Nuluykeun runtuyan artikel dina topik organisasi Jauh Aksés VPN aksés Abdi teu tiasa mantuan tapi babagi pangalaman deployment metot kuring konfigurasi VPN kacida aman. Hiji tugas non-trivial diwakilan ku hiji customer (aya inventors di desa Rusia), tapi tantangan ieu ditarima tur kreatif dilaksanakeun. Hasilna mangrupikeun konsép anu pikaresepeun kalayan ciri-ciri ieu:
- Sababaraha faktor panyalindungan ngalawan substitusi tina alat terminal (kalawan mengikat ketat ka pamaké);
- Assessing minuhan PC pamaké kalawan UDID ditugaskeun tina PC diwenangkeun dina database auténtikasi;
- Kalawan MFA ngagunakeun PC UDID ti sertipikat pikeun auténtikasi sekundér via Cisco duo (Anjeun tiasa ngagantelkeun SAML / Radius anu cocog);
- Auténtikasi multi-faktor:
- Sertipikat pangguna kalayan verifikasi lapangan sareng auténtikasi sekundér ngalawan salah sahijina;
- Login (unchangeable, dicokot tina sertipikat) jeung kecap akses;
- Estimasi kaayaan host nyambungkeun (Postur)
komponén solusi dipaké:
- Cisco ASA (VPN Gateway);
- Cisco ISE (Auténtikasi / Otorisasina / Akunting, Evaluasi Propinsi, CA);
- Cisco DUO (Auténtikasi Multi-Faktor) (Anjeun tiasa ngagantelkeun SAML / Radius anu cocog);
- Cisco AnyConnect (Agén multi-tujuan pikeun workstations sarta OS mobile);
Hayu urang mimitian ku sarat customer urang:
- Pamaké kedah, ngalangkungan auténtikasi Login/Sandi, tiasa ngaunduh klien AnyConnect tina gerbang VPN; sadaya modul AnyConnect anu diperyogikeun kedah dipasang sacara otomatis saluyu sareng kabijakan pangguna;
- Pamaké kedah tiasa sacara otomatis ngaluarkeun sertipikat (pikeun salah sahiji skenario, skenario utama nyaéta penerbitan manual sareng unggah kana PC), tapi kuring ngalaksanakeun masalah otomatis pikeun demonstrasi (henteu telat pikeun ngaleungitkeunana).
- Auténtikasi dasar kedah lumangsung dina sababaraha tahap, mimiti aya auténtikasi sertipikat kalayan analisa widang anu diperyogikeun sareng nilai-nilaina, teras login/sandi, ngan waktos ieu nami pangguna anu ditunjuk dina widang sertipikat kedah diselapkeun kana jandela login. Ngaran Subject (CN) tanpa kamampuhan pikeun ngédit.
- Anjeun kedah pastikeun yén alat ti mana anjeun asup nyaéta laptop perusahaan anu dikaluarkeun ka pangguna pikeun aksés jauh, sareng sanés anu sanés. (Sababaraha pilihan parantos dilakukeun pikeun nyumponan sarat ieu)
- Kaayaan alat panyambungna (dina tahap ieu PC) kedah ditaksir kalayan mariksa sajumlah ageung syarat palanggan (nyimpulkeun):
- File sareng pasipatanana;
- Éntri pendaptaran;
- OS patch tina daptar disadiakeun (engké integrasi SCCM);
- Kasadiaan Anti-Virus ti produsén husus sarta relevansi tanda tangan;
- Kagiatan jasa tangtu;
- Kasadiaan program dipasang tangtu;
Pikeun mimitian, kuring nyarankeun yén anjeun pasti ningali demonstrasi pidéo ngeunaan palaksanaan anu hasilna dina Youtube (5 menit).
Ayeuna kuring ngajukeun mertimbangkeun rinci palaksanaan teu katutupan dina klip video.
Hayu urang nyiapkeun profil AnyConnect:
Kuring saméméhna masihan conto nyieun profil (dina watesan hiji item menu di ASDM) dina artikel abdi on setting . Ayeuna kuring hoyong nyalira catetan pilihan anu urang peryogikeun:
Dina profil, urang bakal nunjukkeun gateway VPN sareng nami profil pikeun nyambungkeun ka klien tungtung:
Hayu urang ngonpigurasikeun penerbitan otomatis sertipikat ti sisi profil, nunjukkeun, khususna, parameter sertipikat sareng, khususna, nengetan lapangan. Inisial (I), dimana nilai husus diasupkeun sacara manual UID mesin test (Identifier alat unik nu dihasilkeun ku klien Cisco AnyConnect).
