🥇Имплементација концепта високобезбедног удаљеног приступа

Настављајући серију чланака на тему организације ВПН са удаљеним приступом приступ Не могу а да не поделим своје занимљиво искуство примене високо безбедна ВПН конфигурација. Један купац је представио нетривијалан задатак (у руским селима постоје проналазачи), али је Изазов прихваћен и креативно спроведен. Резултат је занимљив концепт са следећим карактеристикама:

Неколико фактора заштите од замене терминалног уређаја (са стриктном обавезом за корисника);
- Процена усклађености рачунара корисника са додељеним УДИД-ом дозвољеног рачунара у аутентификационој бази података;
- Са МФА користећи УДИД рачунара из сертификата за секундарну аутентификацију преко Цисцо ДУО (Можете приложити било који САМЛ/Радиус компатибилан);
Вишефакторска аутентификација:
- Сертификат корисника са верификацијом на терену и секундарном аутентификацијом према једном од њих;
- Логин (непроменљиво, преузето из сертификата) и лозинка;
Процена стања хоста за повезивање (држање)

Коришћене компоненте решења:

Цисцо АСА (ВПН мрежни пролаз);
Цисцо ИСЕ (Аутентификација / Ауторизација / Рачуноводство, Државна евалуација, ЦА);
Цисцо ДУО (вишефакторска аутентификација) (Можете приложити било који САМЛ/Радиус компатибилан);
Цисцо АниЦоннецт (вишенаменски агент за радне станице и мобилни ОС);

Почнимо са захтевима купаца:

Корисник мора, путем своје аутентикације за пријаву/лозинку, бити у могућности да преузме АниЦоннецт клијент са ВПН гатеваи-а; сви неопходни АниЦоннецт модули морају бити инсталирани аутоматски у складу са политиком корисника;
Корисник би требало да буде у могућности да аутоматски изда сертификат (за један од сценарија, главни сценарио је ручно издавање и отпремање на рачунар), али сам имплементирао аутоматско издавање за демонстрацију (никада није касно да га уклоним).
Основна аутентификација мора да се одвија у неколико фаза, прво се врши аутентификација сертификата са анализом потребних поља и њихових вредности, затим логин/лозинка, само што се овог пута у прозор за пријаву мора убацити корисничко име наведено у пољу сертификата. Назив субјекта (ЦН) без могућности уређивања.
Морате бити сигурни да је уређај са којег се пријављујете корпоративни лаптоп који је издат кориснику за даљински приступ, а не нешто друго. (Неколико опција је направљено да би се задовољио овај захтев)
Стање уређаја за повезивање (у овој фази рачунара) треба проценити провером целе огромне табеле захтева корисника (сумира):
- Фајлови и њихова својства;
- Уноси у регистар;
- ОС закрпе са приложене листе (касније СЦЦМ интеграција);
- Доступност Анти-Вирус од одређеног произвођача и релевантност потписа;
- Делатност појединих служби;
- Доступност одређених инсталираних програма;

За почетак, предлажем да свакако погледате видео демонстрацију резултирајуће имплементације на Иоутубе (5 минута).

Сада предлажем да размотримо детаље имплементације који нису покривени у видео клипу.

Хајде да припремимо АниЦоннецт профил:

Претходно сам дао пример креирања профила (у смислу ставке менија у АСДМ-у) у свом чланку о подешавању ВПН кластер за балансирање оптерећења. Сада бих желео да посебно напоменем опције које ће нам требати:

У профилу ћемо навести ВПН гејтвеј и име профила за повезивање са крајњим клијентом:

Хајде да конфигуришемо аутоматско издавање сертификата са стране профила, указујући, посебно, на параметре сертификата и, карактеристично, обратите пажњу на поље Иницијали (И), где се одређена вредност уноси ручно УДИД тест машина (јединствени идентификатор уређаја који генерише Цисцо АниЦоннецт клијент).

