ימפּלאַמענטיישאַן פון דער באַגריף פון העכסט זיכער ווייַט אַקסעס

פאָרזעצן די סעריע פון ​​אַרטיקלען אויף דער טעמע פון ​​אָרגאַניזאַציע ווייַט אַקסעס וופּן אַקסעס איך קען נישט העלפֿן אָבער טיילן מיין טשיקאַווע דיפּלוימאַנט דערפאַרונג העכסט זיכער VPN קאַנפיגיעריישאַן. א ניט-ניט-ניטוויאַל אַרבעט איז געווען דערלאנגט דורך איין קונה (עס זענען ינווענטאָרס אין רוסישע דערפער), אָבער די טשאַלאַנדזש איז געווען אנגענומען און קריייטיוולי ימפּלאַמענאַד. דער רעזולטאַט איז אַ טשיקאַווע באַגריף מיט די פאלגענדע קעראַקטעריסטיקס:

1. עטלעכע סיבות פון שוץ קעגן סאַבסטיטושאַן פון די וואָקזאַל מיטל (מיט שטרענג ביינדינג צו דער באַניצער);
   • אַססעסס די העסקעם פון די באַניצער 'ס פּיסי מיט די אַסיינד UDID פון די ערלויבט פּיסי אין די אָטענטאַקיישאַן דאַטאַבייס;
   • מיט MFA ניצן די PC UDID פֿון די באַווייַזן פֿאַר צווייטיק אָטענטאַקיישאַן דורך Cisco DUO (איר קענען צוטשעפּען קיין סאַמל / ראַדיוס קאַמפּאַטאַבאַל איינער);
2. מולטי-פאַקטאָר אָטענטאַקיישאַן:
   • באַניצער באַווייַזן מיט פעלד וועראַפאַקיישאַן און צווייטיק אָטענטאַקיישאַן קעגן איינער פון זיי;
   • לאָגין (אַנטשיינדזשאַבאַל, גענומען פון די באַווייַזן) און פּאַראָל;
3. אָפּשאַצן די שטאַט פון די קאַנעקטינג באַלעבאָס (האַלטנ זיך)

לייזונג קאַמפּאָונאַנץ געניצט:

• Cisco ASA (VPN Gateway);
• Cisco ISE (אָטענטאַקיישאַן / דערלויבעניש / אַקאַונטינג, שטאַט עוואַלואַטיאָן, CA);
• Cisco DUO (מולטי-פאַקטאָר אָטענטאַקיישאַן) (איר קענען צוטשעפּען קיין סאַמל / ראַדיוס קאַמפּאַטאַבאַל איינער);
• Cisco AnyConnect (מולטי-ציל אַגענט פֿאַר ווערקסטיישאַנז און רירעוודיק אַס);

לאָמיר אָנהייבן מיט די רעקווירעמענץ פון דער קונה:

1. דער באַניצער מוזן, דורך זיין לאָגין / פּאַראָל אָטענטאַקיישאַן, קענען צו אָפּלאָדירן די AnyConnect קליענט פֿון די VPN גייטוויי; אַלע נייטיק AnyConnect מאַדזשולז מוזן זיין אינסטאַלירן אויטאָמאַטיש אין לויט מיט דער באַניצער ס פּאָליטיק;
2. דער באַניצער זאָל קענען אויטאָמאַטיש אַרויסגעבן אַ באַווייַזן (פֿאַר איינער פון די סינעריאָוז, דער הויפּט סצענאַר איז מאַנואַל ישואַנס און ופּלאָאַדינג אויף אַ פּיסי), אָבער איך ימפּלאַמענאַד אָטאַמאַטיק אַרויסגעבן פֿאַר דעמאַנסטריישאַן (עס איז קיינמאָל צו שפּעט צו באַזייַטיקן עס).
3. יקערדיק אָטענטאַקיישאַן מוזן נעמען אָרט אין עטלעכע סטאַגעס, ערשטער עס איז באַווייַזן אָטענטאַקיישאַן מיט אַנאַליסיס פון די נייטיק פעלדער און זייער וואַלועס, דערנאָך לאָגין / פּאַראָל, נאָר דאָס מאָל די באַניצער נאָמען ספּעסיפיעד אין די באַווייַזן פעלד מוזן זיין ינסערטאַד אין די לאָגין פֿענצטער. טעמע נאָמען (CN) אָן די פיייקייַט צו רעדאַגירן.
4. איר דאַרפֿן צו מאַכן זיכער אַז די מיטל פון וואָס איר לאָגינג אין איז די פֿירמע לאַפּטאַפּ ארויס צו דער באַניצער פֿאַר ווייַט אַקסעס, און נישט עפּעס אַנדערש. (עטלעכע אָפּציעס זענען געמאכט צו באַפרידיקן דעם פאָדערונג)
5. די שטאַט פון די קאַנעקטינג מיטל (אין דעם בינע פּיסי) זאָל זיין אַססעססעד מיט אַ טשעק פון אַ גאַנץ כעפטי טיש פון קונה באדערפענישן (סאַמערייזינג):
   • טעקעס און זייער פּראָפּערטיעס;
   • רעגיסטרי איינסן;
   • אַס פּאַטשאַז פון די צוגעשטעלט רשימה (שפּעטער SCCM ינאַגריישאַן);
   • אַוואַילאַביליטי פון אַנטי-ווירוס פון אַ ספּעציפיש פאַבריקאַנט און די שייכות פון סיגנאַטשערז;
   • אַקטיוויטעט פון זיכער באַדינונגס;
   • אַוואַילאַביליטי פון זיכער אינסטאַלירן מגילה;

צו אָנהייבן מיט, איך פֿאָרשלאָגן איר באשטימט קוק אין די ווידעא דעמאַנסטריישאַן פון די ריזאַלטינג ימפּלאַמענטיישאַן אויף יאָוטובע (5 מינוט).

איצט איך פאָרשלאָגן צו באַטראַכטן די ימפּלאַמענטיישאַן דעטאַילס וואָס זענען נישט קאַווערד אין די ווידעא קלעמערל.

לאָמיר צוגרייטן די AnyConnect פּראָפיל:

איך האָב פריער געגעבן אַ ביישפּיל פון קריייטינג אַ פּראָפיל (אין טערמינען פון אַ מעניו נומער אין ASDM) אין מיין אַרטיקל וועגן באַשטעטיקן VPN מאַסע-באַלאַנסינג קלאַסטער. איצט איך וואָלט ווי צו באמערקן די אָפּציעס וואָס מיר דאַרפֿן:

אין דעם פּראָפיל, מיר וועלן אָנווייַזן די VPN גייטוויי און די פּראָפיל נאָמען פֿאַר קאַנעקטינג צו די סוף קליענט:

לאָמיר קאַנפיגיער די אָטאַמאַטיק ישואַנס פון אַ באַווייַזן פון די פּראָפיל זייַט, ינדאַקייטינג, אין באַזונדער, די באַווייַזן פּאַראַמעטערס און, קעראַקטעריסטיקלי, ופמערקזאַמקייט צו די פעלד איניציאלן (איך), ווו אַ ספּעציפיש ווערט איז מאַניואַלי אריין UIDID פּרובירן מאַשין (אייניקלעך מיטל אידענטיטעט וואָס איז דזשענערייטאַד דורך די Cisco AnyConnect קליענט).

דאָ איך ווילן צו מאַכן אַ ליריקאַל דיגרעשאַן, ווייַל דער אַרטיקל באשרייבט דעם באַגריף; פֿאַר דעמאַנסטריישאַן צוועקן, די UDID פֿאַר אַרויסגעבן אַ באַווייַזן איז אריין אין די איניציאלן פעלד פון די AnyConnect פּראָפיל. פון קורס, אין פאַקטיש לעבן, אויב איר טאָן דאָס, אַלע קלייאַנץ באַקומען אַ באַווייַזן מיט דער זעלביקער UDID אין דעם פעלד און גאָרנישט וועט אַרבעטן פֿאַר זיי, ווייַל זיי דאַרפֿן די UDID פון זייער ספּעציפיש פּיסי. אַניקאָננעקט, ליידער, טוט נישט נאָך ינסטרומענט סאַבסטיטושאַן פון די UDID פעלד אין די באַווייַזן בעטן פּראָפיל דורך אַ סוויווע בייַטעוודיק, ווי עס טוט, למשל, מיט אַ בייַטעוודיק. %USER%.

