تنظيم جي موضوع تي مضمونن جو سلسلو جاري ريموٽ رسائي VPN رسائي مان مدد نه ٿو ڪري سگهان پر منهنجو دلچسپ لڳائڻ جو تجربو حصيداري ڪريو انتهائي محفوظ VPN ترتيب. ھڪڙو غير معمولي ڪم ھڪڙي گراهڪ طرفان پيش ڪيو ويو (روسي ڳوٺن ۾ موجد آھن)، پر چيلنج قبول ڪيو ويو ۽ تخليقي طور تي لاڳو ڪيو ويو. نتيجو هيٺ ڏنل خاصيتن سان هڪ دلچسپ تصور آهي:
ٽرمينل ڊوائيس جي متبادل جي خلاف تحفظ جا ڪيترائي عنصر (استعمال ڪندڙ کي سخت پابند ڪرڻ سان)؛
تصديق ڪرڻ واري ڊيٽابيس ۾ اجازت ڏنل پي سي جي تفويض ڪيل UDID سان صارف جي PC جي تعميل جو جائزو وٺڻ؛
سسڪو DUO ذريعي ثانوي تصديق لاءِ سرٽيفڪيٽ مان PC UDID استعمال ڪندي MFA سان (توهان ڪنهن به SAML/Radius سان مطابقت رکي سگهو ٿا);
گھڻن عنصر جي تصديق:
انهن مان هڪ جي خلاف فيلڊ جي تصديق ۽ ثانوي تصديق سان صارف سرٽيفڪيٽ؛
لاگ ان (غير مٽائي، سرٽيفڪيٽ مان ورتو ويو) ۽ پاسورڊ؛
ڳنڍيندڙ ميزبان جي حالت جو اندازو لڳائڻ (پوسٽ)
استعمال ٿيل حل اجزاء:
Cisco ASA (VPN گيٽ وي)؛
Cisco ISE (تصديق / اختيار / اڪائونٽنگ، رياستي تشخيص، CA)؛
Cisco DUO (ملٽي فيڪٽر جي تصديق) (توهان ڪنهن به SAML/Radius سان مطابقت رکي سگهو ٿا);
استعمال ڪندڙ کي، سندس لاگ ان/پاسورڊ جي تصديق ذريعي، VPN گيٽ وي تان AnyConnect ڪلائنٽ ڊائون لوڊ ڪرڻ جي قابل هوندو؛ سڀ ضروري AnyConnect ماڊلز صارف جي پاليسي جي مطابق خودڪار طور تي نصب ٿيڻ گهرجن؛
صارف کي خودڪار طور تي هڪ سرٽيفڪيٽ جاري ڪرڻ جي قابل هوندو (هڪ منظرنامن لاء، مکيه منظر دستي جاري ڪرڻ ۽ هڪ PC تي اپلوڊ ڪرڻ آهي)، پر مون عمل ڪيو خودڪار مسئلو (ان کي هٽائڻ ۾ ڪڏهن به دير نه ڪئي وئي).
بنيادي تصديق ڪيترن ئي مرحلن ۾ ٿيڻ گهرجي، پهرين ضروري فيلڊ ۽ انهن جي قدرن جي تجزيي سان سرٽيفڪيٽ جي تصديق آهي، پوء لاگ ان/پاسورڊ، صرف هن وقت سرٽيفڪيٽ فيلڊ ۾ بيان ڪيل صارف جو نالو لاگ ان ونڊو ۾ داخل ڪيو وڃي. مضمون جو نالو (CN) بغير ترميم ڪرڻ جي صلاحيت.
