Kuendelea mfululizo wa makala juu ya mada ya shirika VPN ya Ufikiaji wa Mbali ufikiaji siwezi kusaidia lakini kushiriki uzoefu wangu wa kuvutia wa utumiaji usanidi salama wa VPN. Kazi isiyo ya kawaida iliwasilishwa na mteja mmoja (kuna wavumbuzi katika vijiji vya Kirusi), lakini Changamoto ilikubaliwa na kutekelezwa kwa ubunifu. Matokeo yake ni dhana ya kuvutia na sifa zifuatazo:
Sababu kadhaa za ulinzi dhidi ya uingizwaji wa kifaa cha terminal (na kumfunga kwa ukali mtumiaji);
Kutathmini kufuata kwa Kompyuta ya mtumiaji na UDID iliyopewa ya Kompyuta inayoruhusiwa katika hifadhidata ya uthibitishaji;
Pamoja na MFA kutumia UDID ya Kompyuta kutoka kwa cheti cha uthibitishaji wa pili kupitia Cisco DUO (Unaweza kuambatisha yoyote inayoendana na SAML/Radius);
Uthibitishaji wa vipengele vingi:
Cheti cha mtumiaji kilicho na uthibitishaji wa shamba na uthibitishaji wa pili dhidi ya mmoja wao;
Ingia (isiyobadilika, imechukuliwa kutoka kwa cheti) na nenosiri;
Kukadiria hali ya seva pangishi inayounganisha (Mkao)
Sehemu za suluhisho zinazotumiwa:
Cisco ASA (Lango la VPN);
Cisco ISE (Uthibitishaji / Uidhinishaji / Uhasibu, Tathmini ya Jimbo, CA);
Cisco DUO (Uthibitishaji wa Mambo Mengi) (Unaweza kuambatisha yoyote inayoendana na SAML/Radius);
Cisco AnyConnect (Wakala wa madhumuni mengi kwa vituo vya kazi na OS ya rununu);
Wacha tuanze na mahitaji ya mteja:
Mtumiaji lazima, kupitia uthibitishaji wake wa Kuingia/Nenosiri, aweze kupakua mteja wa AnyConnect kutoka lango la VPN; moduli zote muhimu za AnyConnect lazima zisakinishwe kiotomatiki kwa mujibu wa sera ya mtumiaji;
Mtumiaji anapaswa kuwa na uwezo wa kutoa cheti kiotomatiki (kwa mojawapo ya hali, hali kuu ni utoaji wa mwongozo na upakiaji kwenye Kompyuta), lakini nilitekeleza suala la kiotomatiki kwa maonyesho (hatujachelewa sana kuiondoa).
Uthibitishaji wa kimsingi lazima ufanyike katika hatua kadhaa, kwanza kuna uthibitishaji wa cheti kwa uchanganuzi wa sehemu muhimu na maadili yao, kisha kuingia/nenosiri, wakati huu tu jina la mtumiaji lililobainishwa kwenye uwanja wa cheti lazima liingizwe kwenye dirisha la kuingia. Jina la Somo (CN) bila uwezo wa kuhariri.
Unahitaji kuhakikisha kwamba kifaa ambacho unaingia ni kompyuta ya mkononi ya ushirika iliyotolewa kwa mtumiaji kwa upatikanaji wa mbali, na si kitu kingine. (Chaguo kadhaa zimefanywa ili kukidhi hitaji hili)
Hali ya kifaa cha kuunganisha (katika hatua hii ya PC) inapaswa kutathminiwa na hundi ya meza nzima ya mahitaji ya mteja (muhtasari):
Faili na mali zao;
Maingizo ya Usajili;
Viraka vya OS kutoka kwenye orodha iliyotolewa (baadaye ushirikiano wa SCCM);
Upatikanaji wa Anti-Virus kutoka kwa mtengenezaji maalum na umuhimu wa saini;
Shughuli ya huduma fulani;
Upatikanaji wa programu fulani zilizowekwa;
Kuanza, ninapendekeza kwamba hakika uangalie onyesho la video la utekelezaji unaotokana Youtube (dakika 5).
Sasa ninapendekeza kuzingatia maelezo ya utekelezaji ambayo hayajafunikwa kwenye klipu ya video.
Wacha tuandae wasifu wa AnyConnect:
Hapo awali nilitoa mfano wa kuunda wasifu (kwa suala la kipengee cha menyu katika ASDM) katika nakala yangu juu ya mpangilio Kundi la Kusawazisha Upakiaji wa VPN. Sasa ningependa kutambua kando chaguzi ambazo tutahitaji:
Katika wasifu, tutaonyesha lango la VPN na jina la wasifu la kuunganishwa na mteja wa mwisho:
Wacha tusanidi utoaji wa cheti kiotomatiki kutoka kwa upande wa wasifu, ikionyesha, haswa, vigezo vya cheti na, kwa tabia, makini na uwanja. Awali (I), ambapo thamani maalum imeingizwa kwa mikono UDID mashine ya majaribio (kitambulisho cha kipekee cha kifaa ambacho kinatolewa na mteja wa Cisco AnyConnect).
