á¡ááœá²á·á¡á ááºážá áá±á«ááºážá ááºááŒáá·áº áá±á¬ááºážáá«ážáá»á¬ážááᯠáááºáááºáá±á¬áºááŒáá«áááºá á¡áá±ážááááºážá¡áá¯á¶ážááŒá¯ááœáá·áº VPN áá»áœááºá¯ááºá á áááºáááºá á¬ážááœáẠá¡áá¯á¶ážáá»ááŸá¯ á¡ááœá±á·á¡ááŒá¯á¶ááᯠáá»áŸáá±ááẠááá°áá®ááá¯ááºáá«á á¡ááœááºáá¯á¶ááŒá¯á¶áá±á¬ VPN ááœá²á·á ááºážááŸá¯áá¯á¶á á¶. á¡áá±ážá¡ááœá²ááá¯ááºáá±á¬ á¡áá¯ááºáá áºáá¯ááᯠáá±á¬ááºáááºáá áºáŠáž (áá¯ááŸá¬ážááœá¬áá»á¬ážááœáẠáá®ááœááºáá°áá»á¬áž ááŸááááº) ááᯠáááºááŒáá²á·áá±á¬áºáááºáž Challenge ááᯠáááºáá¶ááŒá®áž áááºáá®ážááŸá¯ááŒáá·áº á¡áá±á¬ááºá¡áááºáá±á¬áºáá²á·áááºá ááááºááẠá¡á±á¬ááºáá«ááá¹ááá¬áá»á¬ážááŒáá·áº á áááºáááºá á¬ážá áá¬áá±á¬ááºážáá±á¬ á¡áá°á¡ááá áºáá¯ááŒá áºáááºá
- terminal áááááá¬áá¡á
á¬ážááá¯ážááŒááºážááŸáá¬ááœááºááŸá¯á¡áá»ááºáá»á¬ážá
áœá¬ (á¡áá¯á¶ážááŒá¯áá°ááŸáá·áºáááºážáá»ááºáá±á¬á
ááºážááŸá±á¬ááºááŸá¯ááŸáá·áºá¡áá°);
- á¡áá±á¬ááºá¡áá¬ážá áá á áºááŒááºážáá±áá¬áá±á·á áºááŸá ááœáá·áºááŒá¯áá¬ážáá±á¬ PC á áááºááŸááºáá¬ážáá±á¬ UDID ááŒáá·áº á¡áá¯á¶ážááŒá¯áá°á PC áááá¯ááºáá¬ááŸá¯ááᯠá¡áá²ááŒááºááŒááºážá
- Cisco DUO ááŸáá áºááá·áº ááá·áºááœá¬ážá¡áá±á¬ááºá¡áá¬ážá áá á áºááŒááºážá¡ááœáẠáááºááŸááºá០PC UDID ááᯠá¡áá¯á¶ážááŒá¯á MFA ááŒáá·áº (áááºááá·áº SAML/Radius ááœá²áá¯á¶ážááá¯ááºáááº);
- á¡áá»ááºáá±á«ááºážáá»á¬ážá
áœá¬ á¡áá±á¬ááºá¡áá¬ážá
áá
á
áºááŒááºáž-
- áááºážááá¯á·á¡áááºááŸáá áºáá¯á¡á¬áž ááœááºážáááºážá á áºáá±ážááŒááºážááŸáá·áº á¡áááºáááºážá á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒáá·áº á¡áá¯á¶ážááŒá¯áá°áááºááŸááºá
- á¡áá±á¬áá·áºáááºááŒááºáž (áááŒá±á¬ááºážáá²ááá¯ááºáá±á¬á áááºááŸááºááŸáá°áá¬ážáááº) ááŸáá·áº á áá¬ážááŸááºá
- áá»áááºáááºáááºáá¶áá°á á¡ááŒá±á¡áá±ááᯠááá·áºááŸááºážááŒááºáž (ááá¯ááºáááºá¡áá±á¡áá¬áž)
á¡áá¯á¶ážááŒá¯áá¬ážáá±á¬ ááŒá±ááŸááºážáá»ááºá¡á áááºá¡ááá¯ááºážáá»á¬áž-
- Cisco ASA (VPN Gateway);
- Cisco ISE (Authentication/Authentication/Accountingá State Evaluationá CA);
- Cisco DUO (Multi-Factor Authentication) (áááºááá·áº SAML/Radius ááœá²áá¯á¶ážááá¯ááºáááº);
- Cisco AnyConnect (á¡áá¯ááºáá¯á¶áá»á¬ážááŸáá·áº ááá¯ááá¯ááºáž OS á¡ááœáẠáááºá á¯á¶áá¯á¶áž ááá¯ááºá á¬ážááŸááº);
áá±á¬ááºáááºáááá¯á¡ááºáá»ááºáá»á¬ážááŸáá·áºá ááŒáá«á áá¯á·á
- á¡áá¯á¶ážááŒá¯áá°ááẠáááºážá Login/Password á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážááŒáá·áº AnyConnect client ááᯠVPN gateway ááŸáá±á«ááºážáá¯ááºáá¯ááºááá¯ááºááááºá ááá¯á¡ááºáá±á¬ AnyConnect modules á¡á¬ážáá¯á¶ážááᯠá¡áá¯á¶ážááŒá¯áá°ááá°áá«áááŸáá·áºá¡áá® á¡ááá¯á¡áá»á±á¬ááºááá·áºááœááºážááá«áááºá
