Xác thực hai yếu tố cho SSLVPN (cisco)?


13

Hôm nay vừa được hỏi về việc triển khai xác thực hai yếu tố cho người dùng SSLVPN trong công ty của chúng tôi (kết nối qua Cisco AnyConnect, chúng tôi không hỗ trợ / sử dụng WebVPN). Hiện tại chúng tôi sử dụng LDAP để xác thực.

Tôi đã xác định một công ty tích hợp trực tiếp với anyConnect và ứng dụng khách di động để đủ khả năng xác thực hai yếu tố dựa trên mã xác thực, nhưng đang tự hỏi những cách phổ biến hơn để triển khai hai yếu tố trong loại cài đặt này là gì? Điều đầu tiên tôi nghĩ đến là Google Authenticator hoặc RSA, nhưng việc tìm kiếm thông tin về các loại thiết lập này kết hợp với AnyConnect thật khó tìm thấy (thực tế tôi không tìm thấy gì ..


Công ty chúng tôi sử dụng bảo mật Duo. Tôi đã hiểu rằng mười người dùng đầu tiên là miễn phí, bạn có thể thử xem nó có phù hợp với nhu cầu của bạn không. PD: Tôi không có liên kết với bảo mật Duo. Điều này chỉ đơn giản được đưa ra như một ví dụ.

Chúng tôi đã sử dụng YubiKey thành công. Rất, rất kinh tế và dễ dàng để thiết lập. Hoạt động với Cisco ASA SSL VPN, PaloAlto và những người khác có thể. (Tôi không được kết nối với công ty này dưới bất kỳ hình thức nào, chỉ là một người dùng)
Jakob

Thật tuyệt, cảm ơn vì lời khuyên - chúng tôi đã kết thúc DUO - Tôi sẽ chỉ là một đô la người dùng ... thật tuyệt vời, dịch vụ rất đơn giản, điều duy nhất của tôi là đăng ký lại khi họ nhận được điện thoại hoặc thiết bị mới là một chút phiền toái về mặt hành chính (chưa tự phục vụ). rất khuyến khích họ (và không liên kết với họ).
AL

FWIW, tôi luôn cảm thấy ngại khi có auth (điều này rất quan trọng) phụ thuộc vào rất nhiều phần (thư mục hoạt động + 2 phần tử). Tôi muốn phần 2 yếu tố TRONG THIẾT BỊ, vì vậy nó là thư mục hoạt động + thiết bị .... nhưng điều này rất khó tìm.
Jonesome phục hồi

Câu trả lời:


13

Hai con đường tôi có thể nghĩ ra như sau:

  1. Bạn muốn sử dụng xác thực thứ cấp Cisco ASA tích hợp

  2. Bạn đang mở để sử dụng một máy chủ bán kính.

Khái niệm cho # 2:

  1. Chọn một người xác thực. Ví dụ: Google, LDAP, AD, v.v ...

  2. Thiết lập Máy chủ Radius (FreeRADIUS, Windows NPM, Cisco ACS, v.v ...) hỗ trợ trình xác thực.

  3. Định cấu hình xác thực trên Cisco ASA của bạn để sử dụng máy chủ Bán kính đó (Địa chỉ IP, cổng, khóa bí mật, v.v.) và sau đó bạn đã hoàn tất. Điều chỉnh thời gian chờ khi cần thiết.

Giới thiệu về Google Authenticator :
Bạn có thể thiết lập FreeRadius để sử dụng Google Authenticator và sau đó thiết lập máy chủ Cisco ASA aaa-server để sử dụng máy chủ FreeRadius. Làm xong :)

Về Duo Security :
Tôi đã sử dụng Duo Security và nó hoạt động rất tốt. Liên kết cấu hình này hiển thị cách thiết lập Xác thực 2 yếu tố mà không cần cài đặt ứng dụng Duo Security. Tuy nhiên, nếu bạn cài đặt ứng dụng (hoạt động như một máy chủ RADIUS) thì việc thiết lập sẽ trở nên dễ dàng hơn. Dưới đây là một cấu hình mẫu sẽ giúp.

Các CAVEATS để thiết lập này:
Tăng thời gian chờ của bạn! Tôi đã có vấn đề với điều này. Không cài đặt ứng dụng Duo trên máy chủ RADIUS hiện tại (xung đột cổng nghe).

  • Sau khi cài đặt ứng dụng trên máy chủ, bạn cần sửa đổi authproxy.cfgtệp để sử dụng Active Directory làm trình xác thực chính của bạn, ở đầu trang của bạnauthproxy.cfg

  • Đặt máy khách ad_clientvà máy chủ thànhradius_server_auto

    [main]  
    client=ad_client  
    server=radius_server_auto  
    
  • Tạo một phần được gọi là ad_client.

