Зохион байгуулалтын сэдвээр цуврал нийтлэлүүдийг үргэлжлүүлж байна Алсын хандалтын VPN хандалт Би өөрийн сонирхолтой байршуулалтын туршлагаа хуваалцахгүй байж чадахгүй өндөр хамгаалалттай VPN тохиргоо. Нэг үйлчлүүлэгч (Оросын тосгонд зохион бүтээгчид байдаг) энгийн бус даалгаврыг танилцуулсан боловч сорилтыг хүлээн авч, бүтээлчээр хэрэгжүүлэв. Үр дүн нь дараах шинж чанаруудтай сонирхолтой ойлголт юм.
- Терминал төхөөрөмжийг орлуулахаас хамгаалах хэд хэдэн хүчин зүйл (хэрэглэгчтэй хатуу холбоотой);
- Хэрэглэгчийн компьютерийг баталгаажуулалтын мэдээллийн санд зөвшөөрөгдсөн PC-ийн UDID-тэй нийцэж байгаа эсэхийг үнэлэх;
- MFA нь Cisco DUO-ээр дамжуулан хоёрдогч баталгаажуулалт хийхдээ гэрчилгээний PC UDID-г ашиглана (Та ямар ч SAML/Radius-тай тохирохыг хавсаргаж болно);
- Олон хүчин зүйлийн баталгаажуулалт:
- Талбайн баталгаажуулалт, тэдгээрийн аль нэгнийх нь эсрэг хоёрдогч баталгаажуулалт бүхий хэрэглэгчийн гэрчилгээ;
- Нэвтрэх (өөрчлөх боломжгүй, гэрчилгээнээс авсан) болон нууц үг;
- Холбогч хостын төлөвийг тооцоолох (Байршил)
Ашигласан уусмалын бүрэлдэхүүн хэсгүүд:
- Cisco ASA (VPN гарц);
- Cisco ISE (Баталгаажуулалт / Зөвшөөрөл / Нягтлан бодох бүртгэл, Төрийн үнэлгээ, CA);
- Cisco DUO (Олон хүчин зүйлийн баталгаажуулалт) (Та ямар ч SAML/Radius-тай тохирохыг хавсаргаж болно);
- Cisco AnyConnect (Ажлын станц болон гар утасны үйлдлийн системд зориулсан олон зориулалттай агент);
Хэрэглэгчийн шаардлагаас эхэлье:
- Хэрэглэгч өөрийн Нэвтрэх/Нууц үгийн баталгаажуулалтаараа VPN гарцаас AnyConnect клиентийг татаж авах боломжтой байх ёстой; шаардлагатай бүх AnyConnect модулиудыг хэрэглэгчийн бодлогын дагуу автоматаар суулгасан байх ёстой;
- Хэрэглэгч автоматаар гэрчилгээ олгох боломжтой байх ёстой (нэг хувилбарын хувьд үндсэн хувилбар нь гараар олгох, компьютер дээр байршуулах явдал юм), гэхдээ би үзүүлэхийн тулд автомат асуудлыг хэрэгжүүлсэн (үүнийг арилгахад хэзээ ч оройтдоггүй).
- Үндсэн баталгаажуулалт нь хэд хэдэн үе шаттайгаар явагдах ёстой бөгөөд эхлээд шаардлагатай талбарууд болон тэдгээрийн утгуудын дүн шинжилгээ бүхий гэрчилгээний баталгаажуулалт, дараа нь нэвтрэх/нууц үг, зөвхөн энэ удаад гэрчилгээний талбарт заасан хэрэглэгчийн нэрийг нэвтрэх цонхонд оруулах ёстой. Сэдвийн нэр (CN) засварлах чадваргүй.
- Таны нэвтэрч буй төхөөрөмж нь хэрэглэгчдэд зайнаас хандах зорилгоор олгосон корпорацийн зөөврийн компьютер мөн эсэхийг шалгах хэрэгтэй. (Энэ шаардлагыг хангахын тулд хэд хэдэн сонголт хийсэн)
- Холбох төхөөрөмжийн төлөвийг (энэ үе шатанд компьютер) хэрэглэгчийн шаардлагын бүхэл бүтэн хүснэгтийг (дүгнэлт) шалгах замаар үнэлэх ёстой.
