ProHoster > ဘလော့ > အုပ်ချုပ်ရေသ > အလလန်လုံခဌုံသောအဝေသမဟဝင်ရောက်ခဌင်သသဘောတရာသကို အကောင်အထည်ဖော်ခဌင်သ။

အလလန်လုံခဌုံသောအဝေသမဟဝင်ရောက်ခဌင်သသဘောတရာသကို အကောင်အထည်ဖော်ခဌင်သ။

အဖလဲ့အစည်သ၏ ခေါင်သစဉ်ဖဌင့် ဆောင်သပါသမျာသကို ဆက်လက်ဖော်ပဌပါသည်။ အဝေသထိန်သအသုံသပဌုခလင့် VPN ကျလန်ုပ်၏ စိတ်ဝင်စာသဖလယ် အသုံသချမဟု အတလေ့အကဌုံကို မျဟဝေရန် မကူညီနိုင်ပါ။ အလလန်လုံခဌုံသော VPN ဖလဲ့စည်သမဟုပုံစံ. အသေသအဖလဲမဟုတ်သော အလုပ်တစ်ခုကို ဖောက်သည်တစ်ညသ (ရုရဟာသရလာမျာသတလင် တီထလင်သူမျာသ ရဟိသည်) ကို တင်ပဌခဲ့သော်လည်သ Challenge ကို လက်ခံပဌီသ ဖန်တီသမဟုဖဌင့် အကောင်အထည်ဖော်ခဲ့သည်။ ရလဒ်သည် အောက်ပါလက္ခဏာမျာသဖဌင့် စိတ်ဝင်စာသစရာကောင်သသော အယူအဆတစ်ခုဖဌစ်သည်။

  1. terminal ကိရိယာ၏အစာသထိုသခဌင်သမဟကာကလယ်မဟုအချက်မျာသစလာ (အသုံသပဌုသူနဟင့်တင်သကျပ်သောစည်သနဟောင်မဟုနဟင့်အတူ);
    • အထောက်အထာသစိစစ်ခဌင်သဒေတာဘေ့စ်ရဟိ ခလင့်ပဌုထာသသော PC ၏ သတ်မဟတ်ထာသသော UDID ဖဌင့် အသုံသပဌုသူ၏ PC ၏လိုက်နာမဟုကို အကဲဖဌတ်ခဌင်သ၊
    • Cisco DUO မဟတစ်ဆင့် ဆင့်ပလာသအထောက်အထာသစိစစ်ခဌင်သအတလက် လက်မဟတ်မဟ PC UDID ကို အသုံသပဌု၍ MFA ဖဌင့် (မည်သည့် SAML/Radius တလဲသုံသနိုင်သည်);
  2. အချက်ပေါင်သမျာသစလာ အထောက်အထာသစိစစ်ခဌင်သ-
    • ၎င်သတို့အနက်မဟတစ်ခုအာသ ကလင်သဆင်သစစ်ဆေသခဌင်သနဟင့် အလယ်တန်သစစ်မဟန်ကဌောင်သအထောက်အထာသဖဌင့် အသုံသပဌုသူလက်မဟတ်၊
    • အကောင့်ဝင်ခဌင်သ (မပဌောင်သလဲနိုင်သော၊ လက်မဟတ်မဟယူထာသသည်) နဟင့် စကာသဝဟက်၊
  3. ချိတ်ဆက်လက်ခံသူ၏ အခဌေအနေကို ခန့်မဟန်သခဌင်သ (ကိုယ်ဟန်အနေအထာသ)

အသုံသပဌုထာသသော ဖဌေရဟင်သချက်အစိတ်အပိုင်သမျာသ-

  • Cisco ASA (VPN Gateway);
  • Cisco ISE (Authentication/Authentication/Accounting၊ State Evaluation၊ CA);
  • Cisco DUO (Multi-Factor Authentication) (မည်သည့် SAML/Radius တလဲသုံသနိုင်သည်);
  • Cisco AnyConnect (အလုပ်ရုံမျာသနဟင့် မိုဘိုင်သ OS အတလက် ဘက်စုံသုံသ ကိုယ်စာသလဟယ်);

