Utekelezaji wa dhana ya ufikiaji salama wa mbali

Kuendelea mfululizo wa makala juu ya mada ya shirika VPN ya Ufikiaji wa Mbali ufikiaji siwezi kusaidia lakini kushiriki uzoefu wangu wa kuvutia wa utumiaji usanidi salama wa VPN. Kazi isiyo ya kawaida iliwasilishwa na mteja mmoja (kuna wavumbuzi katika vijiji vya Kirusi), lakini Changamoto ilikubaliwa na kutekelezwa kwa ubunifu. Matokeo yake ni dhana ya kuvutia na sifa zifuatazo:

1. Sababu kadhaa za ulinzi dhidi ya uingizwaji wa kifaa cha terminal (na kumfunga kwa ukali mtumiaji);
   • Kutathmini kufuata kwa Kompyuta ya mtumiaji na UDID iliyopewa ya Kompyuta inayoruhusiwa katika hifadhidata ya uthibitishaji;
   • Pamoja na MFA kutumia UDID ya Kompyuta kutoka kwa cheti cha uthibitishaji wa pili kupitia Cisco DUO (Unaweza kuambatisha yoyote inayoendana na SAML/Radius);
2. Uthibitishaji wa vipengele vingi:
   • Cheti cha mtumiaji kilicho na uthibitishaji wa shamba na uthibitishaji wa pili dhidi ya mmoja wao;
   • Ingia (isiyobadilika, imechukuliwa kutoka kwa cheti) na nenosiri;
3. Kukadiria hali ya seva pangishi inayounganisha (Mkao)

Sehemu za suluhisho zinazotumiwa:

• Cisco ASA (Lango la VPN);
• Cisco ISE (Uthibitishaji / Uidhinishaji / Uhasibu, Tathmini ya Jimbo, CA);
• Cisco DUO (Uthibitishaji wa Mambo Mengi) (Unaweza kuambatisha yoyote inayoendana na SAML/Radius);
• Cisco AnyConnect (Wakala wa madhumuni mengi kwa vituo vya kazi na OS ya rununu);

Wacha tuanze na mahitaji ya mteja:

1. Mtumiaji lazima, kupitia uthibitishaji wake wa Kuingia/Nenosiri, aweze kupakua mteja wa AnyConnect kutoka lango la VPN; moduli zote muhimu za AnyConnect lazima zisakinishwe kiotomatiki kwa mujibu wa sera ya mtumiaji;
2. Mtumiaji anapaswa kuwa na uwezo wa kutoa cheti kiotomatiki (kwa mojawapo ya hali, hali kuu ni utoaji wa mwongozo na upakiaji kwenye Kompyuta), lakini nilitekeleza suala la kiotomatiki kwa maonyesho (hatujachelewa sana kuiondoa).
3. Uthibitishaji wa kimsingi lazima ufanyike katika hatua kadhaa, kwanza kuna uthibitishaji wa cheti kwa uchanganuzi wa sehemu muhimu na maadili yao, kisha kuingia/nenosiri, wakati huu tu jina la mtumiaji lililobainishwa kwenye uwanja wa cheti lazima liingizwe kwenye dirisha la kuingia. Jina la Somo (CN) bila uwezo wa kuhariri.
4. Unahitaji kuhakikisha kwamba kifaa ambacho unaingia ni kompyuta ya mkononi ya ushirika iliyotolewa kwa mtumiaji kwa upatikanaji wa mbali, na si kitu kingine. (Chaguo kadhaa zimefanywa ili kukidhi hitaji hili)
5. Hali ya kifaa cha kuunganisha (katika hatua hii ya PC) inapaswa kutathminiwa na hundi ya meza nzima ya mahitaji ya mteja (muhtasari):
   • Faili na mali zao;
   • Maingizo ya Usajili;
   • Viraka vya OS kutoka kwenye orodha iliyotolewa (baadaye ushirikiano wa SCCM);
   • Upatikanaji wa Anti-Virus kutoka kwa mtengenezaji maalum na umuhimu wa saini;
   • Shughuli ya huduma fulani;
   • Upatikanaji wa programu fulani zilizowekwa;

Kuanza, ninapendekeza kwamba hakika uangalie onyesho la video la utekelezaji unaotokana Youtube (dakika 5).

Sasa ninapendekeza kuzingatia maelezo ya utekelezaji ambayo hayajafunikwa kwenye klipu ya video.

Wacha tuandae wasifu wa AnyConnect:

Hapo awali nilitoa mfano wa kuunda wasifu (kwa suala la kipengee cha menyu katika ASDM) katika nakala yangu juu ya mpangilio Kundi la Kusawazisha Upakiaji wa VPN. Sasa ningependa kutambua kando chaguzi ambazo tutahitaji:

Katika wasifu, tutaonyesha lango la VPN na jina la wasifu la kuunganishwa na mteja wa mwisho:

Wacha tusanidi utoaji wa cheti kiotomatiki kutoka kwa upande wa wasifu, ikionyesha, haswa, vigezo vya cheti na, kwa tabia, makini na uwanja. Awali (I), ambapo thamani maalum imeingizwa kwa mikono UDID mashine ya majaribio (kitambulisho cha kipekee cha kifaa ambacho kinatolewa na mteja wa Cisco AnyConnect).

