Двухфакторная аутентификация для SSLVPN (cisco)?

13

Сегодня меня только что спросили о внедрении двухфакторной аутентификации для пользователей SSLVPN в нашей компании (при подключении через Cisco AnyConnect мы не поддерживаем / не используем WebVPN). В настоящее время мы используем LDAP для аутентификации.

Я определил компанию, которая напрямую интегрируется с anyConnect и мобильным клиентом для предоставления двухфакторной аутентификации на основе токенов, но мне было интересно, каковы более распространенные способы реализации двухфакторной аутентификации в подобных настройках? Первым, что пришло мне в голову, был Google Authenticator или RSA, но найти информацию об этих типах настроек в сочетании с AnyConnect было на удивление трудно найти (я ничего не нашел .. на самом деле)

cisco sslvpn Алабама
источник
Наша компания использует Duo security. Я понял, что первые десять пользователей бесплатны, и вы можете попробовать проверить, подходит ли вам это. PD: Я не имею никакого отношения к безопасности Duo. Это просто приведено в качестве примера.
Мы успешно использовали YubiKey. Очень, очень экономичный и простой в настройке. Возможно, работает с Cisco ASA SSL VPN, PaloAlto и другими. (Я никак не связан с этой компанией, просто пользователь)
Jakob
Круто, спасибо за рекомендацию - мы закончили тем, что выбрали DUO - я просто доллар за пользователя ... это круто, услуга прямолинейна, моя единственная неприятность в том, что повторная регистрация, когда они получают новый телефон или устройство это немного раздражает в административном отношении (пока не самообслуживание). очень рекомендую их (и не связаны с ними вообще).
AL
FWIW, я всегда стеснялся, чтобы auth (что критично) зависел от очень многих частей (активный каталог + 2 факторных элемента). Я хочу, чтобы в УСТРОЙСТВЕ было 2 фактора, так что это активный каталог + устройство .... но это трудно найти.
Jonesome Восстановить Монику

Ответы:

13

Два пути, о которых я могу думать, следующие:

  1. Вы хотите использовать встроенную вторичную аутентификацию Cisco ASA

  2. Вы открыты для использования радиус-сервера.

Концепция № 2:

  1. Выберите аутентификатор. Например, Google, LDAP, AD и т.д ...

  2. Настройте сервер Radius (FreeRADIUS, Windows NPM, Cisco ACS и т. Д.), Который поддерживает аутентификатор.

  3. Настройте аутентификацию на своем Cisco ASA для использования этого сервера Radius (IP-адрес, порты, секретный ключ и т. Д.), И тогда все готово. Отрегулируйте время ожидания по мере необходимости.

О Google Authenticator :
вы можете настроить FreeRadius для использования Google Authenticator, а затем настроить aaa-сервер Cisco ASA для использования сервера FreeRadius. Выполнено :)

О Duo Security :
я использовал Duo Security, и он прекрасно работает. Эта ссылка конфигурации показывает, как настроить двухфакторную аутентификацию без установки приложения Duo Security. Однако, если вы устанавливаете приложение (действует как сервер RADIUS), тогда настройка становится еще проще. Ниже приведен пример конфигурации, которая должна помочь.

ПРОБЛЕМЫ к этой настройке: увеличьте время ожидания
! У меня были проблемы с этим. Не устанавливайте приложение Duo на существующий сервер RADIUS (конфликт прослушивающих портов).

  • После установки приложения на сервере вам нужно изменить authproxy.cfgфайл, чтобы использовать Active Directory в качестве основного аутентификатора, в верхней части вашегоauthproxy.cfg

  • Установите клиент на ad_clientи сервер наradius_server_auto 

    [main]  
client=ad_client  
server=radius_server_auto

  • Создайте раздел под названием ad_client.

