انتهائي محفوظ ريموٽ رسائي جي تصور کي لاڳو ڪرڻ

تنظيم جي موضوع تي مضمونن جو سلسلو جاري ريموٽ رسائي VPN رسائي مان مدد نه ٿو ڪري سگهان پر منهنجو دلچسپ لڳائڻ جو تجربو حصيداري ڪريو انتهائي محفوظ VPN ترتيب. ھڪڙو غير معمولي ڪم ھڪڙي گراهڪ طرفان پيش ڪيو ويو (روسي ڳوٺن ۾ موجد آھن)، پر چيلنج قبول ڪيو ويو ۽ تخليقي طور تي لاڳو ڪيو ويو. نتيجو هيٺ ڏنل خاصيتن سان هڪ دلچسپ تصور آهي:

1. ٽرمينل ڊوائيس جي متبادل جي خلاف تحفظ جا ڪيترائي عنصر (استعمال ڪندڙ کي سخت پابند ڪرڻ سان)؛
   • تصديق ڪرڻ واري ڊيٽابيس ۾ اجازت ڏنل پي سي جي تفويض ڪيل UDID سان صارف جي PC جي تعميل جو جائزو وٺڻ؛
   • سسڪو DUO ذريعي ثانوي تصديق لاءِ سرٽيفڪيٽ مان PC UDID استعمال ڪندي MFA سان (توهان ڪنهن به SAML/Radius سان مطابقت رکي سگهو ٿا);
2. گھڻن عنصر جي تصديق:
   • انهن مان هڪ جي خلاف فيلڊ جي تصديق ۽ ثانوي تصديق سان صارف سرٽيفڪيٽ؛
   • لاگ ان (غير مٽائي، سرٽيفڪيٽ مان ورتو ويو) ۽ پاسورڊ؛
3. ڳنڍيندڙ ميزبان جي حالت جو اندازو لڳائڻ (پوسٽ)

استعمال ٿيل حل اجزاء:

• Cisco ASA (VPN گيٽ وي)؛
• Cisco ISE (تصديق / اختيار / اڪائونٽنگ، رياستي تشخيص، CA)؛
• Cisco DUO (ملٽي فيڪٽر جي تصديق) (توهان ڪنهن به SAML/Radius سان مطابقت رکي سگهو ٿا);
• Cisco AnyConnect (ڪجهه مقصدي ايجنٽ ڪم اسٽيشنن ۽ موبائل او ايس لاءِ)؛

اچو ته ڪسٽمر جي گهرجن سان شروع ڪريون:

1. استعمال ڪندڙ کي، سندس لاگ ان/پاسورڊ جي تصديق ذريعي، VPN گيٽ وي تان AnyConnect ڪلائنٽ ڊائون لوڊ ڪرڻ جي قابل هوندو؛ سڀ ضروري AnyConnect ماڊلز صارف جي پاليسي جي مطابق خودڪار طور تي نصب ٿيڻ گهرجن؛
2. صارف کي خودڪار طور تي هڪ سرٽيفڪيٽ جاري ڪرڻ جي قابل هوندو (هڪ منظرنامن لاء، مکيه منظر دستي جاري ڪرڻ ۽ هڪ PC تي اپلوڊ ڪرڻ آهي)، پر مون عمل ڪيو خودڪار مسئلو (ان کي هٽائڻ ۾ ڪڏهن به دير نه ڪئي وئي).
3. بنيادي تصديق ڪيترن ئي مرحلن ۾ ٿيڻ گهرجي، پهرين ضروري فيلڊ ۽ انهن جي قدرن جي تجزيي سان سرٽيفڪيٽ جي تصديق آهي، پوء لاگ ان/پاسورڊ، صرف هن وقت سرٽيفڪيٽ فيلڊ ۾ بيان ڪيل صارف جو نالو لاگ ان ونڊو ۾ داخل ڪيو وڃي. مضمون جو نالو (CN) بغير ترميم ڪرڻ جي صلاحيت.
4. توهان کي پڪ ڪرڻ جي ضرورت آهي ته ڊوائيس جنهن مان توهان لاگ ان ٿي رهيا آهيو اهو ڪارپوريٽ ليپ ٽاپ آهي جيڪو صارف کي ريموٽ رسائي لاءِ جاري ڪيو ويو آهي، ۽ ٻيو ڪجهه نه. (هن ضرورت کي پورو ڪرڻ لاءِ ڪيترائي آپشن ڪيا ويا آهن)
5. ڳنڍڻ واري ڊوائيس جي حالت (هن اسٽيج تي پي سي) کي جانچڻ گهرجي ته گراهڪ جي گهرج جي پوري وڏي ٽيبل جي چڪاس سان (اختصار ڪندي):
   • فائلون ۽ سندن ملڪيت؛
   • رجسٽري داخلا؛
   • مهيا ڪيل فهرست مان OS پيچس (بعد ۾ SCCM انضمام)؛
   • هڪ مخصوص ٺاهيندڙ کان اينٽي وائرس جي دستيابي ۽ دستخط جي مطابقت؛
   • ڪجهه خدمتن جي سرگرمي؛
   • ڪجهه نصب ٿيل پروگرامن جي دستيابي؛

