د خورا خوندي لیرې لاسرسي مفهوم پلي کول

د سازمان په اړه د مقالو لړۍ دوام ریموټ لاسرسی VPN لاسرسی زه نشم کولی مرسته وکړم مګر زما په زړه پورې ګمارلو تجربه شریکه کړم خورا خوندي VPN ترتیب. یو غیر معمولی دنده د یو پیرودونکي لخوا وړاندې شوه (د روسیې په کلیو کې اختراع کونکي شتون لري)، مګر ننګونه ومنل شوه او په تخلیقي توګه پلي شوه. پایله د لاندې ځانګړتیاو سره یو په زړه پوری مفهوم دی:

1. د ټرمینل وسیلې د بدیل پروړاندې د محافظت ډیری فاکتورونه (د کارونکي لپاره د سخت پابندۍ سره)؛
   • د تصدیق ډیټابیس کې د اجازه ورکړل شوي کمپیوټر د ټاکل شوي UDID سره د کارونکي کمپیوټر د موافقت ارزونه؛
   • د MFA سره د سیسکو DUO له لارې د ثانوي تصدیق لپاره د سند څخه د PC UDID کارولو سره (تاسو کولی شئ د SAML/Radius سره مطابقت لرونکی یو ضمیمه کړئ);
2. څو فکتور تصدیق:
   • د ساحوي تصدیق او ثانوي تصدیق سره د یو له دوی څخه د کارونکي سند؛
   • ننوتل (د بدلون وړ نه دی، د سند څخه اخیستل شوی) او پټنوم؛
3. د نښلونکي کوربه حالت اټکل کول (پوسټ)

د حل اجزا کارول کیږي:

• سیسکو ASA (VPN ګیټ وے)؛
• سیسکو ISE (تصدیق / واک / محاسبه، د دولت ارزونه، CA)؛
• سیسکو DUO (د څو فکتور تصدیق) (تاسو کولی شئ د SAML/Radius سره مطابقت لرونکی یو ضمیمه کړئ);
• Cisco AnyConnect (د کار سټیشنونو او ګرځنده OS لپاره څو مقصدي اجنټ)؛

راځئ چې د پیرودونکي اړتیاوو سره پیل وکړو:

1. کارونکی باید د خپل ننوتل / پاسورډ تصدیق کولو له لارې د VPN ګیټ وے څخه د AnyConnect پیرودونکي ډاونلوډ کولو توان ولري؛ ټول اړین هرډول انډول ماډلونه باید د کارونکي پالیسۍ سره سم په اتوماتيک ډول نصب شي؛
2. کارونکي باید وکوالی شي په اوتومات ډول سند صادر کړي (د یوې سناریو لپاره ، اصلي سناریو په لاسي ډول صادرول او په کمپیوټر کې اپلوډ کول دي) ، مګر ما د مظاهرې لپاره اتوماتیک مسله پلي کړه (د دې لرې کولو لپاره هیڅکله ناوخته ندی).
3. بنسټیز تصدیق باید په څو مرحلو کې ترسره شي، لومړی د اړینو ساحو او د دوی ارزښتونو تحلیل سره د سند تصدیق شتون لري، بیا ننوتل / پاسورډ، یوازې دا ځل د سند په ساحه کې مشخص شوی کارن نوم باید د ننوتلو کړکۍ کې دننه شي. د موضوع نوم (CN) د ترمیم کولو وړتیا پرته.
4. تاسو اړتیا لرئ ډاډ ترلاسه کړئ چې هغه وسیله چې تاسو یې لاګ ان کوئ د کارپوریټ لپ ټاپ دی چې کارونکي ته د ریموټ لاسرسي لپاره صادر شوی ، نه بل څه. (د دې اړتیا پوره کولو لپاره ډیری اختیارونه رامینځته شوي)
5. د نښلونکي وسیلې حالت (په دې مرحله کې PC) باید د پیرودونکو اړتیاو بشپړ لوی جدول چیک سره و ارزول شي (لنډیز):
   • فایلونه او د هغوی ملکیتونه؛
   • د ثبت ثبتونه؛
   • د چمتو شوي لیست څخه د OS پیچونه (وروسته د SCCM ادغام)؛
   • د ځانګړي تولید کونکي څخه د انټي ویروس شتون او د لاسلیکونو تړاو؛
   • د ځینو خدماتو فعالیت؛
   • د ځینو نصب شوي پروګرامونو شتون؛

د پیل کولو لپاره ، زه وړاندیز کوم چې تاسو حتما د پایلې پلي کولو ویډیو مظاهرې وګورئ یوټیوب (۵ دقیقې).