Hapa nataka kufanya upunguzaji wa sauti, kwa kuwa makala hii inaelezea dhana; kwa madhumuni ya onyesho, UDID ya kutoa cheti imeingizwa katika sehemu ya Awali ya wasifu wa AnyConnect. Bila shaka, katika maisha halisi, ikiwa utafanya hivyo, basi wateja wote watapokea cheti na UDID sawa katika uwanja huu na hakuna kitu kitakachowafanyia kazi, kwa kuwa wanahitaji UDID ya PC yao maalum. AnyConnect, kwa bahati mbaya, bado haitekelezi ubadilishaji wa uga wa UDID kwenye wasifu wa ombi la cheti kupitia utofauti wa mazingira, kama inavyofanya, kwa mfano, na tofauti. %USER%.

Inafaa kumbuka kuwa mteja (wa hali hii) hapo awali anapanga kutoa vyeti kwa uhuru na UDID iliyotolewa kwa njia ya mwongozo kwa Kompyuta kama hizo zilizolindwa, ambayo sio shida kwake. Hata hivyo, kwa wengi wetu tunataka automatisering (vizuri, kwangu ni kweli =)).

Na hii ndio ninaweza kutoa katika suala la automatisering. Ikiwa AnyConnect bado haiwezi kutoa cheti kiotomatiki kwa kubadilisha UDID kwa nguvu, basi kuna njia nyingine ambayo itahitaji mawazo ya ubunifu kidogo na mikono ya ustadi - nitakuambia dhana. Kwanza, hebu tuangalie jinsi UDID inatolewa kwenye mifumo tofauti ya uendeshaji na wakala wa AnyConnect:

• Windows - SHA-256 heshi ya mchanganyiko wa DigitalProductID na ufunguo wa usajili wa Machine SID
• OSX — SHA-256 hash PlatformUUID
• Linux - SHA-256 heshi ya UUID ya kizigeu cha mizizi.
• Apple iOS — SHA-256 hash PlatformUUID
• Android - Angalia hati kiungo

Ipasavyo, tunaunda hati ya Windows OS yetu ya ushirika, na hati hii tunahesabu UDID ndani kwa kutumia pembejeo zinazojulikana na kuunda ombi la kutoa cheti kwa kuingiza UDID hii kwenye uwanja unaohitajika, kwa njia, unaweza pia kutumia mashine. cheti kilichotolewa na AD (kwa kuongeza uthibitishaji mara mbili kwa kutumia cheti kwenye mpango Cheti Nyingi).

Wacha tuandae mipangilio kwenye upande wa Cisco ASA:

Wacha tuunde TrustPoint kwa seva ya ISE CA, ndiyo itakayotoa vyeti kwa wateja. Sitazingatia utaratibu wa uingizaji wa Key-Chain; mfano umeelezewa katika nakala yangu juu ya usanidi Kundi la Kusawazisha Upakiaji wa VPN.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

Tunasanidi usambazaji kwa Tunnel-Group kulingana na sheria kwa mujibu wa sehemu za cheti ambacho kinatumika kwa uthibitishaji. Wasifu wa AnyConnect tuliotengeneza katika hatua ya awali pia umesanidiwa hapa. Tafadhali kumbuka kuwa ninatumia thamani SECUREBANK-RA, kuhamisha watumiaji walio na cheti kilichotolewa kwa kikundi cha handaki SALAMA-BANK-VPN, tafadhali kumbuka kuwa nina sehemu hii katika safu wima ya ombi la cheti cha wasifu wa AnyConnect.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

Kuweka seva za uthibitishaji. Kwa upande wangu, hii ni ISE kwa hatua ya kwanza ya uthibitishaji na DUO (Radius Proxy) kama MFA.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

Tunaunda sera za vikundi na vikundi vya handaki na vipengee vyake vya usaidizi:

Kikundi cha handaki ChaguomsingiWEBVPNGroup itatumika hasa kupakua mteja wa AnyConnect VPN na kutoa cheti cha mtumiaji kwa kutumia kitendakazi cha SCEP-Proxy cha ASA; kwa hili tuna chaguo sambamba zilizowashwa kwenye kikundi chenyewe cha handaki na kwenye sera ya kikundi husika. AC-Pakua, na kwenye wasifu uliopakiwa wa AnyConnect (sehemu za kutoa cheti, n.k.). Pia katika sera hii ya kikundi tunaonyesha hitaji la kupakua Moduli ya Mkao wa ISE.

