Autenticação de dois fatores para SSLVPN (Cisco)?

13

Acabei de ser questionado hoje sobre a implementação da autenticação de dois fatores para os usuários do SSLVPN em nossa empresa (conectando-se através do Cisco AnyConnect, não apoiamos / usamos o WebVPN). Atualmente, usamos LDAP para autenticação.

Eu identifiquei uma empresa que se integra diretamente ao anyConnect e ao cliente de mobilidade para permitir a autenticação de dois fatores baseada em token, mas queria saber quais são as maneiras mais comuns de implementar dois fatores nesse tipo de configuração? A primeira coisa que me veio à mente foi o Google Authenticator ou RSA, mas encontrar informações sobre esses tipos de configurações em conjunto com o AnyConnect foi surpreendentemente difícil de encontrar (não encontrei nada ... na verdade)

cisco sslvpn AL
fonte
Nossa empresa usa a segurança Duo. Entendi que os dez primeiros usuários são gratuitos, você pode tentar ver se ele atende às suas necessidades. PD: Não tenho afiliações com a segurança do Duo. Isto é simplesmente dado como exemplo.
Usamos o YubiKey com sucesso. Muito, muito econômico e fácil de configurar. Funciona com Cisco ASA SSL VPN, PaloAlto e outros provavelmente. (Eu não estou ligado a essa empresa de qualquer forma, apenas um utilizador)
Jakob
Legal, obrigado pela recomendação - acabamos fazendo DUO - vou apenas um dólar por usuário ... é incrível, o serviço é direto, minha única reclamação é a reinscrição quando receber um novo telefone ou dispositivo é um pouco irritante administrativamente (ainda não é autoatendimento). recomendo-os (e não é afiliado a eles).
AL
FWIW, sempre tive vergonha de ter auth (o que é crítico) depender de tantas partes (diretório ativo + parte de 2 fatores). Eu quero a peça de 2 fatores no dispositivo, por isso é diretório ativo + dispositivo .... mas isso é difícil de encontrar.
Jonesome Restabelecer Monica

Respostas:

13

Os dois caminhos em que consigo pensar são os seguintes:

  1. Você deseja usar a autenticação secundária integrada do Cisco ASA

  2. Você está aberto a usar um servidor radius.

O conceito para o # 2:

  1. Escolha um autenticador. Por exemplo, Google, LDAP, AD, etc ...

  2. Configure um servidor Radius (FreeRADIUS, Windows NPM, Cisco ACS, etc ...) que suporte o autenticador.

  3. Configure a autenticação no seu Cisco ASA para usar o servidor Radius (endereço IP, portas, chave secreta, etc ...) e pronto. Ajuste os tempos limite conforme necessário.

Sobre o Google Authenticator :
Você pode configurar o FreeRadius para usar o Google Authenticator e, em seguida, configurar o servidor Cisco ASA aaa para usar o servidor FreeRadius. Feito :)

Sobre o Duo Security :
Eu usei o Duo Security e funciona muito bem. Este link de configuração mostra como configurar a autenticação de dois fatores sem instalar o aplicativo Duo Security. No entanto, se você instalar o aplicativo (atua como um servidor RADIUS), a instalação se torna ainda mais fácil. Abaixo está um exemplo de configuração que deve ajudar.

As CAVEATS para esta configuração:
aumente seus tempos limite! Eu tive problemas com isso. Não instale o aplicativo Duo em um servidor RADIUS existente (conflito de porta de escuta).

  • Depois de instalar o aplicativo em um servidor, você precisa modificar o authproxy.cfgarquivo para usar o Active Directory como seu autenticador principal, na parte superior doauthproxy.cfg

  • Defina cliente ad_cliente servidor comoradius_server_auto 

    [main]  
client=ad_client  
server=radius_server_auto

  • Crie uma seção chamada ad_client.

