Authentification à deux facteurs pour SSLVPN (Cisco)?

13

On vient de me demander aujourd'hui comment implémenter l'authentification à deux facteurs pour les utilisateurs de SSLVPN au sein de notre entreprise (connexion via Cisco AnyConnect, nous ne prenons pas en charge / n'utilisons pas WebVPN). Actuellement, nous utilisons LDAP pour l'authentification.

J'ai identifié une entreprise qui s'intègre directement à anyConnect et au client de mobilité pour offrir une authentification à deux facteurs basée sur des jetons, mais je me demandais quels sont les moyens les plus courants de mettre en œuvre deux facteurs dans ce type de paramètre? La première chose qui m'est venue à l'esprit était Google Authenticator ou RSA, mais trouver des informations sur ces types de configurations en conjonction avec AnyConnect était étonnamment difficile à trouver (je n'ai rien trouvé ... en fait)

cisco sslvpn AL
la source
Notre entreprise utilise la sécurité Duo. J'ai compris que les dix premiers utilisateurs sont gratuits, vous pouvez essayer de voir si cela convient à vos besoins. PD: Je n'ai aucune affiliation avec la sécurité Duo. Ceci est simplement donné à titre d'exemple.
Nous avons utilisé YubiKey avec succès. Très, très économique et facile à installer. Fonctionne avec Cisco ASA SSL VPN, PaloAlto et d'autres probablement. (Je ne suis en aucun cas connecté à cette entreprise, juste un utilisateur)
Jakob
Cool, merci pour la recommandation - nous avons fini par devenir DUO - je vais juste un dollar par utilisateur ... est génial, le service est simple, mon seul reproche est que la réinscription quand ils obtiennent un nouveau téléphone ou appareil est un peu gênant sur le plan administratif (pas encore en libre-service). les recommande fortement (et ne leur est pas du tout affilié).
AL
FWIW, j'ai toujours été timide de voir l'auth (ce qui est critique) dépendre de tant de pièces (répertoire actif + pièce à 2 facteurs). Je veux la pièce à 2 facteurs DANS L'APPAREIL, c'est donc Active Directory + appareil .... mais c'est difficile à trouver.
Jonesome Reinstate Monica

Réponses:

13

Les deux voies auxquelles je peux penser sont les suivantes:

  1. Vous souhaitez utiliser l'authentification secondaire Cisco ASA intégrée

  2. Vous êtes prêt à utiliser un serveur radius.

Le concept pour # 2:

  1. Choisissez un authentificateur. Par exemple, Google, LDAP, AD, etc ...

  2. Configurez un serveur Radius (FreeRADIUS, Windows NPM, Cisco ACS, etc ...) qui prend en charge l'authentificateur.

  3. Configurez l'authentification sur votre Cisco ASA pour utiliser ce serveur Radius (adresse IP, ports, clé secrète, etc.) et vous avez terminé. Ajustez les délais d'attente si nécessaire.

À propos de Google Authenticator :
vous pouvez configurer FreeRadius pour utiliser Google Authenticator , puis configurer le serveur Cisco ASA aaa pour utiliser le serveur FreeRadius. Terminé :)

À propos de Duo Security :
J'ai utilisé Duo Security et cela fonctionne très bien. Ce lien de configuration montre comment configurer l'authentification à 2 facteurs sans installer l'application Duo Security. Cependant, si vous installez l'application (agit comme un serveur RADIUS), la configuration devient encore plus facile. Voici un exemple de configuration qui devrait vous aider.

Les CAVEATS de cette configuration:
augmentez vos délais d'attente! J'ai eu des problèmes avec ça. N'installez pas l'application Duo sur un serveur RADIUS existant (conflit de port d'écoute).

  • Après avoir installé l'application sur un serveur, vous devez modifier le authproxy.cfgfichier pour utiliser Active Directory comme authentificateur principal, en haut de votreauthproxy.cfg

  • Définissez le client sur ad_clientet le serveur surradius_server_auto 

    [main]  
client=ad_client  
server=radius_server_auto

  • Créez une section appelée ad_client.

    [ad_client]
host=10.x.x.11
host_2=10.x.x.12
service_account_username=ldap.duo
service_account_password=superSecretPassword
search_dn=DC=corp,DC=businessName,DC=com

  • le groupe de sécurité est facultatif. ce groupe permet aux utilisateurs de s'authentifier.

    security_group_dn=CN=Administrators,CN=Builtin,DC=example,DC=com

  • Informations de configuration de sécurité DUO spécifiques

    [radius_server_auto]
ikey=xxxxxxxxxxxxx
skey=xxxxxxxxxxxxx
api_host=api-xxxxx.duosecurity.com

  • Sûr ou sécurisé sont les options ici.

