Tuy nhiên, chính xác, miễn là bạn có một quy trình an toàn để đăng ký, theo cách mà điện thoại di động trở thành chìa khóa vật lý. Duo cũng cung cấp tính linh hoạt UX của mã đẩy ứng dụng hoặc mã sms. CA nội bộ trên ASA cũng rất tuyệt nhưng không phải là một tùy chọn nếu bạn chạy theo cặp HA hoặc đa ngữ cảnh. Theo đề xuất, sử dụng MS / Dogtag CA hoặc Duo.
IMO, bạn có được phạm vi bảo hiểm nhất bằng cách định cấu hình nhóm vpn như sau:
Yếu tố 1 - Sử dụng Chứng chỉ (MS / Dogtag / ASA trên tàu cho CA) - có thể sử dụng người dùng ldap / AD để tạo chứng chỉ. (Được thực hiện tốt nhất tại địa phương, thực hành tốt nhất OpSec phải được tuân thủ trong việc cung cấp / cài đặt chứng chỉ.)
Yếu tố 2 - Proxy FreeRADIUS hoặc Duo với đăng ký an toàn cho mã thông báo / OTP hoặc thiết bị di động.
Bằng cách này, nếu người dùng bị nhắm mục tiêu, kẻ tấn công phải lấy một.) Bản sao chứng chỉ chỉ tồn tại trong kho khóa máy tính xách tay / điểm cuối b.) Người dùng AD / radius username / password c.) Fob (rsa / yubikey) hoặc thiết bị di động (DuoSec)
Điều này cũng giới hạn trách nhiệm đối với các thiết bị bị mất / bị đánh cắp. Tôi tin rằng bộ đôi này cũng cung cấp một cách để quản lý người dùng thông qua quảng cáo của bạn, điều này giúp cho toàn bộ thiết lập dễ quản lý. Thiết bị của bạn phải cho phép điều chỉnh thời gian chờ / thử lại để hỗ trợ tương tác người dùng ngoài băng trong khi xác thực. (Mở khóa điện thoại / kéo fob từ túi / v.v. - cho phép thời gian chờ bán kính ít nhất 30 giây)