Implimentazzjoni tal-kunċett ta' aċċess mill-bogħod sigur ħafna
Tkomplija s-serje ta 'artikli dwar is-suġġett ta' organizzazzjoni VPN Aċċess Remot aċċess Ma nistax ma naqsamx l-esperjenza interessanti tiegħi ta' skjerament konfigurazzjoni VPN sigura ħafna. Ġie ppreżentat kompitu mhux trivjali minn klijent wieħed (hemm inventuri fl-irħula Russi), iżda l-Isfida ġiet aċċettata u implimentata b'mod kreattiv. Ir-riżultat huwa kunċett interessanti bil-karatteristiċi li ġejjin:
Diversi fatturi ta 'protezzjoni kontra s-sostituzzjoni tal-apparat terminali (b'rabta stretta mal-utent);
Bl-MFA tuża l-UDID tal-PC miċ-ċertifikat għal awtentikazzjoni sekondarja permezz ta 'Cisco DUO (Tista' tehmeż kwalunkwe waħda kompatibbli SAML/Radius);
Awtentikazzjoni b'ħafna fatturi:
Ċertifikat tal-utent b'verifika fuq il-post u awtentikazzjoni sekondarja kontra wieħed minnhom;
Login (ma tistax tinbidel, meħuda miċ-ċertifikat) u password;
Stima tal-istat tal-ospitant li jgħaqqad (Pożizzjoni)
Komponenti tas-soluzzjoni użati:
Cisco ASA (VPN Gateway);
Cisco ISE (Awtentikazzjoni / Awtorizzazzjoni / Kontabilità, Evalwazzjoni Statali, CA);
Cisco DUO (Awtentikazzjoni b'ħafna Fatturi) (Tista' tehmeż kwalunkwe waħda kompatibbli SAML/Radius);
Cisco AnyConnect (Aġent b'ħafna għanijiet għal stazzjonijiet tax-xogħol u OS mobbli);
Nibdew bir-rekwiżiti tal-klijent:
L-utent għandu, permezz tal-awtentikazzjoni tal-Login/Password tiegħu, ikun jista’ tniżżel il-klijent AnyConnect mill-gateway VPN; il-moduli AnyConnect kollha meħtieġa għandhom jiġu installati awtomatikament skont il-politika tal-utent;
L-utent għandu jkun jista 'joħroġ ċertifikat awtomatikament (għal wieħed mix-xenarji, ix-xenarju ewlieni huwa l-ħruġ manwali u t-tlugħ fuq PC), iżda jien implimentajt ħruġ awtomatiku għal dimostrazzjoni (qatt m'hu tard wisq biex inneħħiha).
L-awtentikazzjoni bażika għandha sseħħ f'diversi stadji, l-ewwel hemm awtentikazzjoni taċ-ċertifikat b'analiżi tal-oqsma meħtieġa u l-valuri tagħhom, imbagħad login/password, din id-darba biss l-isem tal-utent speċifikat fil-qasam taċ-ċertifikat għandu jiddaħħal fit-tieqa tal-login Isem tas-Suġġett (NM) mingħajr il-ħila li teditja.
Trid tiżgura li l-apparat li minnu qed illoggja huwa l-laptop korporattiv maħruġ lill-utent għal aċċess mill-bogħod, u mhux xi ħaġa oħra. (Ittieħdu diversi għażliet biex jissodisfaw dan ir-rekwiżit)
L-istat tal-apparat li jgħaqqad (f'dan l-istadju PC) għandu jiġi vvalutat b'verifika ta 'tabella kbira sħiħa tar-rekwiżiti tal-klijenti (qosor):
Fajls u l-proprjetajiet tagħhom;
Daħliet fir-reġistru;
Garża OS mil-lista pprovduta (integrazzjoni SCCM aktar tard);
Disponibbiltà ta' Anti-Virus minn manifattur speċifiku u rilevanza tal-firem;
Attività ta' ċerti servizzi;
Disponibbiltà ta' ċerti programmi installati;
Biex tibda, nissuġġerixxi li definittivament tħares lejn id-dimostrazzjoni tal-vidjo tal-implimentazzjoni li tirriżulta fuq Youtube (5 minuti).
Issa nipproponi li nikkunsidra d-dettalji tal-implimentazzjoni mhux koperti fil-filmat.
Ejja nippreparaw il-profil AnyConnect:
Preċedentement tajt eżempju ta 'ħolqien ta' profil (f'termini ta 'oġġett tal-menu fl-ASDM) fl-artiklu tiegħi dwar l-issettjar Cluster tal-Ibbilanċjar tat-Tagħbija VPN. Issa nixtieq ninnota separatament l-għażliet li se jkollna bżonn:
Fil-profil, aħna se nindikaw il-portal VPN u l-isem tal-profil għall-konnessjoni mal-klijent finali:
Ejja kkonfigurat il-ħruġ awtomatiku ta 'ċertifikat min-naħa tal-profil, li tindika, b'mod partikolari, il-parametri taċ-ċertifikat u, karatteristikament, tagħti attenzjoni lill-qasam Inizjali (I), fejn valur speċifiku huwa mdaħħal manwalment UID magna tat-test (identifikatur uniku tat-tagħmir li huwa ġġenerat mill-klijent Cisco AnyConnect).
