अत्यंत सुरक्षित रिमोट ऍक्सेसच्या संकल्पनेची अंमलबजावणी

संस्थेच्या विषयावर लेखांची मालिका सुरू ठेवणे दूरस्थ प्रवेश VPN प्रवेश मी मदत करू शकत नाही परंतु माझा मनोरंजक उपयोजन अनुभव सामायिक करू शकत नाही अत्यंत सुरक्षित VPN कॉन्फिगरेशन. एका ग्राहकाने एक क्षुल्लक कार्य सादर केले (रशियन गावांमध्ये शोधक आहेत), परंतु आव्हान स्वीकारले आणि सर्जनशीलपणे अंमलात आणले. परिणाम खालील वैशिष्ट्यांसह एक मनोरंजक संकल्पना आहे:

1. टर्मिनल यंत्राच्या प्रतिस्थापनापासून संरक्षणाचे अनेक घटक (वापरकर्त्यास कठोर बंधनासह);
   • प्रमाणीकरण डेटाबेसमध्ये अनुमत पीसीच्या नियुक्त केलेल्या यूडीआयडीसह वापरकर्त्याच्या पीसीच्या अनुपालनाचे मूल्यांकन करणे;
   • Cisco DUO द्वारे दुय्यम प्रमाणीकरणासाठी प्रमाणपत्रातील PC UDID वापरून MFA सह (तुम्ही कोणतेही SAML/त्रिज्या सुसंगत संलग्न करू शकता);
2. बहु-घटक प्रमाणीकरण:
   • फील्ड सत्यापनासह वापरकर्ता प्रमाणपत्र आणि त्यापैकी एकाच्या विरूद्ध दुय्यम प्रमाणीकरण;
   • लॉगिन (अपरिवर्तनीय, प्रमाणपत्रावरून घेतलेले) आणि पासवर्ड;
3. कनेक्टिंग होस्टच्या स्थितीचा अंदाज लावणे (पोश्चर)

सोल्यूशन घटक वापरले:

• सिस्को एएसए (व्हीपीएन गेटवे);
• सिस्को ISE (प्रमाणीकरण / अधिकृतता / लेखा, राज्य मूल्यांकन, CA);
• सिस्को DUO (मल्टी-फॅक्टर ऑथेंटिकेशन) (तुम्ही कोणतेही SAML/त्रिज्या सुसंगत संलग्न करू शकता);
• Cisco AnyConnect (वर्कस्टेशन्स आणि मोबाईल OS साठी बहुउद्देशीय एजंट);

चला ग्राहकांच्या आवश्यकतांसह प्रारंभ करूया:

1. वापरकर्त्याने, त्याच्या लॉगिन/पासवर्ड प्रमाणीकरणाद्वारे, VPN गेटवेवरून AnyConnect क्लायंट डाउनलोड करण्यास सक्षम असणे आवश्यक आहे; सर्व आवश्यक AnyConnect मॉड्यूल वापरकर्त्याच्या धोरणानुसार स्वयंचलितपणे स्थापित केले जाणे आवश्यक आहे;
2. वापरकर्त्याने स्वयंचलितपणे प्रमाणपत्र जारी करण्यास सक्षम असावे (एका परिस्थितीसाठी, मुख्य परिस्थिती म्हणजे मॅन्युअल जारी करणे आणि पीसीवर अपलोड करणे), परंतु मी प्रात्यक्षिकासाठी स्वयंचलित समस्या लागू केली (ते काढण्यास कधीही उशीर झालेला नाही).
3. मूलभूत प्रमाणीकरण अनेक टप्प्यांत होणे आवश्यक आहे, प्रथम आवश्यक फील्ड आणि त्यांची मूल्ये यांचे विश्लेषण करून प्रमाणपत्र प्रमाणीकरण आहे, नंतर लॉगिन/पासवर्ड, फक्त यावेळी प्रमाणपत्र फील्डमध्ये निर्दिष्ट केलेले वापरकर्ता नाव लॉगिन विंडोमध्ये समाविष्ट करणे आवश्यक आहे. विषयाचे नाव (CN) संपादित करण्याच्या क्षमतेशिवाय.
4. तुम्ही ज्या डिव्हाइसवरून लॉग इन करत आहात तो कॉर्पोरेट लॅपटॉप वापरकर्त्याला रिमोट ऍक्सेससाठी जारी केला गेला आहे आणि दुसरे काही नाही याची खात्री करणे आवश्यक आहे. (ही आवश्यकता पूर्ण करण्यासाठी अनेक पर्याय दिले आहेत)
5. कनेक्टिंग डिव्हाइसच्या स्थितीचे (या टप्प्यावर पीसी) ग्राहकांच्या आवश्यकतांच्या संपूर्ण जड सारणीच्या तपासणीसह मूल्यांकन केले जावे (सारांश):
   • फाइल्स आणि त्यांचे गुणधर्म;
   • नोंदणी नोंदी;
   • प्रदान केलेल्या सूचीमधून OS पॅच (नंतर SCCM एकत्रीकरण);
   • विशिष्ट निर्मात्याकडून अँटी-व्हायरसची उपलब्धता आणि स्वाक्षरींची प्रासंगिकता;
   • काही सेवांची क्रियाकलाप;
   • काही स्थापित प्रोग्राम्सची उपलब्धता;

सुरुवातीला, मी सुचवितो की आपण निश्चितपणे परिणामी अंमलबजावणीचे व्हिडिओ प्रात्यक्षिक पहा YouTube (5 मिनिटे).

आता मी व्हिडिओ क्लिपमध्ये समाविष्ट नसलेल्या अंमलबजावणी तपशीलांचा विचार करण्याचा प्रस्ताव देतो.

चला AnyConnect प्रोफाइल तयार करूया:

मी सेटिंगवरील माझ्या लेखात प्रोफाइल (ASDM मधील मेनू आयटमच्या संदर्भात) तयार करण्याचे उदाहरण दिले आहे. VPN लोड-बॅलेंसिंग क्लस्टर. आता आम्हाला आवश्यक असलेले पर्याय मी स्वतंत्रपणे लक्षात घेऊ इच्छितो:

प्रोफाइलमध्ये, आम्ही अंतिम क्लायंटशी कनेक्ट करण्यासाठी VPN गेटवे आणि प्रोफाइल नाव सूचित करू:

प्रोफाइलच्या बाजूने प्रमाणपत्राचे स्वयंचलित जारी करणे कॉन्फिगर करू, विशेषत: प्रमाणपत्र पॅरामीटर्स आणि वैशिष्ट्यपूर्णपणे फील्डकडे लक्ष द्या. आद्याक्षरे (I), जेथे विशिष्ट मूल्य व्यक्तिचलितपणे प्रविष्ट केले जाते यूडीआयडी चाचणी मशीन (सिस्को एनीकनेक्ट क्लायंटद्वारे व्युत्पन्न केलेले युनिक डिव्हाइस आयडेंटिफायर).

येथे मला एक गेय विषयांतर करायचे आहे, कारण हा लेख संकल्पनेचे वर्णन करतो; प्रात्यक्षिक हेतूंसाठी, प्रमाणपत्र जारी करण्यासाठी UDID AnyConnect प्रोफाइलच्या इनिशियल फील्डमध्ये प्रविष्ट केला आहे. अर्थात, वास्तविक जीवनात, तुम्ही असे केल्यास, सर्व क्लायंटना या क्षेत्रात समान UDID असलेले प्रमाणपत्र मिळेल आणि त्यांना त्यांच्या विशिष्ट PC च्या UDID ची आवश्यकता असल्याने त्यांच्यासाठी काहीही कार्य करणार नाही. AnyConnect, दुर्दैवाने, अद्याप UDID फील्डचा प्रतिस्थापन पर्यावरण व्हेरिएबलद्वारे प्रमाणपत्र विनंती प्रोफाइलमध्ये लागू करत नाही, जसे की ते व्हेरिएबलसह करते. %USER%.