- á¡áá¯á¶ážááŒá¯áá°ááẠá¡ááá¡ááŸááºááŒá¯áááºááŸááºááᯠá¡ááá¯á¡áá»á±á¬ááºáá¯ááºáá±ážááá¯ááºááá·áºááẠ(á¡ááŒá±á¡áá±áá áºáá¯á¡ááœááºá á¡áááá¡ááŒá±á¡áá±ááŸá¬ áá°ááá¯ááºááá¯ááºáá¯ááºáá±ážááŒááºážááŸáá·áº PC áá±á«áºááœáẠá¡ááºáá¯ááºáááºááŒááºážááŒá áºáááº)á ááá¯á·áá±á¬áº áá»áœááºá¯ááºááẠáááºááœá±á·ááŒááááºá¡ááœáẠá¡ááá¯á¡áá»á±á¬ááºáá¯ááºáá±ážááŒááºážááŒá áºááẠ(áááºážááᯠáááºááŸá¬ážááẠá¡áá»áááºáááŸá±á¬ááºážáá±ážáá«)á
- á¡ááŒá±áᶠá á áºááŸááºááŒá±á¬ááºáž á¡áááºááŒá¯ááŒááºáž á¡ááá·áºáá»á¬ážá áœá¬ááœáẠáá¯ááºáá±á¬ááºááááºá áŠážá áœá¬ ááá¯á¡ááºáá±á¬ á¡ááœááºáá»á¬ážááŸáá·áº áááºážááá¯á·á áááºááá¯ážáá»á¬ážááᯠááœá²ááŒááºážá áááºááŒá¬ááŒááºážááŒáá·áº áááºááŸáẠá á áºááŸááºááŒá±á¬ááºáž á¡áááºááŒá¯ááŒááºáž ááŸáá ááá¯á·áá±á¬áẠáá±á¬á·ááºá¡ááº/á áá¬ážááŸááºá á€áá áºááŒáááºáᬠáááºááŸááºá¡ááœááºááœáẠáááºááŸááºáá¬ážáá±á¬ á¡áá¯á¶ážááŒá¯áá°á¡áááºááᯠáá±á¬á·ááºá¡ááºáááºážááá¯ážáá²ááá¯á· ááá·áºááœááºážááá«áááºá áá¬áá¬áááºá¡ááẠ(CN) áááºážááŒááºááá¯ááºá áœááºážáááŸááá²á
- áááºáááºáá±á¬ááºáá±ááá·áºá ááºáá á¹á ááºážááẠá¡áá±ážááááºážá¡áá¯á¶ážááŒá¯áá°áᶠáá¯ááºáá±ážááá·áº áá±á¬áºááá¯ááááºáááºáá±á¬á·ááºááŒá áºááŒá®áž á¡ááŒá¬ážá¡áá¬ááá¯ááºááŒá±á¬ááºáž áá±áá»á¬á á±áááºááá¯á¡ááºáááºá (á€ááá¯á¡ááºáá»ááºááᯠááŒáá·áºáááºážáááºá¡ááœáẠááœá±ážáá»ááºá áá¬áá»á¬ážá áœá¬ááᯠááŒá¯áá¯ááºáá¬ážáá«áááºá)
- áá»áááºáááºáááááá¬áá¡ááŒá±á¡áá±ááᯠ(á€á¡ááá·áºááœáẠPC) ááẠáá±á¬ááºáááºááá¯á¡ááºáá»ááºáá»á¬ážá ááŒá®ážáá¬ážáá±á¬ááá¬ážáá
áºáá¯áá¯á¶ážááᯠá
á
áºáá±ážááŒááºážááŒáá·áº á¡áá²ááŒááºááá·áºááẠ(á¡áá»ááºážáá»á¯ááº)
- ááá¯ááºáá»á¬ážááŸáá·áº áááºážááá¯á·á áá¯ááºááá¹áááá»á¬ážá
- á á¬áááºážááœááºážááŸá¯áá»á¬ážá
- áá±ážáá¬ážáá±á¬á á¬áááºážá០OS áá¬áá±ážááŸá¯áá»á¬áž (áá±á¬ááºááá¯ááºážááœáẠSCCM áá±á«ááºážá ááºážááŸá¯);
- áá®ážááŒá¬ážáá¯ááºáá¯ááºáá°áá¶á០Anti-Virus áááŸáááá¯ááºááŸá¯ááŸáá·áº áááºááŸááºáá»á¬ážá áááºá ááºááŸá¯á
- á¡áá»áá¯á·áá±á¬áááºáá±á¬ááºááŸá¯áá»á¬ážá áá¯ááºáá±á¬ááºáá»ááºá
- á¡áá»áá¯á·áá±á¬ ááá·áºááœááºážáá¬ážáá±á¬ áááá¯ááááºáá»á¬áž áááŸáááá¯ááºááŸá¯á
á áááºáááºá ááááºá¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯ááá¯ááºáᬠáá®áá®ááá¯ááá¯ááºááŒáá¯á¶ááᯠáá±áá»á¬ááŒáá·áºááŸá¯ááẠáá»áœááºá¯ááºá¡ááŒá¶ááŒá¯á¡ááºáá«áááºá Youtube (á áááá áº).
