Двофакторна аутентифікація для SSLVPN (cisco)?

Сьогодні мене просто запитали про реалізацію двофакторної аутентифікації для користувачів SSLVPN в нашій компанії (підключення через Cisco AnyConnect ми не підтримуємо / не використовуємо WebVPN). В даний час ми використовуємо LDAP для аутентифікації.

Я визначив компанію, яка інтегрується безпосередньо з anyConnect та клієнтом мобільності, щоб дозволити двофакторну аутентифікацію на основі лексем, але цікавилась, які більш поширені способи впровадження двофакторного режиму в такому режимі? Перше, що мені прийшло в голову - Google Authenticator або RSA, але знайти інформацію про ці типи налаштувань спільно з AnyConnect було напрочуд важко знайти (я нічого не знайшов .. насправді)

Я можу придумати два шляхи:

1. Ви хочете використовувати вбудовану вторинну автентифікацію Cisco ASA

2. Ви відкриті для використання радіусного сервера.

Концепція №2:

1. Виберіть автентифікатор. Наприклад, Google, LDAP, AD тощо ...

2. Налаштуйте Radius Server (FreeRADIUS, Windows NPM, Cisco ACS тощо), який підтримує автентифікатор.

3. Налаштуйте автентифікацію на своєму Cisco ASA для використання цього сервера Radius (IP-адреса, порти, секретний ключ тощо), і тоді ви закінчите. За необхідності відрегулюйте тайм-аути.

Про Google Authenticator :
Ви можете налаштувати FreeRadius для використання Google Authenticator, а потім налаштувати aaa-сервер Cisco ASA для використання сервера FreeRadius. Готово :)

Про безпеку Duo :
Я використовував Duo Security, і він чудово працює. Це посилання конфігурації показує, як налаштувати двофакторну автентифікацію без встановлення програми Duo Security. Однак якщо ви встановите додаток (діє як сервер RADIUS), налаштування стає ще простішим. Нижче наведено зразок конфігурації, який повинен допомогти.

ПІДКЛЮЧЕННЯ до цієї установки:
збільшуйте час очікування! У мене були проблеми з цим. Не встановлюйте програму Duo на існуючий сервер RADIUS (конфлікт порту прослуховування).

• Після установки програми на сервер потрібно змінити authproxy.cfgфайл, щоб використовувати Active Directory як основний аутентифікатор у верхній частиніauthproxy.cfg

• Встановіть клієнт ad_clientі сервер наradius_server_auto

  [main]  
  client=ad_client  
  server=radius_server_auto  
  

• Створіть розділ під назвою ad_client.

  [ad_client]
  host=10.x.x.11
  host_2=10.x.x.12
  service_account_username=ldap.duo
  service_account_password=superSecretPassword
  search_dn=DC=corp,DC=businessName,DC=com
  

• група безпеки не є обов'язковою. ця група дозволяє користувачам пройти автентифікацію.

  security_group_dn=CN=Administrators,CN=Builtin,DC=example,DC=com
  

• Конкретна інформація про конфігурацію безпеки DUO

  [radius_server_auto]
  ikey=xxxxxxxxxxxxx
  skey=xxxxxxxxxxxxx
  api_host=api-xxxxx.duosecurity.com
  

• Тут безпечні варіанти.

• Safe=allow auth якщо Дует недоступний.

• Secure=do not allow auth якщо Duo недоступний failmode = безпечний

• IP-адреса Cisco ASA, яку потрібно натиснути, і ключ

  radius_ip_1=10.x.x.1
  radius_secret_1=superSecretPassword
  

• Windows Server, на якому встановлено додаток DuoSecurity

  net stop DuoAuthProxy
  net start DuoAuthProxy
  

• Конфігурація Cisco ASA 8.4

• Додайте новий aaa-сервер до відповідної політики VPN

  aaa-server DUO protocol radius
  !
  aaa-server DUO (inside) host 10.x.x.101
   accounting-port 1813
   authentication-port 1812
   key superSecretPassword
   retry-interval 10
   timeout 300
  !
  

Визначення двофакторної аутентифікації має різні методи. Це методи:

1. Що ви знаєте, як ім’я користувача та пароль облікового запису для входу
2. Що у вас є, як RSA keyfob, який генерує номери або файл сертифіката
3. Що ви є, як сканування сітківки та сканери відбитків пальців

Двофакторна автентифікація не має двох різних облікових записів для входу, як у двох різних наборах імен користувачів та паролів, з двох різних джерел, оскільки вони обидва "те, що ви знаєте". Прикладом двофакторної автентифікації є вставлення смарт-картки в ноутбук (що у вас є), а потім перенесення сканера відбитків пальців (що ви є).

Здається, у вас є сервер Microsoft, якщо я розумію ваше використання LDAP. Чому б не включити послугу Microsoft Certificate Authority на найближчому сервері Microsoft Windows, який входить до операційної системи, і не включити реєстрацію сертифікатів користувача ? ASA з кореневим сертифікатом CA може перевірити облікові записи, які вони називають XAUTH, а потім перевірити автентифікацію сертифікатів користувачів, якими можуть користуватися Windows, Linux та MacOS.

Правильно, але за умови, що у вас є безпечний процес реєстрації, таким чином мобільний телефон стає фізичним ключем. Duo також пропонує гнучкість UX у програмі push або sms-коду. Внутрішня CA в ASA також чудова, але не є можливою, якщо ви працюєте в парах HA або багатоконтекстних. Як запропоновано, використовуйте MS / Dogtag CA або Duo.

IMO, ви отримуєте найбільше покриття, конфігуруючи vpn групу як таку:

Фактор 1 - Використовуйте сертифікати (MS / Dogtag / ASA onboard for CA) - може використовувати користувача ldap / AD для генерування сертифіката. (Найкраще на місцевому рівні, при постачанні / встановленні сертифікату необхідно дотримуватися найкращої практики OpSec.)

Фактор 2 - FreeRADIUS або Duo проксі із захищеною реєстрацією на токен / OTP fob або мобільний пристрій.

Таким чином, якщо націлений користувач, зловмисник повинен отримати а.) Копію сертифіката, який повинен існувати лише в клавіатурі ноутбука / кінцевої точки b.) AD / radius ім'я користувача / пароль c.) Fob (rsa / yubikey) або мобільний пристрій (DuoSec)

Це також обмежує відповідальність за втрачені / викрадені пристрої. Я вважаю, що дует пропонує також спосіб управління користувачами через вашу рекламну рекламу, що дозволяє легко керувати всіма налаштуваннями. Ваша передача повинна передбачати налаштування тайм-ауту / повтору, щоб підтримувати взаємодію користувачів поза діапазону під час аутентифікації. (Розблокування телефону / витягування фольги з кишені / тощо. - Дозвольте принаймні 30 секунд в радіусі)