עס איז כדאי צו באמערקן אַז דער קונה (פון דעם סצענאַר) טכילעס פּלאַנז צו ינדיפּענדאַנטלי אַרויסגעבן סערטיפיקאַץ מיט אַ געגעבן UDID אין מאַנואַל מאָדע צו אַזאַ פּראָטעקטעד פּיסי, וואָס איז נישט אַ פּראָבלעם פֿאַר אים. אָבער, פֿאַר רובֿ פון אונדז מיר וועלן אָטאַמיישאַן (נו, דאָס איז אמת פֿאַר מיר =)).

און דאָס איז וואָס איך קענען פאָרשלאָגן אין טערמינען פון אָטאַמיישאַן. אויב AnyConnect איז נאָך נישט ביכולת צו אַרויסגעבן אַ באַווייַזן אויטאָמאַטיש דורך דינאַמיקאַללי פאַרבייַטן די UDID, עס איז אן אנדער וועג וואָס וועט דאַרפן אַ ביסל שעפעריש געדאַנק און בערייש הענט - איך וועל זאָגן איר דעם באַגריף. ערשטער, לאָמיר זען ווי די UDID איז דזשענערייטאַד אויף פאַרשידענע אָפּערייטינג סיסטעמען דורך די AnyConnect אַגענט:

• פֿענצטער - SHA-256 האַש פון די קאָמבינאַציע פון ​​די DigitalProductID און Machine SID רעגיסטרי שליסל
• אָסקס — SHA-256 hash PlatformUUID
• לינוקס - SHA-256 האַש פון די UUID פון די וואָרצל צעטיילונג.
• עפּל יאָס — SHA-256 hash PlatformUUID
• אַנדרויד – זען דאָקומענט אויף רונג

אַקקאָרדינגלי, מיר מאַכן אַ שריפט פֿאַר אונדזער פֿירמע Windows אַס, מיט דעם שריפט מיר לאָוקאַלי רעכענען די UDID ניצן באַוווסט ינפּוץ און פאָרעם אַ בקשה צו אַרויסגעבן אַ באַווייַזן דורך אַרייַן דעם UDID אין די פארלאנגט פעלד, דורך דעם וועג, איר קענט אויך נוצן אַ מאַשין באַווייַזן ארויס דורך AD (דורך אַדינג טאָפּל אָטענטאַקיישאַן ניצן אַ באַווייַזן צו די סכעמע קייפל סערטיפיקאַט).

לאָמיר צוגרייטן די סעטטינגס אויף די Cisco ASA זייַט:

לאָמיר מאַכן אַ TrustPoint פֿאַר די ISE CA סערווער, עס וועט זיין דער וואָס וועט אַרויסגעבן סערטיפיקאַץ צו קלייאַנץ. איך וועל נישט באַטראַכטן די שליסל-קייט אַרייַנפיר פּראָצעדור; אַ ביישפּיל איז דיסקרייבד אין מיין אַרטיקל אויף סעטאַפּ VPN מאַסע-באַלאַנסינג קלאַסטער.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

מיר קאַנפיגיער פאַרשפּרייטונג דורך טונעל-גרופּע באזירט אויף כּללים אין לויט מיט די פעלדער אין די באַווייַזן וואָס איז געניצט פֿאַר אָטענטאַקיישאַן. די AnyConnect פּראָפיל מיר געמאכט אין די פריערדיקע בינע איז אויך קאַנפיגיערד דאָ. ביטע טאָן אַז איך נוצן די ווערט SECUREBANK-RA, צו אַריבערפירן וסערס מיט אַ ארויס באַווייַזן צו אַ טונעל גרופּע זיכער-BANK-VPN, ביטע טאָן אַז איך האָבן דעם פעלד אין די AnyConnect פּראָפיל באַווייַזן בעטן זייַל.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