ááᯠáá®áá®ááá¯ááá áºááœáẠááá±á¬áºááŒáá¬ážáá±á¬ á¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯á¡áá±ážá áááºáá»á¬ážááᯠááá·áºááœááºážá ááºážá á¬ážááẠá¡ááá¯ááŒá¯áá«áááºá
AnyConnect áááá¯ááá¯ááºááᯠááŒááºáááºááŒáá«á áá¯á·á
áá»áœááºá¯ááºááẠáááºáááºááá¯ááºáᬠáá»áœááºá¯ááºááá±á¬ááºážáá«ážááœáẠ(ASDM ááŸá áá®áá°ážá¡ááŒá±á¬ááºážá¡áá¬á áááºááŸááºáá»ááºá¡á) áááá¯ááá¯ááºáááºáá®ážááŒááºážá á¥ááá¬áá
áºáá¯ááᯠááááºá áá±ážáá²á·áá°ážáá«áááºá
áááá¯ááá¯ááºááœááºá áá»áœááºá¯ááºááá¯á·ááẠVPN gateway ááŸáá·áº end client ááá¯á·áá»áááºáááºáááºá¡ááœáẠáááá¯ááá¯ááºá¡áááºááᯠááœáŸááºááŒáá«áááº-
áááá¯ááá¯ááºáááºááŒááºážá០áááºááŸááºá á¡ááá¯á¡áá»á±á¬ááºáá¯ááºáá±ážááŒááºážááᯠá á®á ááºáááºááŸááºááŒáá«á áá¯á·á á¡áá°ážáááŒáá·áºá áááºááŸááºáá±á¬ááºáá»á¬ážááᯠááœáŸááºááŒááŒá®áž áááºáááºááᯠá¡áá°ážááá¯ááŒá¯áá«á á¡ááá¯áá±á¬áẠ(I)áááºááŸááºáá¬ážáá±á¬áááºááá¯ážááᯠááá¯ááºááá¯ááºááá·áºááœááºážááá·áºáá±áá¬ááœááºá UID á ááºážáááºá áẠ( Cisco AnyConnect áááá¯ááºážááá·áºááŸáá¯ááºáá±ážáá±á¬ áá®ážááá·áºá ááºáá á¹á ááºážá¡ááŸááºá¡áá¬áž)á
á€áá±á¬ááºážáá«ážááẠá¡áá°á¡áááᯠáá±á¬áºááŒáá±á¬ááŒá±á¬áá·áº á€áá±á¬ááºážáá«ážááœáẠá á¬áá¬ážááœá²ááœá²ááŸá¯áá áºáᯠááŒá¯áá¯ááºááá¯áááºá ááá¯ááºááŒáááºááœááºáá»ááºáá»á¬ážá¡ááœááºá áááºááŸááºáá¯ááºáá±ážáááºá¡ááœáẠUDID ááᯠAnyConnect áááá¯ááá¯ááºá áááŠážá¡ááœááºááœáẠááá·áºááœááºážáá¬ážáááºá áá¯ááºáá«áááºá áááºááœá±á·ááááŸá¬á áááºáá®ááá¯áá¯ááºáááºá clients ááœá±á¡á¬ážáá¯á¶ážá áá®áááºáááºááŸá¬ áá°áá®áá²á· UDID áá«áá²á· áááºááŸááºááᯠáááºáá¶áááŸáááŸá¬ááŒá áºááŒá®áž áá°ááá¯á·áá²á· áá®ážááŒá¬áž PC áá²á· UDID ááᯠááá¯á¡ááºáá¬ááŒá±á¬áá·áº áá°ááá¯á·á¡ááœáẠáá¬áá áºáá¯á០á¡áá¯ááºáááŒá áºáá«áá°ážá AnyConnectá áá¶ááá±á¬ááºážá áœá¬ááŒáá·áºá á¥ááá¬á ááááºážááŸááºáá áºáá¯ááŒáá·áº áááºáááºážáá»ááºááŒá±á¬ááºážáá²ááŸá¯áá áºáá¯ááŸáá áºááá·áº áááºááŸááºáá±á¬ááºážááá¯ááŸá¯áááá¯ááá¯ááºááá¯á· UDID á¡ááœááºáá¡á á¬ážááá¯ážááŸá¯ááᯠá¡áá±á¬ááºá¡áááºááá±á¬áºáá±ážáá«á %á¡áá¯á¶ážááŒá¯áá°ááá¯%.