Hawnhekk irrid nagħmel digressjoni lirika, peress li dan l-artikolu jiddeskrivi l-kunċett; għal skopijiet ta 'dimostrazzjoni, l-UDID għall-ħruġ ta' ċertifikat jiddaħħal fil-qasam Inizjali tal-profil AnyConnect. Naturalment, fil-ħajja reali, jekk tagħmel dan, allura l-klijenti kollha jirċievu ċertifikat bl-istess UDID f'dan il-qasam u xejn ma jaħdem għalihom, peress li għandhom bżonn l-UDID tal-PC speċifiku tagħhom. AnyConnect, sfortunatament, għadu ma jimplimentax is-sostituzzjoni tal-qasam UDID fil-profil tat-talba taċ-ċertifikat permezz ta' varjabbli ambjentali, kif jagħmel, pereżempju, b'varjabbli %USER%.
Ta 'min jinnota li l-klijent (ta' dan ix-xenarju) inizjalment jippjana li joħroġ ċertifikati b'mod indipendenti b'UDID partikolari f'mod manwali għal PCs Protetti bħal dawn, li mhix problema għalih. Madankollu, għal ħafna minna rridu l-awtomazzjoni (tajjeb, għalija huwa veru =)).
U dan huwa dak li nista 'noffri f'termini ta' awtomazzjoni. Jekk AnyConnect għadu mhux kapaċi joħroġ ċertifikat awtomatikament billi tissostitwixxi dinamikament l-UDID, allura hemm mod ieħor li jeħtieġ ftit ħsieb kreattiv u idejn tas-sengħa - jien ngħidlek il-kunċett. L-ewwel, ejja nħarsu lejn kif l-UDID jiġi ġġenerat fuq sistemi operattivi differenti mill-aġent AnyConnect:
Għaldaqstant, noħolqu skript għall-Windows OS korporattiv tagħna, b'dan l-iskript aħna nikkalkulaw lokalment l-UDID billi tuża inputs magħrufa u niffurmaw talba għall-ħruġ ta 'ċertifikat billi ddaħħal dan l-UDID fil-qasam meħtieġ, mill-mod, tista' wkoll tuża magna ċertifikat maħruġ minn AD (billi żżid awtentikazzjoni doppja bl-użu ta’ ċertifikat fl-iskema Ċertifikat Multiplu).
Ejja nippreparaw is-settings fuq in-naħa ta' Cisco ASA:
Ejja noħolqu TrustPoint għas-server ISE CA, se jkun dak li joħroġ ċertifikati lill-klijenti. Mhux se nikkunsidra l-proċedura ta 'importazzjoni Key-Chain; eżempju huwa deskritt fl-artiklu tas-setup tiegħi Cluster tal-Ibbilanċjar tat-Tagħbija VPN.
crypto ca trustpoint ISE-CA
enrollment terminal
crl configure
Aħna nikkonfiguraw id-distribuzzjoni minn Tunnel-Group ibbażata fuq regoli skont l-oqsma fiċ-ċertifikat li jintuża għall-awtentikazzjoni. Il-profil AnyConnect li għamilna fl-istadju preċedenti huwa kkonfigurat ukoll hawn. Jekk jogħġbok innota li qed nuża l-valur SECUREBANK-RA, biex jittrasferixxu utenti b'ċertifikat maħruġ lil grupp ta' mina SIGURA-BANK-VPN, jekk jogħġbok innota li għandi dan il-qasam fil-kolonna tat-talba għal ċertifikat tal-profil AnyConnect.
Twaqqif ta' servers ta' awtentikazzjoni. Fil-każ tiegħi, dan huwa ISE għall-ewwel stadju ta 'awtentikazzjoni u DUO (Radius Proxy) bħala MFA.
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!
Noħolqu politiki tal-grupp u gruppi tal-mini u l-komponenti awżiljarji tagħhom:
Grupp tal-mina DefaultWEBVPNGroup se jintuża primarjament biex tniżżel il-klijent AnyConnect VPN u joħroġ ċertifikat tal-utent bl-użu tal-funzjoni SCEP-Proxy tal-ASA; għal dan għandna l-għażliet korrispondenti attivati kemm fuq il-grupp tal-mina nnifsu kif ukoll fuq il-politika tal-grupp assoċjata AC-Niżżel, u fuq il-profil AnyConnect mgħobbi (oqsma għall-ħruġ ta 'ċertifikat, eċċ.). F'din il-politika tal-grupp ukoll nindikaw il-ħtieġa li tniżżel Modulu tal-Pożizzjoni ISE.