हे लक्षात घेण्यासारखे आहे की ग्राहक (या परिस्थितीचा) सुरुवातीला अशा संरक्षित पीसीला मॅन्युअल मोडमध्ये दिलेल्या UDID सह प्रमाणपत्रे स्वतंत्रपणे जारी करण्याची योजना आखत आहे, जी त्याच्यासाठी समस्या नाही. तथापि, आपल्यापैकी बहुतेकांसाठी आम्हाला ऑटोमेशन हवे आहे (चांगले, माझ्यासाठी ते खरे आहे =)).

आणि ऑटोमेशनच्या बाबतीत मी हेच देऊ शकतो. जर AnyConnect अद्याप यूडीआयडी बदलून आपोआप प्रमाणपत्र जारी करू शकत नसेल, तर आणखी एक मार्ग आहे ज्यासाठी थोडे सर्जनशील विचार आणि कुशल हातांची आवश्यकता असेल - मी तुम्हाला संकल्पना सांगेन. प्रथम, AnyConnect एजंटद्वारे वेगवेगळ्या ऑपरेटिंग सिस्टीमवर UDID कसा तयार केला जातो ते पाहू:

• विंडोज — DigitalProductID आणि मशीन SID रेजिस्ट्री की च्या संयोजनाचा SHA-256 हॅश
• OSX — SHA-256 हॅश प्लॅटफॉर्म UUID
• linux — रूट विभाजनाच्या UUID चे SHA-256 हॅश.
• Apple iOS — SHA-256 हॅश प्लॅटफॉर्म UUID
• Android - वर दस्तऐवज पहा दुवा

त्यानुसार, आम्ही आमच्या कॉर्पोरेट विंडोज ओएससाठी एक स्क्रिप्ट तयार करतो, या स्क्रिप्टसह आम्ही ज्ञात इनपुट वापरून स्थानिक पातळीवर UDID ची गणना करतो आणि आवश्यक फील्डमध्ये हा UDID प्रविष्ट करून प्रमाणपत्र जारी करण्यासाठी विनंती करतो, तसे, तुम्ही मशीन देखील वापरू शकता. AD द्वारे जारी केलेले प्रमाणपत्र (योजनेमध्ये प्रमाणपत्र वापरून दुहेरी प्रमाणीकरण जोडून एकाधिक प्रमाणपत्र).

चला Cisco ASA बाजूला सेटिंग्ज तयार करूया:

चला ISE CA सर्व्हरसाठी एक TrustPoint तयार करू, तोच ग्राहकांना प्रमाणपत्रे जारी करेल. मी की-चेन आयात प्रक्रियेचा विचार करणार नाही; सेटअपवरील माझ्या लेखात एक उदाहरण वर्णन केले आहे VPN लोड-बॅलेंसिंग क्लस्टर.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

प्रमाणीकरणासाठी वापरल्या जाणार्‍या प्रमाणपत्रातील फील्डच्या अनुषंगाने नियमांच्या आधारे आम्ही टनेल-ग्रुपद्वारे वितरण कॉन्फिगर करतो. आम्ही मागील टप्प्यावर बनवलेले AnyConnect प्रोफाइल देखील येथे कॉन्फिगर केले आहे. कृपया लक्षात घ्या की मी मूल्य वापरत आहे सिक्युरबँक-आरए, जारी केलेल्या प्रमाणपत्रासह वापरकर्त्यांना टनेल ग्रुपमध्ये हस्तांतरित करण्यासाठी सुरक्षित-बँक-व्हीपीएन, कृपया लक्षात घ्या की माझ्याकडे AnyConnect प्रोफाइल प्रमाणपत्र विनंती स्तंभामध्ये हे फील्ड आहे.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

प्रमाणीकरण सर्व्हर सेट करत आहे. माझ्या बाबतीत, प्रमाणीकरणाच्या पहिल्या टप्प्यासाठी हे ISE आणि MFA म्हणून DUO (रेडियस प्रॉक्सी) आहे.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