áá±á¬ááºááẠ(á€á¡ááŒá±á¡áá±ááŸ) á¡á ááá¯ááºážááœáẠáá±ážá¡ááºáá¬ážáá±á¬ UDID ááᯠáá°ááá¯ááºááá¯ááºáá¯ááºááŒáá·áº á¡ááá¡ááŸááºááŒá¯áááºááŸááºáá»á¬ážááᯠááœááºááœááºáááºááẠáá¯ááºáá±ážááẠá á®á ááºáá¬ážááŒá®áž áááºážááẠáá°á·á¡ááœáẠááŒá¿áá¬ááá¯ááºááá·áº á¡áá¬á¡ááœáẠPC áá»á¬ážááŒá áºáááºá ááá¯á·áá±á¬áºá áá»áœááºá¯ááºááá¯á·á¡áá»á¬ážá á¯á¡ááœáẠáá»áœááºá¯ááºááá¯á·ááẠá¡ááá¯á¡áá»á±á¬ááºá áá áºááᯠááá¯áá»ááºááẠ(áá±á¬ááºážááŒá®á áá»áœááºá¯ááºá¡ááœáẠááŸááºáááºááẠ=))á
ááŒá®ážáá±á¬á· áá«á automation áá²á· áááºáááºááŒá®áž áá«áá±ážááá¯ááºáá²á·á¡áá¬áá«á AnyConnect ááẠUDID ááᯠá¡ááºááá¯ááºá¡á¬ážááá¯áẠá¡á á¬ážááá¯ážááŒááºážááŒáá·áº áááºááŸááºááᯠá¡ááá¯á¡áá»á±á¬áẠáá¯ááºáá±ážááá¯ááºááŒááºážáááŸááá±ážáá«áá áá®ááœááºáááºáá®ážááŸá¯á¡áááºážáááºááŸáá·áº áá»áœááºážáá»ááºáá±á¬áááºáá»á¬áž ááá¯á¡ááºááá·áº á¡ááŒá¬ážáááºážáááºážáá áºáá¯ááŸááá«ááẠ- ááá±á¬ááá¬ážááᯠááŒá±á¬ááŒáá«áááºá áŠážá áœá¬á AnyConnect á¡á±ážáá»áá·áºá០ááá°áá®áá±á¬ áááºáááºááŸá¯á áá áºáá»á¬ážááœáẠUDID ááᯠáááºááá¯á·áá¯ááºáá¯ááºáá¬ážáááºááᯠááŒáá·áºááŒáá«á áá¯á·á
- Windows ááᯠ- DigitalProductID ááŸáá·áº Machine SID ááŸááºáá¯á¶áááºáá®ážááá±á«ááºážá ááºááŸá¯á SHA-256 hash
- OSX - SHA-256 hash ááááºáá±á¬ááºážUUID
- Linux ááᯠ- root partition á UUID á SHA-256 hashá
- Apple á iOS ááᯠ- SHA-256 hash ááááºáá±á¬ááºážUUID
- á¡ááºážáááœáá¯áẠ- á
á¬ááœááºá
á¬áááºážáá±á«áºááœááºááŒáá·áºáá«á
link ááá¯
ááá¯á·ááŒá±á¬áá·áºá áá»áœááºá¯ááºááá¯á·ááẠáá»áœááºá¯ááºááá¯á·ááá±á¬áºááá¯áááẠWindows OS á¡ááœáẠscript áá áºáá¯ááᯠáááºáá®ážááŒá®ážá ဠscript ááŒáá·áº UDID ááᯠáá°áááá»á¬ážáá±á¬ ááœááºážá¡á¬ážá á¯áá»á¬áž á¡áá¯á¶ážááŒá¯á ááŒááºááœááºážááœáẠááœááºáá»ááºááŒá®áž ááá¯á¡ááºáá±á¬ á¡ááœááºááœáẠဠUDID ááᯠááá¯ááºááá·áºááŒááºážááŒáá·áº áááºááŸááºáá¯ááºáá±ážááẠáá±á¬ááºážááá¯áá»ááºáá áºáá¯ááᯠáááºáá®ážáá¬á áááºážáááºážá¡á¬ážááŒáá·áº áááºááẠá ááºááá¯áááºáž á¡áá¯á¶ážááŒá¯ááá¯ááºáááºá AD ááŸáá¯ááºáá±ážáá±á¬áááºááŸáẠ(á¡á á®á¡á ááºááœáẠáááºááŸááºááá¯á¡áá¯á¶ážááŒá¯á á á áºááŸááºááŒá±á¬ááºážááŸá áºáááºá¡áá±á¬ááºá¡áá¬ážááá¯ááá·áºááŒááºážááŒáá·áº áááºááŸááºáá»áá¯ážá á¯á¶).
