🚗 🧚🏼 🍶 Umsetzung des Konzepts des hochsicheren Fernzugriffs 🐝 🧕 👨🏻‍🌾

Ich setze die Artikelserie zum Organisieren des RAS-VPN- Zugriffs fort und teile die interessante Erfahrung mit der Bereitstellung einer hochsicheren VPN-Konfiguration . Eine nicht triviale Aufgabe wurde von einem Kunden gestellt (es gibt Erfinder in russischen Dörfern), aber Herausforderung angenommen und kreativ umgesetzt. Das Ergebnis ist ein interessantes Konzept mit folgenden Merkmalen:

Mehrere Schutzfaktoren gegen Austausch des Endgeräts (mit enger Bindung an den Benutzer);
- Konformitätsbewertung des PCs des Benutzers mit der angegebenen UDID des autorisierten PCs in der Authentifizierungsdatenbank;
- Bei einem MFA unter Verwendung der UDID des PCs aus dem Zertifikat für die sekundäre Authentifizierung über Cisco DUO (Sie können jedes SAML / Radius-kompatible Gerät schrauben) .
Multi-Faktor-Authentifizierung:
- Benutzerzertifikat mit Feldüberprüfung und sekundärer Authentifizierung für einen von ihnen;
- Login (unveränderlich, aus dem Zertifikat entnommen) und Passwort;
Beurteilung des Status des Verbindungshosts (Haltung)

Verwendete Komponenten der Lösung:

Cisco ASA (VPN-Gateway);
Cisco ISE (Authentifizierung / Autorisierung / Buchhaltung, Statusbewertung, CA);
Cisco DUO (Multifactor Authentication) (Sie können jedes SAML / Radius-kompatible Gerät schrauben) ;
Cisco AnyConnect (Mehrzweckagent für Workstations und mobile Betriebssysteme);

Beginnen wir mit den Kundenanforderungen:

Der Benutzer muss sich mit dem Login / Passwort authentifizieren, um den AnyConnect-Client vom VPN-Gateway herunterladen zu können. Alle erforderlichen AnyConnect-Module sollten gemäß den Benutzerrichtlinien automatisch installiert werden.
( , – ), ( ).
, , /, , Subject Name (CN) .
, , , - . ( )
( ) ():
- ;
- ;
- ( SCCM);
- ;
- ;
- ;

- Youtube (5 ).

AnyConnect:

( ASDM) VPN Load-Balancing . , :

VPN :

, , , , Initials (I), UDID ( , Cisco AnyConnect ).

, , UDID Initials AnyConnect. , UDID , UDID . AnyConnect UDID , %USER%.

( ) UDID , - . ( =) ).

. Anyonnect UDID , , – . , UDID AnyConnect:

Windows — SHA-256 DigitalProductID Machine SID
OSX — SHA-256 PlatformUUID
Linux — SHA-256 UUID root .
Apple iOS — SHA-256 PlatformUUID
Android –

Windows, UDID UDID, , AD ( Multiple Certificate).

Cisco ASA:

TrustPoint ISE CA , . Key-Chain , VPN Load-Balancing .

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

Tunnel-Group , . AnyConnect, . SECUREBANK-RA, SECURE-BANK-VPN, AnyConnect.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

. ISE DUO (Radius Proxy) MFA.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

DefaultWEBVPNGroup AnyConnect VPN SCEP-Proxy ASA, , AC-Download, AnyConnect ( ..). ISE Posture Module.

SECURE-BANK-VPN , Certificate Map, . :

secondary-authentication-server-group DUO # DUO (Radius Proxy)
username-from-certificate CN # CN
secondary-username-from-certificate I # DUO , Initials (I) .
pre-fill-username client #
secondary-pre-fill-username client hide use-common-password push # / DUO (sms/push/phone) –

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!