ਬਹੁਤ ਸੁਰੱਖਿਅਤ ਰਿਮੋਟ ਐਕਸੈਸ ਦੀ ਧਾਰਨਾ ਨੂੰ ਲਾਗੂ ਕਰਨਾ

ਸੰਗਠਨ ਦੇ ਵਿਸ਼ੇ 'ਤੇ ਲੇਖਾਂ ਦੀ ਲੜੀ ਨੂੰ ਜਾਰੀ ਰੱਖਣਾ ਰਿਮੋਟ ਐਕਸੈਸ VPN ਪਹੁੰਚ ਮੈਂ ਮਦਦ ਨਹੀਂ ਕਰ ਸਕਦਾ ਪਰ ਆਪਣਾ ਦਿਲਚਸਪ ਤੈਨਾਤੀ ਅਨੁਭਵ ਸਾਂਝਾ ਕਰ ਸਕਦਾ ਹਾਂ ਬਹੁਤ ਹੀ ਸੁਰੱਖਿਅਤ VPN ਸੰਰਚਨਾ. ਇੱਕ ਗਾਹਕ ਦੁਆਰਾ ਇੱਕ ਗੈਰ-ਮਾਮੂਲੀ ਕੰਮ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਸੀ (ਰਸ਼ੀਅਨ ਪਿੰਡਾਂ ਵਿੱਚ ਖੋਜਕਰਤਾ ਹਨ), ਪਰ ਚੁਣੌਤੀ ਨੂੰ ਸਵੀਕਾਰ ਕੀਤਾ ਗਿਆ ਸੀ ਅਤੇ ਰਚਨਾਤਮਕ ਤੌਰ 'ਤੇ ਲਾਗੂ ਕੀਤਾ ਗਿਆ ਸੀ। ਨਤੀਜਾ ਹੇਠ ਲਿਖੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਾਲਾ ਇੱਕ ਦਿਲਚਸਪ ਸੰਕਲਪ ਹੈ:

1. ਟਰਮੀਨਲ ਯੰਤਰ ਨੂੰ ਬਦਲਣ ਦੇ ਵਿਰੁੱਧ ਸੁਰੱਖਿਆ ਦੇ ਕਈ ਕਾਰਕ (ਉਪਭੋਗਤਾ ਲਈ ਸਖ਼ਤ ਬਾਈਡਿੰਗ ਦੇ ਨਾਲ);
   • ਪ੍ਰਮਾਣਿਕਤਾ ਡੇਟਾਬੇਸ ਵਿੱਚ ਪ੍ਰਵਾਨਿਤ ਪੀਸੀ ਦੇ ਨਿਰਧਾਰਤ UDID ਨਾਲ ਉਪਭੋਗਤਾ ਦੇ ਪੀਸੀ ਦੀ ਪਾਲਣਾ ਦਾ ਮੁਲਾਂਕਣ ਕਰਨਾ;
   • Cisco DUO ਦੁਆਰਾ ਸੈਕੰਡਰੀ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਸਰਟੀਫਿਕੇਟ ਤੋਂ PC UDID ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ MFA ਨਾਲ (ਤੁਸੀਂ ਕਿਸੇ ਵੀ SAML/ਰੇਡੀਅਸ ਅਨੁਕੂਲ ਇੱਕ ਨੱਥੀ ਕਰ ਸਕਦੇ ਹੋ);
2. ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ:
   • ਉਹਨਾਂ ਵਿੱਚੋਂ ਇੱਕ ਦੇ ਵਿਰੁੱਧ ਫੀਲਡ ਤਸਦੀਕ ਅਤੇ ਸੈਕੰਡਰੀ ਪ੍ਰਮਾਣਿਕਤਾ ਵਾਲਾ ਉਪਭੋਗਤਾ ਸਰਟੀਫਿਕੇਟ;
   • ਲੌਗਇਨ (ਬਦਲਣਯੋਗ, ਸਰਟੀਫਿਕੇਟ ਤੋਂ ਲਿਆ ਗਿਆ) ਅਤੇ ਪਾਸਵਰਡ;
3. ਕਨੈਕਟਿੰਗ ਹੋਸਟ (ਪੋਸਚਰ) ਦੀ ਸਥਿਤੀ ਦਾ ਅੰਦਾਜ਼ਾ ਲਗਾਉਣਾ

ਵਰਤੇ ਗਏ ਹੱਲ ਭਾਗ:

• Cisco ASA (VPN ਗੇਟਵੇ);
• ਸਿਸਕੋ ISE (ਪ੍ਰਮਾਣੀਕਰਨ / ਪ੍ਰਮਾਣੀਕਰਨ / ਲੇਖਾਕਾਰੀ, ਰਾਜ ਮੁਲਾਂਕਣ, CA);
• Cisco DUO (ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ) (ਤੁਸੀਂ ਕਿਸੇ ਵੀ SAML/ਰੇਡੀਅਸ ਅਨੁਕੂਲ ਇੱਕ ਨੱਥੀ ਕਰ ਸਕਦੇ ਹੋ);
• Cisco AnyConnect (ਵਰਕਸਟੇਸ਼ਨਾਂ ਅਤੇ ਮੋਬਾਈਲ OS ਲਈ ਮਲਟੀ-ਪਰਪਜ਼ ਏਜੰਟ);

ਆਉ ਗਾਹਕ ਦੀਆਂ ਲੋੜਾਂ ਨਾਲ ਸ਼ੁਰੂ ਕਰੀਏ:

1. ਉਪਭੋਗਤਾ ਨੂੰ, ਆਪਣੇ ਲੌਗਇਨ/ਪਾਸਵਰਡ ਪ੍ਰਮਾਣਿਕਤਾ ਦੁਆਰਾ, VPN ਗੇਟਵੇ ਤੋਂ AnyConnect ਕਲਾਇੰਟ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਦੇ ਯੋਗ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ; ਸਾਰੇ ਲੋੜੀਂਦੇ AnyConnect ਮੋਡੀਊਲ ਉਪਭੋਗਤਾ ਦੀ ਨੀਤੀ ਦੇ ਅਨੁਸਾਰ ਆਪਣੇ ਆਪ ਹੀ ਸਥਾਪਿਤ ਕੀਤੇ ਜਾਣੇ ਚਾਹੀਦੇ ਹਨ;
2. ਉਪਭੋਗਤਾ ਨੂੰ ਸਵੈਚਲਿਤ ਤੌਰ 'ਤੇ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰਨ ਦੇ ਯੋਗ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ (ਇੱਕ ਦ੍ਰਿਸ਼ ਲਈ, ਮੁੱਖ ਦ੍ਰਿਸ਼ ਮੈਨੂਅਲ ਜਾਰੀ ਕਰਨਾ ਅਤੇ ਪੀਸੀ 'ਤੇ ਅਪਲੋਡ ਕਰਨਾ ਹੈ), ਪਰ ਮੈਂ ਪ੍ਰਦਰਸ਼ਨ ਲਈ ਆਟੋਮੈਟਿਕ ਮੁੱਦਾ ਲਾਗੂ ਕੀਤਾ (ਇਸ ਨੂੰ ਹਟਾਉਣ ਵਿੱਚ ਕਦੇ ਦੇਰ ਨਹੀਂ ਹੋਈ)।
3. ਬੁਨਿਆਦੀ ਪ੍ਰਮਾਣਿਕਤਾ ਕਈ ਪੜਾਵਾਂ ਵਿੱਚ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ, ਪਹਿਲਾਂ ਲੋੜੀਂਦੇ ਖੇਤਰਾਂ ਅਤੇ ਉਹਨਾਂ ਦੇ ਮੁੱਲਾਂ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਦੇ ਨਾਲ ਸਰਟੀਫਿਕੇਟ ਪ੍ਰਮਾਣਿਕਤਾ ਹੁੰਦੀ ਹੈ, ਫਿਰ ਲੌਗਇਨ/ਪਾਸਵਰਡ, ਸਿਰਫ਼ ਇਸ ਵਾਰ ਸਰਟੀਫਿਕੇਟ ਖੇਤਰ ਵਿੱਚ ਦਰਸਾਏ ਉਪਭੋਗਤਾ ਨਾਮ ਨੂੰ ਲੌਗਇਨ ਵਿੰਡੋ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਵਿਸ਼ੇ ਦਾ ਨਾਮ (CN) ਸੰਪਾਦਨ ਕਰਨ ਦੀ ਯੋਗਤਾ ਤੋਂ ਬਿਨਾਂ।
4. ਤੁਹਾਨੂੰ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਦੀ ਲੋੜ ਹੈ ਕਿ ਜਿਸ ਡਿਵਾਈਸ ਤੋਂ ਤੁਸੀਂ ਲੌਗਇਨ ਕਰ ਰਹੇ ਹੋ, ਉਹ ਕਾਰਪੋਰੇਟ ਲੈਪਟਾਪ ਹੈ ਜੋ ਉਪਭੋਗਤਾ ਨੂੰ ਰਿਮੋਟ ਐਕਸੈਸ ਲਈ ਜਾਰੀ ਕੀਤਾ ਗਿਆ ਹੈ, ਨਾ ਕਿ ਕੁਝ ਹੋਰ। (ਇਸ ਲੋੜ ਨੂੰ ਪੂਰਾ ਕਰਨ ਲਈ ਕਈ ਵਿਕਲਪ ਬਣਾਏ ਗਏ ਹਨ)
5. ਕਨੈਕਟ ਕਰਨ ਵਾਲੇ ਯੰਤਰ ਦੀ ਸਥਿਤੀ (ਇਸ ਪੜਾਅ 'ਤੇ ਪੀਸੀ) ਦਾ ਮੁਲਾਂਕਣ ਗਾਹਕਾਂ ਦੀਆਂ ਲੋੜਾਂ (ਸਾਰਾਂਸ਼) ਦੀ ਇੱਕ ਵੱਡੀ ਸਾਰਣੀ ਦੀ ਜਾਂਚ ਨਾਲ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ:
   • ਫਾਈਲਾਂ ਅਤੇ ਉਹਨਾਂ ਦੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ;
   • ਰਜਿਸਟਰੀ ਐਂਟਰੀਆਂ;
   • ਪ੍ਰਦਾਨ ਕੀਤੀ ਸੂਚੀ ਤੋਂ OS ਪੈਚ (ਬਾਅਦ ਵਿੱਚ SCCM ਏਕੀਕਰਣ);
   • ਕਿਸੇ ਖਾਸ ਨਿਰਮਾਤਾ ਤੋਂ ਐਂਟੀ-ਵਾਇਰਸ ਦੀ ਉਪਲਬਧਤਾ ਅਤੇ ਦਸਤਖਤਾਂ ਦੀ ਪ੍ਰਸੰਗਿਕਤਾ;
   • ਕੁਝ ਸੇਵਾਵਾਂ ਦੀ ਗਤੀਵਿਧੀ;
   • ਕੁਝ ਸਥਾਪਿਤ ਪ੍ਰੋਗਰਾਮਾਂ ਦੀ ਉਪਲਬਧਤਾ;