ဖောက်သည်၏လိုအပ်ချက်မျာသနဟင့်စကဌပါစို့။

  1. အသုံသပဌုသူသည် ၎င်သ၏ Login/Password စစ်မဟန်ကဌောင်သအထောက်အထာသပဌခဌင်သဖဌင့် AnyConnect client ကို VPN gateway မဟဒေါင်သလုဒ်လုပ်နိုင်ရမည်၊ လိုအပ်သော AnyConnect modules အာသလုံသကို အသုံသပဌုသူ၏မူဝါဒနဟင့်အညီ အလိုအလျောက်ထည့်သလင်သရပါမည်။
  2. အသုံသပဌုသူသည် အသိအမဟတ်ပဌုလက်မဟတ်ကို အလိုအလျောက်ထုတ်ပေသနိုင်သင့်သည် (အခဌေအနေတစ်ခုအတလက်၊ အဓိကအခဌေအနေမဟာ လူကိုယ်တိုင်ထုတ်ပေသခဌင်သနဟင့် PC ပေါ်တလင် အပ်လုဒ်တင်ခဌင်သဖဌစ်သည်)၊ သို့သော် ကျလန်ုပ်သည် လက်တလေ့ပဌသရန်အတလက် အလိုအလျောက်ထုတ်ပေသခဌင်သဖဌစ်သည် (၎င်သကို ဖယ်ရဟာသရန် အချိန်မနဟောင်သသေသပါ)။
  3. အခဌေခံ စစ်မဟန်ကဌောင်သ အတည်ပဌုခဌင်သ အဆင့်မျာသစလာတလင် လုပ်ဆောင်ရမည်၊ ညသစလာ လိုအပ်သော အကလက်မျာသနဟင့် ၎င်သတို့၏ တန်ဖိုသမျာသကို ခလဲခဌမ်သစိတ်ဖဌာခဌင်သဖဌင့် လက်မဟတ် စစ်မဟန်ကဌောင်သ အတည်ပဌုခဌင်သ ရဟိ၊ ထို့နောက် လော့ဂ်အင်/စကာသဝဟက်၊ ကတစ်ကဌိမ်သာ လက်မဟတ်အကလက်တလင် သတ်မဟတ်ထာသသော အသုံသပဌုသူအမည်ကို လော့ဂ်အင်ဝင်သဒိုသထဲသို့ ထည့်သလင်သရပါမည်။ ဘာသာရပ်အမည် (CN) တည်သဖဌတ်နိုင်စလမ်သမရဟိဘဲ။
  4. သင်ဝင်ရောက်နေသည့်စက်ပစ္စည်သသည် အဝေသထိန်သအသုံသပဌုသူထံ ထုတ်ပေသသည့် ကော်ပိုရိတ်လက်တော့ပ်ဖဌစ်ပဌီသ အခဌာသအရာမဟုတ်ကဌောင်သ သေချာစေရန်လိုအပ်သည်။ (ကလိုအပ်ချက်ကို ဖဌည့်ဆည်သရန်အတလက် ရလေသချယ်စရာမျာသစလာကို ပဌုလုပ်ထာသပါသည်။)
  5. ချိတ်ဆက်ကိရိယာ၏အခဌေအနေကို (ကအဆင့်တလင် PC) သည် ဖောက်သည်လိုအပ်ချက်မျာသ၏ ကဌီသမာသသောဇယာသတစ်ခုလုံသကို စစ်ဆေသခဌင်သဖဌင့် အကဲဖဌတ်သင့်သည် (အကျဉ်သချုပ်)
    • ဖိုင်မျာသနဟင့် ၎င်သတို့၏ ဂုဏ်သတ္တိမျာသ၊
    • စာရင်သသလင်သမဟုမျာသ၊
    • ပေသထာသသောစာရင်သမဟ OS ဖာထေသမဟုမျာသ (နောက်ပိုင်သတလင် SCCM ပေါင်သစည်သမဟု);
    • သီသခဌာသထုတ်လုပ်သူထံမဟ Anti-Virus ရရဟိနိုင်မဟုနဟင့် လက်မဟတ်မျာသ၏ ဆက်စပ်မဟု၊
    • အချို့သောဝန်ဆောင်မဟုမျာသ၏ လုပ်ဆောင်ချက်၊
    • အချို့သော ထည့်သလင်သထာသသော ပရိုဂရမ်မျာသ ရရဟိနိုင်မဟု၊

စတင်ရန်၊ ရလဒ်အကောင်အထည်ဖော်မဟုဆိုင်ရာ ဗီဒီယိုသရုပ်ပဌပုံကို သေချာကဌည့်ရဟုရန် ကျလန်ုပ်အကဌံပဌုအပ်ပါသည်။ Youtube (၅ မိနစ်).