شروع ڪرڻ سان، مان مشورو ڏيان ٿو ته توھان ضرور ڏسندا وڊيو مظاهري جي نتيجي تي عمل درآمد جي يوٽيوب (5 منٽ).

ھاڻي مان ان تي غور ڪرڻ جي تجويز ڏيان ٿو عمل درآمد جي تفصيلن کي وڊيو ڪلپ ۾ شامل نه ڪيو ويو آھي.

اچو ته تيار ڪريون AnyConnect پروفائل:

مون اڳ ۾ پروفائل ٺاهڻ جو مثال ڏنو (ASDM ۾ مينيو آئٽم جي لحاظ سان) سيٽنگ تي منهنجي آرٽيڪل ۾ وي پي اين لوڊ بيلنسنگ ڪلستر. ھاڻي مان انھن اختيارن کي الڳ الڳ نوٽ ڪرڻ چاھيان ٿو جن جي اسان کي ضرورت پوندي.

پروفائل ۾، اسان وي پي اين گيٽ وي ۽ آخري ڪلائنٽ سان ڳنڍڻ لاء پروفائل جو نالو ظاهر ڪنداسين:

اچو ته پروفائل جي پاسي کان سرٽيفڪيٽ جي خودڪار جاري ڪرڻ کي ترتيب ڏيو، خاص طور تي، سرٽيفڪيٽ جي ماپ ۽ خاص طور تي، فيلڊ تي ڌيان ڏيو. شروعاتي (I)، جتي هڪ مخصوص قدر دستي طور داخل ڪيو ويو آهي يو ڊي ڊي ٽيسٽ مشين (منفرد ڊيوائس سڃاڻپ ڪندڙ جيڪو Cisco AnyConnect ڪلائنٽ پاران ٺاهيل آهي).

هتي مان هڪ غزلي تحرير ڪرڻ چاهيان ٿو، ڇاڪاڻ ته هي مضمون بيان ڪري ٿو تصور؛ مظاهري جي مقصدن لاءِ، سرٽيفڪيٽ جاري ڪرڻ لاءِ UDID AnyConnect پروفائل جي شروعاتي فيلڊ ۾ داخل ڪيو ويو آهي. يقينن، حقيقي زندگي ۾، جيڪڏهن توهان اهو ڪندا آهيو، ته پوءِ سڀئي گراهڪ هن فيلڊ ۾ ساڳئي UDID سان هڪ سرٽيفڪيٽ وصول ڪندا ۽ انهن لاءِ ڪجهه به ڪم نه ڪندو، ڇو ته انهن کي پنهنجي مخصوص PC جي UDID جي ضرورت هوندي. AnyConnect، بدقسمتي سان، اڃا تائين لاڳو نٿو ڪري UDID فيلڊ جي متبادل کي سرٽيفڪيٽ درخواست جي پروفائل ۾ هڪ ماحولياتي متغير ذريعي، جيئن اهو ڪري ٿو، مثال طور، هڪ متغير سان %USER%.