- Файлууд ба тэдгээрийн шинж чанарууд;
- Бүртгэлийн бүртгэл;
- Өгөгдсөн жагсаалтаас үйлдлийн системийн засварууд (дараа нь SCCM интеграцчилал);
- Тодорхой үйлдвэрлэгчээс вирусны эсрэг програм байгаа эсэх, гарын үсгийн хамаарал;
- Тодорхой үйлчилгээний үйл ажиллагаа;
- Зарим суулгасан програмуудын бэлэн байдал;
Эхлэхийн тулд би танд үр дүнгийн хэрэгжилтийн видео үзүүлбэрийг үзэхийг зөвлөж байна Youtube (5 минут).
Одоо би видео клипэнд тусгаагүй хэрэгжилтийн нарийн ширийн зүйлийг авч үзэхийг санал болгож байна.
AnyConnect профайлыг бэлдье:
Би өмнө нь тохиргооны тухай нийтлэлдээ профайл үүсгэх жишээг (ASDM дахь цэсийн зүйлийн хувьд) өгсөн.
Профайл дээр бид VPN гарц болон эцсийн үйлчлүүлэгчтэй холбогдох профайлын нэрийг зааж өгнө.
Сертификатыг автоматаар олгохыг профайл талаас нь тохируулцгаая, тухайлбал гэрчилгээний параметрүүдийг зааж, талбарт анхаарлаа хандуулцгаая. Эх үсэг (I), тодорхой утгыг гараар оруулдаг UDID туршилтын машин (Cisco AnyConnect үйлчлүүлэгчийн үүсгэсэн өвөрмөц төхөөрөмж танигч).
Энд би уянгын ухралт хийхийг хүсч байна, учир нь энэ нийтлэлд энэ үзэл баримтлалыг тайлбарласан болно; үзүүлэх зорилгоор гэрчилгээ олгох UDID-ийг AnyConnect профайлын Initials талбарт оруулсан болно. Мэдээжийн хэрэг, бодит амьдрал дээр, хэрэв та үүнийг хийвэл бүх үйлчлүүлэгчид энэ талбарт ижил UDID-тэй гэрчилгээ авах бөгөөд тэдэнд зориулж юу ч ажиллахгүй, учир нь тэдэнд тусгай компьютерийн UDID хэрэгтэй болно. Харамсалтай нь AnyConnect нь UDID талбарыг гэрчилгээний хүсэлтийн профайлд орлуулахыг орчны хувьсагчаар дамжуулан хараахан хэрэгжүүлээгүй байна, жишээ нь хувьсагчтай адил. %USER%.
Үйлчлүүлэгч (энэ хувилбарт) эхлээд ийм Хамгаалагдсан компьютерт гарын авлагын горимд өгөгдсөн UDID бүхий гэрчилгээг бие даан олгохоор төлөвлөж байгаа нь түүний хувьд асуудал биш гэдгийг тэмдэглэх нь зүйтэй. Гэсэн хэдий ч бидний ихэнх нь автоматжуулалтыг хүсдэг (миний хувьд энэ нь үнэн =)).
Энэ бол автоматжуулалтын хувьд миний санал болгож чадах зүйл юм. Хэрэв AnyConnect нь UDID-г динамикаар орлуулах замаар автоматаар гэрчилгээ олгох боломжгүй бол бага зэрэг бүтээлч сэтгэлгээ, чадварлаг гар шаардагдах өөр нэг арга бий - би танд ойлголтыг хэлье. Эхлээд AnyConnect агент өөр үйлдлийн систем дээр UDID-г хэрхэн үүсгэдгийг харцгаая.
- Windows — DigitalProductID болон Машины SID бүртгэлийн түлхүүрийн хослолын SHA-256 хэш
- OSX — SHA-256 хэш платформUUID
- Linux — Үндэс хуваалтын UUID-ийн SHA-256 хэш.
- Apple-ийн Тагийн — SHA-256 хэш платформUUID
- Android – Баримт бичгийг дээр үзнэ үү
холбоос
Үүний дагуу бид корпорацийн Windows үйлдлийн системдээ зориулж скрипт үүсгэдэг бөгөөд энэ скриптийн тусламжтайгаар бид мэдэгдэж буй оролтыг ашиглан UDID-ийг дотооддоо тооцоолж, энэ UDID-г шаардлагатай талбарт оруулан гэрчилгээ олгох хүсэлтийг үүсгэдэг, дашрамд хэлэхэд та машин ашиглаж болно. AD-аас олгосон гэрчилгээ (схемд гэрчилгээ ашиглан давхар баталгаажуулалтыг нэмж оруулснаар Олон гэрчилгээ).
