अति सुरक्षित रिमोट पहुँच को अवधारणा को कार्यान्वयन

संगठनको विषयमा लेखहरूको श्रृंखला जारी राख्दै रिमोट पहुँच VPN पहुँच म मद्दत गर्न सक्दिन तर मेरो रोचक परिनियोजन अनुभव साझा गर्न सक्छु अत्यधिक सुरक्षित VPN कन्फिगरेसन। एउटा गैर-तुच्छ कार्य एक ग्राहक द्वारा प्रस्तुत गरिएको थियो (रूसी गाउँहरूमा आविष्कारकहरू छन्), तर चुनौती स्वीकार गरियो र रचनात्मक रूपमा लागू गरियो। परिणाम निम्न विशेषताहरु संग एक रोचक अवधारणा छ:

1. टर्मिनल उपकरणको प्रतिस्थापन विरुद्ध सुरक्षाको धेरै कारकहरू (प्रयोगकर्तालाई कडा बाध्यता संग);
   • प्रमाणीकरण डाटाबेसमा अनुमति दिइएको पीसीको तोकिएको UDID सँग प्रयोगकर्ताको पीसीको अनुपालनको मूल्याङ्कन गर्दै;
   • सिस्को DUO मार्फत माध्यमिक प्रमाणीकरणको लागि प्रमाणपत्रबाट PC UDID प्रयोग गरी MFA सँग (तपाईं कुनै पनि SAML/रेडियस मिल्दो संलग्न गर्न सक्नुहुन्छ);
2. बहु-कारक प्रमाणीकरण:
   • ती मध्ये एक विरुद्ध क्षेत्र प्रमाणिकरण र माध्यमिक प्रमाणीकरण संग प्रयोगकर्ता प्रमाणपत्र;
   • लगइन (अपरिवर्तनीय, प्रमाणपत्रबाट लिइएको) र पासवर्ड;
3. जडान होस्टको अवस्था अनुमान गर्दै (पोस्चर)

समाधान घटक प्रयोग:

• सिस्को एएसए (VPN गेटवे);
• सिस्को ISE (प्रमाणीकरण / प्राधिकरण / लेखा, राज्य मूल्याङ्कन, CA);
• सिस्को DUO (बहु-कारक प्रमाणीकरण) (तपाईं कुनै पनि SAML/रेडियस मिल्दो संलग्न गर्न सक्नुहुन्छ);
• Cisco AnyConnect (वर्कस्टेशन र मोबाइल ओएसका लागि बहु-उद्देश्यीय एजेन्ट);

ग्राहकको आवश्यकताहरु संग सुरु गरौं:

1. प्रयोगकर्ताले आफ्नो लगइन/पासवर्ड प्रमाणीकरण मार्फत, VPN गेटवेबाट AnyConnect क्लाइन्ट डाउनलोड गर्न सक्षम हुनुपर्छ; सबै आवश्यक AnyConnect मोड्युलहरू प्रयोगकर्ताको नीति अनुसार स्वचालित रूपमा स्थापना गरिनुपर्छ;
2. प्रयोगकर्ताले स्वचालित रूपमा प्रमाणपत्र जारी गर्न सक्षम हुनुपर्दछ (एउटा परिदृश्यहरूको लागि, मुख्य परिदृश्य म्यानुअल जारी गर्ने र पीसीमा अपलोड गर्ने हो), तर मैले प्रदर्शनको लागि स्वचालित मुद्दा कार्यान्वयन गरें (यसलाई हटाउन कहिल्यै ढिलो भएको छैन)।
3. आधारभूत प्रमाणीकरण धेरै चरणहरूमा हुनुपर्दछ, पहिले त्यहाँ आवश्यक क्षेत्रहरू र तिनीहरूको मानहरूको विश्लेषणको साथ प्रमाणपत्र प्रमाणीकरण हुन्छ, त्यसपछि लगइन/पासवर्ड, यस पटक मात्र प्रमाणपत्र क्षेत्रमा निर्दिष्ट प्रयोगकर्ता नाम लगइन विन्डोमा सम्मिलित हुनुपर्छ। विषयको नाम (CN) सम्पादन गर्ने क्षमता बिना।
4. तपाईंले यो सुनिश्चित गर्न आवश्यक छ कि तपाईंले लग इन गरिरहनुभएको यन्त्र प्रयोगकर्तालाई रिमोट पहुँचको लागि जारी गरिएको कर्पोरेट ल्यापटप हो, र अरू केही होइन। (यस आवश्यकता पूरा गर्न धेरै विकल्पहरू बनाइएको छ)
5. जडान गर्ने उपकरणको अवस्था (यस चरणमा पीसी) ग्राहक आवश्यकताहरूको सम्पूर्ण भारी तालिकाको जाँचको साथ मूल्याङ्कन गरिनु पर्छ (संक्षेपमा):
   • फाइलहरू र तिनीहरूका गुणहरू;
   • रजिस्ट्री प्रविष्टिहरू;
   • प्रदान गरिएको सूचीबाट OS प्याचहरू (पछि SCCM एकीकरण);
   • विशिष्ट निर्माताबाट एन्टि-भाइरसको उपलब्धता र हस्ताक्षरहरूको सान्दर्भिकता;
   • निश्चित सेवाहरूको गतिविधि;
   • निश्चित स्थापित कार्यक्रमहरूको उपलब्धता;