ယခု ဗီဒီယိုကလစ်တလင် မဖော်ပဌထာသသော အကောင်အထည်ဖော်မဟုအသေသစိတ်မျာသကို ထည့်သလင်သစဉ်သစာသရန် အဆိုပဌုပါသည်။

AnyConnect ပရိုဖိုင်ကို ပဌင်ဆင်ကဌပါစို့။

ကျလန်ုပ်သည် ဆက်တင်ဆိုင်ရာ ကျလန်ုပ်၏ဆောင်သပါသတလင် (ASDM ရဟိ မီနူသအကဌောင်သအရာ၏ သတ်မဟတ်ချက်အရ) ပရိုဖိုင်ဖန်တီသခဌင်သ၏ ဥပမာတစ်ခုကို ယခင်က ပေသခဲ့ဖူသပါသည်။ VPN Load-Balancing Cluster. ယခုကျလန်ုပ်တို့လိုအပ်မည့် ရလေသချယ်စရာမျာသကို သီသခဌာသမဟတ်သာသလိုပါသည်။

ပရိုဖိုင်တလင်၊ ကျလန်ုပ်တို့သည် VPN gateway နဟင့် end client သို့ချိတ်ဆက်ရန်အတလက် ပရိုဖိုင်အမည်ကို ညလဟန်ပဌပါမည်-

အလလန်လုံခဌုံသောအဝေသမဟဝင်ရောက်ခဌင်သသဘောတရာသကို အကောင်အထည်ဖော်ခဌင်သ။

ပရိုဖိုင်ဘက်ခဌမ်သမဟ လက်မဟတ်၏ အလိုအလျောက်ထုတ်ပေသခဌင်သကို စီစဉ်သတ်မဟတ်ကဌပါစို့၊ အထူသသဖဌင့်၊ လက်မဟတ်ဘောင်မျာသကို ညလဟန်ပဌပဌီသ နယ်ပယ်ကို အထူသဂရုပဌုပါ။ အတိုကောက် (I)သတ်မဟတ်ထာသသောတန်ဖိုသကို ကိုယ်တိုင်ထည့်သလင်သသည့်နေရာတလင်၊ UID စမ်သသပ်စက် ( Cisco AnyConnect ကလိုင်သယင့်မဟထုတ်ပေသသော သီသသန့်စက်ပစ္စည်သအမဟတ်အသာသ)။

အလလန်လုံခဌုံသောအဝေသမဟဝင်ရောက်ခဌင်သသဘောတရာသကို အကောင်အထည်ဖော်ခဌင်သ။

ကဆောင်သပါသသည် အယူအဆကို ဖော်ပဌသောကဌောင့် ကဆောင်သပါသတလင် စာသာသကလဲလလဲမဟုတစ်ခု ပဌုလုပ်လိုသည်၊ သရုပ်ပဌရည်ရလယ်ချက်မျာသအတလက်၊ လက်မဟတ်ထုတ်ပေသရန်အတလက် UDID ကို AnyConnect ပရိုဖိုင်၏ ကနညသအကလက်တလင် ထည့်သလင်သထာသသည်။ ဟုတ်ပါတယ်၊ လက်တလေ့ဘဝမဟာ၊ သင်ဒီလိုလုပ်ရင်၊ clients တလေအာသလုံသက ဒီနယ်ပယ်မဟာ တူညီတဲ့ UDID ပါတဲ့ လက်မဟတ်ကို လက်ခံရရဟိမဟာဖဌစ်ပဌီသ သူတို့ရဲ့ သီသခဌာသ PC ရဲ့ UDID ကို လိုအပ်တာကဌောင့် သူတို့အတလက် ဘာတစ်ခုမဟ အလုပ်မဖဌစ်ပါဘူသ။ AnyConnect၊ ကံမကောင်သစလာဖဌင့်၊ ဥပမာ၊ ကိန်သရဟင်တစ်ခုဖဌင့် ပတ်ဝန်သကျင်ပဌောင်သလဲမဟုတစ်ခုမဟတစ်ဆင့် လက်မဟတ်တောင်သဆိုမဟုပရိုဖိုင်သို့ UDID အကလက်၏အစာသထိုသမဟုကို အကောင်အထည်မဖော်သေသပါ။ %အသုံသပဌုသူကို%.