ਸ਼ੁਰੂ ਕਰਨ ਲਈ, ਮੈਂ ਸੁਝਾਅ ਦਿੰਦਾ ਹਾਂ ਕਿ ਤੁਸੀਂ ਯਕੀਨੀ ਤੌਰ 'ਤੇ ਨਤੀਜੇ ਲਾਗੂ ਕਰਨ ਦੇ ਵੀਡੀਓ ਪ੍ਰਦਰਸ਼ਨ ਨੂੰ ਦੇਖੋ ਯੂਟਿਊਬ (5 ਮਿੰਟ).

ਹੁਣ ਮੈਂ ਵੀਡੀਓ ਕਲਿੱਪ ਵਿੱਚ ਸ਼ਾਮਲ ਨਾ ਕੀਤੇ ਗਏ ਲਾਗੂਕਰਨ ਵੇਰਵਿਆਂ 'ਤੇ ਵਿਚਾਰ ਕਰਨ ਦਾ ਪ੍ਰਸਤਾਵ ਕਰਦਾ ਹਾਂ।

ਆਓ AnyConnect ਪ੍ਰੋਫਾਈਲ ਤਿਆਰ ਕਰੀਏ:

ਮੈਂ ਪਹਿਲਾਂ ਸੈਟਿੰਗ ਬਾਰੇ ਆਪਣੇ ਲੇਖ ਵਿੱਚ ਇੱਕ ਪ੍ਰੋਫਾਈਲ (ASDM ਵਿੱਚ ਇੱਕ ਮੀਨੂ ਆਈਟਮ ਦੇ ਰੂਪ ਵਿੱਚ) ਬਣਾਉਣ ਦੀ ਇੱਕ ਉਦਾਹਰਣ ਦਿੱਤੀ ਸੀ। VPN ਲੋਡ-ਬੈਲੈਂਸਿੰਗ ਕਲੱਸਟਰ. ਹੁਣ ਮੈਂ ਉਹਨਾਂ ਵਿਕਲਪਾਂ ਨੂੰ ਵੱਖਰੇ ਤੌਰ 'ਤੇ ਨੋਟ ਕਰਨਾ ਚਾਹਾਂਗਾ ਜਿਨ੍ਹਾਂ ਦੀ ਸਾਨੂੰ ਲੋੜ ਹੋਵੇਗੀ:

ਪ੍ਰੋਫਾਈਲ ਵਿੱਚ, ਅਸੀਂ ਅੰਤਮ ਕਲਾਇੰਟ ਨਾਲ ਜੁੜਨ ਲਈ VPN ਗੇਟਵੇ ਅਤੇ ਪ੍ਰੋਫਾਈਲ ਨਾਮ ਨੂੰ ਦਰਸਾਵਾਂਗੇ:

ਆਉ ਪ੍ਰੋਫਾਈਲ ਵਾਲੇ ਪਾਸੇ ਤੋਂ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਦੇ ਆਟੋਮੈਟਿਕ ਜਾਰੀ ਕਰਨ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੀਏ, ਖਾਸ ਤੌਰ 'ਤੇ, ਸਰਟੀਫਿਕੇਟ ਮਾਪਦੰਡਾਂ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹੋਏ ਅਤੇ, ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ, ਖੇਤਰ ਵੱਲ ਧਿਆਨ ਦਿਓ ਸ਼ੁਰੂਆਤੀ (I), ਜਿੱਥੇ ਇੱਕ ਖਾਸ ਮੁੱਲ ਹੱਥੀਂ ਦਰਜ ਕੀਤਾ ਜਾਂਦਾ ਹੈ UDID ਟੈਸਟ ਮਸ਼ੀਨ (ਵਿਲੱਖਣ ਡਿਵਾਈਸ ਪਛਾਣਕਰਤਾ ਜੋ Cisco AnyConnect ਕਲਾਇੰਟ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ)।