Kikundi cha handaki SALAMA-BANK-VPN itatumiwa moja kwa moja na mteja wakati wa kuthibitisha na cheti iliyotolewa katika hatua ya awali, kwa kuwa, kwa mujibu wa Ramani ya Cheti, uunganisho utaanguka hasa kwenye kikundi hiki cha handaki. Nitakuambia juu ya chaguzi za kuvutia hapa:

• uthibitishaji-sekondari-server-kundi DUO # Weka uthibitishaji wa sekondari kwenye seva ya DUO (Proksi ya Radius)
• jina la mtumiaji-kutoka-chetiCN # Kwa uthibitishaji wa msingi, tunatumia uga wa CN wa cheti kurithi kuingia kwa mtumiaji
• sekondari-jina la mtumiaji-kutoka-cheti I # Kwa uthibitishaji wa pili kwenye seva ya DUO, tunatumia jina la mtumiaji lililotolewa na sehemu za Awali (I) za cheti.
• mteja wa jina la mtumiaji kabla ya kujaza # fanya jina la mtumiaji lijazwe mapema kwenye dirisha la uthibitishaji bila uwezo wa kubadilika
• mteja-kabisa-kabla ya kujaza-jina la mtumiaji ficha matumizi-kawaida-nenosiri kushinikiza # Tunaficha dirisha la kuingia/nenosiri kwa uthibitishaji wa pili wa DUO na kutumia mbinu ya arifa (sms/push/simu) - kizimbani kuomba uthibitishaji badala ya uga wa nenosiri. hapa

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

Ifuatayo tunaendelea kwa ISE:

Tunasanidi mtumiaji wa ndani (unaweza kutumia AD/LDAP/ODBC, n.k.), kwa unyenyekevu, niliunda mtumiaji wa ndani katika ISE yenyewe na kuikabidhi kwenye uwanja. maelezo Kompyuta ya UDID ambayo anaruhusiwa kuingia kupitia VPN. Ikiwa ninatumia uthibitishaji wa ndani kwenye ISE, nitapunguzwa kwa kifaa kimoja tu, kwa kuwa hakuna sehemu nyingi, lakini katika hifadhidata za uthibitishaji wa wahusika wengine sitakuwa na vizuizi kama hivyo.

Wacha tuangalie sera ya idhini, imegawanywa katika hatua nne za unganisho:

• Hatua 1 - Sera ya kupakua wakala wa AnyConnect na kutoa cheti
• Hatua 2 — Sera ya msingi ya uthibitishaji Ingia (kutoka cheti)/Nenosiri + Cheti chenye uthibitisho wa UDID
• Hatua 3 - Uthibitishaji wa Sekondari kupitia Cisco DUO (MFA) kwa kutumia UDID kama jina la mtumiaji + Tathmini ya Jimbo
• Hatua 4 - Idhini ya mwisho iko katika jimbo:
  • Kukubaliana;
  • Uthibitishaji wa UDID (kutoka cheti + kuingia kwa kisheria),
  • Cisco DUO MFA;
  • Uthibitishaji kwa kuingia;
  • Uthibitishaji wa cheti;

Hebu tuangalie hali ya kuvutia UUID_VALIDATED, inaonekana kama mtumiaji wa uthibitishaji alitoka kwa Kompyuta na UDID inayoruhusiwa inayohusishwa kwenye uwanja. Maelezo akaunti, masharti yanaonekana kama hii:

Wasifu wa uidhinishaji unaotumika katika hatua 1,2,3 ni kama ifuatavyo:

Unaweza kuangalia jinsi UDID kutoka kwa mteja wa AnyConnect huja kwetu kwa kuangalia maelezo ya kipindi cha mteja katika ISE. Kwa undani tutaona kwamba AnyConnect kupitia utaratibu ACIDEX hutuma taarifa tu kuhusu jukwaa, lakini pia UDID ya kifaa kama Cisco-AV-PAIR:

Wacha tuzingatie cheti kilichotolewa kwa mtumiaji na uwanja Awali (I), ambayo hutumiwa kuichukua kama kuingia kwa uthibitishaji wa sekondari wa MFA kwenye Cisco DUO:

Kwa upande wa Wakala wa Radi ya DUO kwenye logi tunaweza kuona wazi jinsi ombi la uthibitishaji linafanywa, inakuja kwa kutumia UDID kama jina la mtumiaji:

Kutoka kwa lango la DUO tunaona tukio lililofaulu la uthibitishaji:

Na katika mali ya mtumiaji nimeiweka ALIAS, ambayo nilitumia kuingia, kwa upande wake, hii ndio UDID ya PC inayoruhusiwa kuingia:

Kama matokeo, tulipata:

• Uthibitishaji wa vipengele vingi vya mtumiaji na kifaa;
• Ulinzi dhidi ya uharibifu wa kifaa cha mtumiaji;
• Tathmini ya hali ya kifaa;
• Uwezo wa kuongezeka kwa udhibiti na cheti cha mashine ya kikoa, nk;
• Ulinzi wa kina wa mahali pa kazi wa mbali na moduli za usalama zilizowekwa kiotomatiki;

Viungo kwa nakala za mfululizo wa Cisco VPN:

• Inapeleka Kundi la Kusawazisha Mizigo la ASA VPN
• Kuboresha huduma za wingu katika kichuguu cha AnyConnect VPN kwenye Cisco ASA

Chanzo: mapenzi.com