Татбиқи консепсияи дастрасии дурдаст хеле бехатар

Идомаи силсилаи маколахо дар мавзуи ташкилй Дастрасии дурдаст VPN дастрасӣ Ман кӯмак карда наметавонам, балки таҷрибаи ҷолиби густариши худро мубодила кунам конфигуратсияи VPN хеле бехатар. Аз ҷониби як фармоишгар (дар деҳаҳои Русия ихтироъкорон ҳастанд) супориши ғайриоддӣ пешниҳод карда шуд, аммо Даъват қабул карда шуд ва эҷодкорона амалӣ карда шуд. Дар натиҷа як консепсияи ҷолиб бо хусусиятҳои зерин аст:

1. Якчанд омилҳои муҳофизат аз иваз кардани дастгоҳи терминал (бо ҳатмӣ ба корбар);
   • Арзёбии мутобиқати компютери корбар ба UDID таъиншудаи компютери иҷозатдодашуда дар базаи аутентификатсия;
   • Бо ВКД бо истифода аз PC UDID аз сертификат барои аутентификатсияи дуюм тавассути Cisco DUO (Шумо метавонед ягон SAML/Radius мувофиқро замима кунед);
2. Аутентификатсияи бисёрфакторӣ:
   • Шаҳодатномаи корбар бо санҷиши саҳроӣ ва аутентификатсияи дуввум бар зидди яке аз онҳо;
   • Логин (тағйирнопазир, аз сертификат гирифта шудааст) ва парол;
3. Арзёбии ҳолати мизбони пайвасткунанда (Постур)

Компонентҳои ҳалли истифодашуда:

• Cisco ASA (VPN Gateway);
• Cisco ISE (Authentication / Authorization / Accounting, State Evaluation, CA);
• Cisco DUO (Authentication Multifactor) (Шумо метавонед ягон SAML/Radius мувофиқро замима кунед);
• Cisco AnyConnect (агенти бисёрмақсад барои истгоҳҳои корӣ ва OS мобилӣ);

Биёед бо талаботи муштарӣ оғоз кунем:

1. Истифодабаранда бояд тавассути аутентификатсияи Логин/Пароли худ, тавонист мизоҷи AnyConnect-ро аз шлюзи VPN зеркашӣ кунад; ҳама модулҳои зарурии AnyConnect бояд ба таври худкор мувофиқи сиёсати корбар насб карда шаванд;
2. Истифодабаранда бояд ба таври худкор сертификат диҳад (барои яке аз сенарияҳо, сенарияи асосӣ ин додани дастӣ ва боргузорӣ дар компютер аст), аммо ман масъалаи автоматиро барои намоиш амалӣ кардам (барои хориҷ кардани он ҳеҷ гоҳ дер нест).
3. Аутентификатсияи асосӣ бояд дар якчанд марҳила сурат гирад, аввал тасдиқи сертификатсия бо таҳлили майдонҳои зарурӣ ва арзишҳои онҳо мавҷуд аст, пас логин/парол, танҳо дар ин вақт номи корбаре, ки дар майдони сертификат нишон дода шудааст, бояд ба равзанаи воридшавӣ ворид карда шавад. Номи мавзӯъ (CN) бе қобилияти таҳрир.
4. Шумо бояд боварӣ ҳосил кунед, ки дастгоҳе, ки шумо аз он ворид мешавед, ноутбуки корпоративӣ аст, ки ба корбар барои дастрасии дурдаст дода шудааст, на чизи дигар. (Барои қонеъ кардани ин талабот якчанд вариантҳо дода шудаанд)
5. Ҳолати дастгоҳи пайвасткунанда (дар ин марҳила компютер) бояд бо тафтиши ҷадвали пурраи талаботи муштариён (ҷамъбаст) арзёбӣ карда шавад:
   • Файлҳо ва хосиятҳои онҳо;
   • Сабтҳои бақайдгирӣ;
   • Часбҳои OS аз рӯйхати пешниҳодшуда (баъдтар ҳамгироии SCCM);
   • Мавҷудияти Антивирус аз истеҳсолкунандаи мушаххас ва мувофиқати имзоҳо;
   • Фаъолияти баъзе хизматрасониҳо;
   • Мавҷудияти баъзе барномаҳои насбшуда;

Барои оғоз, ман тавсия медиҳам, ки шумо бешубҳа ба намоиши видеоии татбиқи натиҷа нигаред Youtube (5 дақиқа).