באַשטעטיקן אָטענטאַקיישאַן סערווערס. אין מיין פאַל, דאָס איז ISE פֿאַר דער ערשטער בינע פון ​​אָטענטאַקיישאַן און DUO (Radius Proxy) ווי MFA.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

מיר שאַפֿן גרופּע פּאַלאַסיז און טונעל גרופּעס און זייער אַגזיליערי קאַמפּאָונאַנץ:

טונעל גרופּע DefaultWEBVPNGroup וועט זיין געוויינט בפֿרט צו אָפּלאָדירן די AnyConnect VPN קליענט און אַרויסגעבן אַ באַניצער באַווייַזן ניצן די SCEP-Proxy פונקציע פון ​​​​די ASA; פֿאַר דעם מיר האָבן די קאָראַספּאַנדינג אָפּציעס אַקטיווייטיד ביידע אויף די טונעל גרופּע זיך און אויף די פֿאַרבונדן גרופּע פּאָליטיק AC-Download, און אויף די לאָודיד AnyConnect פּראָפיל (פעלדער פֿאַר אַרויסגעבן אַ באַווייַזן, אאז"ו ו). אויך אין דעם גרופּע פּאָליטיק מיר אָנווייַזן די נויט צו אָפּלאָדירן ISE פּאָסטורע מאָדולע.

טונעל גרופּע זיכער-BANK-VPN דער קליענט וועט אויטאָמאַטיש נוצן ווען אָטענטאַקיישאַן מיט די ארויס סערטיפיקאַט אין די פריערדיקע בינע, ווייַל, אין לויט מיט די סערטיפיקאַט מאַפּע, די קשר וועט פאַלן ספּאַסיפיקלי אויף דעם טונעל גרופּע. איך וועט זאָגן איר וועגן טשיקאַווע אָפּציעס דאָ:

• צווייטיק-אָטענטאַקיישאַן-סערווער-גרופּע דואָ # שטעלן צווייטיק אָטענטאַקיישאַן אויף די DUO סערווער (ראַדיוס פּראָקסי)
• נאמען-פון-CertificateCN # פֿאַר ערשטיק אָטענטאַקיישאַן, מיר נוצן די CN פעלד פון די באַווייַזן צו ירשענען די באַניצער לאָגין
• צווייטיק נאמען-פון-Certificate I # פֿאַר צווייטיק אָטענטאַקיישאַן אויף די DUO סערווער, מיר נוצן די יקסטראַקטיד נאמען און די איניציאלן (איך) פעלדער פון די באַווייַזן.
• פאַר-פילן-באַניצער נאָמען קליענט # מאַכן די נאמען פאַר-אָנגעפילט אין די אָטענטאַקיישאַן פֿענצטער אָן די פיייקייט צו טוישן
• צווייטיק-פאַר-פילן-באַניצער קליענט באַהאַלטן נוצן-פּראָסט פּאַראָל שטופּן # מיר באַהאַלטן די לאָגין / פּאַראָל אַרייַנשרייַב פֿענצטער פֿאַר צווייטיק אָטענטאַקיישאַן DUO און נוצן די אָנזאָג אופֿן (סמס / שטופּן / טעלעפאָן) - דאָק צו בעטן אָטענטאַקיישאַן אַנשטאָט פון די פּאַראָל פעלד דאָ

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

ווייַטער מיר מאַך אויף צו ISE:

מיר קאַנפיגיער אַ היגע באַניצער (איר קענען נוצן AD/LDAP/ODBC, אאז"ו ו), פֿאַר פּאַשטעס, איך באשאפן אַ היגע באַניצער אין ISE זיך און אַסיינד עס אין דעם פעלד באַשרייַבונג UDID PC פון וואָס ער איז ערלויבט צו קלאָץ אין דורך VPN. אויב איך נוצן היגע אָטענטאַקיישאַן אויף ISE, איך וועט זיין לימיטעד צו בלויז איין מיטל, ווייַל עס זענען נישט פילע פעלדער, אָבער אין דריט-פּאַרטיי אָטענטאַקיישאַן דאַטאַבייסיז איך וועט נישט האָבן אַזאַ ריסטריקשאַנז.