توهان کي پڪ ڪرڻ جي ضرورت آهي ته ڊوائيس جنهن مان توهان لاگ ان ٿي رهيا آهيو اهو ڪارپوريٽ ليپ ٽاپ آهي جيڪو صارف کي ريموٽ رسائي لاءِ جاري ڪيو ويو آهي، ۽ ٻيو ڪجهه نه. (هن ضرورت کي پورو ڪرڻ لاءِ ڪيترائي آپشن ڪيا ويا آهن)
ڳنڍڻ واري ڊوائيس جي حالت (هن اسٽيج تي پي سي) کي جانچڻ گهرجي ته گراهڪ جي گهرج جي پوري وڏي ٽيبل جي چڪاس سان (اختصار ڪندي):
فائلون ۽ سندن ملڪيت؛
رجسٽري داخلا؛
مهيا ڪيل فهرست مان OS پيچس (بعد ۾ SCCM انضمام)؛
هڪ مخصوص ٺاهيندڙ کان اينٽي وائرس جي دستيابي ۽ دستخط جي مطابقت؛
ڪجهه خدمتن جي سرگرمي؛
ڪجهه نصب ٿيل پروگرامن جي دستيابي؛
شروع ڪرڻ سان، مان مشورو ڏيان ٿو ته توھان ضرور ڏسندا وڊيو مظاهري جي نتيجي تي عمل درآمد جي يوٽيوب (5 منٽ).
ھاڻي مان ان تي غور ڪرڻ جي تجويز ڏيان ٿو عمل درآمد جي تفصيلن کي وڊيو ڪلپ ۾ شامل نه ڪيو ويو آھي.
اچو ته تيار ڪريون AnyConnect پروفائل:
مون اڳ ۾ پروفائل ٺاهڻ جو مثال ڏنو (ASDM ۾ مينيو آئٽم جي لحاظ سان) سيٽنگ تي منهنجي آرٽيڪل ۾ وي پي اين لوڊ بيلنسنگ ڪلستر. ھاڻي مان انھن اختيارن کي الڳ الڳ نوٽ ڪرڻ چاھيان ٿو جن جي اسان کي ضرورت پوندي.
پروفائل ۾، اسان وي پي اين گيٽ وي ۽ آخري ڪلائنٽ سان ڳنڍڻ لاء پروفائل جو نالو ظاهر ڪنداسين:
اچو ته پروفائل جي پاسي کان سرٽيفڪيٽ جي خودڪار جاري ڪرڻ کي ترتيب ڏيو، خاص طور تي، سرٽيفڪيٽ جي ماپ ۽ خاص طور تي، فيلڊ تي ڌيان ڏيو. شروعاتي (I)، جتي هڪ مخصوص قدر دستي طور داخل ڪيو ويو آهي يو ڊي ڊي ٽيسٽ مشين (منفرد ڊيوائس سڃاڻپ ڪندڙ جيڪو Cisco AnyConnect ڪلائنٽ پاران ٺاهيل آهي).
هتي مان هڪ غزلي تحرير ڪرڻ چاهيان ٿو، ڇاڪاڻ ته هي مضمون بيان ڪري ٿو تصور؛ مظاهري جي مقصدن لاءِ، سرٽيفڪيٽ جاري ڪرڻ لاءِ UDID AnyConnect پروفائل جي شروعاتي فيلڊ ۾ داخل ڪيو ويو آهي. يقينن، حقيقي زندگي ۾، جيڪڏهن توهان اهو ڪندا آهيو، ته پوءِ سڀئي گراهڪ هن فيلڊ ۾ ساڳئي UDID سان هڪ سرٽيفڪيٽ وصول ڪندا ۽ انهن لاءِ ڪجهه به ڪم نه ڪندو، ڇو ته انهن کي پنهنجي مخصوص PC جي UDID جي ضرورت هوندي. AnyConnect، بدقسمتي سان، اڃا تائين لاڳو نٿو ڪري UDID فيلڊ جي متبادل کي سرٽيفڪيٽ درخواست جي پروفائل ۾ هڪ ماحولياتي متغير ذريعي، جيئن اهو ڪري ٿو، مثال طور، هڪ متغير سان %USER%.
