د سازمان په اړه د مقالو لړۍ دوام ریموټ لاسرسی VPN لاسرسی زه نشم کولی مرسته وکړم مګر زما په زړه پورې ګمارلو تجربه شریکه کړم خورا خوندي VPN ترتیب. یو غیر معمولی دنده د یو پیرودونکي لخوا وړاندې شوه (د روسیې په کلیو کې اختراع کونکي شتون لري)، مګر ننګونه ومنل شوه او په تخلیقي توګه پلي شوه. پایله د لاندې ځانګړتیاو سره یو په زړه پوری مفهوم دی:
- د ټرمینل وسیلې د بدیل پروړاندې د محافظت ډیری فاکتورونه (د کارونکي لپاره د سخت پابندۍ سره)؛
- د تصدیق ډیټابیس کې د اجازه ورکړل شوي کمپیوټر د ټاکل شوي UDID سره د کارونکي کمپیوټر د موافقت ارزونه؛
- د MFA سره د سیسکو DUO له لارې د ثانوي تصدیق لپاره د سند څخه د PC UDID کارولو سره (تاسو کولی شئ د SAML/Radius سره مطابقت لرونکی یو ضمیمه کړئ);
- څو فکتور تصدیق:
- د ساحوي تصدیق او ثانوي تصدیق سره د یو له دوی څخه د کارونکي سند؛
- ننوتل (د بدلون وړ نه دی، د سند څخه اخیستل شوی) او پټنوم؛
- د نښلونکي کوربه حالت اټکل کول (پوسټ)
د حل اجزا کارول کیږي:
- سیسکو ASA (VPN ګیټ وے)؛
- سیسکو ISE (تصدیق / واک / محاسبه، د دولت ارزونه، CA)؛
- سیسکو DUO (د څو فکتور تصدیق) (تاسو کولی شئ د SAML/Radius سره مطابقت لرونکی یو ضمیمه کړئ);
- Cisco AnyConnect (د کار سټیشنونو او ګرځنده OS لپاره څو مقصدي اجنټ)؛
راځئ چې د پیرودونکي اړتیاوو سره پیل وکړو:
- کارونکی باید د خپل ننوتل / پاسورډ تصدیق کولو له لارې د VPN ګیټ وے څخه د AnyConnect پیرودونکي ډاونلوډ کولو توان ولري؛ ټول اړین هرډول انډول ماډلونه باید د کارونکي پالیسۍ سره سم په اتوماتيک ډول نصب شي؛
- کارونکي باید وکوالی شي په اوتومات ډول سند صادر کړي (د یوې سناریو لپاره ، اصلي سناریو په لاسي ډول صادرول او په کمپیوټر کې اپلوډ کول دي) ، مګر ما د مظاهرې لپاره اتوماتیک مسله پلي کړه (د دې لرې کولو لپاره هیڅکله ناوخته ندی).
- بنسټیز تصدیق باید په څو مرحلو کې ترسره شي، لومړی د اړینو ساحو او د دوی ارزښتونو تحلیل سره د سند تصدیق شتون لري، بیا ننوتل / پاسورډ، یوازې دا ځل د سند په ساحه کې مشخص شوی کارن نوم باید د ننوتلو کړکۍ کې دننه شي. د موضوع نوم (CN) د ترمیم کولو وړتیا پرته.
- تاسو اړتیا لرئ ډاډ ترلاسه کړئ چې هغه وسیله چې تاسو یې لاګ ان کوئ د کارپوریټ لپ ټاپ دی چې کارونکي ته د ریموټ لاسرسي لپاره صادر شوی ، نه بل څه. (د دې اړتیا پوره کولو لپاره ډیری اختیارونه رامینځته شوي)
- د نښلونکي وسیلې حالت (په دې مرحله کې PC) باید د پیرودونکو اړتیاو بشپړ لوی جدول چیک سره و ارزول شي (لنډیز):
- فایلونه او د هغوی ملکیتونه؛
- د ثبت ثبتونه؛
- د چمتو شوي لیست څخه د OS پیچونه (وروسته د SCCM ادغام)؛
- د ځانګړي تولید کونکي څخه د انټي ویروس شتون او د لاسلیکونو تړاو؛
- د ځینو خدماتو فعالیت؛
- د ځینو نصب شوي پروګرامونو شتون؛
د پیل کولو لپاره ، زه وړاندیز کوم چې تاسو حتما د پایلې پلي کولو ویډیو مظاهرې وګورئ یوټیوب (۵ دقیقې).