Ҳоло ман пешниҳод мекунам, ки тафсилоти татбиқро, ки дар клипи видеоӣ инъикос нашудаанд, баррасӣ кунам.

Биёед профили AnyConnect-ро омода кунем:

Ман қаблан дар мақолаи худ дар бораи танзим мисоли эҷоди профил (аз нуқтаи назари меню дар ASDM) дода будам. Кластери мувозинати сарбории VPN. Ҳоло ман мехоҳам вариантҳоеро, ки ба мо лозиманд, алоҳида қайд намоям:

Дар профил, мо шлюзи VPN ва номи профилро барои пайвастшавӣ ба муштарии ниҳоӣ нишон медиҳем:

Биёед барориши автоматии шаҳодатномаро аз ҷониби профил танзим кунем, бо нишон додани, аз ҷумла, параметрҳои сертификат ва ба таври хос, ба майдон таваҷҷӯҳ зоҳир кунем. Ҳарфҳои ибтидоӣ (I), ки дар он арзиши мушаххас дастӣ ворид карда мешавад УДИД мошини санҷишӣ (Идентификатори беназири дастгоҳ, ки аз ҷониби муштарии Cisco AnyConnect тавлид шудааст).

Дар ин ҷо ман мехоҳам як лирикии лирикӣ кунам, зеро ин мақола консепсияро тавсиф мекунад; бо мақсади намоиш, UDID барои додани шаҳодатнома дар майдони Initials профили AnyConnect ворид карда мешавад. Албатта, дар ҳаёти воқеӣ, агар шумо ин корро кунед, пас ҳамаи муштариён дар ин соҳа шаҳодатномаро бо ҳамон UDID мегиранд ва ҳеҷ чиз барои онҳо кор намекунад, зеро онҳо ба UDID-и компютери мушаххаси худ ниёз доранд. AnyConnect, мутаассифона, ҳоло ивазкунии майдони UDID-ро ба профили дархости сертификат тавассути тағирёбандаи муҳити зист амалӣ намекунад, масалан, бо тағирёбанда. %USER%.

Қобили зикр аст, ки фармоишгар (аз рӯи ин сенария) дар аввал нақша дорад, ки мустақилона шаҳодатномаҳоро бо UDID-и додашуда дар ҳолати дастӣ ба чунин компютерҳои муҳофизатшаванда диҳад, ки ин барои ӯ мушкил нест. Аммо, барои аксари мо мо автоматизатсияро мехоҳем (хуб, барои ман ин дуруст аст =)).

Ва ин аст он чизе ки ман метавонам дар робита ба автоматизатсия пешниҳод кунам. Агар AnyConnect ҳанӯз қодир набошад, ки ба таври динамикӣ иваз кардани UDID сертификат диҳад, пас роҳи дигаре ҳаст, ки каме андешаи эҷодӣ ва дастони моҳирро талаб мекунад - ман ба шумо консепсияро мегӯям. Аввалан, биёед бубинем, ки чӣ тавр UDID дар системаҳои гуногуни амалиётӣ аз ҷониби агенти AnyConnect тавлид мешавад:

• Windows — Хеши SHA-256 аз омезиши калиди сабти DigitalProductID ва Machine SID
• OSX — SHA-256 хэш ПлатформаУУИД
• Linux - SHA-256 хэши UUID қисмати реша.
• Apple IOS — SHA-256 хэш ПлатформаУУИД
• андроид – Ҳуҷҷатро дар пайванд

Мутаносибан, мо барои ОС корпоративии Windows скрипт эҷод мекунем, бо ин скрипт мо UDID-ро бо истифода аз вурудоти маълум ба таври маҳаллӣ ҳисоб мекунем ва дархост барои додани шаҳодатномаро тавассути ворид кардани ин UDID ба майдони зарурӣ таҳия мекунем, дар омади гап, шумо инчунин метавонед мошинро истифода баред. сертификати аз ҷониби AD додашуда (бо илова кардани аутентификатсияи дукарата бо истифода аз сертификат ба нақша Шаҳодатномаи сершумор).