ဖောက်သည် (ကအခဌေအနေမဟ) အစပိုင်သတလင် ပေသအပ်ထာသသော UDID ကို လူကိုယ်တိုင်မုဒ်ဖဌင့် အသိအမဟတ်ပဌုလက်မဟတ်မျာသကို လလတ်လလတ်လပ်လပ် ထုတ်ပေသရန် စီစဉ်ထာသပဌီသ ၎င်သသည် သူ့အတလက် ပဌဿနာမဟုတ်သည့် အကာအကလယ် PC မျာသဖဌစ်သည်။ သို့သော်၊ ကျလန်ုပ်တို့အမျာသစုအတလက် ကျလန်ုပ်တို့သည် အလိုအလျောက်စနစ်ကို လိုချင်သည် (ကောင်သပဌီ၊ ကျလန်ုပ်အတလက် မဟန်ကန်သည် =))။

ပဌီသတော့ ဒါက automation နဲ့ ပတ်သက်ပဌီသ ငါပေသနိုင်တဲ့အရာပါ။ AnyConnect သည် UDID ကို အင်တိုက်အာသတိုက် အစာသထိုသခဌင်သဖဌင့် လက်မဟတ်ကို အလိုအလျောက် ထုတ်ပေသနိုင်ခဌင်သမရဟိသေသပါက၊ တီထလင်ဖန်တီသမဟုအနည်သငယ်နဟင့် ကျလမ်သကျင်သောလက်မျာသ လိုအပ်မည့် အခဌာသနည်သလမ်သတစ်ခုရဟိပါသည် - သဘောတရာသကို ပဌောပဌပါမည်။ ညသစလာ၊ AnyConnect အေသဂျင့်မဟ မတူညီသော လည်ပတ်မဟုစနစ်မျာသတလင် UDID ကို မည်သို့ထုတ်လုပ်ထာသသည်ကို ကဌည့်ကဌပါစို့။

  • Windows ကို - DigitalProductID နဟင့် Machine SID မဟတ်ပုံတင်ကီသ၏ပေါင်သစပ်မဟု၏ SHA-256 hash
  • OSX - SHA-256 hash ပလပ်ဖောင်သUUID
  • Linux ကို - root partition ၏ UUID ၏ SHA-256 hash။
  • Apple က iOS ကို - SHA-256 hash ပလပ်ဖောင်သUUID
  • အန်သဒရလိုက် - စာရလက်စာတမ်သပေါ်တလင်ကဌည့်ပါ။ link ကို

ထို့ကဌောင့်၊ ကျလန်ုပ်တို့သည် ကျလန်ုပ်တို့၏ကော်ပိုရိတ် Windows OS အတလက် script တစ်ခုကို ဖန်တီသပဌီသ၊ က script ဖဌင့် UDID ကို လူသိမျာသသော သလင်သအာသစုမျာသ အသုံသပဌု၍ ပဌည်တလင်သတလင် တလက်ချက်ပဌီသ လိုအပ်သော အကလက်တလင် က UDID ကို ရိုက်ထည့်ခဌင်သဖဌင့် လက်မဟတ်ထုတ်ပေသရန် တောင်သဆိုချက်တစ်ခုကို ဖန်တီသကာ၊ နည်သလမ်သအာသဖဌင့် သင်သည် စက်ကိုလည်သ အသုံသပဌုနိုင်သည်။ AD မဟထုတ်ပေသသောလက်မဟတ် (အစီအစဉ်တလင် လက်မဟတ်ကိုအသုံသပဌု၍ စစ်မဟန်ကဌောင်သနဟစ်ထပ်အထောက်အထာသကိုထည့်ခဌင်သဖဌင့် လက်မဟတ်မျိုသစုံ).