Овде желим да направим лирску дигресију, пошто овај чланак описује концепт; у сврху демонстрације, УДИД за издавање сертификата се уноси у поље Инитиалс профила АниЦоннецт. Наравно, у стварном животу, ако то урадите, сви клијенти ће добити сертификат са истим УДИД-ом у овој области и ништа им неће радити, јер им је потребан УДИД њиховог специфичног рачунара. АниЦоннецт, нажалост, још увек не имплементира замену УДИД поља у профил захтева за сертификат преко променљиве окружења, као што то ради, на пример, са променљивом %УСЕР%.

Вреди напоменути да корисник (овог сценарија) првобитно планира да самостално изда сертификате са датим УДИД-ом у ручном режиму таквим заштићеним рачунарима, што за њега није проблем. Међутим, за већину нас желимо аутоматизацију (па, за мене је то тачно =)).

И то је оно што могу да понудим у смислу аутоматизације. Ако АниЦоннецт још увек није у могућности да аутоматски изда сертификат динамичком заменом УДИД-а, онда постоји још један начин који ће захтевати мало креативног размишљања и веште руке - рећи ћу вам концепт. Прво, погледајмо како се УДИД генерише на различитим оперативним системима од стране АниЦоннецт агента:

виндовс — СХА-256 хеш комбинације кључа регистратора ДигиталПродуцтИД и Мацхине СИД
ОСКС — СХА-256 хеш ПлатформаУУИД
линук — СХА-256 хеш УУИД-а основне партиције.
Аппле иПхоне — СХА-256 хеш ПлатформаУУИД
Android – Види документ на веза

Сходно томе, креирамо скрипту за наш корпоративни Виндовс ОС, са овом скриптом локално израчунавамо УДИД користећи познате улазе и формирамо захтев за издавање сертификата уношењем овог УДИД-а у обавезно поље, узгред, можете користити и машину сертификат који је издао АД (додавањем двоструке аутентификације помоћу сертификата у шему Вишеструки сертификат).

Хајде да припремимо подешавања на Цисцо АСА страни:

Хајде да направимо ТрустПоинт за ИСЕ ЦА сервер, он ће бити онај који ће издавати сертификате клијентима. Нећу разматрати процедуру увоза ланца кључева; пример је описан у мом чланку о подешавању ВПН кластер за балансирање оптерећења.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

Конфигуришемо дистрибуцију по Туннел-Гроуп на основу правила у складу са пољима у сертификату који се користи за аутентификацију. Овде је такође конфигурисан АниЦоннецт профил који смо направили у претходној фази. Имајте на уму да користим вредност СЕЦУРЕБАНК-РА, за пребацивање корисника са издатим сертификатом у групу тунела СЕЦУРЕ-БАНК-ВПН, имајте на уму да имам ово поље у колони Захтева за сертификат профила АниЦоннецт.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

Подешавање сервера за аутентификацију. У мом случају, ово је ИСЕ за прву фазу аутентификације и ДУО (Радиус проки) као МФА.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

Ми креирамо групне политике и групе тунела и њихове помоћне компоненте:

Група тунела ДефаултВЕБВПНГроуп ће се првенствено користити за преузимање АниЦоннецт ВПН клијента и издавање корисничког сертификата користећи СЦЕП-Проки функцију АСА; за ово имамо активиране одговарајуће опције и на самој групи тунела и на придруженој групној политици АЦ-Довнлоад, и на учитаном АниЦоннецт профилу (поља за издавање сертификата итд.). Такође у овој групној политици указујемо на потребу преузимања ИСЕ Модул за држање.

