SSLVPN (सिस्को) के लिए दो-कारक प्रमाणीकरण?

आज ही हमारी कंपनी के भीतर SSLVPN के उपयोगकर्ताओं के लिए दो कारक प्रमाणीकरण को लागू करने के बारे में पूछा गया है (सिस्को AnyConnect के माध्यम से कनेक्ट हम WebVPN का समर्थन / उपयोग नहीं करते हैं)। वर्तमान में हम प्रमाणीकरण के लिए LDAP का उपयोग करते हैं।

मैंने ऐसी कंपनी की पहचान की है जो किसी भी कॉनकनेक्ट और मोबिलिटी क्लाइंट के साथ सीधे टोकन आधारित टू फैक्टर ऑथेंटिकेशन को एकीकृत करती है, लेकिन सोच रही थी कि इस तरह की सेटिंग में टू-फैक्टर को लागू करने के और अधिक सामान्य तरीके क्या हैं? पहली बात जो मेरे दिमाग में आई वह थी Google प्रमाणक या आरएसए, लेकिन AnyConnect के संयोजन में इन प्रकार के सेटअपों के बारे में जानकारी प्राप्त करना आश्चर्यजनक रूप से कठिन था (मुझे कुछ भी नहीं मिला .. वास्तव में)

मेरे विचार से दो रास्ते इस प्रकार हैं:

1. आप अंतर्निहित सिस्को एएसए माध्यमिक प्रमाणीकरण का उपयोग करना चाहते हैं

2. आप एक त्रिज्या सर्वर का उपयोग करने के लिए खुले हैं।

# 2 के लिए अवधारणा:

1. एक प्रमाणक चुनें। उदाहरण के लिए, Google, LDAP, AD, आदि ...

2. एक रेडियस सर्वर (फ्रीड्रायस, विंडोज एनपीएम, सिस्को एसीएस, आदि ...) सेट करें जो प्रमाणक का समर्थन करता है।

3. उस रेडियस सर्वर (आईपी एड्रेस, पोर्ट्स, सीक्रेट की, आदि ...) का उपयोग करने के लिए अपने सिस्को एएसए पर प्रमाणीकरण को कॉन्फ़िगर करें और फिर आप कर रहे हैं। आवश्यकतानुसार टाइमआउट समायोजित करें।

Google प्रमाणक के बारे में :
आप Google प्रमाणक का उपयोग करने के लिए FreeRadius को सेटअप कर सकते हैं और फिर FreeRadius सर्वर का उपयोग करने के लिए सिस्को एएसए एए-सर्वर को सेटअप कर सकते हैं । किया हुआ :)

डुओ सिक्योरिटी के बारे में :
मैंने डुओ सिक्योरिटी का इस्तेमाल किया है और यह बढ़िया काम करता है। यह कॉन्फ़िगरेशन लिंक दिखाता है कि डुओ सिक्योरिटी एप्लिकेशन इंस्टॉल किए बिना 2-फैक्टर ऑथेंटिकेशन कैसे सेट करें। हालांकि, यदि आप एप्लिकेशन इंस्टॉल करते हैं (RADIUS सर्वर के रूप में कार्य करता है) तो सेटअप और भी आसान हो जाता है। नीचे एक नमूना विन्यास है जो मदद करना चाहिए।

इस सेटअप के लिए:
अपने टाइमआउट को बढ़ाएं! मैं इस के साथ मुद्दों था। मौजूदा RADIUS सर्वर (पोर्ट संघर्ष सुनकर) पर डुओ एप्लिकेशन इंस्टॉल न करें।

• सर्वर पर एप्लिकेशन इंस्टॉल करने के बाद, आपको authproxy.cfgअपने प्राथमिक प्रमाणक के रूप में सक्रिय निर्देशिका का उपयोग करने के लिए फ़ाइल को संशोधित करना होगा , अपने शीर्ष परauthproxy.cfg

• क्लाइंट को ad_clientऔर सर्वर पर सेट करेंradius_server_auto

  [main]  
  client=ad_client  
  server=radius_server_auto  
  

• नामक एक अनुभाग बनाएँ ad_client।

  [ad_client]
  host=10.x.x.11
  host_2=10.x.x.12
  service_account_username=ldap.duo
  service_account_password=superSecretPassword
  search_dn=DC=corp,DC=businessName,DC=com
  

• सुरक्षा समूह वैकल्पिक है। यह समूह उपयोगकर्ताओं को प्रमाणित करने की अनुमति देता है।

  security_group_dn=CN=Administrators,CN=Builtin,DC=example,DC=com
  

• विशिष्ट DUO सुरक्षा कॉन्फ़िगरेशन जानकारी

  [radius_server_auto]
  ikey=xxxxxxxxxxxxx
  skey=xxxxxxxxxxxxx
  api_host=api-xxxxx.duosecurity.com
  

• सुरक्षित या सुरक्षित यहां विकल्प हैं।

• Safe=allow auth यदि डुओ अगम्य है।

• Secure=do not allow auth यदि डुओ अगम्य असफल है = सुरक्षित है

• सिस्को एएसए का आईपी पता जिसे आप हिट करना चाहते हैं और कुंजी

  radius_ip_1=10.x.x.1
  radius_secret_1=superSecretPassword
  

• Windows सर्वर जिसमें DuoSecurity App इंस्टॉल है

  net stop DuoAuthProxy
  net start DuoAuthProxy
  

• सिस्को एएसए 8.4 कॉन्फ़िगरेशन

• वीपीएन पॉलिसी के अनुरूप नया एएए-सर्वर जोड़ें

  aaa-server DUO protocol radius
  !
  aaa-server DUO (inside) host 10.x.x.101
   accounting-port 1813
   authentication-port 1812
   key superSecretPassword
   retry-interval 10
   timeout 300
  !
  