اها ڳالهه نوٽ ڪرڻ جي قابل آهي ته گراهڪ (هن منظر نامي جو) شروعاتي طور تي آزاد طور تي ڏنل يو ڊي آئي ڊي سان سرٽيفڪيٽ جاري ڪرڻ جي منصوبابندي ڪري ٿو دستي موڊ ۾ اهڙن محفوظ ٿيل پي سيز کي، جيڪو هن لاءِ ڪو مسئلو ناهي. تنهن هوندي، اسان مان گھڻا لاء اسان خودڪار ڪرڻ چاهيون ٿا (چڱو، مون لاء اهو سچ آهي =)).

۽ اھو اھو آھي جيڪو مان پيش ڪري سگھان ٿو آٽوميشن جي لحاظ کان. جيڪڏهن ڪو به ڪنيڪٽ اڃا تائين متحرڪ طور تي UDID کي تبديل ڪندي خودڪار طور تي سرٽيفڪيٽ جاري ڪرڻ جي قابل ناهي، ته پوءِ هڪ ٻيو طريقو آهي جنهن لاءِ ٿورڙي تخليقي سوچ ۽ مهارت رکندڙ هٿن جي ضرورت پوندي - مان توهان کي اهو تصور ٻڌايان ٿو. پهرين، اچو ته ڏسو ته ڪيئن UDID مختلف آپريٽنگ سسٽم تي ٺاهي وئي آهي AnyConnect ايجنٽ طرفان:

• ونڊوز - SHA-256 hash of the combination of DigitalProductID ۽ مشين SID رجسٽري ڪي
• او ايسڪس SHA-256 هيش پليٽ فارم UUID
• لينڪس - روٽ ورهاڱي جي UUID جو SHA-256 هيش.
• ايپل iOS SHA-256 هيش پليٽ فارم UUID
• Android - تي دستاويز ڏسو لنڪ

ان مطابق، اسان پنهنجي ڪارپوريٽ ونڊوز او ايس لاءِ هڪ اسڪرپٽ ٺاهيندا آهيون، هن اسڪرپٽ سان اسان مقامي طور تي ڄاڻايل انپٽس کي استعمال ڪندي UDID جو حساب ڪندا آهيون ۽ هن UDID کي گهربل فيلڊ ۾ داخل ڪري سرٽيفڪيٽ جاري ڪرڻ لاءِ درخواست ٺاهيندا آهيون، اهڙي طرح، توهان هڪ مشين پڻ استعمال ڪري سگهو ٿا. AD پاران جاري ڪيل سرٽيفڪيٽ (اسڪيم ۾ سرٽيفڪيٽ استعمال ڪندي ڊبل تصديق شامل ڪندي گهڻن سرٽيفڪيٽ).

اچو ته سيٽنگون تيار ڪريون سسڪو ASA پاسي:

اچو ته ISE CA سرور لاءِ هڪ TrustPoint ٺاهيو، اهو ئي هوندو جيڪو گراهڪن کي سرٽيفڪيٽ جاري ڪندو. مان ڪي-چين درآمد جي طريقيڪار تي غور نه ڪندس؛ هڪ مثال بيان ڪيو ويو آهي منهنجي مضمون ۾ سيٽ اپ تي وي پي اين لوڊ بيلنسنگ ڪلستر.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

اسان سرٽيفڪيشن جي فيلڊ جي مطابق قاعدن جي بنياد تي سرنگ-گروپ پاران تقسيم کي ترتيب ڏيو ٿا جيڪي تصديق لاء استعمال ڪيا ويا آهن. AnyConnect پروفائل جيڪو اسان اڳئين اسٽيج تي ٺاھيو آھي اھو پڻ ترتيب ڏنل آھي ھتي. مهرباني ڪري نوٽ ڪريو ته مان قدر استعمال ڪري رهيو آهيان SECUREBANK-RA، جاري ڪيل سرٽيفڪيٽ سان صارفين کي سرنگ گروپ ڏانهن منتقل ڪرڻ لاءِ محفوظ بئنڪ- وي پي اين, مهرباني ڪري نوٽ ڪريو ته مون وٽ هي فيلڊ آهي ڪنهن به ڪنيڪشن پروفائل سرٽيفڪيٽ درخواست ڪالمن ۾.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