Hapa nataka kufanya upunguzaji wa sauti, kwa kuwa makala hii inaelezea dhana; kwa madhumuni ya onyesho, UDID ya kutoa cheti imeingizwa katika sehemu ya Awali ya wasifu wa AnyConnect. Bila shaka, katika maisha halisi, ikiwa utafanya hivyo, basi wateja wote watapokea cheti na UDID sawa katika uwanja huu na hakuna kitu kitakachowafanyia kazi, kwa kuwa wanahitaji UDID ya PC yao maalum. AnyConnect, kwa bahati mbaya, bado haitekelezi ubadilishaji wa uga wa UDID kwenye wasifu wa ombi la cheti kupitia utofauti wa mazingira, kama inavyofanya, kwa mfano, na tofauti. %USER%.
Inafaa kumbuka kuwa mteja (wa hali hii) hapo awali anapanga kutoa vyeti kwa uhuru na UDID iliyotolewa kwa njia ya mwongozo kwa Kompyuta kama hizo zilizolindwa, ambayo sio shida kwake. Hata hivyo, kwa wengi wetu tunataka automatisering (vizuri, kwangu ni kweli =)).
Na hii ndio ninaweza kutoa katika suala la automatisering. Ikiwa AnyConnect bado haiwezi kutoa cheti kiotomatiki kwa kubadilisha UDID kwa nguvu, basi kuna njia nyingine ambayo itahitaji mawazo ya ubunifu kidogo na mikono ya ustadi - nitakuambia dhana. Kwanza, hebu tuangalie jinsi UDID inatolewa kwenye mifumo tofauti ya uendeshaji na wakala wa AnyConnect:
Windows - SHA-256 heshi ya mchanganyiko wa DigitalProductID na ufunguo wa usajili wa Machine SID
OSX β SHA-256 hash PlatformUUID
Linux - SHA-256 heshi ya UUID ya kizigeu cha mizizi.
Ipasavyo, tunaunda hati ya Windows OS yetu ya ushirika, na hati hii tunahesabu UDID ndani kwa kutumia pembejeo zinazojulikana na kuunda ombi la kutoa cheti kwa kuingiza UDID hii kwenye uwanja unaohitajika, kwa njia, unaweza pia kutumia mashine. cheti kilichotolewa na AD (kwa kuongeza uthibitishaji mara mbili kwa kutumia cheti kwenye mpango Cheti Nyingi).
Wacha tuandae mipangilio kwenye upande wa Cisco ASA:
Wacha tuunde TrustPoint kwa seva ya ISE CA, ndiyo itakayotoa vyeti kwa wateja. Sitazingatia utaratibu wa uingizaji wa Key-Chain; mfano umeelezewa katika nakala yangu juu ya usanidi Kundi la Kusawazisha Upakiaji wa VPN.
crypto ca trustpoint ISE-CA
enrollment terminal
crl configure
Tunasanidi usambazaji kwa Tunnel-Group kulingana na sheria kwa mujibu wa sehemu za cheti ambacho kinatumika kwa uthibitishaji. Wasifu wa AnyConnect tuliotengeneza katika hatua ya awali pia umesanidiwa hapa. Tafadhali kumbuka kuwa ninatumia thamani SECUREBANK-RA, kuhamisha watumiaji walio na cheti kilichotolewa kwa kikundi cha handaki SALAMA-BANK-VPN, tafadhali kumbuka kuwa nina sehemu hii katika safu wima ya ombi la cheti cha wasifu wa AnyConnect.
Kuweka seva za uthibitishaji. Kwa upande wangu, hii ni ISE kwa hatua ya kwanza ya uthibitishaji na DUO (Radius Proxy) kama MFA.
! CISCO ISE
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 24
dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
timeout 60
key *****
authentication-port 1812
accounting-port 1813
no mschapv2-capable
!
Tunaunda sera za vikundi na vikundi vya handaki na vipengee vyake vya usaidizi:
Kikundi cha handaki ChaguomsingiWEBVPNGroup itatumika hasa kupakua mteja wa AnyConnect VPN na kutoa cheti cha mtumiaji kwa kutumia kitendakazi cha SCEP-Proxy cha ASA; kwa hili tuna chaguo sambamba zilizowashwa kwenye kikundi chenyewe cha handaki na kwenye sera ya kikundi husika. AC-Pakua, na kwenye wasifu uliopakiwa wa AnyConnect (sehemu za kutoa cheti, n.k.). Pia katika sera hii ya kikundi tunaonyesha hitaji la kupakua Moduli ya Mkao wa ISE.
