Autenticazione a due fattori per SSLVPN (cisco)?

13

Sono appena stato chiesto oggi sull'implementazione dell'autenticazione a due fattori per gli utenti di SSLVPN all'interno della nostra azienda (connettendoci tramite Cisco AnyConnect non supportiamo / utilizziamo WebVPN). Attualmente utilizziamo LDAP per l'autenticazione.

Ho identificato un'azienda che si integra direttamente con anyConnect e il client di mobilità per offrire l'autenticazione a due fattori basata su token, ma mi chiedevo quali sono i modi più comuni per implementare i due fattori in questo tipo di impostazione? La prima cosa che mi è venuta in mente è stata Google Authenticator o RSA, ma trovare informazioni su questi tipi di configurazioni insieme a AnyConnect è stato sorprendentemente difficile da trovare (non ho trovato nulla .. in effetti)

cisco  sslvpn 
AL
fonte
La nostra azienda utilizza la sicurezza Duo. Ho capito che i primi dieci utenti sono gratuiti, puoi provare a vedere se soddisfa le tue esigenze. PD: Non ho affiliazioni con la sicurezza Duo. Questo è semplicemente dato come esempio.
Abbiamo usato YubiKey con successo. Molto, molto economico e facile da installare. Funziona con Cisco ASA SSL VPN, PaloAlto e probabilmente altri. (Non sono in alcun modo collegato a questa compagnia, solo un utente)
Jakob,
Bene, grazie per la raccomandazione - siamo finiti con il DUO - Avrò solo un dollaro a utente ... è fantastico, il servizio è semplice, la mia unica lamentela è che la nuova registrazione quando ottengono un nuovo telefono o dispositivo è un po 'fastidioso dal punto di vista amministrativo (non ancora self service). lo consiglio vivamente (e non affiliato affatto).
AL
FWIW, sono sempre stato timido nel far dipendere l'autent (che è fondamentale) da così tanti pezzi (directory attiva + pezzo con 2 fattori). Voglio il pezzo a 2 fattori NEL DISPOSITIVO, quindi è active directory + dispositivo .... ma questo è difficile da trovare.
Jonesome ripristina Monica l'

Risposte:

13

I due percorsi che mi vengono in mente sono i seguenti:

  1. Si desidera utilizzare l'autenticazione secondaria Cisco ASA integrata

  2. Sei aperto all'utilizzo di un server radius.

Il concetto per # 2:

  1. Scegli un autenticatore. Ad esempio, Google, LDAP, AD, ecc ...

  2. Configurare un server Radius (FreeRADIUS, Windows NPM, Cisco ACS, ecc ...) che supporti l'autenticatore.

  3. Configura l'autenticazione sul tuo Cisco ASA per usare quel server Radius (indirizzo IP, porte, chiave segreta, ecc ...) e poi hai finito. Regola i timeout secondo necessità.

Informazioni su Google Authenticator :
puoi configurare FreeRadius per utilizzare Google Authenticator e quindi configurare il server aaa Cisco ASA per utilizzare il server FreeRadius. Fatto :)

Informazioni su Duo Security :
ho usato Duo Security e funziona benissimo. Questo collegamento di configurazione mostra come impostare l'autenticazione a 2 fattori senza installare l'applicazione Duo Security. Tuttavia, se si installa l'applicazione (funge da server RADIUS), l'installazione diventa ancora più semplice. Di seguito è riportato un esempio di configurazione che dovrebbe aiutare.

I CAVEAT a questa configurazione:
aumenta i tuoi timeout! Ho avuto problemi con questo. Non installare l'applicazione Duo su un server RADIUS esistente (conflitto della porta di ascolto).

  • Dopo aver installato l'applicazione su un server, è necessario modificare il authproxy.cfgfile per utilizzare Active Directory come autenticatore principale, nella parte superiore diauthproxy.cfg

  • Impostare client su ad_cliente server suradius_server_auto 

    [main]  
client=ad_client  
server=radius_server_auto

  • Crea una sezione chiamata ad_client.

