SSLVPN (cisco) için iki faktörlü kimlik doğrulama?

13

Bugün şirketimizde SSLVPN kullanıcıları için iki faktörlü kimlik doğrulama uygulaması hakkında soru soruldu (Cisco AnyConnect aracılığıyla bağlantı kurarak WebVPN'i desteklemiyoruz / kullanmıyoruz). Şu anda kimlik doğrulama için LDAP kullanıyoruz.

Jeton tabanlı iki faktörlü kimlik doğrulaması sağlamak için anyConnect ve mobilite istemcisiyle doğrudan entegre olan bir şirket belirledim, ancak bu tür bir ortamda iki faktörlü uygulamanın daha yaygın yollarının neler olduğunu merak ediyor muydunuz? Aklıma ilk gelen şey Google Authenticator veya RSA idi, ancak AnyConnect ile birlikte bu tür kurulumlar hakkında bilgi bulmak şaşırtıcı derecede zordu (aslında hiçbir şey bulamadım .. aslında)

cisco  sslvpn 
AL
kaynak
Firmamız Duo güvenliğini kullanmaktadır. İlk on kullanıcının ücretsiz olduğunu anladım ve ihtiyaçlarınızı karşılayıp karşılamadığını deneyebilirsiniz. PD: Duo güvenliği ile hiçbir ilişkim yok. Bu sadece örnek olarak verilmiştir.
YubiKey'i başarıyla kullandık. Çok, çok ekonomik ve kurulumu kolaydır. Cisco ASA SSL VPN, PaloAlto ve diğerleriyle muhtemelen çalışır. (Bu şirkete hiçbir şekilde bağlı değilim, sadece bir kullanıcı)
Jakob
Harika, tavsiye için teşekkürler - DUO'yu bitirdik - bir kullanıcı sadece bir dolar olacağım ... harika, servis basit, tek yakınma yeni bir telefon veya cihaz aldığında yeniden kayıt olması idari olarak biraz sıkıntı (henüz self servis değil). tavsiye ederim (ve onlara hiç bağlı değil).
AL
FWIW, her zaman o kadar çok parçaya (aktif dizin + 2 faktör parçası) bağlı olan otantik olmaktan çekindim. CİHAZDA 2 faktör parçasını istiyorum, bu yüzden aktif dizin + cihaz .... ama bu bulmak zor.
Jonesome

Yanıtlar:

13

Düşünebileceğim iki yol aşağıdaki gibidir:

  1. Yerleşik Cisco ASA ikincil kimlik doğrulamasını kullanmak istiyorsunuz

  2. Özel alan sunucusu kullanmaya açıksınız.

Konsept # 2:

  1. Bir doğrulayıcı seçin. Örneğin, Google, LDAP, AD vb.

  2. Kimlik doğrulayıcıyı destekleyen bir Radius Sunucusu (FreeRADIUS, Windows NPM, Cisco ACS, vb.) Kurun.

  3. Cisco ASA'nızdaki kimlik doğrulamasını Radius sunucusunu (IP Adresi, bağlantı noktaları, gizli anahtar vb.) Kullanacak şekilde yapılandırın ve işiniz bitti. Zaman aşımlarını gerektiği gibi ayarlayın.

Google Şifrematik Hakkında : FreeRadius'u Google Şifrematik'i kullanacak
şekilde ayarlayabilir ve ardından Cisco ASA aaa sunucusunu FreeRadius sunucusunu kullanacak şekilde ayarlayabilirsiniz. Tamamlandı :)

Duo Security hakkında : Duo Security
kullandım ve harika çalışıyor. Bu yapılandırma bağlantısı , Duo Security uygulamasını yüklemeden 2 Faktörlü Kimlik Doğrulamanın nasıl ayarlanacağını gösterir. Ancak, uygulamayı yüklerseniz (RADIUS sunucusu gibi davranır) kurulum daha da kolaylaşır. Aşağıda yardımcı olması gereken örnek bir yapılandırma bulunmaktadır.

Bu kuruluma CAVEATS:
Zaman aşımlarınızı artırın! Bununla ilgili sorunlar yaşadım. Duo uygulamasını mevcut bir RADIUS sunucusuna yüklemeyin (dinleme bağlantı noktası çakışması).

  • Uygulamayı bir sunucuya yükledikten sonra, authproxy.cfgActive Directory'yi birincil kimlik doğrulayıcınız olarak kullanmak için dosyayı değiştirmeniz gerekir .authproxy.cfg

  • İstemciyi ad_clientve sunucuyu olarak ayarlaradius_server_auto 

    [main]  
client=ad_client  
server=radius_server_auto

  • Adlı bir bölüm oluşturun ad_client.

    [ad_client]
host=10.x.x.11
host_2=10.x.x.12
service_account_username=ldap.duo
service_account_password=superSecretPassword
search_dn=DC=corp,DC=businessName,DC=com

  • güvenlik grubu isteğe bağlıdır. bu grup kullanıcıların kimlik doğrulamasına izin verir.

    security_group_dn=CN=Administrators,CN=Builtin,DC=example,DC=com

  • Özel DUO güvenlik yapılandırma bilgileri

    [radius_server_auto]
ikey=xxxxxxxxxxxxx
skey=xxxxxxxxxxxxx
api_host=api-xxxxx.duosecurity.com

  • Güvenli ya da güvenli buradaki seçenekler.