تصديق جي سرورن کي ترتيب ڏيڻ. منهنجي صورت ۾، هي آهي ISE تصديق جي پهرين مرحلي لاءِ ۽ DUO (Radius Proxy) MFA طور.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

اسان گروپ پاليسيون ۽ سرنگ گروپ ٺاهيندا آهيون ۽ انهن جا معاون جزا:

سرنگ گروپ ڊفالٽWEBVPNG گروپ بنيادي طور تي استعمال ڪيو ويندو AnyConnect VPN ڪلائنٽ کي ڊائون لوڊ ڪرڻ ۽ ASA جي SCEP-Proxy فنڪشن کي استعمال ڪندي هڪ صارف سرٽيفڪيٽ جاري ڪرڻ؛ ان لاءِ اسان وٽ لاڳاپيل آپشنز چالو آهن ٻنهي سرنگ گروپ تي ۽ لاڳاپيل گروپ پاليسي تي AC-ڊائون لوڊ، ۽ لوڊ ٿيل AnyConnect پروفائل تي (هڪ سرٽيفڪيٽ جاري ڪرڻ لاءِ فيلڊز وغيره). انهي گروپ جي پاليسي ۾ پڻ اسان کي ڊائون لوڊ ڪرڻ جي ضرورت آهي ISE پوسٽر ماڊل.

سرنگ گروپ محفوظ بئنڪ- وي پي اين ڪلائنٽ پاران خودڪار طور تي استعمال ڪيو ويندو جڏهن اڳوڻي اسٽيج ۾ جاري ڪيل سرٽيفڪيٽ جي تصديق ڪندي، ڇاڪاڻ ته، سرٽيفڪيٽ نقشي جي مطابق، ڪنيڪشن خاص طور تي هن سرنگ گروپ تي گر ٿيندو. مان توهان کي هتي دلچسپ اختيارن بابت ٻڌايان ٿو:

• ثانوي-تصديق-سرور-گروپ DUO # DUO سرور تي ثانوي تصديق سيٽ ڪريو (ريڊيس پراکسي)
• کاتي جو نالو-کان-سرٽيفڪيٽCN # ابتدائي تصديق لاءِ، اسان استعمال ڪريون ٿا CN فيلڊ جي سرٽيفڪيٽ جو وارث لاگ ان ٿيڻ لاءِ
• ثانوي-استعمال ڪندڙ-سرٽيفڪيٽ I # DUO سرور تي ثانوي تصديق لاءِ، اسان استعمال ڪريون ٿا استعمال ڪندڙ جو نالو ڪڍيو ويو ۽ ابتدائي (I) فيلڊز سرٽيفڪيٽ جا.
• پري-fill-username ڪلائنٽ # استعمال ڪندڙ جو نالو تبديل ڪرڻ جي قابليت کان سواءِ تصديق واري ونڊو ۾ اڳي ڀريو
• سيڪنڊري-پري-فيل-يوزرنيم ڪلائنٽ لڪايو استعمال-عام-پاسورڊ پش # اسان لڪايو لاگ ان/پاسورڊ ان پٽ ونڊو ثانوي تصديق لاءِ DUO ۽ نوٽيفڪيشن جو طريقو استعمال ڪريو (sms/push/phone) - ڊاک پاسورڊ فيلڊ جي بدران تصديق جي درخواست ڪرڻ لاءِ هتي

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

اڳتي هلي اسان ISE ڏانهن وڃون ٿا:

اسان هڪ مقامي استعمال ڪندڙ کي ترتيب ڏيون ٿا (توهان استعمال ڪري سگهو ٿا AD/LDAP/ODBC وغيره)، سادگي لاءِ، مون ISE ۾ هڪ مقامي صارف ٺاهيو ۽ ان کي فيلڊ ۾ مقرر ڪيو بيان UDID PC جنهن مان هن کي VPN ذريعي لاگ ان ٿيڻ جي اجازت آهي. جيڪڏهن آئون ISE تي مقامي تصديق استعمال ڪريان ٿو، مان صرف هڪ ڊوائيس تائين محدود ٿيندس، ڇاڪاڻ ته اتي ڪيترائي فيلڊ نه آهن، پر ٽئين پارٽي جي تصديق واري ڊيٽابيس ۾ مون تي اهڙيون پابنديون نه هونديون.