    [ad_client]
host=10.x.x.11
host_2=10.x.x.12
service_account_username=ldap.duo
service_account_password=superSecretPassword
search_dn=DC=corp,DC=businessName,DC=com

  • il gruppo di sicurezza è facoltativo. questo gruppo consente agli utenti di autenticarsi.

    security_group_dn=CN=Administrators,CN=Builtin,DC=example,DC=com

  • Informazioni specifiche sulla configurazione della sicurezza DUO

    [radius_server_auto]
ikey=xxxxxxxxxxxxx
skey=xxxxxxxxxxxxx
api_host=api-xxxxx.duosecurity.com

  • Sicuro o protetto sono le opzioni qui.

  • Safe=allow auth se Duo non è raggiungibile.

  • Secure=do not allow auth se Duo non è raggiungibile failmode = sicuro

  • Indirizzo IP di Cisco ASA che si desidera premere e il tasto

    radius_ip_1=10.x.x.1
radius_secret_1=superSecretPassword

  • Windows Server su cui è installata l'app DuoSecurity

    net stop DuoAuthProxy
net start DuoAuthProxy

  • Cisco ASA 8.4 Configuration

  • Aggiungi un nuovo server aaa al corrispondente criterio VPN

    aaa-server DUO protocol radius
!
aaa-server DUO (inside) host 10.x.x.101
 accounting-port 1813
 authentication-port 1812
 key superSecretPassword
 retry-interval 10
 timeout 300
!
Joseph Drane
fonte
Grazie mille per l'ampia scrittura! Ho molto con cui lavorare qui. Interessante vedere come questi sistemi collaborano per fornire un'autenticazione a due fattori.
AL
2

La definizione di autenticazione a due fattori sta avendo una varietà di metodi. Questi sono i metodi:

  1. Quello che sai, come il nome utente e la password di un account di accesso
  2. Quello che hai, come un telecomando RSA che genera numeri o un file di certificato
  3. Cosa sei, come scansioni della retina e scanner di impronte digitali

L'autenticazione a due fattori non ha due account di accesso diversi, come in due diversi set di nomi utente e password, da due origini diverse perché entrambi sono "ciò che sai". Un esempio di autenticazione a due fattori è l'inserimento di una smart card in un laptop (quello che hai) e quindi lo scorrimento di uno scanner di impronte digitali (quello che sei).

Sembra che tu abbia un Microsoft Server, se capisco il tuo uso di LDAP. Perché non abilitare il servizio Autorità di certificazione Microsoft sul Microsoft Windows Server più vicino, incluso nel sistema operativo, e abilitare la registrazione dei certificati utente ? L'ASA, con il certificato radice della CA, può convalidare gli account, a cui fa riferimento come XAUTH, e quindi autenticare i certificati utente che possono utilizzare Windows, Linux e MacOS.

Scott Perry
fonte
0

Corretto, tuttavia, purché tu abbia un processo sicuro per l'iscrizione, in un modo il telefono cellulare diventa il portachiavi fisico. Duo offre anche la flessibilità UX del push dell'applicazione o del codice sms. Anche la CA interna sull'ASA è eccezionale, ma non è un'opzione se si esegue in coppie HA o in più contesti. Come suggerito, utilizzare MS / Dogtag CA o Duo.

IMO, ottieni la massima copertura configurando il gruppo vpn come tale:

Fattore 1 - Usa certificati (MS / Dogtag / ASA onboard per CA) - può usare l'utente ldap / AD per generare il certificato. (Meglio fatto localmente, le migliori pratiche OpSec devono essere seguite nella consegna / installazione del certificato.)

Fattore 2: proxy FreeRADIUS o Duo con registrazione sicura per token / fob o dispositivo mobile.

In questo modo, se un utente viene preso di mira, l'utente malintenzionato deve ottenere a.) Una copia del certificato che dovrebbe esistere solo nel keystore laptop / endpoint b.) Gli utenti AD / radius username / password c.) Il telecomando (rsa / yubikey) o dispositivo mobile (DuoSec)

Ciò limita anche la responsabilità per i dispositivi smarriti / rubati. Credo che duo offra anche un modo per gestire gli utenti tramite AD, il che semplifica la gestione dell'intera configurazione. L'attrezzatura deve consentire regolazioni di timeout / riprovare per supportare l'interazione dell'utente fuori banda durante l'autenticazione. (Sblocco del telefono / estrazione del telecomando dalla tasca / ecc. - consentire un timeout del raggio di almeno 30 secondi)

0ptimized
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.