सुरु गर्नको लागि, म सुझाव दिन्छु कि तपाइँ निश्चित रूपमा परिणाम कार्यान्वयनको भिडियो प्रदर्शन हेर्नुहोस् युट्युब (५ मिनेट).

अब म भिडियो क्लिपमा समावेश नभएको कार्यान्वयन विवरणहरू विचार गर्न प्रस्ताव गर्दछु।

AnyConnect प्रोफाइल तयार गरौं:

मैले पहिले सेटिङमा मेरो लेखमा प्रोफाइल (ASDM मा मेनु वस्तुको सन्दर्भमा) सिर्जना गर्ने उदाहरण दिएँ। VPN लोड-ब्यालेन्सिङ क्लस्टर। अब म हामीलाई चाहिने विकल्पहरू छुट्टै नोट गर्न चाहन्छु:

प्रोफाइलमा, हामी VPN गेटवे र अन्तिम ग्राहकमा जडानको लागि प्रोफाइल नाम संकेत गर्नेछौं:

प्रोफाईल साइडबाट प्रमाणपत्रको स्वत: जारी गर्ने कन्फिगर गरौं, विशेष गरी, प्रमाणपत्र प्यारामिटरहरू र विशेषता रूपमा, फिल्डमा ध्यान दिनुहोस्। प्रारम्भिक (I), जहाँ एक विशिष्ट मान म्यानुअल रूपमा प्रविष्ट गरिएको छ UID परीक्षण मेसिन (सिस्को AnyConnect ग्राहक द्वारा उत्पन्न भएको अद्वितीय उपकरण पहिचानकर्ता)।

यहाँ म लिरिकल डिग्रेसन गर्न चाहन्छु, किनकि यस लेखले अवधारणालाई वर्णन गर्दछ; प्रदर्शन उद्देश्यका लागि, प्रमाणपत्र जारी गर्नको लागि UDID AnyConnect प्रोफाइलको प्रारम्भिक क्षेत्रमा प्रविष्ट गरिएको छ। निस्सन्देह, वास्तविक जीवनमा, यदि तपाईंले यसो गर्नुभयो भने, सबै ग्राहकहरूले यस क्षेत्रमा उही UDID भएको प्रमाणपत्र प्राप्त गर्नेछन् र उनीहरूका लागि कुनै पनि कुराले काम गर्दैन, किनकि उनीहरूलाई उनीहरूको विशिष्ट पीसीको UDID चाहिन्छ। AnyConnect, दुर्भाग्यवश, UDID फिल्डको प्रतिस्थापनलाई वातावरण चर मार्फत प्रमाणपत्र अनुरोध प्रोफाइलमा लागू गर्दैन, जस्तै यसले गर्छ, उदाहरणका लागि, चरको साथ। %USER%.