दो फैक्टर ऑथेंटिकेशन की परिभाषा में कई तरह के तरीके हैं। ये तरीके हैं:

1. आप क्या जानते हैं, एक लॉगिन खाते के उपयोगकर्ता नाम और पासवर्ड की तरह
2. आपके पास क्या है, एक आरएसए कीफॉब की तरह जो नंबर या एक सर्टिफिकेट फाइल बनाता है
3. आप क्या हैं, रेटिना स्कैन और फिंगरप्रिंट स्कैनर की तरह

दो कारक प्रमाणीकरण है नहीं दो विभिन्न स्रोतों से उपयोगकर्ता नाम और पासवर्ड के दो अलग सेट, के रूप में दो अलग प्रवेश खातों, होने, क्योंकि वे दोनों कर रहे हैं "तुम क्या जानते"। दो कारक प्रमाणीकरण का एक उदाहरण एक स्मार्टकार्ड को लैपटॉप में (आपके पास क्या है) सम्मिलित कर रहा है और फिर एक फिंगरप्रिंट स्कैनर (आप क्या हैं) स्वाइप कर रहा है।

ऐसा लगता है जैसे आपके पास एक Microsoft सर्वर है, अगर मैं LDAP के आपके उपयोग को समझता हूं। Microsoft प्रमाणपत्र प्राधिकारी सेवा को निकटतम Microsoft Windows सर्वर पर सक्षम क्यों नहीं किया गया है, जो ऑपरेटिंग सिस्टम के साथ शामिल है, और उपयोगकर्ता प्रमाणपत्र नामांकन को सक्षम करता है ? ASA, CA के रूट सर्टिफिकेट के साथ, खातों को मान्य कर सकता है, जिसे वह XAUTH के रूप में संदर्भित करता है, और फिर उन उपयोगकर्ता प्रमाणपत्रों को प्रमाणित करता है जिन्हें विंडोज, लिनक्स और मैकओएस उपयोग कर सकते हैं।

सही, लेकिन बशर्ते आपके पास नामांकन के लिए एक सुरक्षित प्रक्रिया हो, एक तरह से मोबाइल फोन भौतिक कुंजी बन जाता है। डुओ ऐप पुश या एसएमएस कोड का यूएक्स लचीलापन भी प्रदान करता है। एएसए पर आंतरिक सीए बहुत अच्छा है, लेकिन यह विकल्प नहीं है यदि आप हा जोड़े या बहु-संदर्भ में चलते हैं। जैसा कि सुझाव दिया गया है, MS / Dogtag CA या Duo का उपयोग करें।

IMO, आप vpn समूह को इस तरह कॉन्फ़िगर करके सबसे अधिक कवरेज प्राप्त करते हैं:

फैक्टर 1 - सीए के लिए सर्टिफिकेट (एमएस / डॉगटैग / एएसए ऑनबोर्ड का उपयोग करें) - सर्टिफिकेट जेनरेट करने के लिए ldap / AD यूजर का उपयोग कर सकते हैं। (सर्वश्रेष्ठ स्थानीय रूप से किया जाता है, ओपेक के सर्वोत्तम अभ्यास का प्रमाण पत्र देने / स्थापित करने में पालन किया जाना चाहिए।)

फैक्टर 2 - टोकन / ओटीपी फोब या मोबाइल डिवाइस के लिए सुरक्षित नामांकन के साथ फ्रीड्रायस या डुओ प्रॉक्सी।

इस तरह, यदि किसी उपयोगकर्ता को लक्षित किया जाता है, तो हमलावर को प्रमाणपत्र की एक प्रति प्राप्त करनी चाहिए।) जो केवल लैपटॉप / एंडपॉइंट कीस्टॉर बी में मौजूद होनी चाहिए।) उपयोगकर्ता AD / त्रिज्या उपयोगकर्ता नाम / पासवर्ड c।) Fob (rsa) yubikey) या मोबाइल डिवाइस (डुओसेक)

यह खोए हुए / चोरी हुए उपकरणों के लिए देयता को भी सीमित करता है। मेरा मानना ​​है कि डुओ आपके विज्ञापन के माध्यम से उपयोगकर्ताओं को प्रबंधित करने का एक तरीका भी प्रदान करता है जो पूरे सेटअप को प्रबंधित करना आसान बनाता है। ऑथेंटिकेशन के दौरान आउट-ऑफ-बैंड यूजर इंटरेक्शन को सपोर्ट करने के लिए आपके गियर को टाइमआउट / रिट्री एडजस्टमेंट की अनुमति देनी चाहिए। (फोन को अनलॉक करना / जेब / इत्यादि से फोब खींचना - कम से कम 30 सेकंड रेडियस टाइमआउट की अनुमति देना)