Zwei-Faktor-Authentifizierung für SSLVPN (Cisco)?

13

Habe mich heute über die Implementierung der Zwei-Faktor-Authentifizierung für Benutzer von SSLVPN in unserem Unternehmen erkundigt (Verbindung über Cisco AnyConnect wird von uns nicht unterstützt / verwendet). Derzeit verwenden wir LDAP zur Authentifizierung.

Ich habe ein Unternehmen identifiziert, das sich direkt in anyConnect und den Mobility-Client integriert, um eine tokenbasierte Zwei-Faktor-Authentifizierung zu ermöglichen. Ich habe mich jedoch gefragt, welche gängigen Methoden zur Implementierung von Zwei-Faktor-Authentifizierung in solchen Umgebungen verfügbar sind. Das erste, was mir in den Sinn kam, war Google Authenticator oder RSA, aber Informationen über diese Art von Setups in Verbindung mit AnyConnect zu finden, war überraschend schwierig (ich habe nichts gefunden ... in der Tat).

AL
quelle
Unsere Firma verwendet Duo-Sicherheit. Ich habe verstanden, dass die ersten zehn Benutzer frei sind. Sie können versuchen, herauszufinden, ob es Ihren Anforderungen entspricht. PD: Ich bin nicht mit der Sicherheit von Duo verbunden. Dies ist nur ein Beispiel.
Wir haben YubiKey erfolgreich eingesetzt. Sehr, sehr sparsam und einfach einzurichten. Funktioniert wahrscheinlich mit Cisco ASA SSL VPN, PaloAlto und anderen. (Ich bin in keiner Weise mit dieser Firma verbunden, nur ein Benutzer)
Jakob
Cool, danke für die Empfehlung - wir sind DUO geworden - ich bekomme nur einen Dollar pro Benutzer ... ist großartig, der Service ist unkompliziert, mein einziger Kritikpunkt ist die erneute Registrierung, wenn sie ein neues Telefon oder Gerät erhalten ist administrativ ein bisschen ärgerlich (noch keine Selbstbedienung). Ich kann sie nur wärmstens empfehlen (und bin überhaupt nicht mit ihnen verbunden).
AL
FWIW, ich war immer schüchtern, wenn es darum ging, dass die Authentifizierung (die kritisch ist) von so vielen Teilen abhängt (Active Directory + 2-Faktor-Teil). Ich möchte das 2-Faktor-Stück IM GERÄT, also ist es Active Directory + Gerät ... aber das ist schwer zu finden.
Jonesome Reinstate Monica

Antworten:

13

Die beiden Wege, die ich mir vorstellen kann, sind folgende:

  1. Sie möchten die integrierte sekundäre Cisco ASA-Authentifizierung verwenden

  2. Sie können gerne einen Radius-Server verwenden.

Das Konzept für # 2:

  1. Wählen Sie einen Authentifikator. Zum Beispiel Google, LDAP, AD, etc ...

  2. Richten Sie einen Radius-Server (FreeRADIUS, Windows NPM, Cisco ACS usw.) ein, der den Authentifikator unterstützt.

  3. Konfigurieren Sie die Authentifizierung auf Ihrem Cisco ASA so, dass dieser Radius-Server (IP-Adresse, Ports, geheimer Schlüssel usw.) verwendet wird, und schon sind Sie fertig. Passen Sie die Zeitüberschreitungen nach Bedarf an.

Informationen zu Google Authenticator :
Sie können FreeRadius für die Verwendung von Google Authenticator einrichten und anschließend den Cisco ASA aaa-Server für die Verwendung des FreeRadius-Servers einrichten. Erledigt :)

Über Duo Security :
Ich habe Duo Security verwendet und es funktioniert hervorragend. Dieser Konfigurationslink zeigt, wie Sie die 2-Faktor-Authentifizierung einrichten, ohne die Duo Security-Anwendung zu installieren. Wenn Sie jedoch die Anwendung installieren (fungiert als RADIUS-Server), wird die Einrichtung noch einfacher. Unten ist eine Beispielkonfiguration, die helfen sollte.

Die CAVEATS zu diesem Setup: Erhöhen Sie
Ihre Timeouts! Ich hatte Probleme damit. Installieren Sie die Duo-Anwendung nicht auf einem vorhandenen RADIUS-Server (Abhörportkonflikt).

  • Nach der Installation der Anwendung auf einem Server müssen Sie die authproxy.cfgDatei so ändern , dass Active Directory als primärer Authentifikator oben auf Ihrer Seite verwendet wirdauthproxy.cfg

  • Stellen Sie Client auf ad_clientund Server aufradius_server_auto

    [main]  
    client=ad_client  
    server=radius_server_auto  
    
  • Erstellen Sie einen Abschnitt mit dem Namen ad_client.

    [ad_client]
    host=10.x.x.11
    host_2=10.x.x.12
    service_account_username=ldap.duo
    service_account_password=superSecretPassword
    search_dn=DC=corp,DC=businessName,DC=com
    
  • Sicherheitsgruppe ist optional. Diese Gruppe ermöglicht Benutzern die Authentifizierung.

    security_group_dn=CN=Administrators,CN=Builtin,DC=example,DC=com
    
  • Spezifische DUO-Sicherheitskonfigurationsinformationen

    [radius_server_auto]
    ikey=xxxxxxxxxxxxx
    skey=xxxxxxxxxxxxx
    api_host=api-xxxxx.duosecurity.com
    
  • Sicher oder sicher sind die Optionen hier.