Cisco ASA áááºá០áááºáááºáá»á¬ážááᯠááŒááºáááºááŒáá«á áá¯á·á
ISE CA áá¬áá¬á¡ááœáẠTrustPoint áá
áºáá¯ááᯠáááºáá®ážááŒáá«á
áá¯á·á áááºážááẠáá¯á¶ážá
áœá²áá°áá»á¬ážá¡á¬áž áááºááŸááºáá»á¬ážáá¯ááºáá±ážááá·áº áá
áºáá¯ááŒá
áºáááºá Key-Chain áááºááœááºážááŒááºážáá¯ááºáááºážá
ááºááᯠáá»áœááºá¯ááºááá·áºááœááºážá
ááºážá
á¬ážáááºááá¯ááºáá«á áááºáááºááŸá¯ááá¯ááºáᬠáá»áœááºá¯ááºááá±á¬ááºážáá«ážááœáẠá¥ááá¬áá
áºáá¯ááᯠáá±á¬áºááŒáá¬ážáá«áááºá
crypto ca trustpoint ISE-CA
enrollment terminal
crl configure
áá»áœááºá¯ááºááá¯á·ááẠá á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážá¡ááœáẠá¡áá¯á¶ážááŒá¯ááá·áº áááºááŸááºááŸá á¡ááœááºáá»á¬ážááŸáá·áºá¡áá® á ááºážáá»ááºážáá»á¬ážá¡ááá¯áẠTunnel-Group á០ááŒáá·áºááŒá°ážááŸá¯ááᯠá á®á ááºáá±ážáá«áááºá ááááºá¡ááá·áºááœáẠáá»áœááºá¯ááºááá¯á·ááŒá¯áá¯ááºáá²á·ááá·áº AnyConnect áááá¯ááá¯ááºááá¯áááºáž á€áá±áá¬ááœáẠá á®á ááºáááºááŸááºáá¬ážáá«áááºá áááºááá¯ážááᯠáá«áá¯á¶ážáá±áᬠáááááŒá¯áá«á SECUREBANK-RAáá¯ááºáá±ážáá¬ážáá±á¬ áááºááŸááºááŒáá·áº á¡áá¯á¶ážááŒá¯áá°áá»á¬ážááᯠá¥áááºááá¯ááºáá±á«ááºážá¡ááœá²á·ááá¯á· ááœáŸá²ááŒá±á¬ááºážááẠáá¯á¶ááŒá¯á¶áá±á¬-áááº-VPNAnyConnect áááá¯ááá¯áẠáááºááŸááºáá±á¬ááºážááá¯ááŸá¯áá±á¬áºáá¶ááœáẠá€á¡ááœááºááŸááááºááᯠáá»á±ážáá°ážááŒá¯á áááááŒá¯áá«á
tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
subject-name attr ou eq securebank-ra
!
webvpn
anyconnect profiles SECUREBANK disk0:/securebank.xml
certificate-group-map OU-Map 6 SECURE-BANK-VPN
!
á¡áá±á¬ááºá¡áá¬ážá áá á áºááŒááºáž áá¬áá¬áá»á¬ážááᯠá áá áºááá·áºááœááºážááŒááºážá áá»áœááºá¯ááºáááá á¹á ááœááºá áááºážááẠá¡áá±á¬ááºá¡áá¬ážá áá á áºááŒááºážááááá¡ááá·áºá¡ááœáẠISE ááŒá áºááŒá®áž MFA á¡ááŒá ẠDUO (Radius Proxy) ááŒá áºáááºá
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!