  • Safe=allow auth si Duo est inaccessible.

  • Secure=do not allow auth si Duo est inaccessible failmode = safe

  • Adresse IP de Cisco ASA que vous souhaitez frapper et la clé

    radius_ip_1=10.x.x.1
radius_secret_1=superSecretPassword

  • Windows Server sur lequel l'application DuoSecurity est installée

    net stop DuoAuthProxy
net start DuoAuthProxy

  • Configuration de Cisco ASA 8.4

  • Ajouter un nouveau serveur aaa à la politique VPN correspondante

    aaa-server DUO protocol radius
!
aaa-server DUO (inside) host 10.x.x.101
 accounting-port 1813
 authentication-port 1812
 key superSecretPassword
 retry-interval 10
 timeout 300
!
Joseph Drane
la source
Merci beaucoup pour la longue rédaction! J'ai beaucoup de choses à travailler ici. Intéressant de voir comment ces systèmes fonctionnent ensemble pour fournir une authentification à deux facteurs.
AL
2

La définition de l' authentification à deux facteurs a une variété de méthodes. Ce sont les méthodes:

  1. Ce que vous savez, comme le nom d'utilisateur et le mot de passe d'un compte de connexion
  2. Ce que vous avez, comme une télécommande RSA qui génère des numéros ou un fichier de certificat
  3. Ce que vous êtes, comme les scanners rétiniens et les scanners d'empreintes digitales

L'authentification à deux facteurs ne consiste pas à avoir deux comptes de connexion différents, comme dans deux ensembles différents de noms d'utilisateur et de mots de passe, provenant de deux sources différentes, car ils sont tous les deux "ce que vous savez". Un exemple d'authentification à deux facteurs consiste à insérer une carte à puce dans un ordinateur portable (ce que vous avez), puis à faire glisser un scanner d'empreintes digitales (ce que vous êtes).

Il semble que vous ayez un serveur Microsoft, si je comprends votre utilisation de LDAP. Pourquoi ne pas activer le service d'autorité de certification Microsoft sur le serveur Microsoft Windows le plus proche, inclus avec le système d'exploitation, et activer l' inscription de certificat utilisateur ? L'ASA, avec le certificat racine de l'autorité de certification, peut valider les comptes, qu'elle appelle XAUTH, puis authentifier les certificats utilisateur que Windows, Linux et MacOS peuvent utiliser.

Scott Perry
la source
0

Correct, cependant, à condition que vous ayez un processus d'inscription sécurisé, en quelque sorte le téléphone portable devient le porte-clés physique. Duo offre également la flexibilité UX du code push ou sms de l'application. L'autorité de certification interne sur l'ASA est également très bien, mais pas une option si vous exécutez en paires HA ou multi-contexte. Comme suggéré, utilisez le MS / Dogtag CA ou Duo.

OMI, vous obtenez le plus de couverture en configurant le groupe vpn comme tel:

Facteur 1 - Utiliser des certificats (MS / Dogtag / ASA embarqué pour CA) - peut utiliser un utilisateur LDAP / AD pour générer le certificat. (Il est préférable de le faire localement, les meilleures pratiques OpSec doivent être suivies lors de la livraison / installation du certificat.)

Facteur 2 - Proxy FreeRADIUS ou Duo avec inscription sécurisée pour fob token / OTP ou appareil mobile.

De cette façon, si un utilisateur est ciblé, l'attaquant doit obtenir a.) Une copie du certificat qui ne doit exister que dans le magasin de clés de l'ordinateur portable / du point de terminaison b.) Les utilisateurs AD / nom d'utilisateur / mot de passe de rayon c.) Le fob (rsa / yubikey) ou appareil mobile (DuoSec)

Cela limite également la responsabilité pour les appareils perdus / volés. Je crois que le duo offre également un moyen de gérer les utilisateurs via votre AD, ce qui rend l'ensemble de la configuration facile à gérer. Votre équipement doit permettre des ajustements de délai d'expiration / nouvelle tentative pour prendre en charge l'interaction utilisateur hors bande pendant l'authentification. (Déverrouillage du téléphone / tirage du porte-monnaie de la poche / etc. - autoriser un délai d'expiration d'au moins 30 secondes)

0 optimisé
la source