Cisco ASA тал дээр тохиргоог бэлдье:
ISE CA серверт зориулж TrustPoint үүсгэцгээе, энэ нь үйлчлүүлэгчдэд гэрчилгээ олгох болно. Би түлхүүрийн гинжийг импортлох журмыг авч үзэхгүй, жишээг миний тохиргооны тухай нийтлэлд тайлбарласан болно
crypto ca trustpoint ISE-CA
enrollment terminal
crl configure
Бид баталгаажуулалтад ашигладаг гэрчилгээний талбаруудын дагуу дүрэмд үндэслэн Tunnel-Group-ийн хуваарилалтыг тохируулдаг. Бидний өмнөх шатанд хийсэн AnyConnect профайлыг энд бас тохируулсан. Би утгыг ашиглаж байгааг анхаарна уу SECURABANK-RA, олгосон гэрчилгээтэй хэрэглэгчдийг туннелийн бүлэгт шилжүүлэх SECURE-BANK-VPN, надад AnyConnect профайлын гэрчилгээний хүсэлтийн баганад энэ талбар байгааг анхаарна уу.
tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
subject-name attr ou eq securebank-ra
!
webvpn
anyconnect profiles SECUREBANK disk0:/securebank.xml
certificate-group-map OU-Map 6 SECURE-BANK-VPN
!
Баталгаажуулалтын серверүүдийг тохируулж байна. Миний хувьд энэ нь баталгаажуулалтын эхний үе шатны ISE бөгөөд MFA-ийн хувьд DUO (Radius Proxy) юм.
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!
Бид бүлгийн бодлого, туннелийн бүлгүүд болон тэдгээрийн туслах бүрэлдэхүүн хэсгүүдийг бий болгодог:
Тунелийн бүлэг ӨгөгдмөлWEBVPNgroup нь үндсэндээ AnyConnect VPN клиентийг татаж авах, ASA-ийн SCEP-Proxy функцийг ашиглан хэрэглэгчийн гэрчилгээ олгоход ашиглагдах болно; үүний тулд бид туннелийн бүлэг болон холбогдох бүлгийн бодлого дээр аль алинд нь холбогдох сонголтуудыг идэвхжүүлсэн. AC-Татаж авах, болон ачаалагдсан AnyConnect профайл дээр (сертификат олгох талбарууд гэх мэт). Мөн энэ бүлгийн бодлогод бид татаж авах шаардлагатай байгааг харуулж байна ISE маягийн модуль.
Тунелийн бүлэг SECURE-BANK-VPN Өмнөх үе шатанд олгосон гэрчилгээг баталгаажуулах үед үйлчлүүлэгч автоматаар ашиглагдах болно, учир нь гэрчилгээний газрын зургийн дагуу холболт нь энэ туннелийн бүлэгт тусгайлан хамаарах болно. Энд би танд сонирхолтой сонголтуудын талаар хэлэх болно:
- хоёрдогч баталгаажуулалтын серверийн бүлгийн DUO # DUO сервер дээр хоёрдогч баталгаажуулалтыг тохируулах (Радиус прокси)
- хэрэглэгчийн нэр-аас-certificateCN # Анхдагч баталгаажуулалтын хувьд бид хэрэглэгчийн нэвтрэх эрхийг өвлөн авахын тулд гэрчилгээний CN талбарыг ашигладаг
- гэрчилгээний хоёрдогч хэрэглэгчийн нэр I # DUO сервер дээр хоёрдогч баталгаажуулалт хийхийн тулд бид гаргаж авсан хэрэглэгчийн нэр болон гэрчилгээний Initials (I) талбаруудыг ашигладаг.
- хэрэглэгчийн нэрийг урьдчилан бөглөх үйлчлүүлэгч # хэрэглэгчийн нэрийг өөрчлөх боломжгүйгээр баталгаажуулах цонхонд урьдчилан бөглөсөн болгох
- Хоёрдогч-урьдчилан бөглөх-хэрэглэгчийн нэр нууцлах ашиглах-нийтлэг-нууц үг түлхэх # Бид хоёрдогч баталгаажуулалтын DUO-д нэвтрэх/нууц үг оруулах цонхыг нууж, мэдэгдлийн аргыг (sms/push/phone) ашигладаг - нууц үгийн талбарын оронд нэвтрэлт танилт хүсэлт гаргахын тулд док ашигладаг.
энд
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!