áá»áœááºá¯ááºááá¯á·ááẠá¡ááœá²á·áá°áá«ááá»á¬ážááŸáá·áº á¥áááºááá¯ááºáá±á«ááºážá¡ááœá²á·áá»á¬ážááŸáá·áº áááºážááá¯á·á á¡áááºá¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠáááºáá®ážáááº-
á¥áááºááá¯ááºáá±á«ááºážá¡á¯ááºá ᯠáá°áááºážWEBVPNG á¡ááœá²á· AnyConnect VPN áááá¯ááºážááá·áºááᯠáá±á«ááºážáá¯ááºáá¯ááºáááºááŸáá·áº ASA á SCEP-Proxy áá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá¯á¶ážááŒá¯á á¡áá¯á¶ážááŒá¯áá°áááºááŸááºáá¯ááºáá±ážááẠá¡áááá¡áá¯á¶ážááŒá¯áááºááŒá áºááŒá®ážá áááºážá¡ááœáẠáá»áœááºá¯ááºááá¯á·ááœáẠá¥áááºááá¯ááºáá±á«ááºážá¡ááœá²á·ááá¯ááºááá¯ááºááŸáá·áº áááºá ááºá¡ááœá²á·áá°áá«áááœáẠáááºááá¯ááºááá·áºááœá±ážáá»ááºá áá¬áá»á¬ážááᯠactivated áá¯ááºáá¬ážáá«áááºá AC-áá±á«ááºážáá¯ááºáá¯ááºáá«áááŸáá·áº áááºáá¬ážáá±á¬ AnyConnect áááá¯ááá¯ááºááœáẠ(áááºááŸááºáá¯ááºáá±ážáááºá¡ááœáẠá¡ááœááºáá»á¬áž á áááºááŒáá·áº)á á€á¡á¯ááºá á¯áá°áá«áááœááºáááºáž áá»áœááºá¯ááºááá¯á·ááẠáá±á«ááºážáá¯ááºáá¯ááºááẠááá¯á¡ááºááŒá±á¬ááºáž áá±á¬áºááŒáááºá ISE Posture Module.
á¥áááºááá¯ááºáá±á«ááºážá¡á¯ááºá ᯠáá¯á¶ááŒá¯á¶áá±á¬-áááº-VPN ááááºá¡ááá·áºááŸá áá¯ááºáá±ážáá¬ážáá±á¬ áááºááŸááºááŒáá·áº á á áºááŸááºááŒá±á¬ááºáž á¡áá±á¬ááºá¡áá¬ážááŒááá·áºá¡áá« áááá¯ááºážááá·áºá á¡ááá¯á¡áá»á±á¬áẠá¡áá¯á¶ážááŒá¯ááœá¬ážáááºááŒá áºááŒá®ážá áááºááŸááºááŒá±áá¯á¶ááŸáá·áºá¡áá®á áá»áááºáááºááŸá¯ááẠá€á¥áááºááá¯ááºáá±á«ááºážá¡á¯ááºá á¯ááœáẠá¡áá°ážá¡áá»á¯á¶ážáááºáááºááŒá áºáááºá áá®áá±áá¬ááŸá¬ á áááºáááºá á¬ážá áá¬áá±á¬ááºážáá²á· ááœá±ážáá»ááºá áá¬ááœá±á¡ááŒá±á¬ááºáž ááŒá±á¬ááŒáá«áááºá
- Secondary-authentication-server-group DUO # DUO áá¬áᬠ(Radius Proxy) ááœáẠáá¯áááá á áºááŸááºááŒá±á¬ááºážááᯠáááºááŸááºáá«
- á¡áá¯á¶ážááŒá¯áá°á¡áááº-from-certificateCN # á¡áááá á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážá¡ááœááºá á¡áá¯á¶ážááŒá¯áá°ááááºáá±á¬ááºááŸá¯ááá¯á¡ááœá±áááºáá¶ááẠáááºááŸááºá CN á¡ááœááºááᯠáá»áœááºá¯ááºááá¯á·á¡áá¯á¶ážááŒá¯áááºá
- Secondary-username-from-certificate I # DUO áá¬áá¬ááœáẠáá¯áááá á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒáááºá¡ááœááºá áá»áœááºá¯ááºááá¯á·ááẠáá¯ááºáá°áá¬ážáá±á¬ á¡áá¯á¶ážááŒá¯áá°á¡áááºááŸáá·áº áááºááŸááºá áááŠáž (I) á¡ááœááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá«áááºá
- pre-fill-username client # ááŒá±á¬ááºážáá²ááá¯ááºá áœááºážáááŸááá² á¡áá±á¬ááºá¡áá¬ážá áá á áºááŒááºážáááºážááá¯ážááœáẠá¡áá¯á¶ážááŒá¯áá°á¡áááºááᯠááŒáá¯áááºááŒáá·áºáá¬ážáá«á
- secondary-pre-fill-username client ááẠuse-common-password ááᯠááŸááºááẠááœááºážá¡á¬ážáá±ážáááºá # áá»áœááºá¯ááºááá¯á·ááẠáá¯áááá
á
áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážá¡ááœáẠDUO á¡ááœáẠáá±á¬á·ááºá¡ááº/á
áá¬ážááŸááºááá·áºááœááºážááá·áºáááºážááá¯ážááᯠááŸááºáá¬ážááŒá®áž á¡ááŒá±á¬ááºážááŒá¬ážáá»ááºáááºážáááºáž (sms/push/phone) ááᯠá¡áá¯á¶ážááŒá¯áá« - á
áá¬ážááŸááºá¡ááœááºá¡á
á¬áž á
á
áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážáá±á¬ááºážááá¯ááẠá¡ááá¯ááºáá»áá«á
áá®ááŸá¬
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!
