Сегодня меня только что спросили о внедрении двухфакторной аутентификации для пользователей SSLVPN в нашей компании (при подключении через Cisco AnyConnect мы не поддерживаем / не используем WebVPN). В настоящее время мы используем LDAP для аутентификации.
Я определил компанию, которая напрямую интегрируется с anyConnect и мобильным клиентом для предоставления двухфакторной аутентификации на основе токенов, но мне было интересно, каковы более распространенные способы реализации двухфакторной аутентификации в подобных настройках? Первым, что пришло мне в голову, был Google Authenticator или RSA, но найти информацию об этих типах настроек в сочетании с AnyConnect было на удивление трудно найти (я ничего не нашел .. на самом деле)
Ответы:
Два пути, о которых я могу думать, следующие:
Вы хотите использовать встроенную вторичную аутентификацию Cisco ASA
Вы открыты для использования радиус-сервера.
Концепция № 2:
Выберите аутентификатор. Например, Google, LDAP, AD и т.д ...
Настройте сервер Radius (FreeRADIUS, Windows NPM, Cisco ACS и т. Д.), Который поддерживает аутентификатор.
Настройте аутентификацию на своем Cisco ASA для использования этого сервера Radius (IP-адрес, порты, секретный ключ и т. Д.), И тогда все готово. Отрегулируйте время ожидания по мере необходимости.
О Google Authenticator :
вы можете настроить FreeRadius для использования Google Authenticator, а затем настроить aaa-сервер Cisco ASA для использования сервера FreeRadius. Выполнено :)
О Duo Security :
я использовал Duo Security, и он прекрасно работает. Эта ссылка конфигурации показывает, как настроить двухфакторную аутентификацию без установки приложения Duo Security. Однако, если вы устанавливаете приложение (действует как сервер RADIUS), тогда настройка становится еще проще. Ниже приведен пример конфигурации, которая должна помочь.
ПРОБЛЕМЫ к этой настройке: увеличьте время ожидания
! У меня были проблемы с этим. Не устанавливайте приложение Duo на существующий сервер RADIUS (конфликт прослушивающих портов).
После установки приложения на сервере вам нужно изменить
authproxy.cfg
файл, чтобы использовать Active Directory в качестве основного аутентификатора, в верхней части вашегоauthproxy.cfg
Установите клиент на
ad_client
и сервер наradius_server_auto
Создайте раздел под названием
ad_client
.группа безопасности не является обязательной. эта группа позволяет пользователям проходить аутентификацию.
Конкретная информация конфигурации безопасности DUO
Безопасный или безопасный варианты здесь.
Safe=allow auth
если дуэт недоступенSecure=do not allow auth
если Duo недоступен, failmode = safeIP-адрес Cisco ASA, который вы хотите нажать, и ключ
Windows Server, на котором установлено приложение DuoSecurity
Конфигурация Cisco ASA 8.4
Добавить новый aaa-сервер в соответствующую политику VPN
источник
Определение двухфакторной аутентификации имеет множество методов. Вот эти методы:
Двухфакторная аутентификация не имеет двух разных учетных записей входа в систему, как в двух разных наборах имен пользователей и паролей, из двух разных источников, потому что они оба «то, что вы знаете». Примером двухфакторной аутентификации является вставка смарт-карты в ноутбук (что у вас есть), а затем смахивание сканера отпечатков пальцев (что вы есть).
Похоже, у вас есть Microsoft Server, если я понимаю ваше использование LDAP. Почему бы не включить службу Microsoft Certificate Authority на ближайшем сервере Microsoft Windows Server, которая входит в состав операционной системы, и включить регистрацию пользовательских сертификатов? ASA с корневым сертификатом CA может проверять учетные записи, которые он называет XAUTH, а затем проверять подлинность пользовательских сертификатов, которые могут использовать Windows, Linux и MacOS.
источник
Правильно, однако, при условии, что у вас есть безопасный процесс для регистрации, таким образом, мобильный телефон становится физическим брелоком. Duo также предлагает UX гибкость приложения push или смс-кода. Внутренний CA на ASA также хорош, но не вариант, если вы работаете в парах HA или мультиконтексте. Как предложено, используйте MS / Dogtag CA или Duo.
ИМО, вы получаете наибольшее покрытие, настраивая группу vpn следующим образом:
Фактор 1 - Использовать сертификаты (MS / Dogtag / ASA на борту для CA) - может использовать пользователя ldap / AD для генерации сертификата. (Лучше всего делать локально, при доставке / установке сертификата необходимо следовать рекомендациям OpSec.)
Фактор 2 - прокси FreeRADIUS или Duo с защищенной регистрацией для токена / OTP-фоба или мобильного устройства.
Таким образом, если пользователь является целью, злоумышленник должен получить a.) Копию сертификата, которая должна существовать только в хранилище ключей ноутбука / конечной точки; b) пользователи AD / radius username / password c.) Fob (rsa / yubikey) или мобильное устройство (DuoSec)
Это также ограничивает ответственность за потерянные / украденные устройства. Я считаю, что Duo также предлагает способ управления пользователями через вашу AD, который делает управление всей установкой простым. Ваше оборудование должно учитывать настройки тайм-аута / повторных попыток для поддержки внешнего взаимодействия с пользователем во время аутентификации. (Разблокировка телефона / вытащить брелок из кармана / и т. Д. - время ожидания по крайней мере 30 секунд)
источник