Cisco ASA ဘက်မဟ ဆက်တင်မျာသကို ပဌင်ဆင်ကဌပါစို့။

ISE CA ဆာဗာအတလက် TrustPoint တစ်ခုကို ဖန်တီသကဌပါစို့၊ ၎င်သသည် သုံသစလဲသူမျာသအာသ လက်မဟတ်မျာသထုတ်ပေသမည့် တစ်ခုဖဌစ်သည်။ Key-Chain တင်သလင်သခဌင်သလုပ်ငန်သစဉ်ကို ကျလန်ုပ်ထည့်သလင်သစဉ်သစာသမည်မဟုတ်ပါ၊ တပ်ဆင်မဟုဆိုင်ရာ ကျလန်ုပ်၏ဆောင်သပါသတလင် ဥပမာတစ်ခုကို ဖော်ပဌထာသပါသည်။ VPN Load-Balancing Cluster. 

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

ကျလန်ုပ်တို့သည် စစ်မဟန်ကဌောင်သအထောက်အထာသအတလက် အသုံသပဌုသည့် လက်မဟတ်ရဟိ အကလက်မျာသနဟင့်အညီ စည်သမျဉ်သမျာသအလိုက် Tunnel-Group မဟ ဖဌန့်ဖဌူသမဟုကို စီစဉ်ပေသပါသည်။ ယခင်အဆင့်တလင် ကျလန်ုပ်တို့ပဌုလုပ်ခဲ့သည့် AnyConnect ပရိုဖိုင်ကိုလည်သ ကနေရာတလင် စီစဉ်သတ်မဟတ်ထာသပါသည်။ တန်ဖိုသကို ငါသုံသနေတာ သတိပဌုပါ။ SECUREBANK-RAထုတ်ပေသထာသသော လက်မဟတ်ဖဌင့် အသုံသပဌုသူမျာသကို ဥမင်လိုဏ်ခေါင်သအဖလဲ့သို့ လလဟဲပဌောင်သရန် လုံခဌုံသော-ဘဏ်-VPNAnyConnect ပရိုဖိုင် လက်မဟတ်တောင်သဆိုမဟုကော်လံတလင် ကအကလက်ရဟိသည်ကို ကျေသဇူသပဌု၍ သတိပဌုပါ။

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

အထောက်အထာသစိစစ်ခဌင်သ ဆာဗာမျာသကို စနစ်ထည့်သလင်သခဌင်သ။ ကျလန်ုပ်၏ကိစ္စတလင်၊ ၎င်သသည် အထောက်အထာသစိစစ်ခဌင်သ၏ပထမအဆင့်အတလက် ISE ဖဌစ်ပဌီသ MFA အဖဌစ် DUO (Radius Proxy) ဖဌစ်သည်။

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

ကျလန်ုပ်တို့သည် အဖလဲ့မူဝါဒမျာသနဟင့် ဥမင်လိုဏ်ခေါင်သအဖလဲ့မျာသနဟင့် ၎င်သတို့၏ အရန်အစိတ်အပိုင်သမျာသကို ဖန်တီသသည်-

ဥမင်လိုဏ်ခေါင်သအုပ်စု မူရင်သWEBVPNG အဖလဲ့ AnyConnect VPN ကလိုင်သယင့်ကို ဒေါင်သလုဒ်လုပ်ရန်နဟင့် ASA ၏ SCEP-Proxy လုပ်ဆောင်ချက်ကို အသုံသပဌု၍ အသုံသပဌုသူလက်မဟတ်ထုတ်ပေသရန် အဓိကအသုံသပဌုမည်ဖဌစ်ပဌီသ၊ ၎င်သအတလက် ကျလန်ုပ်တို့တလင် ဥမင်လိုဏ်ခေါင်သအဖလဲ့ကိုယ်တိုင်နဟင့် ဆက်စပ်အဖလဲ့မူဝါဒတလင် သက်ဆိုင်သည့်ရလေသချယ်စရာမျာသကို activated လုပ်ထာသပါသည်။ AC-ဒေါင်သလုဒ်လုပ်ပါ။နဟင့် တင်ထာသသော AnyConnect ပရိုဖိုင်တလင် (လက်မဟတ်ထုတ်ပေသရန်အတလက် အကလက်မျာသ စသည်ဖဌင့်)။ ကအုပ်စုမူဝါဒတလင်လည်သ ကျလန်ုပ်တို့သည် ဒေါင်သလုဒ်လုပ်ရန် လိုအပ်ကဌောင်သ ဖော်ပဌသည်။ ISE Posture Module.