ááá¯á·áá±á¬áẠISE ááá¯á· áááºááœá¬ážáááºá
áá»áœááºá¯ááºááá¯á·ááẠáá±ááá¹ááá¡áá¯á¶ážááŒá¯áá°áá áºáŠážááᯠá á®á ááºáááºááŸááºáá±ážááẠ(ááẠAD/LDAP/ODBC á áááºááŒáá·áº) ááᯠááá¯ážááŸááºážá á±áááºá¡ááœááºá áá»áœááºá¯ááºááẠISE ááœáẠáá±ááá¶á¡áá¯á¶ážááŒá¯áá°áá áºáŠážááᯠáááºáá®ážááŒá®áž áááºážááᯠáááºáááºááœáẠáááºááŸááºáá±ážáá²á·áááºá áá±á«áºááŒáá»áẠUDID PC áááºážá០VPN ááŸáááá·áºáááºáá±á¬ááºááœáá·áºááŸááááºá ISE ááœáẠlocal authentication ááá¯á¡áá¯á¶ážááŒá¯áá«áá á¡ááœááºáá»á¬ážá áœá¬áááŸááá±á¬ááŒá±á¬áá·áºá ááŒááºáááŸá á áºááŸááºááŒá±á¬ááºážáááºáá±ááŒááŒááºážáá±áá¬áá±á·á áºáá»á¬ážááœááºáá»áœááºá¯ááºááœááºááá¯áá²á·ááá¯á·áá±á¬ááá·áºáááºáá»ááºáá»á¬ážááŸááááºááá¯ááºáá«á
ááœáá·áºááŒá¯áá»ááºáá°áá«áááᯠááŒáá·áºááŒáá«á áá¯á·á áááºážááᯠáá»áááºáááºááŸá¯ á¡ááá·áº áá±ážááá·áº ááœá²ááŒá¬ážáá¬ážáááºá
- áá¬ááºá áẠ1 â AnyConnect á¡á±ážáá»áá·áºááᯠáá±á«ááºážáá¯ááºáá¯ááºááŒá®áž áááºááŸááºáá¯ááºáá±ážááŒááºážááá¯ááºáᬠáá°áá«á
- áá¬ááºá áẠ2 â Primary authentication policy Login (áááºááŸááºááŸ)/Password + UDID ááá¬ážáááºááŸá¯ááŒáá·áº áááºááŸááº
- áá¬ááºá áẠ3 - UDID á¡áá¯á¶ážááŒá¯áá°á¡ááẠ+ ááŒááºáááºá¡áá²ááŒááºááŸá¯ááᯠá¡áá¯á¶ážááŒá¯á Cisco DUO (MFA) ááŸáá áºááá·áº á¡áááºáááºážá á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºáž
- áá¬ááºá
áẠ4 - áá±á¬ááºáá¯á¶ážááœáá·áºááŒá¯áá»ááºááẠááŒááºáááºááœááºááŒá
áºáááº-
- ááá¯ááºáá®ááŸá¯;
- UDID ááá¬ážáááºááŸá¯ (áááºááŸáẠ+ á¡áá±á¬áá·áºáááºááŒááºážááŸ)á
- Cisco DUO MFA;
- á¡áá±á¬áá·áºáááºááŒááºážááŒáá·áº á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážá
- áááºááŸááºá á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºáž;
á áááºáááºá á¬ážá áá¬áá±á¬ááºážáá²á· á¡ááŒá±á¡áá±áá áºáá¯ááᯠááŒáá·áºáá¡á±á¬áẠUUID_VALIDATEDá á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒáá±á¬á¡áá¯á¶ážááŒá¯áá°ááẠá¡ááœááºáá²ááœáẠáááºá ááºáá±áá±á¬ ááœáá·áºááŒá¯ UDID áá«ááá·áº PC á០á¡ááŸááºááááºáá¬áá¯á¶ááááºá áá±á«áºááŒáá»áẠá¡áá±á¬áá·áºá á¡ááŒá±á¡áá±áá»á¬ážááẠá€áá²á·ááá¯á·ááŒá áºáááº-
á¡ááá·áº 1,2,3 ááœááºá¡áá¯á¶ážááŒá¯áá±á¬ ááœáá·áºááŒá¯áá»ááºáááá¯ááá¯ááºááẠá¡á±á¬ááºáá«á¡ááá¯ááºážááŒá áºáááº-
