Get best of the week

рдЕрддреНрдпрдзрд┐рдХ рд╕реБрд░рдХреНрд╖рд┐рдд рд░рд┐рдореЛрдЯ рдПрдХреНрд╕реЗрд╕ рдХреА рдЕрд╡рдзрд╛рд░рдгрд╛ рдХрд╛ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди

рд░рд┐рдореЛрдЯ-рдПрдХреНрд╕реЗрд╕ рд╡реАрдкреАрдПрди рдПрдХреНрд╕реЗрд╕ рдХреЗ рдЖрдпреЛрдЬрди рдкрд░ рд▓реЗрдЦреЛрдВ рдХреА рд╢реНрд░реГрдВрдЦрд▓рд╛ рдЬрд╛рд░реА рд░рдЦрддреЗ рд╣реБрдП , рдореИрдВ рдЕрддреНрдпрдзрд┐рдХ рд╕реБрд░рдХреНрд╖рд┐рдд рд╡реАрдкреАрдПрди рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЛ рддреИрдирд╛рдд рдХрд░рдиреЗ рдХреЗ рджрд┐рд▓рдЪрд╕реНрдк рдЕрдиреБрднрд╡ рдХреЛ рд╕рд╛рдЭрд╛ рдирд╣реАрдВ рдХрд░ рд╕рдХрддрд╛ ред рдПрдХ рдЧреИрд░-рддреБрдЪреНрдЫ рдХрд╛рд░реНрдп рдПрдХ рдЧреНрд░рд╛рд╣рдХ рджреНрд╡рд╛рд░рд╛ рдлреЗрдВрдХрд╛ рдЧрдпрд╛ рдерд╛ (рд░реВрд╕реА рдЧрд╛рдВрд╡реЛрдВ рдореЗрдВ рдЖрд╡рд┐рд╖реНрдХрд╛рд░рдХ рд╣реИрдВ), рд▓реЗрдХрд┐рди рдЪреИрд▓реЗрдВрдЬ рд╕реНрд╡реАрдХрд╛рд░ рдФрд░ рд░рдЪрдирд╛рддреНрдордХ рд░реВрдк рд╕реЗ рд▓рд╛рдЧреВ рдХрд┐рдпрд╛ рдЧрдпрд╛ред рдкрд░рд┐рдгрд╛рдо рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рд╡рд┐рд╢реЗрд╖рддрд╛рдУрдВ рдХреЗ рд╕рд╛рде рдПрдХ рджрд┐рд▓рдЪрд╕реНрдк рдЕрд╡рдзрд╛рд░рдгрд╛ рд╣реИ:


  1. рдЯрд░реНрдорд┐рдирд▓ рдбрд┐рд╡рд╛рдЗрд╕ рдХреЗ рдкреНрд░рддрд┐рд╕реНрдерд╛рдкрди рдХреЗ рдЦрд┐рд▓рд╛рдл рдХрдИ рд╕реБрд░рдХреНрд╖рд╛ рдХрд╛рд░рдХ (рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд▓рд┐рдП рддрдВрдЧ рдмрдВрдзрди рдХреЗ рд╕рд╛рде);
    • рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдбреЗрдЯрд╛рдмреЗрд╕ рдореЗрдВ рдЕрдзрд┐рдХреГрдд рдкреАрд╕реА рдХреЗ рдирд╛рдорд┐рдд рдпреВрдбреАрдЖрдИрдбреА тАЛтАЛрдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рдкреАрд╕реА рдХрд╛ рдЕрдиреБрд░реВрдкрддрд╛ рдореВрд▓реНрдпрд╛рдВрдХрди;
    • рдПрдХ рдПрдордПрдлрдП рдХреЗ рд╕рд╛рде рдЬреЛ рд╕рд┐рд╕реНрдХреЛ DUO рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдорд╛рдзреНрдпрдорд┐рдХ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХреЗ рд▓рд┐рдП рдкреНрд░рдорд╛рдг рдкрддреНрд░ рд╕реЗ рдкреАрд╕реА рдХреЗ рдпреВрдбреАрдЖрдИрдбреА тАЛтАЛрдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИ (рдЖрдк рдХрд┐рд╕реА рднреА рдПрд╕рдПрдПрдордПрд▓ / рддреНрд░рд┐рдЬреНрдпрд╛ рд╕рдВрдЧрдд рдкреЗрдВрдЪ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ) ;
  2. рдмрд╣реБ-рдХрд╛рд░рдХ рдкреНрд░рдорд╛рдгреАрдХрд░рдг:
    • рдлрд╝реАрд▓реНрдб рд╕рддреНрдпрд╛рдкрди рдФрд░ рдЙрдирдореЗрдВ рд╕реЗ рдПрдХ рдХреЗ рд▓рд┐рдП рджреНрд╡рд┐рддреАрдпрдХ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХреЗ рд╕рд╛рде рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдкреНрд░рдорд╛рдг рдкрддреНрд░;
    • рд▓реЙрдЧрд┐рди (рдкреНрд░рдорд╛рдг рдкрддреНрд░ рд╕реЗ рд▓рд┐рдпрд╛ рдЧрдпрд╛ рдЕрдкрд░рд┐рд╡рд░реНрддрдиреАрдп) рдФрд░ рдкрд╛рд╕рд╡рд░реНрдб;
  3. рдХрдиреЗрдХреНрдЯрд┐рдВрдЧ рд╣реЛрд╕реНрдЯ рдХреА рд╕реНрдерд┐рддрд┐ рдХрд╛ рдЖрдХрд▓рди (рдЖрд╕рди)