זאל ס קוק אין די דערלויבעניש פּאָליטיק, עס איז צעטיילט אין פיר קאַנעקשאַן סטאַגעס:

• Stage 1 - פּאָליטיק פֿאַר דאַונלאָודינג די AnyConnect אַגענט און אַרויסגעבן אַ באַווייַזן
• Stage 2 - ערשטיק אָטענטאַקיישאַן פּאָליטיק לאָגין (פֿון באַווייַזן) / פּאַראָל + סערטיפיקאַט מיט UDID וואַלאַדיישאַן
• Stage 3 - צווייטיק אָטענטאַקיישאַן דורך Cisco DUO (MFA) ניצן UDID ווי נאמען + שטאַט אַססעססמענט
• Stage 4 - לעצט דערלויבעניש איז אין די שטאַט:
  • געהאָרכיק;
  • UDID וואַלאַדיישאַן (פֿון באַווייַזן + לאָגין ביינדינג),
  • סיסקאָ דואָ מפאַ;
  • אָטענטאַקיישאַן דורך לאָגין;
  • סערטיפיקאַט אָטענטאַקיישאַן;

לאָמיר קוקן אויף אַ טשיקאַווע צושטאַנד UUID_VALIDATED, עס נאָר קוקט ווי דער אָטענטאַקייטינג באַניצער אַקשלי געקומען פֿון אַ פּיסי מיט אַ ערלויבט UDID פֿאַרבונדן אין דעם פעלד באַשרייַבונג חשבון, די באדינגונגען קוקן ווי דאָס:

דער דערלויבעניש פּראָפיל געניצט אין סטאַגעס 1,2,3 איז ווי גייט:

איר קענען קאָנטראָלירן פּונקט ווי די UDID פֿון די AnyConnect קליענט קומט צו אונדז דורך קוקן אין די קליענט סעסיע דעטאַילס אין ISE. אין דעטאַל מיר וועלן זען אַז AnyConnect דורך די מעקאַניזאַם אַסידעקס סענדז ניט בלויז אינפֿאָרמאַציע וועגן די פּלאַטפאָרמע, אָבער אויך די UDID פון די מיטל ווי סיסקאָ-אַוו-פּאַיר:

זאל ס באַצאָלן ופמערקזאַמקייַט צו די באַווייַזן ארויס צו דער באַניצער און די פעלד איניציאלן (איך), וואָס איז געניצט צו נעמען עס ווי אַ לאָגין פֿאַר צווייטיק מפאַ אָטענטאַקיישאַן אויף Cisco DUO:

אויף די DUO Radius Proxy זייַט אין די קלאָץ מיר קענען קלאר זען ווי די אָטענטאַקיישאַן בעטן איז געמאכט, עס קומט מיט UDID ווי די נאמען:

פֿון די DUO טויער מיר זען אַ געראָטן אָטענטאַקיישאַן געשעעניש:

און אין די באַניצער פּראָפּערטיעס איך האָבן עס שטעלן עליאַס, וואָס איך געוויינט פֿאַר לאָגין, אין קער, דאָס איז די UDID פון די פּיסי ערלויבט פֿאַר לאָגין:

ווי אַ רעזולטאַט מיר האָבן:

• מולטי-פאַקטאָר באַניצער און מיטל אָטענטאַקיישאַן;
• שוץ קעגן ספּאָאָפינג פון די באַניצער 'ס מיטל;
• אַססעסס די צושטאַנד פון די מיטל;
• פּאָטענציעל פֿאַר געוואקסן קאָנטראָל מיט פעלד מאַשין באַווייַזן, עטק;
• פולשטענדיק שוץ פון ווייַט ווערקפּלייס מיט אויטאָמאַטיש דיפּלויד זיכערהייט מאַדזשולז;

פֿאַרבינדונגען צו Cisco VPN סעריע אַרטיקלען:

• דיפּלייינג אַן ASA VPN מאַסע-באַלאַנסינג קנויל
• אָפּטימיזינג וואָלקן באַדינונגס אין AnyConnect VPN טונעל אויף Cisco ASA

מקור: www.habr.com