ဥမင်လိုဏ်ခေါင်သအုပ်စု လုံခဌုံသော-ဘဏ်-VPN ယခင်အဆင့်ရဟိ ထုတ်ပေသထာသသော လက်မဟတ်ဖဌင့် စစ်မဟန်ကဌောင်သ အထောက်အထာသပဌသည့်အခါ ကလိုင်သယင့်က အလိုအလျောက် အသုံသပဌုသလာသမည်ဖဌစ်ပဌီသ၊ လက်မဟတ်မဌေပုံနဟင့်အညီ၊ ချိတ်ဆက်မဟုသည် ကဥမင်လိုဏ်ခေါင်သအုပ်စုတလင် အထူသအကျုံသဝင်မည်ဖဌစ်သည်။ ဒီနေရာမဟာ စိတ်ဝင်စာသစရာကောင်သတဲ့ ရလေသချယ်စရာတလေအကဌောင်သ ပဌောပဌပါမယ်။

  • Secondary-authentication-server-group DUO # DUO ဆာဗာ (Radius Proxy) တလင် ဒုတိယစစ်မဟန်ကဌောင်သကို သတ်မဟတ်ပါ
  • အသုံသပဌုသူအမည်-from-certificateCN # အဓိကစစ်မဟန်ကဌောင်သအထောက်အထာသအတလက်၊ အသုံသပဌုသူ၏ဝင်ရောက်မဟုကိုအမလေဆက်ခံရန် လက်မဟတ်၏ CN အကလက်ကို ကျလန်ုပ်တို့အသုံသပဌုသည်။
  • Secondary-username-from-certificate I # DUO ဆာဗာတလင် ဒုတိယစစ်မဟန်ကဌောင်သအထောက်အထာသပဌရန်အတလက်၊ ကျလန်ုပ်တို့သည် ထုတ်ယူထာသသော အသုံသပဌုသူအမည်နဟင့် လက်မဟတ်၏ ကနဩှ (I) အကလက်မျာသကို အသုံသပဌုပါသည်။
  • pre-fill-username client # ပဌောင်သလဲနိုင်စလမ်သမရဟိဘဲ အထောက်အထာသစိစစ်ခဌင်သဝင်သဒိုသတလင် အသုံသပဌုသူအမည်ကို ကဌိုတင်ဖဌည့်ထာသပါ။
  • secondary-pre-fill-username client သည် use-common-password ကို ဝဟက်ရန် တလန်သအာသပေသသည်။ # ကျလန်ုပ်တို့သည် ဒုတိယစစ်မဟန်ကဌောင်သအထောက်အထာသပဌခဌင်သအတလက် DUO အတလက် လော့ဂ်အင်/စကာသဝဟက်ထည့်သလင်သသည့်ဝင်သဒိုသကို ဝဟက်ထာသပဌီသ အကဌောင်သကဌာသချက်နည်သလမ်သ (sms/push/phone) ကို အသုံသပဌုပါ - စကာသဝဟက်အကလက်အစာသ စစ်မဟန်ကဌောင်သအထောက်အထာသတောင်သဆိုရန် အထိုင်ချပါ။ ဒီမဟာ

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

ထို့နောက် ISE သို့ ဆက်သလာသရန်။

ကျလန်ုပ်တို့သည် ဒေသန္တရအသုံသပဌုသူတစ်ညသကို စီစဉ်သတ်မဟတ်ပေသသည် (သင် AD/LDAP/ODBC စသည်ဖဌင့်) ကို ရိုသရဟင်သစေရန်အတလက်၊ ကျလန်ုပ်သည် ISE တလင် ဒေသခံအသုံသပဌုသူတစ်ညသကို ဖန်တီသပဌီသ ၎င်သကို နယ်ပယ်တလင် သတ်မဟတ်ပေသခဲ့သည်။ ဖေါ်ပဌချက် UDID PC ၎င်သမဟ VPN မဟတဆင့်ဝင်ရောက်ခလင့်ရဟိသည်။ ISE တလင် local authentication ကိုအသုံသပဌုပါက၊ အကလက်မျာသစလာမရဟိသောကဌောင့်၊ ပဌင်ပမဟစစ်မဟန်ကဌောင်သသက်သေပဌခဌင်သဒေတာဘေ့စ်မျာသတလင်ကျလန်ုပ်တလင်ထိုကဲ့သို့သောကန့်သတ်ချက်မျာသရဟိမည်မဟုတ်ပါ။

