¿Autenticación de dos factores para SSLVPN (cisco)?

13

Me preguntaron hoy sobre la implementación de la autenticación de dos factores para los usuarios de SSLVPN dentro de nuestra empresa (conectando a través de Cisco AnyConnect no admitimos / usamos WebVPN). Actualmente usamos LDAP para la autenticación.

Identifiqué una empresa que se integra directamente con anyConnect y el cliente de movilidad para permitir la autenticación de dos factores basada en token, pero me preguntaba cuáles son las formas más comunes de implementar dos factores en este tipo de configuración. Lo primero que se me ocurrió fue Google Authenticator o RSA, pero encontrar información sobre este tipo de configuraciones junto con AnyConnect fue sorprendentemente difícil de encontrar (no encontré nada ... de hecho)

cisco sslvpn Alabama
fuente
Nuestra empresa utiliza la seguridad Duo. He entendido que los primeros diez usuarios son gratuitos, puede intentar ver si se ajusta a sus necesidades. PD: No tengo afiliaciones con Duo Security. Esto simplemente se da como un ejemplo.
Hemos utilizado YubiKey con éxito. Muy, muy económico y fácil de configurar. Funciona con Cisco ASA SSL VPN, PaloAlto y otros probablemente. (No estoy conectado a esta empresa de ninguna manera, solo un usuario)
Jakob
Genial, gracias por la recomendación. Terminamos con DUO. Solo pagaré un dólar por usuario ... es increíble, el servicio es sencillo, mi única queja es que vuelven a inscribirse cuando obtienen un nuevo teléfono o dispositivo. es un poco molesto administrativamente (todavía no es autoservicio). Los recomiendo (y no están afiliados a ellos en absoluto).
AL
FWIW, siempre he tenido miedo de que la autenticación (que es crítica) dependa de tantas piezas (directorio activo + pieza de 2 factores). Quiero la pieza de 2 factores EN EL DISPOSITIVO, por lo que es directorio activo + dispositivo ... pero esto es difícil de encontrar.
Jonesome Reinstate Monica

Respuestas:

13

Los dos caminos que puedo pensar son los siguientes:

  1. Desea utilizar la autenticación secundaria incorporada de Cisco ASA

  2. Está abierto a usar un servidor de radio.

El concepto para el n. ° 2:

  1. Elige un autenticador. Por ejemplo, Google, LDAP, AD, etc.

  2. Configure un servidor Radius (FreeRADIUS, Windows NPM, Cisco ACS, etc.) que admita el autenticador.

  3. Configure la autenticación en su Cisco ASA para usar ese servidor Radius (dirección IP, puertos, clave secreta, etc.) y listo. Ajuste los tiempos de espera según sea necesario.

Acerca de Google Authenticator :
puede configurar FreeRadius para usar Google Authenticator y luego configurar el servidor aaa Cisco ASA para usar el servidor FreeRadius. Hecho :)

Acerca de Duo Security :
He usado Duo Security y funciona muy bien. Este enlace de configuración muestra cómo configurar la autenticación de 2 factores sin instalar la aplicación Duo Security. Sin embargo, si instala la aplicación (actúa como un servidor RADIUS), la configuración se vuelve aún más fácil. A continuación se muestra una configuración de muestra que debería ayudar.

Los AVISOS a esta configuración: ¡
aumenta tus tiempos de espera! He tenido problemas con esto. No instale la aplicación Duo en un servidor RADIUS existente (conflicto de puerto de escucha).

  • Después de instalar la aplicación en un servidor, debe modificar el authproxy.cfgarchivo para utilizar Active Directory como su autenticador principal, en la parte superior de suauthproxy.cfg

  • Establecer cliente ad_clienty servidor enradius_server_auto 

    [main]  
client=ad_client  
server=radius_server_auto

  • Crea una sección llamada ad_client.

    [ad_client]
host=10.x.x.11
host_2=10.x.x.12
service_account_username=ldap.duo
service_account_password=superSecretPassword
search_dn=DC=corp,DC=businessName,DC=com

  • El grupo de seguridad es opcional. Este grupo permite a los usuarios autenticarse.

    security_group_dn=CN=Administrators,CN=Builtin,DC=example,DC=com

  • Información de configuración de seguridad DUO específica

    [radius_server_auto]
ikey=xxxxxxxxxxxxx
skey=xxxxxxxxxxxxx
api_host=api-xxxxx.duosecurity.com

  • Seguro o protegido son las opciones aquí.