рд╕рдорд╛рдзрд╛рди рдХреЗ рдкреНрд░рдпреБрдХреНрдд рдШрдЯрдХ:


  • рд╕рд┐рд╕реНрдХреЛ рдПрдПрд╕рдП (рд╡реАрдкреАрдПрди рдЧреЗрдЯрд╡реЗ);
  • рд╕рд┐рд╕реНрдХреЛ рдЖрдИрдПрд╕рдИ (рдкреНрд░рдорд╛рдгреАрдХрд░рдг / рдкреНрд░рд╛рдзрд┐рдХрд░рдг / рд▓реЗрдЦрд╛, рд╕реНрдерд┐рддрд┐ рдореВрд▓реНрдпрд╛рдВрдХрди, рд╕реАрдП);
  • рд╕рд┐рд╕реНрдХреЛ DUO (рдорд▓реНрдЯреАрдПрдХреНрдЯрд░ рдкреНрд░рдорд╛рдгреАрдХрд░рдг) (рдЖрдк рдХрд┐рд╕реА рднреА SAML / рддреНрд░рд┐рдЬреНрдпрд╛ рд╕рдВрдЧрдд рдкреЗрдВрдЪ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ) ;
  • рд╕рд┐рд╕реНрдХреЛ AnyConnect (рд╡рд░реНрдХрд╕реНрдЯреЗрд╢рдВрд╕ рдФрд░ рдореЛрдмрд╛рдЗрд▓ рдУрдПрд╕ рдХреЗ рд▓рд┐рдП рдмрд╣реБрдЙрджреНрджреЗрд╢реАрдп рдПрдЬреЗрдВрдЯ);

рдЧреНрд░рд╛рд╣рдХ рдЖрд╡рд╢реНрдпрдХрддрд╛рдУрдВ рдХреЗ рд╕рд╛рде рд╢реБрд░реВ рдХрд░рддреЗ рд╣реИрдВ:


  1. рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЛ рд╡реАрдкреАрдПрди рдЧреЗрдЯрд╡реЗ рд╕реЗ AnyConnect рдХреНрд▓рд╛рдЗрдВрдЯ рдХреЛ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рд╣реЛрдиреЗ рдХреЗ рд▓рд┐рдП рд▓реЙрдЧрд┐рди / рдкрд╛рд╕рд╡рд░реНрдб рдХреЗ рд╕рд╛рде рдкреНрд░рдорд╛рдгрд┐рдд рдХрд░рдирд╛ рд╣реЛрдЧрд╛, рд╕рднреА рдЖрд╡рд╢реНрдпрдХ AnyConnect рдореЙрдбреНрдпреВрд▓ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдиреАрддрд┐ рдХреЗ рдЕрдиреБрд╕рд╛рд░ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рд╕реНрдерд╛рдкрд┐рдд рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдП;
  2. ( , тАУ ), ( ).
  3. , , /, , Subject Name (CN) .
  4. , , , - . ( )
  5. ( ) ():
    • ;
    • ;
    • ( SCCM);
    • ;
    • ;
    • ;

- Youtube (5 ).



-.


AnyConnect:


( ASDM) VPN Load-Balancing . , :


VPN :



, , , , Initials (I), UDID ( , Cisco AnyConnect ).



, , UDID Initials AnyConnect. , UDID , UDID . AnyConnect UDID , %USER%.


( ) UDID , - . ( =) ).


. Anyonnect UDID , , тАУ . , UDID AnyConnect:


  • Windows тАФ SHA-256 DigitalProductID Machine SID
  • OSX тАФ SHA-256 PlatformUUID
  • Linux тАФ SHA-256 UUID root .
  • Apple iOS тАФ SHA-256 PlatformUUID
  • Android тАУ

Windows, UDID UDID, , AD ( Multiple Certificate).


Cisco ASA:


TrustPoint ISE CA , . Key-Chain , VPN Load-Balancing .


crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

Tunnel-Group , . AnyConnect, . SECUREBANK-RA, SECURE-BANK-VPN, AnyConnect.


tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

. ISE DUO (Radius Proxy) MFA.


! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

:


DefaultWEBVPNGroup AnyConnect VPN SCEP-Proxy ASA, , AC-Download, AnyConnect ( ..). ISE Posture Module.


SECURE-BANK-VPN , Certificate Map, . :


  • secondary-authentication-server-group DUO # DUO (Radius Proxy)
  • username-from-certificate CN # CN
  • secondary-username-from-certificate I # DUO , Initials (I) .
  • pre-fill-username client #
  • secondary-pre-fill-username client hide use-common-password push # / DUO (sms/push/phone) тАУ 

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

ISE:


( AD/LDAP/ODBC ..), ISE description UDID VPN. ISE , , .



, :


  • 1 тАФ AnyConnect
  • 2 тАФ ( )/ + UDID
  • 3 тАФ Cisco DUO (MFA) UDID +
  • 4 тАФ :
    • Compliant;
    • UDID ( + ),
    • Cisco DUO MFA;
    • ;
    • ;


UUID_VALIDATED, UDID Description , :



, 1,2,3 :



UDID AnyConnect ISE . , AnyConnect ACIDEX , UDID Cisco-AV-PAIR:



Initials (I), MFA Cisco DUO:



DUO Radius Proxy , UDID :



DUO :



ALIAS, , UDID :



:


  • ;
  • ;
  • ;
  • ..;
  • ;

Cisco VPN:


More articles:


All Articles