Otentikasi dua faktor untuk SSLVPN (cisco)?

13

Baru saja ditanya tentang penerapan dua faktor otentikasi untuk pengguna SSLVPN dalam perusahaan kami (menghubungkan melalui Cisco AnyConnect kami tidak mendukung / menggunakan WebVPN). Saat ini kami menggunakan LDAP untuk otentikasi.

Saya telah mengidentifikasi perusahaan yang terintegrasi langsung dengan anyConnect dan klien mobilitas untuk membayar otentikasi dua faktor berdasarkan token, tetapi bertanya-tanya apa cara yang lebih umum untuk menerapkan dua faktor dalam pengaturan seperti ini? Hal pertama yang muncul di benak saya adalah Google Authenticator atau RSA, tetapi menemukan informasi tentang jenis pengaturan ini bersama dengan AnyConnect ternyata sangat sulit ditemukan (saya tidak menemukan apa-apa .. sebenarnya)

cisco sslvpn AL
sumber
Perusahaan kami menggunakan keamanan Duo. Saya telah memahami bahwa sepuluh pengguna pertama adalah gratis, Anda dapat mencoba melihat apakah itu sesuai dengan kebutuhan Anda. PD: Saya tidak punya afiliasi dengan keamanan Duo. Ini hanya diberikan sebagai contoh.
Kami telah berhasil menggunakan YubiKey. Sangat, sangat ekonomis dan mudah diatur. Bekerja dengan Cisco ASA SSL VPN, PaloAlto dan lainnya mungkin. (Saya tidak terhubung dengan perusahaan ini dengan cara apa pun, hanya pengguna)
Jakob
Keren, terima kasih untuk rekomendasinya - kami akhirnya akan DUO - Saya hanya akan mendapat satu dolar pengguna ... mengagumkan, layanannya mudah, satu-satunya keluhan saya adalah pendaftaran ulang ketika mereka mendapatkan ponsel atau perangkat baru sedikit mengganggu secara administratif (belum mandiri). sangat merekomendasikan mereka (dan sama sekali tidak berafiliasi dengan mereka).
AL
FWIW, saya selalu malu memiliki auth (yang sangat penting) tergantung pada begitu banyak potongan (direktori aktif + 2 bagian faktor). Saya ingin bagian 2 faktor DI PERANGKAT, jadi ini adalah direktori + perangkat aktif .... tapi ini sulit ditemukan.
Jonesome Reinstate Monica

Jawaban:

13

Dua jalur yang bisa saya pikirkan adalah sebagai berikut:

  1. Anda ingin menggunakan otentikasi sekunder ASA Cisco bawaan

  2. Anda terbuka untuk menggunakan server radius.

Konsep untuk # 2:

  1. Pilih seorang pengautentikasi. Misalnya, Google, LDAP, AD, dll ...

  2. Setup Server Radius (FreeRADIUS, Windows NPM, Cisco ACS, dll ...) yang mendukung autentikator.

  3. Konfigurasikan otentikasi pada Cisco ASA Anda untuk menggunakan server Radius itu (Alamat IP, port, kunci rahasia, dll ...) dan kemudian Anda selesai. Sesuaikan waktu tunggu sesuai kebutuhan.

Tentang Google Authenticator :
Anda dapat mengatur FreeRadius untuk menggunakan Google Authenticator dan kemudian mengatur server aaa Cisco ASA untuk menggunakan server FreeRadius. Selesai :)

Tentang Duo Security :
Saya telah menggunakan Duo Security dan berfungsi dengan baik. Tautan konfigurasi ini menunjukkan cara mengatur Otentikasi 2-Faktor tanpa menginstal aplikasi Duo Security. Namun, jika Anda menginstal aplikasi (bertindak sebagai server RADIUS) maka pengaturannya menjadi lebih mudah. Di bawah ini adalah contoh konfigurasi yang seharusnya membantu.

CAVEAT untuk pengaturan ini:
Tingkatkan waktu tunggu Anda! Saya punya masalah dengan ini. Jangan menginstal aplikasi Duo pada server RADIUS yang ada (mendengarkan konflik port).

  • Setelah menginstal aplikasi pada server Anda perlu memodifikasi authproxy.cfgfile untuk menggunakan Active Directory sebagai autentikator utama Anda, di bagian atas Andaauthproxy.cfg

  • Tetapkan klien ke ad_clientdan server keradius_server_auto 

    [main]  
client=ad_client  
server=radius_server_auto

  • Buat bagian bernama ad_client.