اوس زه وړاندیز کوم چې د پلي کولو توضیحات په پام کې ونیسم چې په ویډیو کلیپ کې ندي پوښل شوي.

راځئ چې د AnyConnect پروفایل چمتو کړو:

ما دمخه د تنظیم کولو په اړه زما مقاله کې د پروفایل رامینځته کولو مثال ورکړ (په ASDM کې د مینو توکي په شرایطو کې) د VPN د بار توازن کولو کلستر. اوس زه غواړم په جلا توګه هغه اختیارونه یاد کړم چې موږ ورته اړتیا لرو:

په پروفایل کې، موږ به د VPN دروازې او د پای پیرودونکي سره د نښلولو لپاره د پروفایل نوم په ګوته کړو:

راځئ چې د پروفایل اړخ څخه د سند اتوماتیک اجرا کول تنظیم کړو ، په ځانګړي توګه د سند پیرامیټونه په ګوته کوي او په ځانګړي توګه ساحې ته پاملرنه وکړئ ابتکارونه (I)، چیرې چې یو ځانګړی ارزښت په لاسي ډول داخلیږي UDID د ازموینې ماشین (د وسیلې ځانګړي پیژندونکی چې د سیسکو انی کنیکټ پیرودونکي لخوا رامینځته شوی).

دلته زه غواړم یو شعري تحلیل وکړم، ځکه چې دا مقاله مفکوره بیانوي؛ د ښودلو موخو لپاره، د سند صادرولو لپاره UDID د AnyConnect پروفایل په ابتدايي ساحه کې داخل شوی. البته ، په ریښتیني ژوند کې ، که تاسو دا وکړئ ، نو ټول پیرودونکي به پدې برخه کې د ورته UDID سره سند ترلاسه کړي او هیڅ شی به د دوی لپاره کار ونه کړي ، ځکه چې دوی د خپل ځانګړي کمپیوټر UDID ته اړتیا لري. AnyConnect ، له بده مرغه ، لاهم د چاپیریال متغیر له لارې د سند غوښتنې پروفایل کې د UDID ساحې بدیل نه پلي کوي ، لکه څنګه چې دا کوي ، د مثال په توګه ، د متغیر سره %USER%.

د یادونې وړ ده چې پیرودونکی (د دې سناریو) په پیل کې پالن لري چې په خپلواک ډول د ورکړل شوي UDID سره سندونه په لارښود حالت کې داسې محافظت شوي کمپیوټرونو ته صادر کړي، کوم چې د هغه لپاره کومه ستونزه نده. په هرصورت، زموږ د ډیری لپاره موږ اتومات غواړو (ښه، زما لپاره دا ریښتیا ده =)).

او دا هغه څه دي چې زه یې د اتوماتیک شرایطو کې وړاندیز کولی شم. که چیرې AnyConnect لاهم د دې توان نلري چې په اتوماتیک ډول د UDID ځای په ځای کولو سره سند صادر کړي ، نو بیا بله لاره شتون لري چې لږ تخلیقي فکر او مهارت لرونکي لاسونو ته اړتیا ولري - زه به تاسو ته مفهوم ووایم. لومړی، راځئ وګورو چې څنګه UDID په مختلف عملیاتي سیسټمونو کې د AnyConnect اجنټ لخوا رامینځته کیږي:

• Windows - د ډیجیټل پروډکټ ID او ماشین SID راجسټری کیلي ترکیب SHA-256 هش
• او ایس ایکس — SHA-256 هش پلیټ فارم UUID
• لینوکس SHA-256 د ریښی برخې د UUID هش.
• اپل iOS — SHA-256 هش پلیټ فارم UUID
• Android - په اړه سند وګورئ مخونه

په دې اساس، موږ د خپل کارپوریټ وینډوز OS لپاره یو سکریپټ جوړوو، د دې سکریپټ سره موږ په محلي توګه د پیژندل شوي آخذونو په کارولو سره UDID محاسبه کوو او په اړین ساحه کې د دې UDID په داخلولو سره د سند صادرولو لپاره غوښتنه کوو، په هرصورت، تاسو کولی شئ ماشین هم وکاروئ. د AD لخوا صادر شوی سند (سکیم ته د سند په کارولو سره د دوه ګوني تصدیق اضافه کولو سره څو سندونه).