  • Safe=allow auth Si Duo es inalcanzable.

  • Secure=do not allow auth si Duo es inalcanzable modo de falla = seguro

  • Dirección IP de Cisco ASA que desea presionar y la clave

    radius_ip_1=10.x.x.1
radius_secret_1=superSecretPassword

  • Windows Server que tiene instalada la aplicación DuoSecurity

    net stop DuoAuthProxy
net start DuoAuthProxy

  • Configuración de Cisco ASA 8.4

  • Agregue un nuevo servidor aaa a la política de VPN correspondiente

    aaa-server DUO protocol radius
!
aaa-server DUO (inside) host 10.x.x.101
 accounting-port 1813
 authentication-port 1812
 key superSecretPassword
 retry-interval 10
 timeout 300
!
Joseph Drane
fuente
Muchas gracias por la extensa redacción! Tengo mucho con qué trabajar aquí. Es interesante ver cómo estos sistemas funcionan juntos para proporcionar autenticación de dos factores.
AL
2

La definición de autenticación de dos factores es tener una variedad de métodos. Estos son los métodos:

  1. Lo que sabes, como el nombre de usuario y la contraseña de una cuenta de inicio de sesión
  2. Lo que tiene, como un llavero RSA que genera números o un archivo de certificado
  3. Lo que eres, como escáneres de retina y escáneres de huellas digitales

La autenticación de dos factores es no tener dos cuentas de inicio de sesión diferentes, como en dos conjuntos diferentes de nombres de usuario y contraseñas, de dos fuentes diferentes porque ambos son "lo que sabes". Un ejemplo de autenticación de dos factores es insertar una tarjeta inteligente en una computadora portátil (lo que tiene) y luego deslizar un escáner de huellas digitales (lo que es).

Parece que tiene un servidor Microsoft, si entiendo su uso de LDAP. ¿Por qué no habilitar el servicio de Microsoft Certificate Authority en el Microsoft Windows Server más cercano, que se incluye con el sistema operativo, y habilitar la inscripción del certificado de usuario ? El ASA, con el certificado raíz de la CA, puede validar cuentas, a las que se refiere como XAUTH, y luego autenticar certificados de usuario que Windows, Linux y MacOS pueden usar.

Scott Perry
fuente
0

Correcto, sin embargo, siempre que tenga un proceso seguro para la inscripción, de alguna manera el teléfono móvil se convierte en el llavero físico. Duo también ofrece la flexibilidad UX de la aplicación push o el código sms. La CA interna en el ASA también es excelente, pero no es una opción si se ejecuta en pares de alta disponibilidad o en contextos múltiples. Como se sugiere, use el MS / Dogtag CA o Duo.

OMI, obtienes la mayor cobertura configurando el grupo vpn como tal:

Factor 1: usar certificados (MS / Dogtag / ASA a bordo para CA): puede usar el usuario ldap / AD para generar el certificado. (Mejor hecho localmente, se deben seguir las mejores prácticas de OpSec al entregar / instalar el certificado).

Factor 2: FreeRADIUS o Duo proxy con inscripción segura para token / OTP fob o dispositivo móvil.

De esta manera, si un usuario es el objetivo, el atacante debe obtener a.) Una copia del certificado que solo debe existir en el almacén de claves de la computadora portátil / punto final b.) Los usuarios AD / radius nombre de usuario / contraseña c.) El mando (rsa / yubikey) o dispositivo móvil (DuoSec)

Esto también limita la responsabilidad por dispositivos perdidos / robados. Creo que duo también ofrece una forma de administrar a los usuarios a través de su AD, lo que hace que toda la configuración sea fácil de administrar. Su equipo debe permitir ajustes de tiempo de espera / reintento para admitir la interacción del usuario fuera de banda durante la autenticación. (Desbloqueo del teléfono / extracción del mando del bolsillo / etc. - permita un tiempo de espera de al menos 30 segundos)

Optimizado
fuente