आम्ही गट धोरणे आणि बोगदे गट आणि त्यांचे सहायक घटक तयार करतो:

बोगदा गट डीफॉल्टWEBVPNGसमूह याचा वापर प्रामुख्याने AnyConnect VPN क्लायंट डाउनलोड करण्यासाठी आणि ASA च्या SCEP-Proxy फंक्शनचा वापर करून वापरकर्ता प्रमाणपत्र जारी करण्यासाठी केला जाईल; यासाठी आमच्याकडे सुरंग गटावर आणि संबंधित गट धोरण दोन्हीवर संबंधित पर्याय सक्रिय केले आहेत. एसी-डाउनलोड करा, आणि लोड केलेल्या AnyConnect प्रोफाइलवर (प्रमाणपत्र जारी करण्यासाठी फील्ड इ.). तसेच या ग्रुप पॉलिसीमध्ये आम्ही डाउनलोड करण्याची गरज सूचित करतो ISE पोश्चर मॉड्यूल.

बोगदा गट सुरक्षित-बँक-व्हीपीएन मागील टप्प्यात जारी केलेल्या प्रमाणपत्रासह प्रमाणीकरण करताना क्लायंटद्वारे स्वयंचलितपणे वापरले जाईल, कारण, प्रमाणपत्र नकाशानुसार, कनेक्शन विशेषतः या बोगद्याच्या गटावर पडेल. मी तुम्हाला येथे मनोरंजक पर्यायांबद्दल सांगेन:

• दुय्यम-प्रमाणीकरण-सर्व्हर-ग्रुप DUO # DUO सर्व्हरवर दुय्यम प्रमाणीकरण सेट करा (रेडियस प्रॉक्सी)
• वापरकर्तानाव-प्रमाणपत्रातून-CN # प्राथमिक प्रमाणीकरणासाठी, आम्ही वापरकर्ता लॉगिन इनहेरिट करण्यासाठी प्रमाणपत्राचे CN फील्ड वापरतो
• दुय्यम-वापरकर्तानाव-प्रमाणपत्र I # DUO सर्व्हरवरील दुय्यम प्रमाणीकरणासाठी, आम्ही काढलेले वापरकर्तानाव आणि प्रमाणपत्राचे आद्याक्षर (I) फील्ड वापरतो.
• प्री-फिल-वापरकर्तानाव क्लायंट # वापरकर्तानाव बदलण्याच्या क्षमतेशिवाय प्रमाणीकरण विंडोमध्ये पूर्व-भरलेले करा
• दुय्यम-प्री-फिल-वापरकर्तानाव क्लायंट लपवा वापर-सामान्य-पासवर्ड पुश # आम्ही दुय्यम प्रमाणीकरण DUO साठी लॉगिन/पासवर्ड इनपुट विंडो लपवतो आणि सूचना पद्धत (sms/push/phone) वापरतो - पासवर्ड फील्डऐवजी प्रमाणीकरणाची विनंती करण्यासाठी डॉक करतो येथे

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

पुढे आम्ही ISE वर जाऊ:

आम्ही स्थानिक वापरकर्ता कॉन्फिगर करतो (तुम्ही AD/LDAP/ODBC इत्यादी वापरू शकता), साधेपणासाठी, मी स्वतः ISE मध्ये स्थानिक वापरकर्ता तयार केला आणि तो फील्डमध्ये नियुक्त केला. वर्णन UDID पीसी ज्यातून त्याला VPN द्वारे लॉग इन करण्याची परवानगी आहे. मी ISE वर स्थानिक प्रमाणीकरण वापरत असल्यास, मी फक्त एका उपकरणापुरते मर्यादित असेन, कारण तेथे बरेच फील्ड नाहीत, परंतु तृतीय-पक्ष प्रमाणीकरण डेटाबेसमध्ये माझ्यावर असे निर्बंध नाहीत.