راځئ چې د سیسکو ASA اړخ کې تنظیمات چمتو کړو:

راځئ چې د ISE CA سرور لپاره TrustPoint جوړ کړو، دا به هغه وي چې مراجعینو ته به سندونه صادر کړي. زه به د کیلي چین وارداتو طرزالعمل په پام کې ونیسم؛ یو مثال زما په مقاله کې د تنظیم کولو په اړه بیان شوی د VPN د بار توازن کولو کلستر.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

موږ د تونل ګروپ لخوا توزیع د سند کې د ساحو سره سم د قواعدو پراساس تنظیم کوو چې د تصدیق لپاره کارول کیږي. د AnyConnect پروفایل چې موږ په تیرو مرحلو کې جوړ کړی هم دلته ترتیب شوی. مهرباني وکړئ په یاد ولرئ چې زه ارزښت کاروم SECUREBANK-RA، د تونل ګروپ ته د جاري شوي سند سره د کاروونکو لیږدولو لپاره خوندي-بانک-VPNمهرباني وکړئ په یاد ولرئ چې زه دا ساحه د AnyConnect پروفایل سند غوښتنې کالم کې لرم.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

د تصدیق سرورونو تنظیم کول. زما په قضیه کې، دا د تصدیق کولو لومړۍ مرحلې لپاره ISE دی او DUO (Radius Proxy) د MFA په توګه.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

موږ د ګروپ پالیسي او د تونل ګروپونه او د دوی مرستندویه برخې رامینځته کوو:

د تونل ډله DefaultWEBVPNG ګروپ په اصل کې به د AnyConnect VPN پیرودونکي ډاونلوډ کولو لپاره وکارول شي او د ASA د SCEP-Proxy فنکشن په کارولو سره د کارونکي سند صادر کړي؛ د دې لپاره موږ ورته اختیارونه لرو چې دواړه پخپله د تونل ګروپ او اړونده ګروپ پالیسي کې فعال شوي. AC-دانلود، او په بار شوي AnyConnect پروفایل کې (د سند صادرولو ساحې ، او داسې نور). همدارنګه پدې ګروپ پالیسي کې موږ د ډاونلوډ اړتیا ته اشاره کوو د ISE پوسټ ماډل.

د تونل ډله خوندي-بانک-VPN د پیرودونکي لخوا به په اوتومات ډول وکارول شي کله چې په تیر مرحله کې د صادر شوي سند سره تصدیق کول ، ځکه چې د سند نقشې سره سم ، پیوستون به په ځانګړي ډول د دې تونل ګروپ کې راشي. زه به تاسو ته دلته د زړه پورې انتخابونو په اړه ووایم:

• ثانوي-تصدیق-سرور-ګروپ DUO # په DUO سرور کې ثانوي تصدیق تنظیم کړئ (ریډیس پراکسي)
• کارن-نوم-له سند څخه-CN # د لومړني تصدیق لپاره ، موږ د سند CN ساحه کاروو ترڅو د کارونکي ننوتل میراث شي
• ثانوي-کارن-نوم-له-سرټیفیکټ I # د DUO سرور کې د ثانوي تصدیق لپاره ، موږ د استخراج شوي کارن نوم او د سند لومړني (I) ساحې کاروو.
• د کارونکي نوم دمخه ډکول # د بدلولو وړتیا پرته د تصدیق کولو کړکۍ کې د کارونکي نوم دمخه ډک کړئ
• ثانوي-مخکې ډکول-کارن-نوم پیرودونکي پټول کارول-عام پاسورډ فشار # موږ د ثانوي تصدیق DUO لپاره د ننوتلو / پاسورډ ان پټ کړکۍ پټوو او د خبرتیا میتود (sms/push/phone) کاروو - د پټنوم ساحې پرځای د تصدیق غوښتنه کولو لپاره ډاک کوو دلته