اوس زه وړاندیز کوم چې د پلي کولو توضیحات په پام کې ونیسم چې په ویډیو کلیپ کې ندي پوښل شوي.
راځئ چې د AnyConnect پروفایل چمتو کړو:
ما دمخه د تنظیم کولو په اړه زما مقاله کې د پروفایل رامینځته کولو مثال ورکړ (په ASDM کې د مینو توکي په شرایطو کې)
په پروفایل کې، موږ به د VPN دروازې او د پای پیرودونکي سره د نښلولو لپاره د پروفایل نوم په ګوته کړو:
راځئ چې د پروفایل اړخ څخه د سند اتوماتیک اجرا کول تنظیم کړو ، په ځانګړي توګه د سند پیرامیټونه په ګوته کوي او په ځانګړي توګه ساحې ته پاملرنه وکړئ ابتکارونه (I)، چیرې چې یو ځانګړی ارزښت په لاسي ډول داخلیږي UDID د ازموینې ماشین (د وسیلې ځانګړي پیژندونکی چې د سیسکو انی کنیکټ پیرودونکي لخوا رامینځته شوی).
دلته زه غواړم یو شعري تحلیل وکړم، ځکه چې دا مقاله مفکوره بیانوي؛ د ښودلو موخو لپاره، د سند صادرولو لپاره UDID د AnyConnect پروفایل په ابتدايي ساحه کې داخل شوی. البته ، په ریښتیني ژوند کې ، که تاسو دا وکړئ ، نو ټول پیرودونکي به پدې برخه کې د ورته UDID سره سند ترلاسه کړي او هیڅ شی به د دوی لپاره کار ونه کړي ، ځکه چې دوی د خپل ځانګړي کمپیوټر UDID ته اړتیا لري. AnyConnect ، له بده مرغه ، لاهم د چاپیریال متغیر له لارې د سند غوښتنې پروفایل کې د UDID ساحې بدیل نه پلي کوي ، لکه څنګه چې دا کوي ، د مثال په توګه ، د متغیر سره %USER%.
د یادونې وړ ده چې پیرودونکی (د دې سناریو) په پیل کې پالن لري چې په خپلواک ډول د ورکړل شوي UDID سره سندونه په لارښود حالت کې داسې محافظت شوي کمپیوټرونو ته صادر کړي، کوم چې د هغه لپاره کومه ستونزه نده. په هرصورت، زموږ د ډیری لپاره موږ اتومات غواړو (ښه، زما لپاره دا ریښتیا ده =)).
او دا هغه څه دي چې زه یې د اتوماتیک شرایطو کې وړاندیز کولی شم. که چیرې AnyConnect لاهم د دې توان نلري چې په اتوماتیک ډول د UDID ځای په ځای کولو سره سند صادر کړي ، نو بیا بله لاره شتون لري چې لږ تخلیقي فکر او مهارت لرونکي لاسونو ته اړتیا ولري - زه به تاسو ته مفهوم ووایم. لومړی، راځئ وګورو چې څنګه UDID په مختلف عملیاتي سیسټمونو کې د AnyConnect اجنټ لخوا رامینځته کیږي:
- Windows - د ډیجیټل پروډکټ ID او ماشین SID راجسټری کیلي ترکیب SHA-256 هش
- او ایس ایکس — SHA-256 هش پلیټ فارم UUID
- لینوکس SHA-256 د ریښی برخې د UUID هش.
- اپل iOS — SHA-256 هش پلیټ فارم UUID
- Android - په اړه سند وګورئ
مخونه
په دې اساس، موږ د خپل کارپوریټ وینډوز OS لپاره یو سکریپټ جوړوو، د دې سکریپټ سره موږ په محلي توګه د پیژندل شوي آخذونو په کارولو سره UDID محاسبه کوو او په اړین ساحه کې د دې UDID په داخلولو سره د سند صادرولو لپاره غوښتنه کوو، په هرصورت، تاسو کولی شئ ماشین هم وکاروئ. د AD لخوا صادر شوی سند (سکیم ته د سند په کارولو سره د دوه ګوني تصدیق اضافه کولو سره څو سندونه).