    [ad_client]
host=10.x.x.11
host_2=10.x.x.12
service_account_username=ldap.duo
service_account_password=superSecretPassword
search_dn=DC=corp,DC=businessName,DC=com

  • grupo de segurança é opcional. esse grupo permite que os usuários se autentiquem.

    security_group_dn=CN=Administrators,CN=Builtin,DC=example,DC=com

  • Informações específicas de configuração de segurança do DUO

    [radius_server_auto]
ikey=xxxxxxxxxxxxx
skey=xxxxxxxxxxxxx
api_host=api-xxxxx.duosecurity.com

  • Seguro ou seguro são as opções aqui.

  • Safe=allow auth se o Duo estiver inacessível.

  • Secure=do not allow auth se o Duo estiver inacessível, failmode = safe

  • Endereço IP do Cisco ASA que você deseja bater e a chave

    radius_ip_1=10.x.x.1
radius_secret_1=superSecretPassword

  • Windows Server com o aplicativo DuoSecurity instalado

    net stop DuoAuthProxy
net start DuoAuthProxy

  • Configuração do Cisco ASA 8.4

  • Adicionar novo servidor aaa à política VPN correspondente

    aaa-server DUO protocol radius
!
aaa-server DUO (inside) host 10.x.x.101
 accounting-port 1813
 authentication-port 1812
 key superSecretPassword
 retry-interval 10
 timeout 300
!
Joseph Drane
fonte
Muito obrigado pela extensa redação! Eu tenho muito o que trabalhar aqui. Interessante ver como esses sistemas funcionam juntos para fornecer autenticação de dois fatores.
AL
2

A definição de autenticação de dois fatores é ter uma variedade de métodos. Estes são os métodos:

  1. O que você sabe, como o nome de usuário e a senha de uma conta de login
  2. O que você tem, como um chaveiro RSA que gera números ou um arquivo de certificado
  3. O que você é, como exames de retina e scanners de impressões digitais

A autenticação de dois fatores é não ter duas contas de login diferentes, como em dois conjuntos diferentes de nomes de usuário e senhas, de duas fontes diferentes, porque ambos são "o que você sabe". Um exemplo de autenticação de dois fatores é inserir um cartão inteligente em um laptop (o que você possui) e, em seguida, deslizar um scanner de impressão digital (o que você é).

Parece que você possui um servidor Microsoft, se eu entendi o uso do LDAP. Por que não habilitar o serviço Microsoft Certificate Authority no Microsoft Windows Server mais próximo, incluído no sistema operacional, e habilitar o registro do certificado do usuário ? O ASA, com o certificado raiz da CA, pode validar contas, a que se refere como XAUTH, e depois autenticar certificados de usuário que Windows, Linux e MacOS podem usar.

Scott Perry
fonte
0

Correto, no entanto, desde que você tenha um processo seguro de inscrição, de maneira que o celular se torne o chaveiro físico. O Duo também oferece a flexibilidade UX do código push ou sms do aplicativo. A CA interna no ASA também é ótima, mas não é uma opção se você executar em pares de alta disponibilidade ou em múltiplos contextos. Conforme sugerido, use o MS / Dogtag CA ou o Duo.

Na IMO, você obtém o máximo de cobertura configurando o grupo vpn da seguinte forma:

Fator 1 - Usar certificados (MS / Dogtag / ASA a bordo para CA) - pode usar o usuário ldap / AD para gerar o certificado. (Melhor feito localmente, as melhores práticas do OpSec devem ser seguidas na entrega / instalação do certificado.)

Fator 2 - Proxy FreeRADIUS ou Duo com inscrição segura para token / OTP fob ou dispositivo móvel.

Dessa forma, se um usuário for direcionado, o invasor deverá obter a.) Uma cópia do certificado que deve existir apenas no keystore do laptop / terminal b.) Os usuários AD / radius nome de usuário / senha c.) The fob (rsa / yubikey) ou dispositivo móvel (DuoSec)

Isso também limita a responsabilidade por dispositivos perdidos / roubados. Acredito que a dupla também oferece uma maneira de gerenciar os usuários através do seu AD, o que facilita o gerenciamento de toda a instalação. Seu equipamento deve permitir ajustes de tempo limite / nova tentativa para suportar a interação fora do banda durante a autenticação. (Desbloqueando o telefone / puxando o bolso do bolso / etc. - permita um intervalo de tempo de pelo menos 30 segundos)

0ptimizado
fonte