  • Safe=allow auth Duo'ya ulaşılamıyorsa.

  • Secure=do not allow auth Duo'ya ulaşılamıyorsa hata kodu = güvenli

  • Vurmak istediğiniz Cisco ASA'nın IP adresi ve anahtar

    radius_ip_1=10.x.x.1
radius_secret_1=superSecretPassword

  • DuoSecurity Uygulamasının yüklü olduğu Windows Server

    net stop DuoAuthProxy
net start DuoAuthProxy

  • Cisco ASA 8.4 Yapılandırması

  • İlgili VPN politikasına yeni aaa sunucusu ekle

    aaa-server DUO protocol radius
!
aaa-server DUO (inside) host 10.x.x.101
 accounting-port 1813
 authentication-port 1812
 key superSecretPassword
 retry-interval 10
 timeout 300
!
Joseph Drane
kaynak
Kapsamlı yazma için çok teşekkürler! Burada çalışacak çok işim var. İki faktörlü kimlik doğrulaması sağlamak için bu sistemlerin birlikte nasıl çalıştığını görmek ilginç.
AL
2

İki faktörlü kimlik doğrulamanın tanımı çeşitli yöntemlere sahiptir. Bunlar yöntemler:

  1. Bilirsiniz, bir giriş hesabının kullanıcı adı ve şifresi gibi
  2. Numaraları üreten bir RSA anahtarlığı veya bir sertifika dosyası gibi
  3. Retina taramaları ve parmak izi tarayıcıları gibi sizsiniz

İki faktörlü kimlik doğrulama, iki farklı kullanıcı adı ve parola kümesinde olduğu gibi iki farklı kaynaktan iki farklı oturum açma hesabına sahip değildir , çünkü her ikisi de "bildikleriniz" dir. İki faktörlü kimlik doğrulamanın bir örneği, bir dizüstü bilgisayara bir akıllı kart takmak (sahip olduğunuz) ve ardından bir parmak izi tarayıcısını (ne olduğunuzu) kaydırmaktır.

LDAP kullanımınızı anlarsam bir Microsoft Sunucunuz var gibi görünüyor. İşletim sistemine dahil olan en yakın Microsoft Windows Server'da Microsoft Sertifika Yetkilisi hizmetini neden etkinleştirmiyor ve kullanıcı sertifikası kaydını etkinleştiremiyorsunuz ? CA'nın kök sertifikası olan ASA, XAUTH olarak adlandırdığı hesapları doğrulayabilir ve ardından Windows, Linux ve MacOS'un kullanabileceği kullanıcı sertifikalarını doğrulayabilir.

Scott Perry
kaynak
0

Ancak, kayıt için güvenli bir işleminiz olması koşuluyla, cep telefonu fiziksel anahtarlık haline gelecek şekilde düzeltin. Duo ayrıca uygulama push veya sms kodunun UX esnekliğini sunar. ASA üzerindeki dahili CA da harikadır, ancak HA çiftleri veya çoklu bağlamda çalıştırıyorsanız bir seçenek değildir. Önerildiği gibi, MS / Dogtag CA veya Duo'yu kullanın.

IMO, vpn grubunu şu şekilde yapılandırarak en fazla kapsamı elde edersiniz:

Faktör 1 - Sertifikaları Kullan (CA için yerleşik MS / Dogtag / ASA) - sertifikayı oluşturmak için ldap / AD kullanıcısını kullanabilir. (En iyi yerel olarak yapılır, sertifikayı teslim ederken / kurarken OpSec en iyi uygulaması izlenmelidir.)

Faktör 2 - Jeton / OTP fob veya mobil cihaz için güvenli kaydı olan FreeRADIUS veya Duo proxy.

Bu şekilde, bir kullanıcı hedeflenirse, saldırgan a.) Yalnızca dizüstü bilgisayar / uç nokta anahtar deposunda bulunması gereken sertifikanın bir kopyasını edinmelidir b.) Kullanıcıların AD / yarıçap kullanıcı adı / parolası c.) Fob (rsa / yubikey) veya mobil cihaz (DuoSec)

Bu aynı zamanda kayıp / çalınan cihazların sorumluluğunu da sınırlar. Duo'nun ayrıca, tüm kurulumun yönetilmesini kolaylaştıran kullanıcıları AD üzerinden de yönetmenin bir yolunu sunduğuna inanıyorum. Donanımınız, kimlik doğrulama sırasında bant dışı kullanıcı etkileşimini desteklemek için zaman aşımı / yeniden deneme ayarlarına izin vermelidir. (Telefonun kilidinin açılması / fobun cepten çekilmesi / vb. - en az 30 saniye yarıçap zaman aşımına izin verin)

0ptimized
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.