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

بیا موږ ISE ته ځو:

موږ یو ځایی کارن تنظیم کوو (تاسو کولی شئ AD/LDAP/ODBC، او داسې نور وکاروئ)، د سادگي لپاره، ما پخپله ISE کې یو ځایی کارن جوړ کړ او په ساحه کې یې وټاکه شرح UDID PC له کوم څخه چې هغه د VPN له لارې د ننوتلو اجازه لري. که زه په ISE کې محلي تصدیق وکاروم، زه به یوازې په یوه وسیله محدود شم، ځکه چې ډیری ساحې شتون نلري، مګر د دریمې ډلې تصدیق کولو ډیټابیسونو کې به زه دا ډول محدودیتونه ونه لرم.

راځئ چې د اجازې پالیسي وګورو، دا د ارتباط په څلورو مرحلو ویشل شوې ده:

• مرحله 1 - د AnyConnect اجنټ ډاونلوډ کولو او د سند صادرولو لپاره پالیسي
• مرحله 2 - د اصلي تصدیق کولو پالیسي ننوتل (د سند څخه) / پاسورډ + د UDID تصدیق سره سند
• مرحله 3 - د سیسکو DUO (MFA) له لارې ثانوي تصدیق د کارن-نوم + د دولت ارزونې په توګه د UDID په کارولو سره
• مرحله 4 - وروستی واک په دولت کې دی:
  • موافق
  • د UDID تایید (د سند + د ننوتلو پابندۍ څخه)،
  • سیسکو DUO MFA؛
  • د ننوتلو له لارې تصدیق؛
  • د سند تصدیق؛

راځئ چې په زړه پورې حالت وګورو UUID_VALIDATED، داسې ښکاري چې تصدیق کوونکی په حقیقت کې د کمپیوټر څخه راغلی چې په ساحه کې د اجازه ورکړل شوي UDID سره تړاو لري Description په حساب کې، شرایط داسې ښکاري:

په 1,2,3 مرحلو کې د جواز ورکولو پروفایل په لاندې ډول دی:

تاسو کولی شئ دقیقا وګورئ چې څنګه د AnyConnect پیرودونکي څخه UDID موږ ته په ISE کې د پیرودونکي ناستې توضیحاتو په کتلو سره راځي. په تفصیل سره موږ به وګورو چې د میکانیزم له لارې هر ډول نښلول ACIDEX نه یوازې د پلیټ فارم په اړه معلومات لیږي ، بلکه د وسیلې UDID هم لیږي Cisco-AV-PAIR:

راځئ چې کارونکي او ساحې ته صادر شوي سند ته پام وکړو ابتکارونه (I)، کوم چې دا په Cisco DUO کې د ثانوي MFA تصدیق لپاره د ننوتلو لپاره کارول کیږي:

په لاګ کې د DUO ریډیس پراکسي اړخ کې موږ کولی شو په روښانه ډول وګورو چې د تصدیق غوښتنه څنګه کیږي ، دا د کارن نوم په توګه د UDID په کارولو سره راځي:

د DUO پورټل څخه موږ د تصدیق کولو بریالۍ پیښه ګورو:

او د کارونکي ملکیتونو کې ما دا تنظیم کړی دی الیاس، کوم چې ما د ننوتلو لپاره کارولی و، په پایله کې، دا د PC UDID دی چې د ننوتلو لپاره اجازه ورکړل شوی:

په پایله کې موږ ترلاسه کړل:

• د څو فکتور کارونکي او وسیله تصدیق؛
• د کارونکي وسیلې د جعل کولو پروړاندې محافظت؛
• د وسیلې حالت ارزونه؛
• د ډومین ماشین سند سره د کنټرول د زیاتوالي احتمال، او داسې نور؛
• په اتوماتيک ډول ګمارل شوي امنیتي ماډلونو سره د کار ځای جامع محافظت؛

د سیسکو VPN لړۍ مقالو ته لینکونه:

• د ASA VPN د بار توازن کولو کلستر ځای په ځای کول
• په Cisco ASA کې په AnyConnect VPN تونل کې د کلاوډ خدماتو اصلاح کول

سرچینه: www.habr.com