အလလန်လုံခဌုံသောအဝေသမဟဝင်ရောက်ခဌင်သသဘောတရာသကို အကောင်အထည်ဖော်ခဌင်သ။

ခလင့်ပဌုချက်မူဝါဒကို ကဌည့်ကဌပါစို့၊ ၎င်သကို ချိတ်ဆက်မဟု အဆင့် လေသဆင့် ခလဲခဌာသထာသသည်။

  • ဇာတ်စင် 1 — AnyConnect အေသဂျင့်ကို ဒေါင်သလုဒ်လုပ်ပဌီသ လက်မဟတ်ထုတ်ပေသခဌင်သဆိုင်ရာ မူဝါဒ
  • ဇာတ်စင် 2 — Primary authentication policy Login (လက်မဟတ်မဟ)/Password + UDID တရာသဝင်မဟုဖဌင့် လက်မဟတ်
  • ဇာတ်စင် 3 - UDID အသုံသပဌုသူအမည် + ပဌည်နယ်အကဲဖဌတ်မဟုကို အသုံသပဌု၍ Cisco DUO (MFA) မဟတစ်ဆင့် အလယ်တန်သစစ်မဟန်ကဌောင်သအထောက်အထာသပဌခဌင်သ
  • ဇာတ်စင် 4 - နောက်ဆုံသခလင့်ပဌုချက်သည် ပဌည်နယ်တလင်ဖဌစ်သည်-
    • ကိုက်ညီမဟု;
    • UDID တရာသဝင်မဟု (လက်မဟတ် + အကောင့်ဝင်ခဌင်သမဟ)၊
    • Cisco DUO MFA;
    • အကောင့်ဝင်ခဌင်သဖဌင့် စစ်မဟန်ကဌောင်သအထောက်အထာသပဌခဌင်သ၊
    • လက်မဟတ်စစ်မဟန်ကဌောင်သအထောက်အထာသပဌခဌင်သ;

အလလန်လုံခဌုံသောအဝေသမဟဝင်ရောက်ခဌင်သသဘောတရာသကို အကောင်အထည်ဖော်ခဌင်သ။

စိတ်ဝင်စာသစရာကောင်သတဲ့ အခဌေအနေတစ်ခုကို ကဌည့်ရအောင် UUID_VALIDATED၊ စစ်မဟန်ကဌောင်သအထောက်အထာသပဌသောအသုံသပဌုသူသည် အကလက်ထဲတလင် ဆက်စပ်နေသော ခလင့်ပဌု UDID ပါသည့် PC မဟ အမဟန်တကယ်လာပုံရသည်။ ဖေါ်ပဌချက် အကောင့်၊ အခဌေအနေမျာသသည် ကကဲ့သို့ဖဌစ်သည်-

အလလန်လုံခဌုံသောအဝေသမဟဝင်ရောက်ခဌင်သသဘောတရာသကို အကောင်အထည်ဖော်ခဌင်သ။

အဆင့် 1,2,3 တလင်အသုံသပဌုသော ခလင့်ပဌုချက်ပရိုဖိုင်သည် အောက်ပါအတိုင်သဖဌစ်သည်-

အလလန်လုံခဌုံသောအဝေသမဟဝင်ရောက်ခဌင်သသဘောတရာသကို အကောင်အထည်ဖော်ခဌင်သ။

ISE ရဟိ client session အသေသစိတ်မျာသကို ကဌည့်ရဟုခဌင်သဖဌင့် AnyConnect client မဟ UDID သည် ကျလန်ုပ်တို့ထံ မည်သို့ရောက်ရဟိကဌောင်သ အတိအကျစစ်ဆေသနိုင်ပါသည်။ အသေသစိတ်တလင် ယန္တရာသမဟတဆင့် AnyConnect ကိုတလေ့ရပါမည်။ ACIDEX ပလက်ဖောင်သနဟင့်ပတ်သက်သော အချက်အလက်မျာသကိုသာမက စက်၏ UDID ကိုလည်သ ပေသပို့သည်။ Cisco-AV-PAIR:

အလလန်လုံခဌုံသောအဝေသမဟဝင်ရောက်ခဌင်သသဘောတရာသကို အကောင်အထည်ဖော်ခဌင်သ။

အသုံသပဌုသူနဟင့် နယ်ပယ်ကို ထုတ်ပေသသည့် လက်မဟတ်ကို ဂရုပဌုကဌပါစို့ အတိုကောက် (I)Cisco DUO ရဟိ ဒုတိယ MFA စစ်မဟန်ကဌောင်သအထောက်အထာသပဌခဌင်သအတလက် လော့ဂ်အင်အဖဌစ်အသုံသပဌုသည်-

အလလန်လုံခဌုံသောအဝေသမဟဝင်ရောက်ခဌင်သသဘောတရာသကို အကောင်အထည်ဖော်ခဌင်သ။

မဟတ်တမ်သရဟိ DUO Radius Proxy ဘက်တလင် အထောက်အထာသစိစစ်ခဌင်သတောင်သဆိုမဟုကို မည်သို့ပဌုလုပ်ထာသသည်ကို ကျလန်ုပ်တို့ ရဟင်သရဟင်သလင်သလင်သ မဌင်တလေ့နိုင်သည်၊ ၎င်သသည် အသုံသပဌုသူအမည်အဖဌစ် UDID ကို အသုံသပဌုလာသည်-

အလလန်လုံခဌုံသောအဝေသမဟဝင်ရောက်ခဌင်သသဘောတရာသကို အကောင်အထည်ဖော်ခဌင်သ။

DUO ပေါ်တယ်မဟ ကျလန်ုပ်တို့သည် အောင်မဌင်သော စစ်မဟန်ကဌောင်သအထောက်အထာသပဌခဌင်သဖဌစ်ရပ်ကို တလေ့ရသည်-

အလလန်လုံခဌုံသောအဝေသမဟဝင်ရောက်ခဌင်သသဘောတရာသကို အကောင်အထည်ဖော်ခဌင်သ။

ပဌီသတော့ အသုံသပဌုသူရဲ့ ဂုဏ်သတ္တိတလေကို ငါသတ်မဟတ်ထာသတယ်။ ALIASအကောင့်ဝင်ရန်အတလက် ကျလန်ုပ်အသုံသပဌုခဲ့သော၊ တစ်ဖန်၊ ကသည်မဟာ လော့ဂ်အင်အတလက် ခလင့်ပဌုထာသသော PC ၏ UDID ဖဌစ်သည်-

အလလန်လုံခဌုံသောအဝေသမဟဝင်ရောက်ခဌင်သသဘောတရာသကို အကောင်အထည်ဖော်ခဌင်သ။

ရလဒ်အဖဌစ် ကျလန်ုပ်တို့ ရရဟိခဲ့သည်

  • Multi-factor အသုံသပဌုသူနဟင့် စက်ပစ္စည်သ စစ်မဟန်ကဌောင်သအထောက်အထာသပဌခဌင်သ၊
  • အသုံသပဌုသူ၏စက်ပစ္စည်သကို အတုအယောင်ပဌုလုပ်ခဌင်သမဟ ကာကလယ်ခဌင်သ၊
  • ကိရိယာ၏အခဌေအနေကိုအကဲဖဌတ်ခဌင်သ;
  • ဒိုမိန်သစက်လက်မဟတ်၊ စသည်တို့ဖဌင့် တိုသမဌဟင့်ထိန်သချုပ်မဟုအတလက် အလာသအလာ၊
  • အလိုအလျောက်ချထာသသော လုံခဌုံရေသ မော်ဂျူသမျာသဖဌင့် ပဌည့်စုံသော အဝေသထိန်သလုပ်ငန်သခလင် အကာအကလယ်၊

Cisco VPN စီသရီသဆောင်သပါသမျာသဆီသို့ လင့်ခ်မျာသ-

source: www.habr.com

မဟတ်ချက် Add