан хэрэгжүүлээгүй байна, жишээ нь хувьсагчтай адил. %USER%.

Үйлчлүүлэгч (энэ хувилбарт) эхлээд ийм Хамгаалагдсан компьютерт гарын авлагын горимд өгөгдсөн UDID бүхий гэрчилгээг бие даан олгохоор төлөвлөж байгаа нь түүний хувьд асуудал биш гэдгийг тэмдэглэх нь зүйтэй. Гэсэн хэдий ч бидний ихэнх нь автоматжуулалтыг хүсдэг (миний хувьд энэ нь үнэн =)).

Энэ бол автоматжуулалтын хувьд миний санал болгож чадах зүйл юм. Хэрэв AnyConnect нь UDID-г динамикаар орлуулах замаар автоматаар гэрчилгээ олгох боломжгүй бол бага зэрэг бүтээлч сэтгэлгээ, чадварлаг гар шаардагдах өөр нэг арга бий - би танд ойлголтыг хэлье. Эхлээд AnyConnect агент өөр үйлдлийн систем дээр UDID-г хэрхэн үүсгэдгийг харцгаая.

• Windows — DigitalProductID болон Машины SID бүртгэлийн түлхүүрийн хослолын SHA-256 хэш
• OSX — SHA-256 хэш платформUUID
• Linux — Үндэс хуваалтын UUID-ийн SHA-256 хэш.
• Apple-ийн Тагийн — SHA-256 хэш платформUUID
• Android – Баримт бичгийг дээр үзнэ үү холбоос

Үүний дагуу бид корпорацийн Windows үйлдлийн системдээ зориулж скрипт үүсгэдэг бөгөөд энэ скриптийн тусламжтайгаар бид мэдэгдэж буй оролтыг ашиглан UDID-ийг дотооддоо тооцоолж, энэ UDID-г шаардлагатай талбарт оруулан гэрчилгээ олгох хүсэлтийг үүсгэдэг, дашрамд хэлэхэд та машин ашиглаж болно. AD-аас олгосон гэрчилгээ (схемд гэрчилгээ ашиглан давхар баталгаажуулалтыг нэмж оруулснаар Олон гэрчилгээ).

Cisco ASA тал дээр тохиргоог бэлдье:

ISE CA серверт зориулж TrustPoint үүсгэцгээе, энэ нь үйлчлүүлэгчдэд гэрчилгээ олгох болно. Би түлхүүрийн гинжийг импортлох журмыг авч үзэхгүй, жишээг миний тохиргооны тухай нийтлэлд тайлбарласан болно VPN ачааллыг тэнцвэржүүлэх кластер.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

Бид баталгаажуулалтад ашигладаг гэрчилгээний талбаруудын дагуу дүрэмд үндэслэн Tunnel-Group-ийн хуваарилалтыг тохируулдаг. Бидний өмнөх шатанд хийсэн AnyConnect профайлыг энд бас тохируулсан. Би утгыг ашиглаж байгааг анхаарна уу SECURABANK-RA, олгосон гэрчилгээтэй хэрэглэгчдийг туннелийн бүлэгт шилжүүлэх SECURE-BANK-VPN, надад AnyConnect профайлын гэрчилгээний хүсэлтийн баганад энэ талбар байгааг анхаарна уу.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

Баталгаажуулалтын серверүүдийг тохируулж байна. Миний хувьд энэ нь баталгаажуулалтын эхний үе шатны ISE бөгөөд MFA-ийн хувьд DUO (Radius Proxy) юм.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

Бид бүлгийн бодлого, туннелийн бүлгүүд болон тэдгээрийн туслах бүрэлдэхүүн хэсгүүдийг бий болгодог:

Тунелийн бүлэг ӨгөгдмөлWEBVPNgroup нь үндсэндээ AnyConnect VPN клиентийг татаж авах, ASA-ийн SCEP-Proxy функцийг ашиглан хэрэглэгчийн гэрчилгээ олгоход ашиглагдах болно; үүний тулд бид туннелийн бүлэг болон холбогдох бүлгийн бодлого дээр аль алинд нь холбогдох сонголтуудыг идэвхжүүлсэн. AC-Татаж авах, болон ачаалагдсан AnyConnect профайл дээр (сертификат олгох талбарууд гэх мэт). Мөн энэ бүлгийн бодлогод бид татаж авах шаардлагатай байгааг харуулж байна ISE маягийн модуль.

Тунелийн бүлэг SECURE-BANK-VPN Өмнөх үе шатанд олгосон гэрчилгээг баталгаажуулах үед үйлчлүүлэгч автоматаар ашиглагдах болно, учир нь гэрчилгээний газрын зургийн дагуу холболт нь энэ туннелийн бүлэгт тусгайлан хамаарах болно. Энд би танд сонирхолтой сонголтуудын талаар хэлэх болно:

• хоёрдогч баталгаажуулалтын серверийн бүлгийн DUO # DUO сервер дээр хоёрдогч баталгаажуулалтыг тохируулах (Радиус прокси)
• хэрэглэгчийн нэр-аас-certificateCN # Анхдагч баталгаажуулалтын хувьд бид хэрэглэгчийн нэвтрэх эрхийг өвлөн авахын тулд гэрчилгээний CN талбарыг ашигладаг
• гэрчилгээний хоёрдогч хэрэглэгчийн нэр I # DUO сервер дээр хоёрдогч баталгаажуулалт хийхийн тулд бид гаргаж авсан хэрэглэгчийн нэр болон гэрчилгээний Initials (I) талбаруудыг ашигладаг.
• хэрэглэгчийн нэрийг урьдчилан бөглөх үйлчлүүлэгч # хэрэглэгчийн нэрийг өөрчлөх боломжгүйгээр баталгаажуулах цонхонд урьдчилан бөглөсөн болгох
• Хоёрдогч-урьдчилан бөглөх-хэрэглэгчийн нэр нууцлах ашиглах-нийтлэг-нууц үг түлхэх # Бид хоёрдогч баталгаажуулалтын DUO-д нэвтрэх/нууц үг оруулах цонхыг нууж, мэдэгдлийн аргыг (sms/push/phone) ашигладаг - нууц үгийн талбарын оронд нэвтрэлт танилт хүсэлт гаргахын тулд док ашигладаг. энд

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

Дараа нь бид ISE руу шилжинэ:

Бид дотоод хэрэглэгчийг тохируулдаг (та AD/LDAP/ODBC гэх мэтийг ашиглаж болно), хялбар болгох үүднээс би ISE-д дотоод хэрэглэгчийг үүсгээд талбарт хуваарилсан. танилцуулга UDID компьютер Үүнээс тэр VPN-ээр нэвтрэх эрхтэй. Хэрэв би ISE дээр локал нэвтрэлт танилтыг ашигладаг бол олон талбар байхгүй тул би зөвхөн нэг төхөөрөмжөөр хязгаарлагдах болно, гэхдээ гуравдагч этгээдийн баталгаажуулалтын мэдээллийн санд ийм хязгаарлалт байхгүй болно.

Зөвшөөрлийн бодлогыг харцгаая, энэ нь дөрвөн холболтын үе шатанд хуваагдана.

• Үе шат 1 — AnyConnect агентийг татаж авах, гэрчилгээ олгох бодлого
• Үе шат 2 — Анхдагч баталгаажуулалтын бодлого Нэвтрэх (сертификатаас)/Нууц үг + UDID баталгаажуулалттай гэрчилгээ
• Үе шат 3 — Хэрэглэгчийн нэрээр UDID ашиглан Cisco DUO (MFA)-аар дамжуулан хоёрдогч баталгаажуулалт + Төрийн үнэлгээ
• Үе шат 4 - Эцсийн зөвшөөрөл нь дараах байдалтай байна.
  • Тохиромжтой;
  • UDID баталгаажуулалт (сертификат + нэвтрэх холболтоос),
  • Cisco DUO Гадаад харилцааны яам;
  • Нэвтрэх замаар баталгаажуулалт;
  • Гэрчилгээг баталгаажуулах;

Сонирхолтой нөхцөл байдлыг харцгаая UUID_VALIDATED, энэ нь баталгаажуулагч хэрэглэгч нь тухайн талбарт холбогдсон зөвшөөрөгдсөн UDID-тэй компьютерээс ирсэн бололтой. Тодорхойлолт данс, нөхцөл дараах байдалтай байна.

1,2,3-р үе шатанд ашигласан зөвшөөрлийн профайл дараах байдалтай байна.

Та ISE дээрх үйлчлүүлэгчийн сессийн дэлгэрэнгүй мэдээллийг харснаар AnyConnect клиентээс UDID яг хэрхэн бидэнд ирж байгааг шалгаж болно. AnyConnect-ийг механизмаар дамжуулан бид нарийвчлан харах болно ACIDEX нь зөвхөн платформын тухай мэдээлэл төдийгүй төхөөрөмжийн UDID-г илгээдэг Cisco-AV-PAIR:

Хэрэглэгч болон талбарт олгосон гэрчилгээнд анхаарлаа хандуулъя Эх үсэг (I), үүнийг Cisco DUO дээр хоёрдогч MFA нэвтрэлт танилтад ашиглахад ашигладаг:

Бүртгэлийн DUO Radius Proxy тал дээр бид баталгаажуулалтын хүсэлт хэрхэн хийгдсэнийг тодорхой харж болно, энэ нь хэрэглэгчийн нэрээр UDID-г ашиглан ирдэг:

DUO порталаас бид баталгаажуулалтын амжилттай үйл явдлыг харж байна:

Хэрэглэгчийн шинж чанарт би үүнийг тохируулсан АЛИАС, би нэвтрэхдээ ашигласан бөгөөд энэ нь нэвтрэхийг зөвшөөрсөн PC-ийн UDID юм:

Үүний үр дүнд бид дараахь зүйлийг авсан.

• Олон хүчин зүйлийн хэрэглэгчийн болон төхөөрөмжийн баталгаажуулалт;
• Хэрэглэгчийн төхөөрөмжийг хууран мэхлэхээс хамгаалах;
• Төхөөрөмжийн нөхцөл байдлыг үнэлэх;
• Домэйн машины гэрчилгээ гэх мэт хяналтыг нэмэгдүүлэх боломж;
• Автоматаар байрлуулсан хамгаалалтын модулиуд бүхий алсын ажлын байрны иж бүрэн хамгаалалт;

Cisco VPN цуврал нийтлэлүүдийн холбоосууд:

• ASA VPN Ачаалал тэнцвэржүүлэх кластерийг байрлуулж байна
• Cisco ASA дээрх AnyConnect VPN туннелийн үүлэн үйлчилгээг оновчтой болгож байна

Эх сурвалж: www.habr.com