اها ڳالهه نوٽ ڪرڻ جي قابل آهي ته گراهڪ (هن منظر نامي جو) شروعاتي طور تي آزاد طور تي ڏنل يو ڊي آئي ڊي سان سرٽيفڪيٽ جاري ڪرڻ جي منصوبابندي ڪري ٿو دستي موڊ ۾ اهڙن محفوظ ٿيل پي سيز کي، جيڪو هن لاءِ ڪو مسئلو ناهي. تنهن هوندي، اسان مان گھڻا لاء اسان خودڪار ڪرڻ چاهيون ٿا (چڱو، مون لاء اهو سچ آهي =)).
۽ اھو اھو آھي جيڪو مان پيش ڪري سگھان ٿو آٽوميشن جي لحاظ کان. جيڪڏهن ڪو به ڪنيڪٽ اڃا تائين متحرڪ طور تي UDID کي تبديل ڪندي خودڪار طور تي سرٽيفڪيٽ جاري ڪرڻ جي قابل ناهي، ته پوءِ هڪ ٻيو طريقو آهي جنهن لاءِ ٿورڙي تخليقي سوچ ۽ مهارت رکندڙ هٿن جي ضرورت پوندي - مان توهان کي اهو تصور ٻڌايان ٿو. پهرين، اچو ته ڏسو ته ڪيئن UDID مختلف آپريٽنگ سسٽم تي ٺاهي وئي آهي AnyConnect ايجنٽ طرفان:
ونڊوز - SHA-256 hash of the combination of DigitalProductID ۽ مشين SID رجسٽري ڪي
ان مطابق، اسان پنهنجي ڪارپوريٽ ونڊوز او ايس لاءِ هڪ اسڪرپٽ ٺاهيندا آهيون، هن اسڪرپٽ سان اسان مقامي طور تي ڄاڻايل انپٽس کي استعمال ڪندي UDID جو حساب ڪندا آهيون ۽ هن UDID کي گهربل فيلڊ ۾ داخل ڪري سرٽيفڪيٽ جاري ڪرڻ لاءِ درخواست ٺاهيندا آهيون، اهڙي طرح، توهان هڪ مشين پڻ استعمال ڪري سگهو ٿا. AD پاران جاري ڪيل سرٽيفڪيٽ (اسڪيم ۾ سرٽيفڪيٽ استعمال ڪندي ڊبل تصديق شامل ڪندي گهڻن سرٽيفڪيٽ).
اچو ته سيٽنگون تيار ڪريون سسڪو ASA پاسي:
اچو ته ISE CA سرور لاءِ هڪ TrustPoint ٺاهيو، اهو ئي هوندو جيڪو گراهڪن کي سرٽيفڪيٽ جاري ڪندو. مان ڪي-چين درآمد جي طريقيڪار تي غور نه ڪندس؛ هڪ مثال بيان ڪيو ويو آهي منهنجي مضمون ۾ سيٽ اپ تي وي پي اين لوڊ بيلنسنگ ڪلستر.
crypto ca trustpoint ISE-CA
enrollment terminal
crl configure
اسان سرٽيفڪيشن جي فيلڊ جي مطابق قاعدن جي بنياد تي سرنگ-گروپ پاران تقسيم کي ترتيب ڏيو ٿا جيڪي تصديق لاء استعمال ڪيا ويا آهن. AnyConnect پروفائل جيڪو اسان اڳئين اسٽيج تي ٺاھيو آھي اھو پڻ ترتيب ڏنل آھي ھتي. مهرباني ڪري نوٽ ڪريو ته مان قدر استعمال ڪري رهيو آهيان SECUREBANK-RA، جاري ڪيل سرٽيفڪيٽ سان صارفين کي سرنگ گروپ ڏانهن منتقل ڪرڻ لاءِ محفوظ بئنڪ- وي پي اين, مهرباني ڪري نوٽ ڪريو ته مون وٽ هي فيلڊ آهي ڪنهن به ڪنيڪشن پروفائل سرٽيفڪيٽ درخواست ڪالمن ۾.