Дараа нь бид ISE руу шилжинэ:
Бид дотоод хэрэглэгчийг тохируулдаг (та AD/LDAP/ODBC гэх мэтийг ашиглаж болно), хялбар болгох үүднээс би ISE-д дотоод хэрэглэгчийг үүсгээд талбарт хуваарилсан. танилцуулга UDID компьютер Үүнээс тэр VPN-ээр нэвтрэх эрхтэй. Хэрэв би ISE дээр локал нэвтрэлт танилтыг ашигладаг бол олон талбар байхгүй тул би зөвхөн нэг төхөөрөмжөөр хязгаарлагдах болно, гэхдээ гуравдагч этгээдийн баталгаажуулалтын мэдээллийн санд ийм хязгаарлалт байхгүй болно.
Зөвшөөрлийн бодлогыг харцгаая, энэ нь дөрвөн холболтын үе шатанд хуваагдана.
- Үе шат 1 — AnyConnect агентийг татаж авах, гэрчилгээ олгох бодлого
- Үе шат 2 — Анхдагч баталгаажуулалтын бодлого Нэвтрэх (сертификатаас)/Нууц үг + UDID баталгаажуулалттай гэрчилгээ
- Үе шат 3 — Хэрэглэгчийн нэрээр UDID ашиглан Cisco DUO (MFA)-аар дамжуулан хоёрдогч баталгаажуулалт + Төрийн үнэлгээ
- Үе шат 4 - Эцсийн зөвшөөрөл нь дараах байдалтай байна.
- Тохиромжтой;
- UDID баталгаажуулалт (сертификат + нэвтрэх холболтоос),
- Cisco DUO Гадаад харилцааны яам;
- Нэвтрэх замаар баталгаажуулалт;
- Гэрчилгээг баталгаажуулах;
Сонирхолтой нөхцөл байдлыг харцгаая UUID_VALIDATED, энэ нь баталгаажуулагч хэрэглэгч нь тухайн талбарт холбогдсон зөвшөөрөгдсөн UDID-тэй компьютерээс ирсэн бололтой. Тодорхойлолт данс, нөхцөл дараах байдалтай байна.
1,2,3-р үе шатанд ашигласан зөвшөөрлийн профайл дараах байдалтай байна.
Та ISE дээрх үйлчлүүлэгчийн сессийн дэлгэрэнгүй мэдээллийг харснаар AnyConnect клиентээс UDID яг хэрхэн бидэнд ирж байгааг шалгаж болно. AnyConnect-ийг механизмаар дамжуулан бид нарийвчлан харах болно ACIDEX нь зөвхөн платформын тухай мэдээлэл төдийгүй төхөөрөмжийн UDID-г илгээдэг Cisco-AV-PAIR:
Хэрэглэгч болон талбарт олгосон гэрчилгээнд анхаарлаа хандуулъя Эх үсэг (I), үүнийг Cisco DUO дээр хоёрдогч MFA нэвтрэлт танилтад ашиглахад ашигладаг:
Бүртгэлийн DUO Radius Proxy тал дээр бид баталгаажуулалтын хүсэлт хэрхэн хийгдсэнийг тодорхой харж болно, энэ нь хэрэглэгчийн нэрээр UDID-г ашиглан ирдэг:
DUO порталаас бид баталгаажуулалтын амжилттай үйл явдлыг харж байна:
Хэрэглэгчийн шинж чанарт би үүнийг тохируулсан АЛИАС, би нэвтрэхдээ ашигласан бөгөөд энэ нь нэвтрэхийг зөвшөөрсөн PC-ийн UDID юм:
Үүний үр дүнд бид дараахь зүйлийг авсан.
- Олон хүчин зүйлийн хэрэглэгчийн болон төхөөрөмжийн баталгаажуулалт;
- Хэрэглэгчийн төхөөрөмжийг хууран мэхлэхээс хамгаалах;
- Төхөөрөмжийн нөхцөл байдлыг үнэлэх;
- Домэйн машины гэрчилгээ гэх мэт хяналтыг нэмэгдүүлэх боломж;
- Автоматаар байрлуулсан хамгаалалтын модулиуд бүхий алсын ажлын байрны иж бүрэн хамгаалалт;
Cisco VPN цуврал нийтлэлүүдийн холбоосууд:
ASA VPN Ачаалал тэнцвэржүүлэх кластерийг байрлуулж байна Cisco ASA дээрх AnyConnect VPN туннелийн үүлэн үйлчилгээг оновчтой болгож байна
Эх сурвалж: www.habr.com