    [ad_client]
host=10.x.x.11
host_2=10.x.x.12
service_account_username=ldap.duo
service_account_password=superSecretPassword
search_dn=DC=corp,DC=businessName,DC=com

  • группа безопасности не является обязательной. эта группа позволяет пользователям проходить аутентификацию.

    security_group_dn=CN=Administrators,CN=Builtin,DC=example,DC=com

  • Конкретная информация конфигурации безопасности DUO

    [radius_server_auto]
ikey=xxxxxxxxxxxxx
skey=xxxxxxxxxxxxx
api_host=api-xxxxx.duosecurity.com

  • Безопасный или безопасный варианты здесь.

  • Safe=allow auth если дуэт недоступен

  • Secure=do not allow auth если Duo недоступен, failmode = safe

  • IP-адрес Cisco ASA, который вы хотите нажать, и ключ

    radius_ip_1=10.x.x.1
radius_secret_1=superSecretPassword

  • Windows Server, на котором установлено приложение DuoSecurity

    net stop DuoAuthProxy
net start DuoAuthProxy

  • Конфигурация Cisco ASA 8.4

  • Добавить новый aaa-сервер в соответствующую политику VPN

    aaa-server DUO protocol radius
!
aaa-server DUO (inside) host 10.x.x.101
 accounting-port 1813
 authentication-port 1812
 key superSecretPassword
 retry-interval 10
 timeout 300
!
Джозеф Дрейн
источник
Большое спасибо за обширную статью! У меня много работы здесь. Интересно посмотреть, как эти системы работают вместе, чтобы обеспечить двухфакторную аутентификацию.
AL
2

Определение двухфакторной аутентификации имеет множество методов. Вот эти методы:

  1. Что вы знаете, например, имя пользователя и пароль учетной записи
  2. Что у вас есть, например брелок RSA, который генерирует числа или файл сертификата
  3. Что вы, как сканирование сетчатки глаза и сканеры отпечатков пальцев

Двухфакторная аутентификация не имеет двух разных учетных записей входа в систему, как в двух разных наборах имен пользователей и паролей, из двух разных источников, потому что они оба «то, что вы знаете». Примером двухфакторной аутентификации является вставка смарт-карты в ноутбук (что у вас есть), а затем смахивание сканера отпечатков пальцев (что вы есть).

Похоже, у вас есть Microsoft Server, если я понимаю ваше использование LDAP. Почему бы не включить службу Microsoft Certificate Authority на ближайшем сервере Microsoft Windows Server, которая входит в состав операционной системы, и включить регистрацию пользовательских сертификатов? ASA с корневым сертификатом CA может проверять учетные записи, которые он называет XAUTH, а затем проверять подлинность пользовательских сертификатов, которые могут использовать Windows, Linux и MacOS.

Скотт Перри
источник
0

Правильно, однако, при условии, что у вас есть безопасный процесс для регистрации, таким образом, мобильный телефон становится физическим брелоком. Duo также предлагает UX гибкость приложения push или смс-кода. Внутренний CA на ASA также хорош, но не вариант, если вы работаете в парах HA или мультиконтексте. Как предложено, используйте MS / Dogtag CA или Duo.

ИМО, вы получаете наибольшее покрытие, настраивая группу vpn следующим образом:

Фактор 1 - Использовать сертификаты (MS / Dogtag / ASA на борту для CA) - может использовать пользователя ldap / AD для генерации сертификата. (Лучше всего делать локально, при доставке / установке сертификата необходимо следовать рекомендациям OpSec.)

Фактор 2 - прокси FreeRADIUS или Duo с защищенной регистрацией для токена / OTP-фоба или мобильного устройства.

Таким образом, если пользователь является целью, злоумышленник должен получить a.) Копию сертификата, которая должна существовать только в хранилище ключей ноутбука / конечной точки; b) пользователи AD / radius username / password c.) Fob (rsa / yubikey) или мобильное устройство (DuoSec)

Это также ограничивает ответственность за потерянные / украденные устройства. Я считаю, что Duo также предлагает способ управления пользователями через вашу AD, который делает управление всей установкой простым. Ваше оборудование должно учитывать настройки тайм-аута / повторных попыток для поддержки внешнего взаимодействия с пользователем во время аутентификации. (Разблокировка телефона / вытащить брелок из кармана / и т. Д. - время ожидания по крайней мере 30 секунд)

0ptimized
источник