راځئ چې د سیسکو ASA اړخ کې تنظیمات چمتو کړو:
راځئ چې د ISE CA سرور لپاره TrustPoint جوړ کړو، دا به هغه وي چې مراجعینو ته به سندونه صادر کړي. زه به د کیلي چین وارداتو طرزالعمل په پام کې ونیسم؛ یو مثال زما په مقاله کې د تنظیم کولو په اړه بیان شوی
crypto ca trustpoint ISE-CA
enrollment terminal
crl configure
موږ د تونل ګروپ لخوا توزیع د سند کې د ساحو سره سم د قواعدو پراساس تنظیم کوو چې د تصدیق لپاره کارول کیږي. د AnyConnect پروفایل چې موږ په تیرو مرحلو کې جوړ کړی هم دلته ترتیب شوی. مهرباني وکړئ په یاد ولرئ چې زه ارزښت کاروم SECUREBANK-RA، د تونل ګروپ ته د جاري شوي سند سره د کاروونکو لیږدولو لپاره خوندي-بانک-VPNمهرباني وکړئ په یاد ولرئ چې زه دا ساحه د AnyConnect پروفایل سند غوښتنې کالم کې لرم.
tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
subject-name attr ou eq securebank-ra
!
webvpn
anyconnect profiles SECUREBANK disk0:/securebank.xml
certificate-group-map OU-Map 6 SECURE-BANK-VPN
!
د تصدیق سرورونو تنظیم کول. زما په قضیه کې، دا د تصدیق کولو لومړۍ مرحلې لپاره ISE دی او DUO (Radius Proxy) د MFA په توګه.
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!
موږ د ګروپ پالیسي او د تونل ګروپونه او د دوی مرستندویه برخې رامینځته کوو:
د تونل ډله DefaultWEBVPNG ګروپ په اصل کې به د AnyConnect VPN پیرودونکي ډاونلوډ کولو لپاره وکارول شي او د ASA د SCEP-Proxy فنکشن په کارولو سره د کارونکي سند صادر کړي؛ د دې لپاره موږ ورته اختیارونه لرو چې دواړه پخپله د تونل ګروپ او اړونده ګروپ پالیسي کې فعال شوي. AC-دانلود، او په بار شوي AnyConnect پروفایل کې (د سند صادرولو ساحې ، او داسې نور). همدارنګه پدې ګروپ پالیسي کې موږ د ډاونلوډ اړتیا ته اشاره کوو د ISE پوسټ ماډل.
د تونل ډله خوندي-بانک-VPN د پیرودونکي لخوا به په اوتومات ډول وکارول شي کله چې په تیر مرحله کې د صادر شوي سند سره تصدیق کول ، ځکه چې د سند نقشې سره سم ، پیوستون به په ځانګړي ډول د دې تونل ګروپ کې راشي. زه به تاسو ته دلته د زړه پورې انتخابونو په اړه ووایم:
- ثانوي-تصدیق-سرور-ګروپ DUO # په DUO سرور کې ثانوي تصدیق تنظیم کړئ (ریډیس پراکسي)
- کارن-نوم-له سند څخه-CN # د لومړني تصدیق لپاره ، موږ د سند CN ساحه کاروو ترڅو د کارونکي ننوتل میراث شي
- ثانوي-کارن-نوم-له-سرټیفیکټ I # د DUO سرور کې د ثانوي تصدیق لپاره ، موږ د استخراج شوي کارن نوم او د سند لومړني (I) ساحې کاروو.
- د کارونکي نوم دمخه ډکول # د بدلولو وړتیا پرته د تصدیق کولو کړکۍ کې د کارونکي نوم دمخه ډک کړئ
- ثانوي-مخکې ډکول-کارن-نوم پیرودونکي پټول کارول-عام پاسورډ فشار # موږ د ثانوي تصدیق DUO لپاره د ننوتلو / پاسورډ ان پټ کړکۍ پټوو او د خبرتیا میتود (sms/push/phone) کاروو - د پټنوم ساحې پرځای د تصدیق غوښتنه کولو لپاره ډاک کوو
دلته
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!