ISE ááŸá client session á¡áá±ážá áááºáá»á¬ážááᯠááŒáá·áºááŸá¯ááŒááºážááŒáá·áº AnyConnect client á០UDID ááẠáá»áœááºá¯ááºááá¯á·áᶠáááºááá¯á·áá±á¬ááºááŸáááŒá±á¬ááºáž á¡ááá¡áá»á á áºáá±ážááá¯ááºáá«áááºá á¡áá±ážá áááºááœáẠááá¹ááá¬ážááŸáááá·áº AnyConnect ááá¯ááœá±á·ááá«áááºá ACIDEX ááááºáá±á¬ááºážááŸáá·áºáááºáááºáá±á¬ á¡áá»ááºá¡áááºáá»á¬ážááá¯áá¬áá á ááºá UDID ááá¯áááºáž áá±ážááá¯á·áááºá Cisco-AV-PAIR:
á¡áá¯á¶ážááŒá¯áá°ááŸáá·áº áááºáááºááᯠáá¯ááºáá±ážááá·áº áááºááŸááºááᯠááá¯ááŒá¯ááŒáá«á áá¯á· á¡ááá¯áá±á¬áẠ(I)Cisco DUO ááŸá áá¯ááá MFA á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážá¡ááœáẠáá±á¬á·ááºá¡ááºá¡ááŒá áºá¡áá¯á¶ážááŒá¯áááº-
ááŸááºáááºážááŸá DUO Radius Proxy áááºááœáẠá¡áá±á¬ááºá¡áá¬ážá áá á áºááŒááºážáá±á¬ááºážááá¯ááŸá¯ááᯠáááºááá¯á·ááŒá¯áá¯ááºáá¬ážáááºááᯠáá»áœááºá¯ááºááá¯á· ááŸááºážááŸááºážáááºážáááºáž ááŒááºááœá±á·ááá¯ááºáááºá áááºážááẠá¡áá¯á¶ážááŒá¯áá°á¡áááºá¡ááŒá ẠUDID ááᯠá¡áá¯á¶ážááŒá¯áá¬áááº-
DUO áá±á«áºáááºá០áá»áœááºá¯ááºááá¯á·ááẠá¡á±á¬ááºááŒááºáá±á¬ á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážááŒá áºáááºááᯠááœá±á·ááááº-
ááŒá®ážáá±á¬á· á¡áá¯á¶ážááŒá¯áá°áá²á· áá¯ááºááá¹ááááœá±ááᯠáá«áááºááŸááºáá¬ážáááºá ALIASá¡áá±á¬áá·áºáááºáááºá¡ááœáẠáá»áœááºá¯ááºá¡áá¯á¶ážááŒá¯áá²á·áá±á¬á áá áºáááºá á€áááºááŸá¬ áá±á¬á·ááºá¡ááºá¡ááœáẠááœáá·áºááŒá¯áá¬ážáá±á¬ PC á UDID ááŒá áºáááº-
ááááºá¡ááŒá Ạáá»áœááºá¯ááºááá¯á· áááŸááá²á·áááº
- Multi-factor á¡áá¯á¶ážááŒá¯áá°ááŸáá·áº á ááºáá á¹á ááºáž á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážá
- á¡áá¯á¶ážááŒá¯áá°áá ááºáá á¹á ááºážááᯠá¡áá¯á¡áá±á¬ááºááŒá¯áá¯ááºááŒááºážá០áá¬ááœááºááŒááºážá
- áááááá¬áá¡ááŒá±á¡áá±ááá¯á¡áá²ááŒááºááŒááºáž;
- ááá¯ááááºážá ááºáááºááŸááºá á áááºááá¯á·ááŒáá·áº ááá¯ážááŒáŸáá·áºááááºážáá»á¯ááºááŸá¯á¡ááœáẠá¡áá¬ážá¡áá¬á
- á¡ááá¯á¡áá»á±á¬ááºáá»áá¬ážáá±á¬ áá¯á¶ááŒá¯á¶áá±áž áá±á¬áºáá»á°ážáá»á¬ážááŒáá·áº ááŒáá·áºá á¯á¶áá±á¬ á¡áá±ážááááºážáá¯ááºáááºážááœáẠá¡áá¬á¡ááœááºá
Cisco VPN á á®ážáá®ážáá±á¬ááºážáá«ážáá»á¬ážáá®ááá¯á· ááá·áºááºáá»á¬áž-
ASA VPN Load-Balancing Cluster ááᯠá¡áá¯á¶ážááŒá¯ááŒááºážá Cisco ASA ááŸá AnyConnect VPN tunnel ááœáẠcloud áááºáá±á¬ááºááŸá¯áá»á¬ážááᯠá¡áá±á¬ááºážáá¯á¶ážáá¯ááºáá±á¬ááºááŒááºážá
source: www.habr.com