Kikundi cha handaki SALAMA-BANK-VPN itatumiwa moja kwa moja na mteja wakati wa kuthibitisha na cheti iliyotolewa katika hatua ya awali, kwa kuwa, kwa mujibu wa Ramani ya Cheti, uunganisho utaanguka hasa kwenye kikundi hiki cha handaki. Nitakuambia juu ya chaguzi za kuvutia hapa:
uthibitishaji-sekondari-server-kundi DUO # Weka uthibitishaji wa sekondari kwenye seva ya DUO (Proksi ya Radius)
jina la mtumiaji-kutoka-chetiCN # Kwa uthibitishaji wa msingi, tunatumia uga wa CN wa cheti kurithi kuingia kwa mtumiaji
sekondari-jina la mtumiaji-kutoka-cheti I # Kwa uthibitishaji wa pili kwenye seva ya DUO, tunatumia jina la mtumiaji lililotolewa na sehemu za Awali (I) za cheti.
mteja wa jina la mtumiaji kabla ya kujaza # fanya jina la mtumiaji lijazwe mapema kwenye dirisha la uthibitishaji bila uwezo wa kubadilika
mteja-kabisa-kabla ya kujaza-jina la mtumiaji ficha matumizi-kawaida-nenosiri kushinikiza # Tunaficha dirisha la kuingia/nenosiri kwa uthibitishaji wa pili wa DUO na kutumia mbinu ya arifa (sms/push/simu) - kizimbani kuomba uthibitishaji badala ya uga wa nenosiri. hapa
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!
Ifuatayo tunaendelea kwa ISE:
Tunasanidi mtumiaji wa ndani (unaweza kutumia AD/LDAP/ODBC, n.k.), kwa unyenyekevu, niliunda mtumiaji wa ndani katika ISE yenyewe na kuikabidhi kwenye uwanja. maelezoKompyuta ya UDID ambayo anaruhusiwa kuingia kupitia VPN. Ikiwa ninatumia uthibitishaji wa ndani kwenye ISE, nitapunguzwa kwa kifaa kimoja tu, kwa kuwa hakuna sehemu nyingi, lakini katika hifadhidata za uthibitishaji wa wahusika wengine sitakuwa na vizuizi kama hivyo.
Wacha tuangalie sera ya idhini, imegawanywa katika hatua nne za unganisho:
Hatua 1 - Sera ya kupakua wakala wa AnyConnect na kutoa cheti
Hatua 2 β Sera ya msingi ya uthibitishaji Ingia (kutoka cheti)/Nenosiri + Cheti chenye uthibitisho wa UDID
Hatua 3 - Uthibitishaji wa Sekondari kupitia Cisco DUO (MFA) kwa kutumia UDID kama jina la mtumiaji + Tathmini ya Jimbo
Hatua 4 - Idhini ya mwisho iko katika jimbo:
Kukubaliana;
Uthibitishaji wa UDID (kutoka cheti + kuingia kwa kisheria),
Cisco DUO MFA;
Uthibitishaji kwa kuingia;
Uthibitishaji wa cheti;
Hebu tuangalie hali ya kuvutia UUID_VALIDATED, inaonekana kama mtumiaji wa uthibitishaji alitoka kwa Kompyuta na UDID inayoruhusiwa inayohusishwa kwenye uwanja. Maelezo akaunti, masharti yanaonekana kama hii:
Wasifu wa uidhinishaji unaotumika katika hatua 1,2,3 ni kama ifuatavyo:
Unaweza kuangalia jinsi UDID kutoka kwa mteja wa AnyConnect huja kwetu kwa kuangalia maelezo ya kipindi cha mteja katika ISE. Kwa undani tutaona kwamba AnyConnect kupitia utaratibu ACIDEX hutuma taarifa tu kuhusu jukwaa, lakini pia UDID ya kifaa kama Cisco-AV-PAIR:
Wacha tuzingatie cheti kilichotolewa kwa mtumiaji na uwanja Awali (I), ambayo hutumiwa kuichukua kama kuingia kwa uthibitishaji wa sekondari wa MFA kwenye Cisco DUO:
Kwa upande wa Wakala wa Radi ya DUO kwenye logi tunaweza kuona wazi jinsi ombi la uthibitishaji linafanywa, inakuja kwa kutumia UDID kama jina la mtumiaji:
Kutoka kwa lango la DUO tunaona tukio lililofaulu la uthibitishaji:
Na katika mali ya mtumiaji nimeiweka ALIAS, ambayo nilitumia kuingia, kwa upande wake, hii ndio UDID ya PC inayoruhusiwa kuingia:
Kama matokeo, tulipata:
Uthibitishaji wa vipengele vingi vya mtumiaji na kifaa;
Ulinzi dhidi ya uharibifu wa kifaa cha mtumiaji;
Tathmini ya hali ya kifaa;
Uwezo wa kuongezeka kwa udhibiti na cheti cha mashine ya kikoa, nk;
Ulinzi wa kina wa mahali pa kazi wa mbali na moduli za usalama zilizowekwa kiotomatiki;