بیا موږ ISE ته ځو:
موږ یو ځایی کارن تنظیم کوو (تاسو کولی شئ AD/LDAP/ODBC، او داسې نور وکاروئ)، د سادگي لپاره، ما پخپله ISE کې یو ځایی کارن جوړ کړ او په ساحه کې یې وټاکه شرح UDID PC له کوم څخه چې هغه د VPN له لارې د ننوتلو اجازه لري. که زه په ISE کې محلي تصدیق وکاروم، زه به یوازې په یوه وسیله محدود شم، ځکه چې ډیری ساحې شتون نلري، مګر د دریمې ډلې تصدیق کولو ډیټابیسونو کې به زه دا ډول محدودیتونه ونه لرم.
راځئ چې د اجازې پالیسي وګورو، دا د ارتباط په څلورو مرحلو ویشل شوې ده:
- مرحله 1 - د AnyConnect اجنټ ډاونلوډ کولو او د سند صادرولو لپاره پالیسي
- مرحله 2 - د اصلي تصدیق کولو پالیسي ننوتل (د سند څخه) / پاسورډ + د UDID تصدیق سره سند
- مرحله 3 - د سیسکو DUO (MFA) له لارې ثانوي تصدیق د کارن-نوم + د دولت ارزونې په توګه د UDID په کارولو سره
- مرحله 4 - وروستی واک په دولت کې دی:
- موافق
- د UDID تایید (د سند + د ننوتلو پابندۍ څخه)،
- سیسکو DUO MFA؛
- د ننوتلو له لارې تصدیق؛
- د سند تصدیق؛
راځئ چې په زړه پورې حالت وګورو UUID_VALIDATED، داسې ښکاري چې تصدیق کوونکی په حقیقت کې د کمپیوټر څخه راغلی چې په ساحه کې د اجازه ورکړل شوي UDID سره تړاو لري Description په حساب کې، شرایط داسې ښکاري:
په 1,2,3 مرحلو کې د جواز ورکولو پروفایل په لاندې ډول دی:
تاسو کولی شئ دقیقا وګورئ چې څنګه د AnyConnect پیرودونکي څخه UDID موږ ته په ISE کې د پیرودونکي ناستې توضیحاتو په کتلو سره راځي. په تفصیل سره موږ به وګورو چې د میکانیزم له لارې هر ډول نښلول ACIDEX نه یوازې د پلیټ فارم په اړه معلومات لیږي ، بلکه د وسیلې UDID هم لیږي Cisco-AV-PAIR:
راځئ چې کارونکي او ساحې ته صادر شوي سند ته پام وکړو ابتکارونه (I)، کوم چې دا په Cisco DUO کې د ثانوي MFA تصدیق لپاره د ننوتلو لپاره کارول کیږي:
په لاګ کې د DUO ریډیس پراکسي اړخ کې موږ کولی شو په روښانه ډول وګورو چې د تصدیق غوښتنه څنګه کیږي ، دا د کارن نوم په توګه د UDID په کارولو سره راځي:
د DUO پورټل څخه موږ د تصدیق کولو بریالۍ پیښه ګورو:
او د کارونکي ملکیتونو کې ما دا تنظیم کړی دی الیاس، کوم چې ما د ننوتلو لپاره کارولی و، په پایله کې، دا د PC UDID دی چې د ننوتلو لپاره اجازه ورکړل شوی:
په پایله کې موږ ترلاسه کړل:
- د څو فکتور کارونکي او وسیله تصدیق؛
- د کارونکي وسیلې د جعل کولو پروړاندې محافظت؛
- د وسیلې حالت ارزونه؛
- د ډومین ماشین سند سره د کنټرول د زیاتوالي احتمال، او داسې نور؛
- په اتوماتيک ډول ګمارل شوي امنیتي ماډلونو سره د کار ځای جامع محافظت؛
د سیسکو VPN لړۍ مقالو ته لینکونه:
د ASA VPN د بار توازن کولو کلستر ځای په ځای کول په Cisco ASA کې په AnyConnect VPN تونل کې د کلاوډ خدماتو اصلاح کول
سرچینه: www.habr.com