    [ad_client]
host=10.x.x.11
host_2=10.x.x.12
service_account_username=ldap.duo
service_account_password=superSecretPassword
search_dn=DC=corp,DC=businessName,DC=com

  • grup keamanan adalah opsional. grup ini memungkinkan pengguna untuk mengotentikasi.

    security_group_dn=CN=Administrators,CN=Builtin,DC=example,DC=com

  • Info konfigurasi keamanan DUO tertentu

    [radius_server_auto]
ikey=xxxxxxxxxxxxx
skey=xxxxxxxxxxxxx
api_host=api-xxxxx.duosecurity.com

  • Aman atau aman adalah opsi di sini.

  • Safe=allow auth jika Duo tidak terjangkau.

  • Secure=do not allow auth jika Duo tidak terjangkau failmode = aman

  • Alamat IP Cisco ASA yang ingin Anda tekan dan kuncinya

    radius_ip_1=10.x.x.1
radius_secret_1=superSecretPassword

  • Windows Server yang memiliki Aplikasi DuoSecurity diinstal

    net stop DuoAuthProxy
net start DuoAuthProxy

  • Konfigurasi Cisco ASA 8.4

  • Tambahkan aaa-server baru ke kebijakan VPN yang sesuai

    aaa-server DUO protocol radius
!
aaa-server DUO (inside) host 10.x.x.101
 accounting-port 1813
 authentication-port 1812
 key superSecretPassword
 retry-interval 10
 timeout 300
!
Joseph Drane
sumber
Terima kasih banyak untuk artikel lengkapnya! Saya harus banyak bekerja di sini. Menarik untuk melihat bagaimana sistem ini bekerja bersama untuk menyediakan auth dua faktor.
AL
2

Definisi otentikasi dua faktor adalah memiliki berbagai metode. Inilah metodenya:

  1. Yang Anda tahu, seperti nama pengguna dan kata sandi akun masuk
  2. Apa yang Anda miliki, seperti keyfob RSA yang menghasilkan angka atau file sertifikat
  3. Apa Anda, seperti pemindaian retina dan pemindai sidik jari

Otentikasi dua faktor tidak memiliki dua akun login yang berbeda, seperti dalam dua set nama pengguna dan kata sandi yang berbeda, dari dua sumber yang berbeda karena keduanya "apa yang Anda ketahui". Contoh dua faktor yang diautentikasi adalah memasukkan kartu pintar ke laptop (apa yang Anda miliki) dan kemudian menggesekkan pemindai sidik jari (apa yang Anda miliki).

Sepertinya Anda memiliki Microsoft Server, jika saya memahami penggunaan LDAP Anda. Mengapa tidak mengaktifkan layanan Microsoft Certificate Authority di Microsoft Windows Server terdekat, yang disertakan dengan sistem operasi, dan memungkinkan pendaftaran sertifikat pengguna ? ASA, dengan sertifikat root CA, dapat memvalidasi akun, yang disebut sebagai XAUTH, dan kemudian mengautentikasi sertifikat pengguna yang dapat digunakan Windows, Linux, dan MacOS.

Scott Perry
sumber
0

Benar, namun asalkan Anda memiliki proses pendaftaran yang aman, dengan cara telepon menjadi kunci fisik. Duo juga menawarkan fleksibilitas UX dari push aplikasi atau kode sms. CA internal pada ASA juga bagus tetapi bukan opsi jika Anda menjalankan HA pasang atau multi-konteks. Seperti yang disarankan, gunakan MS / Dogtag CA atau Duo.

IMO, Anda mendapatkan cakupan terbanyak dengan mengkonfigurasi grup vpn seperti:

Faktor 1 - Gunakan Sertifikat (MS / Dogtag / ASA onboard untuk CA) - dapat menggunakan pengguna ldap / AD untuk membuat sertifikat. (Terbaik dilakukan secara lokal, praktik terbaik OpSec harus diikuti dalam memberikan / memasang sertifikat.)

Faktor 2 - Proxy FreeRADIUS atau Duo dengan pendaftaran aman untuk fob token / OTP atau perangkat seluler.

Dengan cara ini, jika pengguna ditargetkan, penyerang harus mendapatkan a.) Salinan sertifikat yang seharusnya hanya ada di laptop / endpoint keystore b.) Pengguna AD / radius nama pengguna / kata sandi c.) Fob (rsa / yubikey) atau perangkat seluler (DuoSec)

Ini juga membatasi tanggung jawab untuk perangkat yang hilang / dicuri. Saya percaya duo juga menawarkan cara untuk mengelola pengguna melalui AD Anda juga yang membuat seluruh pengaturan mudah dikelola. Gigi Anda harus memungkinkan penyesuaian batas waktu / coba lagi untuk mendukung interaksi pengguna di luar band selama otentikasi. (Membuka kunci telepon / menarik fob dari saku / dll - memungkinkan batas waktu radius setidaknya 30 detik)

0dimaksimalkan
sumber