اچو ته اختيار جي پاليسي تي نظر رکون، ان کي چار ڪنيڪشن مرحلن ۾ ورهايو ويو آهي:

• اسٽيج 1 - AnyConnect ايجنٽ کي ڊائون لوڊ ڪرڻ ۽ سرٽيفڪيٽ جاري ڪرڻ لاءِ پاليسي
• اسٽيج 2 - ابتدائي تصديق واري پاليسي لاگ ان (سرٽيفڪيٽ مان)/پاسورڊ + سرٽيفڪيٽ UDID جي تصديق سان
• اسٽيج 3 - ثانوي تصديق ذريعي Cisco DUO (MFA) UDID استعمال ڪندي يوزرنيم + اسٽيٽ اسيسمينٽ
• اسٽيج 4 - حتمي اختيار رياست ۾ آهي:
  • مطابق؛
  • UDID جي تصديق (سرٽيفڪيٽ + لاگ ان بائنڊنگ کان)،
  • Cisco DUO MFA;
  • لاگ ان جي تصديق؛
  • سرٽيفڪيٽ جي تصديق؛

اچو ته هڪ دلچسپ حالت ڏسو UUID_VALIDATED، اهو صرف اهو ڏسڻ ۾ اچي ٿو ته تصديق ڪندڙ صارف اصل ۾ هڪ PC مان آيو آهي جنهن سان فيلڊ ۾ لاڳاپيل UDID جي اجازت ڏني وئي آهي وضاحت اڪائونٽ، حالتون هن طرح نظر اچن ٿا:

مرحلا 1,2,3 تي استعمال ٿيل اٿارٽيشن پروفائل هن ريت آهي:

توهان چيڪ ڪري سگهو ٿا ته ڪيئن UDID ڪنهن به ڪنيڪٽ ڪلائنٽ مان اسان وٽ پهچي ٿو ISE ۾ ڪلائنٽ سيشن جا تفصيل ڏسي. تفصيل سان اسان ڏسنداسين ته ڪنهن به ڪنيڪشن ميکانيزم ذريعي ACIDEX نه رڳو پليٽ فارم بابت معلومات موڪلي ٿو، پر ڊوائيس جي UDID پڻ Cisco-AV-PAIR:

اچو ته صارف ۽ فيلڊ کي جاري ڪيل سرٽيفڪيٽ تي ڌيان ڏيو شروعاتي (I), جنهن کي استعمال ڪيو ويندو آهي لاگ ان جي طور تي ثانوي MFA تصديق لاءِ Cisco DUO تي:

لاگ ۾ DUO Radius Proxy پاسي اسان واضح طور تي ڏسي سگھون ٿا ته ڪيئن تصديق جي درخواست ڪئي وئي آهي، اهو استعمال ڪندي اچي ٿو UDID صارف جو نالو:

DUO پورٽل مان اسان ڏسون ٿا هڪ ڪامياب تصديق واري واقعي:

۽ يوزر پراپرٽيز ۾ مون ان کي سيٽ ڪيو آهي الياس، جيڪو مون لاگ ان لاءِ استعمال ڪيو، بدلي ۾، هي آهي پي سي جو UDID لاگ ان لاءِ اجازت ڏنل آهي:

نتيجي طور، اسان حاصل ڪيو:

• گهڻن عنصر صارف ۽ ڊوائيس جي تصديق؛
• صارف جي ڊوائيس جي چوري جي خلاف تحفظ؛
• ڊوائيس جي حالت جو اندازو لڳائڻ؛
• ڊومين مشين سرٽيفڪيٽ سان وڌيل ڪنٽرول لاءِ امڪاني، وغيره.
• جامع ريموٽ ڪم جي جڳه جو تحفظ خودڪار طور تي مقرر ٿيل سيڪيورٽي ماڊلز سان؛

Cisco VPN سيريز جي مضمونن جا لنڪ:

• ASA VPN لوڊ-بيلنسنگ ڪلستر کي ترتيب ڏيڻ
• Cisco ASA تي AnyConnect VPN سرنگ ۾ ڪلائوڊ سروسز کي بهتر ڪرڻ

جو ذريعو: www.habr.com