Grupp tal-mina SIGURA-BANK-VPN se jintuża awtomatikament mill-klijent meta awtentika biċ-ċertifikat maħruġ fl-istadju preċedenti, peress li, skont il-Mappa taċ-Ċertifikat, il-konnessjoni se taqa 'speċifikament fuq dan il-grupp ta' mina. Jien ngħidlek dwar għażliet interessanti hawn:
sekondarja-awtentikazzjoni-server-grupp DUO # Issettja awtentikazzjoni sekondarja fuq is-server DUO (Radius Proxy)
isem-utent-sekondarju-minn-ċertifikat I # Għal awtentikazzjoni sekondarja fuq is-server DUO, nużaw l-isem tal-utent estratt u l-oqsma Inizjali (I) taċ-ċertifikat.
klijent pre-mili-username # agħmel l-isem tal-utent mimli minn qabel fit-tieqa tal-awtentikazzjoni mingħajr il-ħila li tinbidel
sekondarja-pre-fill-username klijent jaħbu użu-common-password push # Aħna naħbu t-tieqa tad-dħul tal-login/password għall-awtentikazzjoni sekondarja DUO u nużaw il-metodu ta’ notifika (sms/push/telefon) - dock biex titlob awtentikazzjoni minflok il-qasam tal-password hawn
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!
Imbagħad nimxu għal ISE:
Aħna kkonfiguraw utent lokali (tista 'tuża AD/LDAP/ODBC, eċċ.), għas-sempliċità, ħloqt utent lokali fl-ISE innifsu u assenjatha fil-qasam deskrizzjoniUDID PC minn fejn huwa permess li jidħol permezz VPN. Jekk nuża awtentikazzjoni lokali fuq ISE, inkun limitat għal apparat wieħed biss, peress li m'hemmx ħafna oqsma, iżda f'databases ta 'awtentikazzjoni ta' partijiet terzi mhux se jkolli tali restrizzjonijiet.
Ejja nħarsu lejn il-politika ta 'awtorizzazzjoni, hija maqsuma f'erba' stadji ta 'konnessjoni:
Stadju 1 — Politika għat-tniżżil tal-aġent ta' AnyConnect u għall-ħruġ ta' ċertifikat
Stadju 2 — Politika ta' awtentikazzjoni primarja Login (miċ-ċertifikat)/Password + Ċertifikat b'validazzjoni UDID
Stadju 3 — Awtentikazzjoni sekondarja permezz ta' Cisco DUO (MFA) bl-użu tal-UDID bħala isem tal-utent + valutazzjoni tal-Istat
Stadju 4 — L-awtorizzazzjoni finali tinsab fl-istat:
Ejja nħarsu lejn kundizzjoni interessanti UUID_VALIDAT, Jidher li l-utent li jawtentika fil-fatt ġie minn PC b'UDID permess assoċjat fil-qasam deskrizzjoni kont, il-kundizzjonijiet jidhru bħal dan:
Il-profil tal-awtorizzazzjoni użat fl-istadji 1,2,3 huwa kif ġej:
Tista 'tiċċekkja eżattament kif l-UDID mill-klijent AnyConnect jasal għandna billi tħares lejn id-dettalji tas-sessjoni tal-klijent f'ISE. Fid-dettall se naraw li AnyConnect permezz tal-mekkaniżmu ACIDEX jibgħat mhux biss informazzjoni dwar il-pjattaforma, iżda wkoll l-UDID tal-apparat bħala Cisco-AV-PAR:
Ejja nagħtu attenzjoni għaċ-ċertifikat maħruġ lill-utent u l-qasam Inizjali (I), li tintuża biex teħodha bħala login għal awtentikazzjoni MFA sekondarja fuq Cisco DUO:
Fuq in-naħa DUO Radius Proxy fil-log nistgħu naraw b'mod ċar kif issir it-talba għall-awtentikazzjoni, tiġi bl-użu tal-UDID bħala l-isem tal-utent:
Mill-portal DUO naraw avveniment ta' awtentikazzjoni b'suċċess:
U fil-proprjetajiet tal-utent għandi dan issettjat ALIAS, li użajt għall-login, min-naħa tiegħu, dan huwa l-UDID tal-PC permess għall-login:
Bħala riżultat aħna ksibna:
Awtentikazzjoni ta' utent u apparat b'ħafna fatturi;
Protezzjoni kontra spoofing tal-apparat tal-utent;
Evalwazzjoni tal-kundizzjoni tal-apparat;
Potenzjal għal kontroll akbar b'ċertifikat tal-magna tad-dominju, eċċ.;
Protezzjoni komprensiva fuq il-post tax-xogħol remot b'moduli tas-sigurtà skjerati awtomatikament;