ਇੱਥੇ ਮੈਂ ਇੱਕ ਲਿਰੀਕਲ ਡਿਗ੍ਰੇਸ਼ਨ ਕਰਨਾ ਚਾਹੁੰਦਾ ਹਾਂ, ਕਿਉਂਕਿ ਇਹ ਲੇਖ ਸੰਕਲਪ ਦਾ ਵਰਣਨ ਕਰਦਾ ਹੈ; ਪ੍ਰਦਰਸ਼ਨ ਦੇ ਉਦੇਸ਼ਾਂ ਲਈ, ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰਨ ਲਈ UDID AnyConnect ਪ੍ਰੋਫਾਈਲ ਦੇ ਸ਼ੁਰੂਆਤੀ ਖੇਤਰ ਵਿੱਚ ਦਾਖਲ ਕੀਤਾ ਗਿਆ ਹੈ। ਬੇਸ਼ੱਕ, ਅਸਲ ਜੀਵਨ ਵਿੱਚ, ਜੇਕਰ ਤੁਸੀਂ ਅਜਿਹਾ ਕਰਦੇ ਹੋ, ਤਾਂ ਸਾਰੇ ਗਾਹਕਾਂ ਨੂੰ ਇਸ ਖੇਤਰ ਵਿੱਚ ਇੱਕੋ UDID ਨਾਲ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਪ੍ਰਾਪਤ ਹੋਵੇਗਾ ਅਤੇ ਉਹਨਾਂ ਲਈ ਕੁਝ ਵੀ ਕੰਮ ਨਹੀਂ ਕਰੇਗਾ, ਕਿਉਂਕਿ ਉਹਨਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਖਾਸ PC ਦੀ UDID ਦੀ ਲੋੜ ਹੈ। ਕੋਈ ਵੀ ਕਨੈਕਟ, ਬਦਕਿਸਮਤੀ ਨਾਲ, ਅਜੇ ਵੀ ਇੱਕ ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲ ਦੁਆਰਾ ਪ੍ਰਮਾਣ ਪੱਤਰ ਬੇਨਤੀ ਪ੍ਰੋਫਾਈਲ ਵਿੱਚ UDID ਖੇਤਰ ਦੇ ਬਦਲ ਨੂੰ ਲਾਗੂ ਨਹੀਂ ਕਰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਇਹ ਕਰਦਾ ਹੈ, ਉਦਾਹਰਨ ਲਈ, ਇੱਕ ਵੇਰੀਏਬਲ ਦੇ ਨਾਲ %USER%.

ਇਹ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ ਕਿ ਗਾਹਕ (ਇਸ ਦ੍ਰਿਸ਼ ਦਾ) ਸ਼ੁਰੂ ਵਿੱਚ ਅਜਿਹੇ ਸੁਰੱਖਿਅਤ ਪੀਸੀ ਨੂੰ ਮੈਨੂਅਲ ਮੋਡ ਵਿੱਚ ਦਿੱਤੇ ਗਏ UDID ਨਾਲ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰਨ ਦੀ ਯੋਜਨਾ ਬਣਾਉਂਦਾ ਹੈ, ਜੋ ਉਸ ਲਈ ਕੋਈ ਸਮੱਸਿਆ ਨਹੀਂ ਹੈ। ਹਾਲਾਂਕਿ, ਸਾਡੇ ਵਿੱਚੋਂ ਬਹੁਤਿਆਂ ਲਈ ਅਸੀਂ ਆਟੋਮੇਸ਼ਨ ਚਾਹੁੰਦੇ ਹਾਂ (ਠੀਕ ਹੈ, ਮੇਰੇ ਲਈ ਇਹ ਸੱਚ ਹੈ =))।

ਅਤੇ ਇਹ ਉਹ ਹੈ ਜੋ ਮੈਂ ਆਟੋਮੇਸ਼ਨ ਦੇ ਰੂਪ ਵਿੱਚ ਪੇਸ਼ ਕਰ ਸਕਦਾ ਹਾਂ. ਜੇਕਰ ਕੋਈ ਵੀ ਕਨੈਕਟ ਅਜੇ ਤੱਕ ਯੂਡੀਆਈਡੀ ਨੂੰ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਬਦਲ ਕੇ ਆਪਣੇ ਆਪ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰਨ ਦੇ ਯੋਗ ਨਹੀਂ ਹੈ, ਤਾਂ ਇੱਕ ਹੋਰ ਤਰੀਕਾ ਹੈ ਜਿਸ ਲਈ ਥੋੜੇ ਰਚਨਾਤਮਕ ਸੋਚ ਅਤੇ ਹੁਨਰਮੰਦ ਹੱਥਾਂ ਦੀ ਲੋੜ ਹੋਵੇਗੀ - ਮੈਂ ਤੁਹਾਨੂੰ ਸੰਕਲਪ ਦੱਸਾਂਗਾ। ਪਹਿਲਾਂ, ਆਓ ਦੇਖੀਏ ਕਿ ਕਿਸੇ ਵੀ ਕਨੈਕਟ ਏਜੰਟ ਦੁਆਰਾ ਵੱਖ-ਵੱਖ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮਾਂ 'ਤੇ UDID ਕਿਵੇਂ ਤਿਆਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ:

• Windows ਨੂੰ — DigitalProductID ਅਤੇ ਮਸ਼ੀਨ SID ਰਜਿਸਟਰੀ ਕੁੰਜੀ ਦੇ ਸੁਮੇਲ ਦਾ SHA-256 ਹੈਸ਼
• OSX — SHA-256 ਹੈਸ਼ ਪਲੇਟਫਾਰਮUUID
• ਲੀਨਕਸ — ਰੂਟ ਭਾਗ ਦੇ UUID ਦਾ SHA-256 ਹੈਸ਼।
• ਐਪਲ ਆਈਓਐਸ — SHA-256 ਹੈਸ਼ ਪਲੇਟਫਾਰਮUUID
• ਛੁਪਾਓ - 'ਤੇ ਦਸਤਾਵੇਜ਼ ਵੇਖੋ ਲਿੰਕ ਨੂੰ