Група тунела СЕЦУРЕ-БАНК-ВПН ће аутоматски бити коришћен од стране клијента приликом аутентификације са издатим сертификатом у претходној фази, пошто ће, у складу са мапом сертификата, веза пасти управо на ову групу тунела. Овде ћу вам рећи о занимљивим опцијама:

секундарна-потврда-сервер-група ДУО # Подесите секундарну аутентификацију на ДУО серверу (Радиус прокси)
усернаме-фром-цертифицатеЦН # За примарну аутентификацију користимо ЦН поље сертификата да наследимо пријаву корисника
секундарно-корисничко име-из сертификата И # За секундарну аутентификацију на ДУО серверу користимо екстраховано корисничко име и поља иницијала (И) сертификата.
клијент унапред попуњавања корисничког имена # учините да корисничко име буде унапред попуњено у прозору за потврду идентитета без могућности промене
сецондари-пре-филл-усернаме цлиент хиде усе-цоммон-пассворд пусх # Сакривамо прозор за унос података за пријаву/лозинку за секундарну аутентификацију ДУО и користимо метод обавештавања (смс/пусх/телефон) - док тражимо аутентификацију уместо поља за лозинку овде

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

Затим прелазимо на ИСЕ:

Конфигуришемо локалног корисника (можете да користите АД/ЛДАП/ОДБЦ, итд.), ради једноставности, направио сам локалног корисника у самом ИСЕ-у и доделио га у пољу опис УДИД ПЦ са којих му је дозвољено да се пријави преко ВПН-а. Ако користим локалну аутентификацију на ИСЕ-у, бићу ограничен на само један уређај, пошто нема много поља, али у базама података за аутентификацију трећих страна нећу имати таква ограничења.

Погледајмо политику ауторизације, она је подељена у четири фазе повезивања:

Фаза КСНУМКС — Политика за преузимање АниЦоннецт агента и издавање сертификата
Фаза КСНУМКС — Политика примарне аутентификације Пријава (из сертификата)/лозинка + сертификат са УДИД валидацијом
Фаза КСНУМКС — Секундарна аутентификација преко Цисцо ДУО (МФА) користећи УДИД као корисничко име + процену стања
Фаза КСНУМКС — Коначно одобрење је у стању:
- Цомплиант;
- УДИД валидација (из сертификата + веза за пријаву),
- Цисцо ДУО МФА;
- Аутентификација путем пријаве;
- Провера аутентичности сертификата;

Погледајмо занимљиво стање УУИД_ВАЛИДАТЕД, само изгледа да је корисник који се аутентификује заправо дошао са рачунара са дозвољеним УДИД-ом повезаним у пољу Opis налог, услови изгледају овако:

Профил ауторизације који се користи у фазама 1,2,3 је следећи:

Можете тачно да проверите како УДИД од АниЦоннецт клијента стиже до нас тако што ћете погледати детаље сесије клијента у ИСЕ. Детаљно ћемо видети да АниЦоннецт кроз механизам АЦИДЕКС шаље не само информације о платформи, већ и УДИД уређаја као Цисцо-АВ-ПАИР:

Обратимо пажњу на сертификат који се издаје кориснику и терену Иницијали (И), који се користи да га узме као пријаву за секундарну МФА аутентификацију на Цисцо ДУО:

На страни ДУО Радиус Проки-а у евиденцији можемо јасно видети како се прави захтев за аутентификацију, он долази користећи УДИД као корисничко име:

Са ДУО портала видимо успешан догађај аутентификације:

И у корисничким својствима имам то подешено АЛИАС, који сам користио за пријаву, заузврат, ово је УДИД рачунара дозвољеног за пријаву:

Као резултат добили смо:

Вишефакторска аутентификација корисника и уређаја;
Заштита од лажирања корисничког уређаја;
Процена стања уређаја;
Потенцијал за повећану контролу са машинским сертификатом домена, итд.;
Свеобухватна удаљена заштита радног места са аутоматски постављеним безбедносним модулима;

Везе до чланака из Цисцо ВПН серије:

Извор: ввв.хабр.цом

Имплементација концепта високобезбедног удаљеног приступа

Додај коментар Одустани од одговора