Di dieu abdi hoyong ngadamel digression liris, sabab artikel ieu ngajelaskeun konsép; pikeun tujuan démo, UDID pikeun ngaluarkeun sertipikat diasupkeun dina widang Initials tina profil AnyConnect. Tangtosna, dina kahirupan nyata, upami anjeun ngalakukeun ieu, maka sadaya klien bakal nampi sertipikat sareng UDID anu sami dina widang ieu sareng teu aya anu tiasa dianggo pikeun aranjeunna, sabab peryogi UDID tina PC khususna. AnyConnect, hanjakalna, teu acan nerapkeun substitusi widang UDID kana propil pamundut sertipikat via variabel lingkungan, saperti kitu, contona, kalawan variabel. %USER%.
Eta sia noting yén nasabah (skenario ieu) mimitina ngarencanakeun pikeun bebas ngaluarkeun sertipikat ku UDID dibikeun dina modeu manual ka PCS nu ditangtayungan misalna, nu teu jadi masalah pikeun anjeunna. Najan kitu, pikeun kalolobaan urang urang hoyong automation (ogé, pikeun kuring éta leres =)).
Sareng ieu anu abdi tiasa nawiskeun dina hal automation. Upami AnyConnect henteu acan tiasa ngaluarkeun sertipikat sacara otomatis ku ngagentos UDID sacara dinamis, maka aya cara sanés anu peryogi sakedik pamikiran kreatif sareng panangan anu terampil - kuring bakal nyarioskeun ka anjeun konsép. Mimiti, hayu urang tingali kumaha UDID dihasilkeun dina sistem operasi anu béda ku agén AnyConnect:
- Windows - SHA-256 Hash tina kombinasi konci pendaptaran DigitalProductID sareng Mesin SID
- OSX - SHA-256 hash PlatformUUID
- Linux - SHA-256 hash UUID partisi akar.
- Apple ios - SHA-256 hash PlatformUUID
- Android - Tingali dokumén dina
Sasuai, urang nyieun skrip pikeun OS Windows perusahaan urang, kalawan naskah ieu urang lokal ngitung UDID ngagunakeun inputs dipikawanoh sarta ngabentuk pamundut pikeun ngaluarkeun sertipikat ku cara nuliskeun UDID ieu dina widang diperlukeun, ku jalan kitu, Anjeun ogé bisa ngagunakeun mesin. sertipikat anu dikaluarkeun ku AD (ku nambihan auténtikasi ganda nganggo sertipikat kana skema Sababaraha Sertipikat).
Hayu urang nyiapkeun setelan dina sisi Cisco ASA:
Hayu urang ngadamel TrustPoint pikeun server ISE CA, éta bakal janten anu bakal ngaluarkeun sertipikat ka klien. Kuring moal nganggap prosedur impor Key-Chain; conto dijelaskeun dina tulisan kuring ngeunaan setelan .
crypto ca trustpoint ISE-CA
enrollment terminal
crl configureUrang ngonpigurasikeun distribusi ku Torowongan-Group dumasar kana aturan luyu jeung widang dina sertipikat nu dipaké pikeun auténtikasi. Profil AnyConnect anu urang damel dina tahap sateuacana ogé dikonpigurasi di dieu. Punten dicatet yén kuring nganggo nilai SECUREBANK-RA, pikeun mindahkeun pamaké kalawan sertipikat dikaluarkeun ka grup torowongan AMAN-BANK-VPN, Punten dicatet yén kuring gaduh widang ieu dina kolom pamundut sertipikat profil AnyConnect.
tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
subject-name attr ou eq securebank-ra
!
webvpn
anyconnect profiles SECUREBANK disk0:/securebank.xml
certificate-group-map OU-Map 6 SECURE-BANK-VPN
!Nyetél server auténtikasi. Bisi kuring, ieu ISE pikeun tahap mimiti auténtikasi sareng DUO (Radius Proxy) salaku MFA.
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!Kami nyiptakeun kawijakan grup sareng grup torowongan sareng komponén bantuna:
Grup torowongan DefaultWEBVPNGroup bakal dianggo utamina pikeun ngaunduh klien AnyConnect VPN sareng ngaluarkeun sertipikat pangguna nganggo fungsi SCEP-Proxy ASA; pikeun ieu kami gaduh pilihan anu saluyu diaktipkeun boh dina grup torowongan sorangan sareng dina kawijakan grup anu aya hubunganana AC-Unduh, sareng dina profil AnyConnect anu dimuat (widang pikeun ngaluarkeun sertipikat, jsb.). Ogé dina kawijakan grup ieu kami nunjukkeun kabutuhan pikeun ngundeur Modul Sikep ISE.
