SSLVPN (Cisco)에 대한 2 단계 인증?

회사 내에서 SSLVPN 사용자를위한 2 단계 인증 구현에 대해 오늘 질문을 받았습니다 (WebVPN을 지원 / 사용하지 않는 Cisco AnyConnect를 통해 연결). 현재 인증을 위해 LDAP를 사용합니다.

토큰 기반 2 단계 인증을 제공하기 위해 anyConnect 및 모빌리티 클라이언트와 직접 통합되는 회사를 찾았지만 이런 종류의 설정에서 2 단계 요소를 구현하는 일반적인 방법이 궁금하십니까? 가장 먼저 떠오른 것은 Google OTP (Authorticator) 또는 RSA이지만 AnyConnect와 함께 이러한 유형의 설정에 대한 정보를 찾는 것은 놀랍게도 찾기 어려웠습니다.

내가 생각할 수있는 두 가지 경로는 다음과 같습니다.

1. 내장 된 Cisco ASA 보조 인증을 사용하려고합니다

2. 반경 서버를 사용할 수 있습니다.

# 2의 개념 :

1. 인증자를 선택하십시오. 예를 들어 Google, LDAP, AD 등

2. 인증자를 지원하는 Radius 서버 (FreeRADIUS, Windows NPM, Cisco ACS 등)를 설정하십시오.

3. 해당 Radius 서버 (IP 주소, 포트, 비밀 키 등)를 사용하도록 Cisco ASA에서 인증을 구성하면 완료됩니다. 필요에 따라 타임 아웃을 조정하십시오.

Google Authenticator 정보 : Google Authenticator 를 사용하도록 FreeRadius를
설정 한 다음 FreeRadius 서버를 사용하도록 Cisco ASA aaa-server를 설정할 수 있습니다. 완료 :)

듀오 시큐리티 소개 : 듀오 시큐리티를
사용해 보았습니다. 이 구성 링크 는 Duo Security 응용 프로그램을 설치하지 않고 2 단계 인증을 설정하는 방법을 보여줍니다. 그러나 응용 프로그램을 설치하면 (RADIUS 서버로 작동) 설정이 훨씬 쉬워집니다. 다음은 도움이되는 샘플 구성입니다.

이 설정에 대한주의 사항 :
시간 초과를 늘리십시오! 나는 이것에 문제가 있었다. 기존 RADIUS 서버에 Duo 응용 프로그램을 설치하지 마십시오 (포트 충돌 듣기).

• 서버에 응용 프로그램을 설치 한 후 authproxy.cfgActive Directory를 기본 인증 자로 사용 하도록 파일을 수정해야 합니다.authproxy.cfg

• 클라이언트를 ad_client서버로 설정radius_server_auto

  [main]  
  client=ad_client  
  server=radius_server_auto  
  

• 라는 섹션을 만듭니다 ad_client.

  [ad_client]
  host=10.x.x.11
  host_2=10.x.x.12
  service_account_username=ldap.duo
  service_account_password=superSecretPassword
  search_dn=DC=corp,DC=businessName,DC=com
  

• 보안 그룹은 선택 사항입니다. 이 그룹은 사용자가 인증 할 수 있도록합니다.

  security_group_dn=CN=Administrators,CN=Builtin,DC=example,DC=com
  

• 특정 DUO 보안 구성 정보

  [radius_server_auto]
  ikey=xxxxxxxxxxxxx
  skey=xxxxxxxxxxxxx
  api_host=api-xxxxx.duosecurity.com
  

• 안전 또는 보안 옵션이 여기에 있습니다.

• Safe=allow auth Duo에 연결할 수없는 경우

• Secure=do not allow auth Duo에 연결할 수없는 경우 failmode = safe

• 공격하려는 Cisco ASA의 IP 주소 및 키

  radius_ip_1=10.x.x.1
  radius_secret_1=superSecretPassword
  

• DuoSecurity 앱이 설치된 Windows Server

  net stop DuoAuthProxy
  net start DuoAuthProxy
  

• Cisco ASA 8.4 구성

• 해당 VPN 정책에 새 aaa-server 추가

  aaa-server DUO protocol radius
  !
  aaa-server DUO (inside) host 10.x.x.101
   accounting-port 1813
   authentication-port 1812
   key superSecretPassword
   retry-interval 10
   timeout 300
  !
  

2 단계 인증 의 정의 에는 다양한 방법이 있습니다. 다음과 같은 방법이 있습니다.

1. 로그인 계정의 사용자 이름 및 비밀번호와 같은 정보
2. 숫자 또는 인증서 파일을 생성하는 RSA 키 포브와 같은 것
3. 망막 스캔 및 지문 스캐너와 같은 상태

2 단계 인증은 "알고있는"두 가지 소스에서 서로 다른 두 개의 사용자 이름 및 비밀번호 세트에서와 같이 두 개의 다른 로그인 계정을 가지고 있지 않습니다 . 두 가지 요소 인증의 예는 스마트 카드를 랩톱에 넣고 (사용중인 것) 지문 스캐너를 스 와이프하는 것입니다.

LDAP 사용을 이해하면 Microsoft 서버가있는 것 같습니다. 운영 체제에 포함 된 가장 가까운 Microsoft Windows Server에서 Microsoft 인증 기관 서비스를 활성화하고 사용자 인증서 등록을 활성화 해야하는 이유는 무엇입니까? CA의 루트 인증서가있는 ASA는 XAUTH라고하는 계정의 유효성을 검사 한 다음 Windows, Linux 및 MacOS에서 사용할 수있는 사용자 인증서를 인증 할 수 있습니다.

그러나 휴대 전화가 물리적 인 열쇠 고리가되는 방식으로 등록 절차가 안전한 경우에는 정확합니다. Duo는 또한 앱 푸시 또는 SMS 코드의 UX 유연성을 제공합니다. HA 쌍 또는 다중 컨텍스트에서 실행하는 경우 ASA의 내부 CA도 훌륭하지만 옵션이 아닙니다. 제안한대로 MS / Dogtag CA 또는 Duo를 사용하십시오.

IMO에서는 VPN 그룹을 다음과 같이 구성하여 최대한의 범위를 확보 할 수 있습니다.

요소 1-인증서 사용 (CA의 경우 MS / Dogtag / ASA 온보드)-ldap / AD 사용자를 사용하여 인증서를 생성 할 수 있습니다. 로컬에서 최선을 다하여 인증서를 제공 / 설치할 때 OpSec 모범 사례를 따라야합니다.

요소 2-토큰 / OTP 포브 또는 모바일 장치에 대한 보안 등록이있는 FreeRADIUS 또는 Duo 프록시

이 방법으로 사용자가 대상인 경우 공격자는 a) 랩톱 / 엔드 포인트 키 저장소에만 존재해야하는 인증서 사본 b.) 사용자 AD / 반경 사용자 이름 / 암호 c.) fob (rsa / yubikey) 또는 모바일 기기 (DuoSec)

또한 분실 / 도난 장치에 대한 책임도 제한합니다. duo는 AD를 통해 사용자를 관리 할 수있는 방법도 제공하므로 전체 설정을 쉽게 관리 할 수 ​​있습니다. 인증하는 동안 대역 외 사용자 상호 작용을 지원하기 위해 시간 초과 / 재시도 조정을 허용해야합니다. (포켓 등에서 전화 / 풀링 잠금 해제-반경 30 초 이상 허용)