    [ad_client]
    host=10.x.x.11
    host_2=10.x.x.12
    service_account_username=ldap.duo
    service_account_password=superSecretPassword
    search_dn=DC=corp,DC=businessName,DC=com
    
  • nhóm bảo mật là tùy chọn. nhóm này cho phép người dùng xác thực.

    security_group_dn=CN=Administrators,CN=Builtin,DC=example,DC=com
    
  • Thông tin cấu hình bảo mật DUO cụ thể

    [radius_server_auto]
    ikey=xxxxxxxxxxxxx
    skey=xxxxxxxxxxxxx
    api_host=api-xxxxx.duosecurity.com
    
  • An toàn hoặc bảo mật là các tùy chọn ở đây.

  • Safe=allow auth nếu Duo không thể truy cập được.
  • Secure=do not allow auth nếu Duo không thể truy cập failmode = safe

  • Địa chỉ IP của Cisco ASA mà bạn muốn nhấn và phím

    radius_ip_1=10.x.x.1
    radius_secret_1=superSecretPassword
    
  • Máy chủ Windows đã cài đặt Ứng dụng DuoSecurity

    net stop DuoAuthProxy
    net start DuoAuthProxy
    
  • Cấu hình Cisco ASA 8.4

  • Thêm máy chủ aaa mới vào chính sách VPN tương ứng

    aaa-server DUO protocol radius
    !
    aaa-server DUO (inside) host 10.x.x.101
     accounting-port 1813
     authentication-port 1812
     key superSecretPassword
     retry-interval 10
     timeout 300
    !
    

Cảm ơn rất nhiều cho các bài viết rộng rãi lên! Tôi đã có rất nhiều để làm việc ở đây. Thật thú vị khi xem làm thế nào các hệ thống này làm việc cùng nhau để cung cấp auth hai yếu tố.
AL

2

Định nghĩa của xác thực hai yếu tố là có nhiều phương pháp. Đây là các phương pháp:

  1. Những gì bạn biết, như tên người dùng và mật khẩu của tài khoản đăng nhập
  2. Những gì bạn có, như keyfob RSA tạo số hoặc tệp chứng chỉ
  3. Bạn là gì, như quét võng mạc và quét vân tay

Xác thực hai yếu tố không có hai tài khoản đăng nhập khác nhau, như trong hai nhóm tên người dùng và mật khẩu khác nhau, từ hai nguồn khác nhau vì cả hai đều là "những gì bạn biết". Một ví dụ về xác thực hai yếu tố là chèn thẻ thông minh vào máy tính xách tay (những gì bạn có) và sau đó vuốt máy quét dấu vân tay (bạn là gì).

Có vẻ như bạn có Microsoft Server, nếu tôi hiểu việc bạn sử dụng LDAP. Tại sao không kích hoạt dịch vụ Chứng chỉ Microsoft trên Máy chủ Microsoft Windows gần nhất, được bao gồm trong hệ điều hành và cho phép đăng ký chứng chỉ người dùng ? ASA, với chứng chỉ gốc của CA, có thể xác thực các tài khoản, được gọi là XAUTH, sau đó xác thực chứng chỉ người dùng mà Windows, Linux và MacOS có thể sử dụng.


0

Tuy nhiên, chính xác, miễn là bạn có một quy trình an toàn để đăng ký, theo cách mà điện thoại di động trở thành chìa khóa vật lý. Duo cũng cung cấp tính linh hoạt UX của mã đẩy ứng dụng hoặc mã sms. CA nội bộ trên ASA cũng rất tuyệt nhưng không phải là một tùy chọn nếu bạn chạy theo cặp HA hoặc đa ngữ cảnh. Theo đề xuất, sử dụng MS / Dogtag CA hoặc Duo.

IMO, bạn có được phạm vi bảo hiểm nhất bằng cách định cấu hình nhóm vpn như sau:

Yếu tố 1 - Sử dụng Chứng chỉ (MS / Dogtag / ASA trên tàu cho CA) - có thể sử dụng người dùng ldap / AD để tạo chứng chỉ. (Được thực hiện tốt nhất tại địa phương, thực hành tốt nhất OpSec phải được tuân thủ trong việc cung cấp / cài đặt chứng chỉ.)

Yếu tố 2 - Proxy FreeRADIUS hoặc Duo với đăng ký an toàn cho mã thông báo / OTP hoặc thiết bị di động.

Bằng cách này, nếu người dùng bị nhắm mục tiêu, kẻ tấn công phải lấy một.) Bản sao chứng chỉ chỉ tồn tại trong kho khóa máy tính xách tay / điểm cuối b.) Người dùng AD / radius username / password c.) Fob (rsa / yubikey) hoặc thiết bị di động (DuoSec)

Điều này cũng giới hạn trách nhiệm đối với các thiết bị bị mất / bị đánh cắp. Tôi tin rằng bộ đôi này cũng cung cấp một cách để quản lý người dùng thông qua quảng cáo của bạn, điều này giúp cho toàn bộ thiết lập dễ quản lý. Thiết bị của bạn phải cho phép điều chỉnh thời gian chờ / thử lại để hỗ trợ tương tác người dùng ngoài băng trong khi xác thực. (Mở khóa điện thoại / kéo fob từ túi / v.v. - cho phép thời gian chờ bán kính ít nhất 30 giây)

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.