चला अधिकृतता धोरण पाहू, ते चार कनेक्शन टप्प्यात विभागले गेले आहे:

• स्टेज 1 — AnyConnect एजंट डाउनलोड करण्यासाठी आणि प्रमाणपत्र जारी करण्यासाठी धोरण
• स्टेज 2 — प्राथमिक प्रमाणीकरण धोरण लॉगिन (प्रमाणपत्रावरून)/पासवर्ड + UDID प्रमाणीकरण असलेले प्रमाणपत्र
• स्टेज 3 — वापरकर्तानाव + राज्य मूल्यांकन म्हणून UDID वापरून Cisco DUO (MFA) द्वारे दुय्यम प्रमाणीकरण
• स्टेज 4 - अंतिम अधिकृतता राज्यात आहे:
  • सहत्व;
  • UDID प्रमाणीकरण (प्रमाणपत्र + लॉगिन बंधनातून),
  • सिस्को DUO MFA;
  • लॉगिन करून प्रमाणीकरण;
  • प्रमाणपत्र प्रमाणीकरण;

चला एक मनोरंजक स्थिती पाहूया UUID_VALIDATED, असे दिसते की प्रमाणीकरण करणारा वापरकर्ता प्रत्यक्षात फील्डशी संबंधित अनुमत UDID असलेल्या PC वरून आला आहे वर्णन खाते, अटी यासारखे दिसतात:

1,2,3 टप्प्यांवर वापरलेली अधिकृतता प्रोफाइल खालीलप्रमाणे आहे:

ISE मधील क्लायंट सत्र तपशील पाहून AnyConnect क्लायंटचा UDID आमच्याकडे कसा येतो ते तुम्ही तपासू शकता. तपशिलात आपण पाहणार आहोत की मेकॅनिझमद्वारे AnyConnect ACIDEX केवळ प्लॅटफॉर्मबद्दल माहितीच नाही तर डिव्हाइसचा UDID देखील पाठवते Cisco-AV-PAIR:

वापरकर्त्याला आणि फील्डला जारी केलेल्या प्रमाणपत्राकडे लक्ष द्या आद्याक्षरे (I), ज्याचा वापर Cisco DUO वर दुय्यम MFA प्रमाणीकरणासाठी लॉगिन म्हणून करण्यासाठी केला जातो:

लॉगमधील DUO रेडियस प्रॉक्सी बाजूला आम्ही प्रमाणीकरण विनंती कशी केली जाते हे स्पष्टपणे पाहू शकतो, ते वापरकर्तानाव म्हणून UDID वापरून येते:

DUO पोर्टलवरून आम्ही एक यशस्वी प्रमाणीकरण कार्यक्रम पाहतो:

आणि वापरकर्ता गुणधर्मांमध्ये मी ते सेट केले आहे उर्फ, जो मी लॉगिनसाठी वापरला होता, त्या बदल्यात, हे लॉगिनसाठी अनुमत PC चा UDID आहे:

परिणामी आम्हाला मिळाले:

• मल्टी-फॅक्टर वापरकर्ता आणि डिव्हाइस प्रमाणीकरण;
• वापरकर्त्याच्या डिव्हाइसच्या स्पूफिंगपासून संरक्षण;
• डिव्हाइसच्या स्थितीचे मूल्यांकन करणे;
• डोमेन मशीन प्रमाणपत्र, इ. सह वाढीव नियंत्रणासाठी संभाव्य;
• स्वयंचलितपणे तैनात केलेल्या सुरक्षा मॉड्यूलसह ​​व्यापक दूरस्थ कार्यस्थळ संरक्षण;

Cisco VPN मालिकेतील लेखांचे दुवे:

• ASA VPN लोड-बॅलेंसिंग क्लस्टर तैनात करत आहे
• Cisco ASA वर AnyConnect VPN बोगद्यामध्ये क्लाउड सेवा ऑप्टिमाइझ करणे

स्त्रोत: www.habr.com