Биёед танзимотро дар тарафи Cisco ASA омода кунем:

Биёед барои сервери ISE CA TrustPoint эҷод кунем, он ҳамонест, ки ба мизоҷон сертификатҳо медиҳад. Ман тартиби воридоти занҷири калидиро баррасӣ намекунам; як мисол дар мақолаи танзимоти ман тавсиф шудааст Кластери мувозинати сарбории VPN.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

Мо тақсимотро аз ҷониби Tunnel-Group дар асоси қоидаҳо мувофиқи майдонҳои сертификат, ки барои аутентификатсия истифода мешавад, танзим мекунем. Профили AnyConnect, ки мо дар марҳилаи қаблӣ сохта будем, инчунин дар ин ҷо танзим карда шудааст. Лутфан қайд кунед, ки ман арзишро истифода мебарам БАНК-РА, барои интиқол додани корбарони дорои шаҳодатномаи додашуда ба гурӯҳи нақбҳо БОНКИ АМИН-VPN, лутфан қайд кунед, ки ман ин майдонро дар сутуни дархости сертификати профили AnyConnect дорам.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

Танзими серверҳои аутентификатсия. Дар ҳолати ман, ин ISE барои марҳилаи аввали аутентификатсия ва DUO (Radius Proxy) ҳамчун MFA мебошад.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

Мо сиёсатҳои гурӯҳӣ ва гурӯҳҳои нақб ва ҷузъҳои ёрирасони онҳоро эҷод мекунем:

Гурӯҳи туннель DefaultWEBVPNGgroup пеш аз ҳама барои зеркашии муштарии AnyConnect VPN ва додани шаҳодатномаи корбар бо истифода аз функсияи SCEP-Proxy-и ASA истифода мешавад; барои ин мо имконоти мувофиқро ҳам дар худи гурӯҳи нақб ва ҳам дар сиёсати гурӯҳи алоқаманд фаъол дорем. AC - Зеркашӣ, ва дар профили AnyConnect боршуда (майдонҳо барои додани сертификат ва ғайра). Инчунин дар ин сиёсати гурӯҳ мо зарурати зеркаширо нишон медиҳем Модули мавқеи ISE.

Гурӯҳи туннель БОНКИ АМИН-VPN ҳангоми тасдиқи сертификати додашуда дар марҳилаи қаблӣ аз ҷониби муштарӣ ба таври худкор истифода мешавад, зеро мувофиқи Харитаи сертификатҳо, пайвастшавӣ махсусан ба ин гурӯҳи нақб рост меояд. Ман ба шумо дар бораи вариантҳои ҷолиб дар ин ҷо мегӯям:

• DUO-сервери-автентификатсияи миёна # Дар сервери DUO (Radius Proxy) аутентификатсияи дуввумро насб кунед
• номи корбар аз сертификатCN # Барои тасдиқи ибтидоӣ, мо майдони CN-и сертификатро барои мерос гирифтани вуруди корбар истифода мебарем
• номи корбари дуюмдараҷа аз шаҳодатнома I # Барои тасдиқи дуюмдараҷа дар сервери DUO, мо номи корбарии истихроҷшуда ва майдонҳои ибтидоии (I) сертификатро истифода мебарем.
• муштарии номи корбарро пешакӣ пур кунед # номи корбарро дар равзанаи аутентификатсия бидуни қобилияти тағир пешакӣ пур кунед
• муштарии дуюмдараҷаи пеш аз пур кардани номи корбар пинҳон кардани истифодаи-умум-парол # Мо равзанаи вуруди логин/паролро барои аутентификатсияи дуввуми DUO пинҳон мекунем ва усули огоҳиномаро (sms/push/phone) истифода мебарем - док барои дархости аутентификатсия ба ҷои майдони парол дар ин ҷо

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

Баъдан мо ба ISE меравем:

Мо корбари маҳаллиро танзим мекунем (шумо метавонед AD/LDAP/ODBC ва ғайраро истифода баред), барои соддагӣ ман дар худи ISE корбари маҳаллӣ эҷод кардам ва онро дар майдон таъин кардам шарҳ Компютери UDID ки аз он ба ӯ иҷозат дода мешавад, ки тавассути VPN ворид шавад. Агар ман аутентификатсияи маҳаллиро дар ISE истифода барам, ман танҳо бо як дастгоҳ маҳдуд мешавам, зеро майдонҳо зиёд нестанд, аммо дар пойгоҳи додаҳои аутентификатсияи тарафи сеюм ман чунин маҳдудиятҳо надорам.

Биёед ба сиёсати авторизатсия назар андозем, он ба чор марҳилаи пайвастшавӣ тақсим мешавад:

• Даври 1 — Сиёсати зеркашии агенти AnyConnect ва додани сертификат
• Даври 2 — Сиёсати ибтидоии аутентификатсия Воридшавӣ (аз сертификат)/Парол + Шаҳодатнома бо тасдиқи UDID
• Даври 3 — Аутентификатсияи дуюмдараҷа тавассути Cisco DUO (MFA) бо истифода аз UDID ҳамчун номи корбар + Арзёбии давлатӣ
• Даври 4 - Иҷозатномаи ниҳоӣ дар ҳолатҳои зерин мавҷуд аст:
  • Мутобиқ;
  • Санҷиши UDID (аз сертификат + ҳатмии воридшавӣ),
  • Cisco DUO ВКХ;
  • Тавассути воридшавӣ;
  • тасдиқи сертификат;

Биёед як ҳолати ҷолибро бубинем UUID_VALIDATED, чунин ба назар мерасад, ки корбари аутентификатсия воқеан аз компютери дорои UDID-и иҷозатдодашуда дар ин соҳа омадааст Тавсифи ҳисоб, шартҳо чунинанд:

Профили иҷозатдодашуда дар марҳилаҳои 1,2,3 чунин аст:

Шумо метавонед дақиқ тафтиш кунед, ки UDID аз муштарии AnyConnect ба мо тавассути дидани тафсилоти сессияи муштарӣ дар ISE чӣ гуна мерасад. Ба таври муфассал мо мебинем, ки AnyConnect тавассути механизм ACIDEX на танхо маълумот дар бораи платформа, балки инчунин UDID-и дастгохро хамчун Cisco-AV-PAIR:

Биёед ба сертификате, ки ба истифодабаранда ва соҳа дода шудааст, таваҷҷӯҳ кунем Ҳарфҳои ибтидоӣ (I), ки барои гирифтани он ҳамчун воридшавӣ барои аутентификатсияи дуюмдараҷаи ВКХ дар Cisco DUO истифода мешавад:

Дар паҳлӯи DUO Radius Proxy дар гузориш мо ба таври возеҳ мебинем, ки дархости аутентификатсия чӣ гуна сурат мегирад, он бо истифода аз UDID ҳамчун номи корбар меояд:

Аз портали DUO мо як ҳодисаи бомуваффақияти аутентификатсияро мебинем:

Ва дар хосиятҳои корбар ман онро муқаррар кардам АЛИАС, ки ман барои воридшавӣ истифода кардам, дар навбати худ, ин UDID-и компютерест, ки барои ворид шудан иҷозат дода шудааст:

Дар натиҷа мо ба даст овардем:

• Аутентификатсияи корбар ва дастгоҳи бисёрсоҳавӣ;
• Муҳофизат аз қаллобии дастгоҳи корбар;
• Арзёбии ҳолати дастгоҳ;
• Потенсиали зиёд кардани назорат бо шаҳодатномаи мошини доменӣ ва ғайра;
• Муҳофизати ҳамаҷонибаи ҷои кор бо модулҳои бехатарии худкор ҷойгиршуда;

Истинодҳо ба мақолаҳои силсилаи Cisco VPN:

• Ҷойгир кардани кластери ASA VPN-и мувозинати сарборӣ
• Беҳтар кардани хидматҳои абрӣ дар нақби AnyConnect VPN дар Cisco ASA

Манбаъ: will.com