Grup torowongan AMAN-BANK-VPN bakal otomatis dipaké ku klien nalika auténtikasi jeung sertipikat dikaluarkeun dina tahap saméméhna, saprak, luyu jeung Peta bijil, sambungan bakal tumiba husus dina grup torowongan ieu. Kuring gé ngabejaan Anjeun tentang pilihan metot dieu:
- sekundér-auténtikasi-server-grup DUO # Setel auténtikasi sekundér dina server DUO (Radius Proxy)
- ngaran pamaké-ti-sertipikatCN # Pikeun auténtikasi primér, kami nganggo widang CN tina sertipikat pikeun inherit login pamaké
- sekundér-ngaran pamaké-ti-sertipikat I # Pikeun auténtikasi sekundér dina server DUO, kami nganggo nami pangguna anu diekstrak sareng Widang Inisial (I) tina sertipikat.
- klien pre-eusian-ngaran pamaké # ngadamel nami pangguna tos dieusi dina jandela auténtikasi tanpa kamampuan pikeun robih
- sekundér-pre-eusian-ngaran pamaké klién sumputkeun pamakéan-umum-sandi push # Urang nyumputkeun login / sandi jandela input pikeun auténtikasi sekundér DUO sarta ngagunakeun métode bewara (sms / push / telepon) - dok menta auténtikasi tinimbang widang sandi
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!Salajengna urang ngaléngkah ka ISE:
Kami ngonpigurasikeun pangguna lokal (anjeun tiasa nganggo AD / LDAP / ODBC, jsb.), Pikeun kesederhanaan, kuring nyiptakeun pangguna lokal di ISE sorangan sareng ditugaskeun di lapangan. gambaran UDID PC ti mana anjeunna diidinan log in via VPN. Upami kuring nganggo auténtikasi lokal dina ISE, kuring bakal dugi ka ngan ukur hiji alat, sabab henteu seueur lapangan, tapi dina pangkalan data auténtikasi pihak katilu kuring moal gaduh larangan sapertos kitu.
Hayu urang tingali kawijakan otorisasina, éta dibagi kana opat tahap sambungan:
- tahap 1 - Kabijakan pikeun ngaunduh agén AnyConnect sareng ngaluarkeun sertipikat
- tahap 2 - Kabijakan auténtikasi primér Login (tina sertipikat)/Sandi + Sertipikat sareng validasi UDID
- tahap 3 - auténtikasi sekundér via Cisco duo (MFA) ngagunakeun UDID salaku ngaran pamaké + assessment kaayaan
- tahap 4 - Otorisasi ahir aya dina kaayaan:
- patuh;
- Validasi UDID (tina sertipikat + ngariung login),
- Cisco duo MFA;
- Auténtikasi ku login;
- auténtikasi sertipikat;
Hayu urang nempo hiji kaayaan metot UUID_VALIDATE, Sigana mah pamaké authenticating sabenerna asalna ti PC kalawan UDID diwenangkeun pakait dina widang gambaran akun, kaayaanana sapertos kieu:
Profil otorisasi anu dianggo dina tahap 1,2,3 nyaéta kieu:
Anjeun tiasa mariksa persis kumaha UDID ti klien AnyConnect sumping ka kami ku ningali rinci sési klien di ISE. Sacara rinci urang bakal ningali yén AnyConnect ngaliwatan mékanisme ACIDEX ngirimkeun teu ukur informasi ngeunaan platform nu, tapi ogé UDID alat salaku Cisco-AV-PASANG:
Hayu urang nengetan sertipikat anu dikaluarkeun pikeun pangguna sareng lapangan Inisial (I), nu dipaké pikeun nyandak eta salaku login pikeun auténtikasi MFA sekundér on Cisco duo:
Dina sisi DUO Radius Proxy dina log urang tiasa jelas ningali kumaha pamundut auténtikasi dilakukeun, éta nganggo UDID salaku nami pangguna:
Tina portal DUO urang ningali acara auténtikasi anu suksés:
Sareng dina pasipatan pangguna kuring parantos nyetél ALIAS, anu kuring dianggo pikeun login, kahareupna ieu mangrupikeun UDID tina PC anu diidinan pikeun login:
Hasilna urang meunang:
- Multi-faktor pamaké sarta auténtikasi alat;
- Perlindungan ngalawan spoofing alat pamaké;
- Assessing kaayaan alat;
- Poténsi pikeun ngaronjat kontrol jeung sertipikat mesin domain, jsb;
- Perlindungan tempat kerja jauh komprehensif sareng modul kaamanan anu dipasang sacara otomatis;
Tumbu ka artikel runtuyan Cisco VPN:
sumber: www.habr.com