ਇਸ ਅਨੁਸਾਰ, ਅਸੀਂ ਆਪਣੇ ਕਾਰਪੋਰੇਟ ਵਿੰਡੋਜ਼ OS ਲਈ ਇੱਕ ਸਕ੍ਰਿਪਟ ਬਣਾਉਂਦੇ ਹਾਂ, ਇਸ ਸਕ੍ਰਿਪਟ ਨਾਲ ਅਸੀਂ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਜਾਣੇ-ਪਛਾਣੇ ਇਨਪੁਟਸ ਦੀ ਵਰਤੋਂ ਕਰਕੇ UDID ਦੀ ਗਣਨਾ ਕਰਦੇ ਹਾਂ ਅਤੇ ਲੋੜੀਂਦੇ ਖੇਤਰ ਵਿੱਚ ਇਸ UDID ਨੂੰ ਦਾਖਲ ਕਰਕੇ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰਨ ਲਈ ਬੇਨਤੀ ਕਰਦੇ ਹਾਂ, ਤਰੀਕੇ ਨਾਲ, ਤੁਸੀਂ ਇੱਕ ਮਸ਼ੀਨ ਦੀ ਵਰਤੋਂ ਵੀ ਕਰ ਸਕਦੇ ਹੋ। AD ਦੁਆਰਾ ਜਾਰੀ ਸਰਟੀਫਿਕੇਟ (ਸਕੀਮ ਵਿੱਚ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਦੋਹਰਾ ਪ੍ਰਮਾਣਿਕਤਾ ਜੋੜ ਕੇ ਮਲਟੀਪਲ ਸਰਟੀਫਿਕੇਟ).

ਚਲੋ Cisco ASA ਪਾਸੇ 'ਤੇ ਸੈਟਿੰਗਾਂ ਤਿਆਰ ਕਰੀਏ:

ਆਓ ISE CA ਸਰਵਰ ਲਈ ਇੱਕ TrustPoint ਬਣਾਈਏ, ਇਹ ਉਹ ਹੋਵੇਗਾ ਜੋ ਗਾਹਕਾਂ ਨੂੰ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰੇਗਾ। ਮੈਂ ਕੀ-ਚੇਨ ਆਯਾਤ ਪ੍ਰਕਿਰਿਆ 'ਤੇ ਵਿਚਾਰ ਨਹੀਂ ਕਰਾਂਗਾ; ਇੱਕ ਉਦਾਹਰਨ ਮੇਰੇ ਸੈੱਟਅੱਪ ਲੇਖ ਵਿੱਚ ਵਰਣਨ ਕੀਤੀ ਗਈ ਹੈ VPN ਲੋਡ-ਬੈਲੈਂਸਿੰਗ ਕਲੱਸਟਰ.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

ਅਸੀਂ ਪ੍ਰਮਾਣੀਕਰਣ ਲਈ ਵਰਤੇ ਗਏ ਸਰਟੀਫਿਕੇਟ ਵਿੱਚ ਖੇਤਰਾਂ ਦੇ ਅਨੁਸਾਰ ਨਿਯਮਾਂ ਦੇ ਅਧਾਰ ਤੇ ਟਨਲ-ਸਮੂਹ ਦੁਆਰਾ ਵੰਡ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਦੇ ਹਾਂ। ਸਾਡੇ ਦੁਆਰਾ ਪਿਛਲੇ ਪੜਾਅ 'ਤੇ ਬਣਾਏ ਗਏ AnyConnect ਪ੍ਰੋਫਾਈਲ ਨੂੰ ਵੀ ਇੱਥੇ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਕਿਰਪਾ ਕਰਕੇ ਧਿਆਨ ਦਿਓ ਕਿ ਮੈਂ ਮੁੱਲ ਦੀ ਵਰਤੋਂ ਕਰ ਰਿਹਾ ਹਾਂ SECUREBANK-RA, ਜਾਰੀ ਕੀਤੇ ਸਰਟੀਫਿਕੇਟ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸੁਰੰਗ ਸਮੂਹ ਵਿੱਚ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਲਈ ਸੁਰੱਖਿਅਤ-ਬੈਂਕ-ਵੀਪੀਐਨ, ਕਿਰਪਾ ਕਰਕੇ ਨੋਟ ਕਰੋ ਕਿ ਮੇਰੇ ਕੋਲ ਇਹ ਖੇਤਰ AnyConnect ਪ੍ਰੋਫਾਈਲ ਸਰਟੀਫਿਕੇਟ ਬੇਨਤੀ ਕਾਲਮ ਵਿੱਚ ਹੈ।

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰਾਂ ਨੂੰ ਸੈੱਟਅੱਪ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ। ਮੇਰੇ ਕੇਸ ਵਿੱਚ, ਇਹ ਪ੍ਰਮਾਣਿਕਤਾ ਦੇ ਪਹਿਲੇ ਪੜਾਅ ਲਈ ISE ਹੈ ਅਤੇ MFA ਵਜੋਂ DUO (ਰੇਡੀਅਸ ਪ੍ਰੌਕਸੀ) ਹੈ।

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

ਅਸੀਂ ਸਮੂਹ ਨੀਤੀਆਂ ਅਤੇ ਸੁਰੰਗ ਸਮੂਹ ਅਤੇ ਉਹਨਾਂ ਦੇ ਸਹਾਇਕ ਭਾਗ ਬਣਾਉਂਦੇ ਹਾਂ:

ਸੁਰੰਗ ਸਮੂਹ ਡਿਫੌਲਟWEBVPNGਗਰੁੱਪ ਦੀ ਵਰਤੋਂ ਮੁੱਖ ਤੌਰ 'ਤੇ AnyConnect VPN ਕਲਾਇੰਟ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ASA ਦੇ SCEP-ਪ੍ਰਾਕਸੀ ਫੰਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਉਪਭੋਗਤਾ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਵੇਗੀ; ਇਸਦੇ ਲਈ ਸਾਡੇ ਕੋਲ ਸੁਰੰਗ ਸਮੂਹ ਅਤੇ ਸੰਬੰਧਿਤ ਸਮੂਹ ਨੀਤੀ ਦੋਵਾਂ 'ਤੇ ਸੰਬੰਧਿਤ ਵਿਕਲਪਾਂ ਨੂੰ ਕਿਰਿਆਸ਼ੀਲ ਕੀਤਾ ਗਿਆ ਹੈ। AC-ਡਾਉਨਲੋਡ ਕਰੋ, ਅਤੇ ਲੋਡ ਕੀਤੇ AnyConnect ਪ੍ਰੋਫਾਈਲ 'ਤੇ (ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰਨ ਲਈ ਖੇਤਰ, ਆਦਿ)। ਇਸ ਸਮੂਹ ਨੀਤੀ ਵਿੱਚ ਵੀ ਅਸੀਂ ਡਾਉਨਲੋਡ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ ਦਾ ਸੰਕੇਤ ਦਿੰਦੇ ਹਾਂ ISE ਪੋਸਚਰ ਮੋਡੀਊਲ.

ਸੁਰੰਗ ਸਮੂਹ ਸੁਰੱਖਿਅਤ-ਬੈਂਕ-ਵੀਪੀਐਨ ਪਿਛਲੇ ਪੜਾਅ ਵਿੱਚ ਜਾਰੀ ਕੀਤੇ ਸਰਟੀਫਿਕੇਟ ਨਾਲ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਵੇਲੇ ਗਾਹਕ ਦੁਆਰਾ ਆਪਣੇ ਆਪ ਹੀ ਵਰਤਿਆ ਜਾਵੇਗਾ, ਕਿਉਂਕਿ, ਸਰਟੀਫਿਕੇਟ ਮੈਪ ਦੇ ਅਨੁਸਾਰ, ਕੁਨੈਕਸ਼ਨ ਖਾਸ ਤੌਰ 'ਤੇ ਇਸ ਸੁਰੰਗ ਸਮੂਹ 'ਤੇ ਡਿੱਗ ਜਾਵੇਗਾ। ਮੈਂ ਤੁਹਾਨੂੰ ਇੱਥੇ ਦਿਲਚਸਪ ਵਿਕਲਪਾਂ ਬਾਰੇ ਦੱਸਾਂਗਾ:

• ਸੈਕੰਡਰੀ-ਪ੍ਰਮਾਣਿਕਤਾ-ਸਰਵਰ-ਸਮੂਹ DUO # DUO ਸਰਵਰ (ਰੇਡੀਅਸ ਪ੍ਰੌਕਸੀ) 'ਤੇ ਸੈਕੰਡਰੀ ਪ੍ਰਮਾਣਿਕਤਾ ਸੈਟ ਕਰੋ
• ਪ੍ਰਮਾਣ-ਪੱਤਰ ਤੋਂ ਉਪਭੋਗਤਾ ਨਾਮ # ਪ੍ਰਾਇਮਰੀ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ, ਅਸੀਂ ਉਪਭੋਗਤਾ ਲੌਗਇਨ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਸਰਟੀਫਿਕੇਟ ਦੇ CN ਖੇਤਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਾਂ
• ਸੈਕੰਡਰੀ-ਉਪਭੋਗਤਾ-ਨਾਮ-ਤੋਂ-ਸਰਟੀਫਿਕੇਟ I # DUO ਸਰਵਰ 'ਤੇ ਸੈਕੰਡਰੀ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ, ਅਸੀਂ ਸਰਟੀਫਿਕੇਟ ਦੇ ਐਕਸਟਰੈਕਟ ਕੀਤੇ ਉਪਭੋਗਤਾ ਨਾਮ ਅਤੇ ਸ਼ੁਰੂਆਤੀ (I) ਖੇਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਾਂ।
• ਪ੍ਰੀ-ਫਿਲ-ਯੂਜ਼ਰਨੇਮ ਕਲਾਇੰਟ # ਬਦਲਣ ਦੀ ਯੋਗਤਾ ਤੋਂ ਬਿਨਾਂ ਪ੍ਰਮਾਣੀਕਰਨ ਵਿੰਡੋ ਵਿੱਚ ਉਪਭੋਗਤਾ ਨਾਮ ਨੂੰ ਪਹਿਲਾਂ ਤੋਂ ਭਰੋ
• ਸੈਕੰਡਰੀ-ਪ੍ਰੀ-ਫਿਲ-ਯੂਜ਼ਰਨੇਮ ਕਲਾਇੰਟ ਹਾਈਡ ਯੂਜ਼-ਕਾਮਨ-ਪਾਸਵਰਡ ਪੁਸ਼ # ਅਸੀਂ ਸੈਕੰਡਰੀ ਪ੍ਰਮਾਣਿਕਤਾ DUO ਲਈ ਲੌਗਇਨ/ਪਾਸਵਰਡ ਇਨਪੁਟ ਵਿੰਡੋ ਨੂੰ ਲੁਕਾਉਂਦੇ ਹਾਂ ਅਤੇ ਨੋਟੀਫਿਕੇਸ਼ਨ ਵਿਧੀ (sms/push/phone) ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਾਂ - ਪਾਸਵਰਡ ਖੇਤਰ ਦੀ ਬਜਾਏ ਪ੍ਰਮਾਣੀਕਰਨ ਦੀ ਬੇਨਤੀ ਕਰਨ ਲਈ ਡੌਕ ਕਰੋ ਇੱਥੇ

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

ਅੱਗੇ ਅਸੀਂ ISE ਵੱਲ ਵਧਦੇ ਹਾਂ:

ਅਸੀਂ ਇੱਕ ਸਥਾਨਕ ਉਪਭੋਗਤਾ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਦੇ ਹਾਂ (ਤੁਸੀਂ AD/LDAP/ODBC, ਆਦਿ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ), ਸਰਲਤਾ ਲਈ, ਮੈਂ ਖੁਦ ISE ਵਿੱਚ ਇੱਕ ਸਥਾਨਕ ਉਪਭੋਗਤਾ ਬਣਾਇਆ ਹੈ ਅਤੇ ਇਸਨੂੰ ਖੇਤਰ ਵਿੱਚ ਨਿਰਧਾਰਤ ਕੀਤਾ ਹੈ ਵੇਰਵਾ UDID PC ਜਿਸ ਤੋਂ ਉਸਨੂੰ VPN ਰਾਹੀਂ ਲੌਗ ਇਨ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਹੈ। ਜੇਕਰ ਮੈਂ ISE 'ਤੇ ਸਥਾਨਕ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹਾਂ, ਤਾਂ ਮੈਂ ਸਿਰਫ਼ ਇੱਕ ਡਿਵਾਈਸ ਤੱਕ ਸੀਮਿਤ ਹੋਵਾਂਗਾ, ਕਿਉਂਕਿ ਇੱਥੇ ਬਹੁਤ ਸਾਰੇ ਖੇਤਰ ਨਹੀਂ ਹਨ, ਪਰ ਤੀਜੀ-ਧਿਰ ਪ੍ਰਮਾਣਿਕਤਾ ਡੇਟਾਬੇਸ ਵਿੱਚ ਮੇਰੇ ਕੋਲ ਅਜਿਹੀਆਂ ਪਾਬੰਦੀਆਂ ਨਹੀਂ ਹੋਣਗੀਆਂ।

ਆਉ ਪ੍ਰਮਾਣੀਕਰਨ ਨੀਤੀ ਨੂੰ ਵੇਖੀਏ, ਇਸ ਨੂੰ ਚਾਰ ਕੁਨੈਕਸ਼ਨ ਪੜਾਵਾਂ ਵਿੱਚ ਵੰਡਿਆ ਗਿਆ ਹੈ:

• ਪੜਾਅ 1 — AnyConnect ਏਜੰਟ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰਨ ਲਈ ਨੀਤੀ
• ਪੜਾਅ 2 - ਪ੍ਰਾਇਮਰੀ ਪ੍ਰਮਾਣਿਕਤਾ ਨੀਤੀ ਲੌਗਇਨ (ਸਰਟੀਫਿਕੇਟ ਤੋਂ)/ਪਾਸਵਰਡ + ਯੂਡੀਆਈਡੀ ਪ੍ਰਮਾਣਿਕਤਾ ਦੇ ਨਾਲ ਸਰਟੀਫਿਕੇਟ
• ਪੜਾਅ 3 - ਯੂਜ਼ਰਨਾਮ + ਸਟੇਟ ਅਸੈਸਮੈਂਟ ਵਜੋਂ UDID ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ Cisco DUO (MFA) ਦੁਆਰਾ ਸੈਕੰਡਰੀ ਪ੍ਰਮਾਣਿਕਤਾ
• ਪੜਾਅ 4 - ਅੰਤਿਮ ਅਧਿਕਾਰ ਰਾਜ ਵਿੱਚ ਹੈ:
  • ਅਨੁਕੂਲ;
  • UDID ਪ੍ਰਮਾਣਿਕਤਾ (ਸਰਟੀਫਿਕੇਟ + ਲੌਗਇਨ ਬਾਈਡਿੰਗ ਤੋਂ),
  • Cisco DUO MFA;
  • ਲੌਗਇਨ ਦੁਆਰਾ ਪ੍ਰਮਾਣਿਕਤਾ;
  • ਸਰਟੀਫਿਕੇਟ ਪ੍ਰਮਾਣਿਕਤਾ;

ਆਓ ਇੱਕ ਦਿਲਚਸਪ ਸਥਿਤੀ ਨੂੰ ਵੇਖੀਏ UUID_VALIDATED, ਇਹ ਬਿਲਕੁਲ ਇੰਝ ਜਾਪਦਾ ਹੈ ਕਿ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਵਾਲਾ ਉਪਭੋਗਤਾ ਅਸਲ ਵਿੱਚ ਖੇਤਰ ਵਿੱਚ ਸੰਬੰਧਿਤ ਇੱਕ ਅਨੁਮਤੀ UDID ਵਾਲੇ PC ਤੋਂ ਆਇਆ ਹੈ ਵੇਰਵਾ ਖਾਤਾ, ਸ਼ਰਤਾਂ ਇਸ ਤਰ੍ਹਾਂ ਦਿਖਾਈ ਦਿੰਦੀਆਂ ਹਨ:

ਪੜਾਅ 1,2,3 'ਤੇ ਵਰਤੇ ਗਏ ਪ੍ਰਮਾਣੀਕਰਨ ਪ੍ਰੋਫਾਈਲ ਹੇਠਾਂ ਦਿੱਤੇ ਅਨੁਸਾਰ ਹੈ:

ਤੁਸੀਂ ISE ਵਿੱਚ ਕਲਾਇੰਟ ਸੈਸ਼ਨ ਦੇ ਵੇਰਵਿਆਂ ਨੂੰ ਦੇਖ ਕੇ ਜਾਂਚ ਕਰ ਸਕਦੇ ਹੋ ਕਿ AnyConnect ਕਲਾਇੰਟ ਤੋਂ UDID ਸਾਡੇ ਤੱਕ ਕਿਵੇਂ ਪਹੁੰਚਦਾ ਹੈ। ਵਿਸਤਾਰ ਵਿੱਚ ਅਸੀਂ ਦੇਖਾਂਗੇ ਕਿ ਵਿਧੀ ਦੁਆਰਾ ਕੋਈ ਵੀ ਕਨੈਕਟ ACIDEX ਪਲੇਟਫਾਰਮ ਬਾਰੇ ਨਾ ਸਿਰਫ਼ ਜਾਣਕਾਰੀ ਭੇਜਦਾ ਹੈ, ਸਗੋਂ ਡਿਵਾਈਸ ਦੀ UDID ਵੀ ਭੇਜਦਾ ਹੈ ਸਿਸਕੋ-ਏਵੀ-ਪੇਅਰ:

ਆਉ ਉਪਭੋਗਤਾ ਅਤੇ ਖੇਤਰ ਨੂੰ ਜਾਰੀ ਕੀਤੇ ਸਰਟੀਫਿਕੇਟ ਵੱਲ ਧਿਆਨ ਦੇਈਏ ਸ਼ੁਰੂਆਤੀ (I), ਜੋ ਕਿ ਇਸਨੂੰ Cisco DUO 'ਤੇ ਸੈਕੰਡਰੀ MFA ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਲੌਗਇਨ ਵਜੋਂ ਲੈਣ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ:

ਲੌਗ ਵਿੱਚ DUO ਰੇਡੀਅਸ ਪ੍ਰੌਕਸੀ ਸਾਈਡ 'ਤੇ ਅਸੀਂ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਦੇਖ ਸਕਦੇ ਹਾਂ ਕਿ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਬੇਨਤੀ ਕਿਵੇਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਇਹ ਯੂਡੀਆਈਡੀ ਨੂੰ ਉਪਭੋਗਤਾ ਨਾਮ ਵਜੋਂ ਵਰਤਦਾ ਹੈ:

DUO ਪੋਰਟਲ ਤੋਂ ਅਸੀਂ ਇੱਕ ਸਫਲ ਪ੍ਰਮਾਣੀਕਰਨ ਇਵੈਂਟ ਦੇਖਦੇ ਹਾਂ:

ਅਤੇ ਉਪਭੋਗਤਾ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚ ਮੈਂ ਇਸਨੂੰ ਸੈੱਟ ਕੀਤਾ ਹੈ ਉਪਨਾਮ, ਜਿਸਨੂੰ ਮੈਂ ਲੌਗਿਨ ਲਈ ਵਰਤਿਆ, ਬਦਲੇ ਵਿੱਚ, ਇਹ ਲੌਗਇਨ ਲਈ ਮਨਜ਼ੂਰ ਪੀਸੀ ਦਾ UDID ਹੈ:

ਨਤੀਜੇ ਵਜੋਂ ਸਾਨੂੰ ਮਿਲਿਆ:

• ਮਲਟੀ-ਫੈਕਟਰ ਯੂਜ਼ਰ ਅਤੇ ਡਿਵਾਈਸ ਪ੍ਰਮਾਣਿਕਤਾ;
• ਉਪਭੋਗਤਾ ਦੇ ਡਿਵਾਈਸ ਦੀ ਧੋਖਾਧੜੀ ਦੇ ਵਿਰੁੱਧ ਸੁਰੱਖਿਆ;
• ਡਿਵਾਈਸ ਦੀ ਸਥਿਤੀ ਦਾ ਮੁਲਾਂਕਣ ਕਰਨਾ;
• ਡੋਮੇਨ ਮਸ਼ੀਨ ਸਰਟੀਫਿਕੇਟ, ਆਦਿ ਨਾਲ ਵਧੇ ਹੋਏ ਨਿਯੰਤਰਣ ਲਈ ਸੰਭਾਵੀ;
• ਸਵੈਚਲਿਤ ਤੌਰ 'ਤੇ ਤਾਇਨਾਤ ਸੁਰੱਖਿਆ ਮਾਡਿਊਲਾਂ ਦੇ ਨਾਲ ਵਿਆਪਕ ਰਿਮੋਟ ਕੰਮ ਵਾਲੀ ਥਾਂ ਦੀ ਸੁਰੱਖਿਆ;

Cisco VPN ਸੀਰੀਜ਼ ਲੇਖਾਂ ਦੇ ਲਿੰਕ:

• ASA VPN ਲੋਡ-ਬੈਲੈਂਸਿੰਗ ਕਲੱਸਟਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ
• Cisco ASA 'ਤੇ AnyConnect VPN ਸੁਰੰਗ ਵਿੱਚ ਕਲਾਉਡ ਸੇਵਾਵਾਂ ਨੂੰ ਅਨੁਕੂਲਿਤ ਕਰਨਾ

ਸਰੋਤ: www.habr.com