  • Safe=allow auth wenn Duo nicht erreichbar ist.
  • Secure=do not allow auth Wenn Duo nicht erreichbar ist, ist FailMode = sicher

  • IP-Adresse von Cisco ASA, die Sie treffen möchten, und der Schlüssel

    radius_ip_1=10.x.x.1
    radius_secret_1=superSecretPassword
    
  • Windows Server, auf dem die DuoSecurity-App installiert ist

    net stop DuoAuthProxy
    net start DuoAuthProxy
    
  • Cisco ASA 8.4-Konfiguration

  • Fügen Sie der entsprechenden VPN-Richtlinie einen neuen aaa-Server hinzu

    aaa-server DUO protocol radius
    !
    aaa-server DUO (inside) host 10.x.x.101
     accounting-port 1813
     authentication-port 1812
     key superSecretPassword
     retry-interval 10
     timeout 300
    !
    
Joseph Drane
quelle
Vielen Dank für das ausführliche Schreiben! Ich habe hier viel zu tun. Interessant zu sehen, wie diese Systeme zusammenarbeiten, um Zwei-Faktor-Authentifizierung bereitzustellen.
AL
2

Die Definition der Zwei-Faktor- Authentifizierung hat eine Vielzahl von Methoden. Dies sind die Methoden:

  1. Was Sie wissen, wie der Benutzername und das Passwort eines Anmeldekontos
  2. Was Sie haben, wie ein RSA-Schlüsselanhänger, der Zahlen oder eine Zertifikatsdatei generiert
  3. Was Sie sind, wie Netzhaut- und Fingerabdruckscanner

Bei der Zwei-Faktor-Authentifizierung gibt es keine zwei unterschiedlichen Anmeldekonten, wie bei zwei unterschiedlichen Sätzen von Benutzernamen und Kennwörtern, die aus zwei unterschiedlichen Quellen stammen, da beide "das sind, was Sie wissen". Ein Beispiel für die Zwei-Faktor-Authentifizierung ist das Einsetzen einer Smartcard in einen Laptop (was Sie haben) und das anschließende Wischen eines Fingerabdruckscanners (was Sie sind).

Es scheint, als hätten Sie einen Microsoft-Server, wenn ich Ihre Verwendung von LDAP verstehe. Warum nicht den Microsoft Certificate Authority-Dienst auf dem nächstgelegenen Microsoft Windows Server aktivieren, der im Betriebssystem enthalten ist, und die Registrierung von Benutzerzertifikaten aktivieren ? Der ASA kann mit dem Stammzertifikat der Zertifizierungsstelle Konten validieren, die als XAUTH bezeichnet werden, und anschließend Benutzerzertifikate authentifizieren, die von Windows, Linux und MacOS verwendet werden können.

Scott Perry
quelle
0

Richtig, vorausgesetzt, Sie haben einen sicheren Anmeldevorgang, so dass das Mobiltelefon zum physischen Schlüsselanhänger wird. Duo bietet auch die UX-Flexibilität des App-Push- oder SMS-Codes. Die interne Zertifizierungsstelle auf dem ASA ist ebenfalls großartig, aber keine Option, wenn Sie in HA-Paaren oder mit mehreren Kontexten ausgeführt werden. Verwenden Sie wie empfohlen MS / Dogtag CA oder Duo.

IMO, Sie erhalten die meiste Abdeckung, indem Sie die VPN-Gruppe als solche konfigurieren:

Faktor 1 - Zertifikate verwenden (MS / Dogtag / ASA onboard für CA) - Kann LDAP / AD-Benutzer verwenden, um das Zertifikat zu generieren. (Am besten lokal, OpSec-Best-Practice muss bei der Lieferung / Installation des Zertifikats befolgt werden.)

Faktor 2 - FreeRADIUS- oder Duo-Proxy mit sicherer Registrierung für Token / OTP-Schlüsselanhänger oder Mobilgerät.

Auf diese Weise muss der Angreifer, wenn ein Benutzer anvisiert wird, a.) Eine Kopie des Zertifikats erhalten, die nur im Laptop- / Endpunkt-Keystore vorhanden sein sollte. B.) Den AD- / Radius-Benutzernamen / das Passwort des Benutzers. yubikey) oder mobiles Gerät (DuoSec)

Dies schränkt auch die Haftung für verlorene / gestohlene Geräte ein. Ich glaube, dass duo auch eine Möglichkeit bietet, die Benutzer über AD zu verwalten, wodurch das gesamte Setup einfach zu verwalten ist. Ihre Ausrüstung muss Zeitlimit- / Wiederholungsanpassungen zulassen, um die Außerband-Benutzerinteraktion während der Authentifizierung zu unterstützen. (Entsperren des Telefons / Ziehen des Handsenders aus der Tasche / usw. - Wartezeit von mindestens 30 Sekunden)

0optimiert
quelle