यो ध्यान दिन लायक छ कि ग्राहकले (यस परिदृश्यको) सुरुमा त्यस्ता संरक्षित पीसीहरूलाई दिइएको UDID मार्फत स्वतन्त्र रूपमा प्रमाणपत्र जारी गर्ने योजना बनाएको छ, जुन उसको लागि कुनै समस्या होइन। यद्यपि, हामी मध्ये धेरैको लागि हामी स्वचालन चाहन्छौं (राम्रो, मेरो लागि यो सत्य हो =))।

र यो मैले स्वचालनको सर्तमा प्रस्ताव गर्न सक्छु। यदि AnyConnect ले UDID लाई गतिशील रूपमा प्रतिस्थापन गरेर स्वचालित रूपमा प्रमाणपत्र जारी गर्न सक्षम छैन भने, त्यहाँ अर्को तरिका छ जसमा थोरै रचनात्मक सोच र दक्ष हातहरू आवश्यक पर्दछ - म तपाईंलाई अवधारणा बताउनेछु। पहिले, कुनै पनि जडान एजेन्टद्वारा विभिन्न अपरेटिङ सिस्टमहरूमा UDID कसरी उत्पन्न हुन्छ हेरौं:

• Windows — DigitalProductID र मेसिन SID रजिस्ट्री कुञ्जीको संयोजनको SHA-256 ह्यास
• ओएसएक्स — SHA-256 ह्यास प्लेटफर्म UUID
• लिनक्स — मूल विभाजनको UUID को SHA-256 ह्यास।
• एप्पल iOS — SHA-256 ह्यास प्लेटफर्म UUID
• Android - मा कागजात हेर्नुहोस् लिङ्क

तदनुसार, हामी हाम्रो कर्पोरेट विन्डोज ओएसको लागि स्क्रिप्ट सिर्जना गर्छौं, यस स्क्रिप्टको साथ हामी स्थानीय रूपमा ज्ञात इनपुटहरू प्रयोग गरेर UDID गणना गर्छौं र आवश्यक फिल्डमा यो UDID प्रविष्ट गरेर प्रमाणपत्र जारी गर्न अनुरोध गर्दछौं, वैसे, तपाईंले मेसिन पनि प्रयोग गर्न सक्नुहुन्छ। AD द्वारा जारी गरिएको प्रमाणपत्र (योजनामा ​​प्रमाणपत्र प्रयोग गरेर दोहोरो प्रमाणीकरण थपेर बहु प्रमाणपत्र).

सिस्को एएसए साइडमा सेटिङहरू तयार गरौं:

ISE CA सर्भरको लागि TrustPoint सिर्जना गरौं, यो एक हो जसले ग्राहकहरूलाई प्रमाणपत्र जारी गर्नेछ। म कुञ्जी-चेन आयात प्रक्रियालाई विचार गर्दिन; मेरो सेटअप लेखमा एउटा उदाहरण वर्णन गरिएको छ VPN लोड-ब्यालेन्सिङ क्लस्टर.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

प्रमाणीकरणका लागि प्रयोग गरिने सर्टिफिकेटमा भएका फिल्डहरू अनुसार नियमहरूको आधारमा हामी टनेल-समूहद्वारा वितरण कन्फिगर गर्छौं। हामीले अघिल्लो चरणमा बनाएको AnyConnect प्रोफाइल पनि यहाँ कन्फिगर गरिएको छ। कृपया ध्यान दिनुहोस् कि म मान प्रयोग गर्दैछु SECUREBANK-RA, जारी गरिएको प्रमाणपत्रको साथ प्रयोगकर्ताहरूलाई सुरुङ समूहमा स्थानान्तरण गर्न सुरक्षित-बैंक-VPN, कृपया ध्यान दिनुहोस् कि मसँग AnyConnect प्रोफाइल प्रमाणपत्र अनुरोध स्तम्भमा यो क्षेत्र छ।

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

प्रमाणीकरण सर्भरहरू सेटअप गर्दै। मेरो केसमा, यो प्रमाणीकरणको पहिलो चरणको लागि ISE र MFA को रूपमा DUO (रेडियस प्रोक्सी) हो।

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

हामी समूह नीतिहरू र टनेल समूहहरू र तिनीहरूका सहायक अवयवहरू सिर्जना गर्छौं:

टनेल समूह पूर्वनिर्धारितWEBVPNGसमूह मुख्य रूपमा AnyConnect VPN क्लाइन्ट डाउनलोड गर्न र ASA को SCEP-Proxy प्रकार्य प्रयोग गरेर प्रयोगकर्ता प्रमाणपत्र जारी गर्न प्रयोग गरिनेछ; यसका लागि हामीसँग टनेल समूहमा र सम्बन्धित समूह नीति दुवैमा समान विकल्पहरू सक्रिय छन्। AC-डाउनलोड गर्नुहोस्, र लोड गरिएको AnyConnect प्रोफाइलमा (प्रमाणपत्र जारी गर्ने क्षेत्रहरू, आदि)। साथै यस समूह नीतिमा हामीले डाउनलोड गर्नुपर्ने आवश्यकतालाई संकेत गर्दछौं ISE मुद्रा मोड्युल.

टनेल समूह सुरक्षित-बैंक-VPN अघिल्लो चरणमा जारी गरिएको प्रमाणपत्रसँग प्रमाणीकरण गर्दा ग्राहकद्वारा स्वचालित रूपमा प्रयोग हुनेछ, किनकि, प्रमाणपत्र नक्सा अनुसार, जडान विशेष रूपमा यस टनेल समूहमा पर्नेछ। म तपाईंलाई यहाँ रोचक विकल्पहरूको बारेमा बताउनेछु:

• माध्यमिक-प्रमाणीकरण-सर्भर-समूह DUO # DUO सर्भरमा माध्यमिक प्रमाणीकरण सेट गर्नुहोस् (रेडियस प्रोक्सी)
• प्रयोगकर्ता नाम-बाट-प्रमाणपत्रCN # प्राथमिक प्रमाणीकरणको लागि, हामी प्रयोगकर्ता लगइन इनहेरिट गर्न प्रमाणपत्रको CN क्षेत्र प्रयोग गर्छौं
• माध्यमिक-प्रयोगकर्ता नाम-बाट-प्रमाणपत्र I # DUO सर्भरमा माध्यमिक प्रमाणीकरणको लागि, हामी प्रमाण पत्रको एक-पटके पाठ सन्देश र प्रारम्भिक (I) क्षेत्रहरू प्रयोग गर्छौं।
• पूर्व-भरण-प्रयोगकर्ता नाम ग्राहक # परिवर्तन गर्ने क्षमता बिना प्रमाणीकरण विन्डोमा प्रयोगकर्ता नाम पूर्व-भरिएको बनाउनुहोस्
• माध्यमिक-पूर्व-भरण-प्रयोगकर्ता नाम क्लाइन्ट लुकाउनुहोस् प्रयोग-सामान्य-पासवर्ड धक्का # हामी माध्यमिक प्रमाणीकरण DUO को लागि लगइन/पासवर्ड इनपुट विन्डो लुकाउँछौं र सूचना विधि (sms/push/phone) प्रयोग गर्छौं - पासवर्ड फिल्डको सट्टा प्रमाणीकरण अनुरोध गर्न डक। यहाँ

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

अर्को हामी ISE मा जान्छौं:

हामीले स्थानीय प्रयोगकर्ता कन्फिगर गर्छौं (तपाईले AD/LDAP/ODBC, आदि प्रयोग गर्न सक्नुहुन्छ), सरलताको लागि, मैले ISE मा स्थानीय प्रयोगकर्ता सिर्जना गरें र यसलाई फिल्डमा तोकेको छु। विवरण UDID पीसी जसबाट उसलाई VPN मार्फत लग इन गर्न अनुमति छ। यदि मैले ISE मा स्थानीय प्रमाणीकरण प्रयोग गर्छु भने, म केवल एउटा यन्त्रमा सीमित हुनेछु, किनकि त्यहाँ धेरै क्षेत्रहरू छैनन्, तर तेस्रो-पक्ष प्रमाणीकरण डेटाबेसहरूमा मसँग त्यस्ता प्रतिबन्धहरू हुनेछैनन्।

प्राधिकरण नीति हेरौं, यसलाई चार जडान चरणहरूमा विभाजित गरिएको छ:

• स्टेज 1 - AnyConnect एजेन्ट डाउनलोड गर्न र प्रमाणपत्र जारी गर्ने नीति
• स्टेज 2 — प्राथमिक प्रमाणीकरण नीति लगइन (प्रमाणपत्रबाट)/पासवर्ड + UDID प्रमाणीकरणको साथ प्रमाणपत्र
• स्टेज 3 - सिस्को DUO (MFA) मार्फत माध्यमिक प्रमाणीकरण UDID को प्रयोगकर्तानाम + राज्य मूल्याङ्कनको रूपमा प्रयोग गर्दै
• स्टेज 4 - अन्तिम प्राधिकरण राज्य मा छ:
  • अनुरूप;
  • UDID प्रमाणीकरण (प्रमाणपत्र + लगइन बाध्यकारीबाट),
  • सिस्को DUO MFA;
  • लगइन द्वारा प्रमाणीकरण;
  • प्रमाणपत्र प्रमाणीकरण;

एक रोचक अवस्था हेरौं UUID_VALIDATED, यस्तो देखिन्छ कि प्रमाणीकरण गर्ने प्रयोगकर्ता वास्तवमा फिल्डमा सम्बन्धित अनुमति दिइएको UDID भएको PC बाट आएको हो। विवरण खाता, सर्तहरू यस्तो देखिन्छ:

1,2,3 चरणहरूमा प्रयोग गरिएको प्राधिकरण प्रोफाइल निम्नानुसार छ:

तपाईले ISE मा क्लाइन्ट सत्र विवरणहरू हेरेर कुनै पनि जडान क्लाइन्टबाट UDID हामीलाई कसरी आउँछ भनेर जाँच गर्न सक्नुहुन्छ। विस्तारमा हामी देख्नेछौं कि मेकानिजम मार्फत कुनै पनि जडान ACIDEX प्लेटफर्मको बारेमा जानकारी मात्र होइन, यन्त्रको UDID पनि पठाउँछ Cisco-AV-PAIR:

प्रयोगकर्ता र क्षेत्रलाई जारी गरिएको प्रमाणपत्रमा ध्यान दिनुहोस् प्रारम्भिक (I), जुन यसलाई सिस्को DUO मा माध्यमिक MFA प्रमाणीकरणको लागि लगइनको रूपमा लिन प्रयोग गरिन्छ:

लगमा DUO रेडियस प्रोक्सी पक्षमा हामी स्पष्ट रूपमा देख्न सक्छौं कि प्रमाणीकरण अनुरोध कसरी गरिन्छ, यो प्रयोगकर्ता नामको रूपमा UDID प्रयोग गरेर आउँछ:

DUO पोर्टलबाट हामी सफल प्रमाणीकरण घटना देख्छौं:

र प्रयोगकर्ता गुणहरूमा मैले यसलाई सेट गरेको छु उर्फ, जुन मैले लगइनको लागि प्रयोग गरें, बारीमा, यो लगइनको लागि अनुमति दिइएको पीसीको UDID हो:

नतिजाको रूपमा हामीले पायौं:

• बहु-कारक प्रयोगकर्ता र उपकरण प्रमाणीकरण;
• प्रयोगकर्ताको यन्त्रको स्पूफिङ विरुद्ध सुरक्षा;
• उपकरणको अवस्था मूल्याङ्कन;
• डोमेन मेसिन प्रमाणपत्र, इत्यादिको साथ बढेको नियन्त्रणको लागि सम्भावित;
• स्वचालित रूपमा तैनात सुरक्षा मोड्युलहरूको साथ व्यापक रिमोट कार्यस्थल सुरक्षा;

Cisco VPN श्रृंखला लेखहरूमा लिङ्कहरू:

• ASA VPN लोड-ब्यालेन्सिङ क्लस्टर तैनाथ गर्दै
• Cisco ASA मा AnyConnect VPN टनेलमा क्लाउड सेवाहरू अनुकूलन गर्दै

स्रोत: www.habr.com