سرنگ گروپ ڊفالٽWEBVPNG گروپ بنيادي طور تي استعمال ڪيو ويندو AnyConnect VPN ڪلائنٽ کي ڊائون لوڊ ڪرڻ ۽ ASA جي SCEP-Proxy فنڪشن کي استعمال ڪندي هڪ صارف سرٽيفڪيٽ جاري ڪرڻ؛ ان لاءِ اسان وٽ لاڳاپيل آپشنز چالو آهن ٻنهي سرنگ گروپ تي ۽ لاڳاپيل گروپ پاليسي تي AC-ڊائون لوڊ، ۽ لوڊ ٿيل AnyConnect پروفائل تي (هڪ سرٽيفڪيٽ جاري ڪرڻ لاءِ فيلڊز وغيره). انهي گروپ جي پاليسي ۾ پڻ اسان کي ڊائون لوڊ ڪرڻ جي ضرورت آهي ISE پوسٽر ماڊل.
سرنگ گروپ محفوظ بئنڪ- وي پي اين ڪلائنٽ پاران خودڪار طور تي استعمال ڪيو ويندو جڏهن اڳوڻي اسٽيج ۾ جاري ڪيل سرٽيفڪيٽ جي تصديق ڪندي، ڇاڪاڻ ته، سرٽيفڪيٽ نقشي جي مطابق، ڪنيڪشن خاص طور تي هن سرنگ گروپ تي گر ٿيندو. مان توهان کي هتي دلچسپ اختيارن بابت ٻڌايان ٿو:
ثانوي-تصديق-سرور-گروپ DUO # DUO سرور تي ثانوي تصديق سيٽ ڪريو (ريڊيس پراکسي)
کاتي جو نالو-کان-سرٽيفڪيٽCN # ابتدائي تصديق لاءِ، اسان استعمال ڪريون ٿا CN فيلڊ جي سرٽيفڪيٽ جو وارث لاگ ان ٿيڻ لاءِ
ثانوي-استعمال ڪندڙ-سرٽيفڪيٽ I # DUO سرور تي ثانوي تصديق لاءِ، اسان استعمال ڪريون ٿا استعمال ڪندڙ جو نالو ڪڍيو ويو ۽ ابتدائي (I) فيلڊز سرٽيفڪيٽ جا.
پري-fill-username ڪلائنٽ # استعمال ڪندڙ جو نالو تبديل ڪرڻ جي قابليت کان سواءِ تصديق واري ونڊو ۾ اڳي ڀريو
سيڪنڊري-پري-فيل-يوزرنيم ڪلائنٽ لڪايو استعمال-عام-پاسورڊ پش # اسان لڪايو لاگ ان/پاسورڊ ان پٽ ونڊو ثانوي تصديق لاءِ DUO ۽ نوٽيفڪيشن جو طريقو استعمال ڪريو (sms/push/phone) - ڊاک پاسورڊ فيلڊ جي بدران تصديق جي درخواست ڪرڻ لاءِ هتي
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!
اڳتي هلي اسان ISE ڏانهن وڃون ٿا:
اسان هڪ مقامي استعمال ڪندڙ کي ترتيب ڏيون ٿا (توهان استعمال ڪري سگهو ٿا AD/LDAP/ODBC وغيره)، سادگي لاءِ، مون ISE ۾ هڪ مقامي صارف ٺاهيو ۽ ان کي فيلڊ ۾ مقرر ڪيو بيانUDID PC جنهن مان هن کي VPN ذريعي لاگ ان ٿيڻ جي اجازت آهي. جيڪڏهن آئون ISE تي مقامي تصديق استعمال ڪريان ٿو، مان صرف هڪ ڊوائيس تائين محدود ٿيندس، ڇاڪاڻ ته اتي ڪيترائي فيلڊ نه آهن، پر ٽئين پارٽي جي تصديق واري ڊيٽابيس ۾ مون تي اهڙيون پابنديون نه هونديون.
اچو ته اختيار جي پاليسي تي نظر رکون، ان کي چار ڪنيڪشن مرحلن ۾ ورهايو ويو آهي: