ASA, AnyConnect + 2 factor authentication

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
norbo80
member
member
Posty: 16
Rejestracja: 27 lut 2018, 11:50

ASA, AnyConnect + 2 factor authentication

#1

#1 Post autor: norbo80 »

Witam szanowne grono, jestem poczatkujacym uzytkownikiem zarowno forum jak i rozwiazan Cisco, dlatego prosze o wyrozumialosc. Mam do rozwiazania nastepujacy problem: Chcialbym aby uzytkownik laczyl sie przez VPN za pomoca ANYConnect przy uzyciu 2 factor authentication. Nie chcialbym aby wymagane do tego byly dodatkowe urzadzenia tj, token lub smardcard. W tym wypadku zostaje mi prawdopodobnie tylko Klucz prywatny + Passphrase ale niestety kompletnie ne wiem jak sie za to zabrac. Czy moglby mnie ktos naprowadzic jak i w ktorym punkcie menu moge sie tym pobawic? Dodam tylko, ze moim pierwszym rozwiazaniem bylo uzycie local certificate authority, niestety ta opcja nie jest dostepna w Failover a wlasnie taka mam konfiguracje. Serdecznie pozdrawiam i dziekuje za kazda pomoc.

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: ASA, AnyConnect + 2 factor authentication

#2

#2 Post autor: frontier »

Jeden konfig wart więcej niż tysiąc słów

norbo80
member
member
Posty: 16
Rejestracja: 27 lut 2018, 11:50

Re: ASA, AnyConnect + 2 factor authentication

#3

#3 Post autor: norbo80 »

Niestety nie mam serwera Radius a instalacja nie wchodzi w gre. Chodzi mi bardziej o to czy ASA sama w sobie, bez zadnych dodatkowych rozwiazan potrafi cos takiego wykonac.

Awatar użytkownika
polak
wannabe
wannabe
Posty: 294
Rejestracja: 20 mar 2005, 14:23
Lokalizacja: Bruksela

Re: ASA, AnyConnect + 2 factor authentication

#4

#4 Post autor: polak »

norbo80 pisze: 27 lut 2018, 12:24 Niestety nie mam serwera Radius a instalacja nie wchodzi w gre. Chodzi mi bardziej o to czy ASA sama w sobie, bez zadnych dodatkowych rozwiazan potrafi cos takiego wykonac.
Tak, CA na ASA do certyfikatów plus login/hasło.
King Kong ain't got shit on me!

norbo80
member
member
Posty: 16
Rejestracja: 27 lut 2018, 11:50

Re: ASA, AnyConnect + 2 factor authentication

#5

#5 Post autor: norbo80 »

polak pisze: 27 lut 2018, 14:03
norbo80 pisze: 27 lut 2018, 12:24 Niestety nie mam serwera Radius a instalacja nie wchodzi w gre. Chodzi mi bardziej o to czy ASA sama w sobie, bez zadnych dodatkowych rozwiazan potrafi cos takiego wykonac.
Tak, CA na ASA do certyfikatów plus login/hasło.
No tak ale nie moge skonfigurowac CA na Asa bo chodzi w failover mode: https://supportforums.cisco.com/t5/vpn/ ... -p/1676190

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA, AnyConnect + 2 factor authentication

#6

#6 Post autor: mihu »

norbo80 pisze: 27 lut 2018, 15:27
polak pisze: 27 lut 2018, 14:03
norbo80 pisze: 27 lut 2018, 12:24 Niestety nie mam serwera Radius a instalacja nie wchodzi w gre. Chodzi mi bardziej o to czy ASA sama w sobie, bez zadnych dodatkowych rozwiazan potrafi cos takiego wykonac.
Tak, CA na ASA do certyfikatów plus login/hasło.
No tak ale nie moge skonfigurowac CA na Asa bo chodzi w failover mode: https://supportforums.cisco.com/t5/vpn/ ... -p/1676190
w single mode dalo sie w HA, nie mowie ze sie nie da bo nie sprawdzalem, ale nie jest to supportowane + informacje z CA nie beda sie synchronizowac, wiec i tak sie do produkcji nie nadaje. Ostatnio sprawdzalem to na ASA-nonX - i CA dawalo tylko certy z SHA1, nie SHA2, nie pamietam jak jest teraz, ale jesli ciagle SHA1 to tez odpada. Inna opcja to certy z Windows CA i podpiac pod niego ASA zeby mu ufala.

Jesli jest to srodowisko AD to jedna z lepszych i tanszych opcji - AAA po groupach AD + certy z Windows CA w trybie Enterprise (AD) z SHA-2
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

norbo80
member
member
Posty: 16
Rejestracja: 27 lut 2018, 11:50

Re: ASA, AnyConnect + 2 factor authentication

#7

#7 Post autor: norbo80 »

ok, dziekuje za odpowiedz! Musi to byc AAA po groupach AD? czy moge po prostu w Configuration > Remote Access VPN > AAA/Local Users > Local Users dodac uzytkownika VPN?

Co do Certyfikatow z Windows CA w trybie Enterprise (AD) z SHA-2 to moglby mi Pan krotko opisac od czego sie zabrac?

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA, AnyConnect + 2 factor authentication

#8

#8 Post autor: mihu »

hej norbo80 ,
norbo80 pisze: 27 lut 2018, 17:19 ok, dziekuje za odpowiedz! Musi to byc AAA po groupach AD? czy moge po prostu w Configuration > Remote Access VPN > AAA/Local Users > Local Users dodac uzytkownika VPN?
- mozesz, ale jesli i tak bedziesz uzywal certow z AD (zakladam ze bedzie to dla maszyn w AD, bo jesli BYOD/external to beda narzekac ze nie ufaja certifikatowi ASA od Win AD CA a maszyny i tak nie beda mogly uzyc certu od internal CA) to bedzie to najbardziej przezroczyste i latwe rozwiazanie dla end userow - Windows wszystko sam poda ASie na tacy - wyciagnie user/machine (zalezy ktory chcesz uzyc) certyfikat i uzyje zalogowanego konta AD, chyba ze to dla 3rd party/ non-AD.
norbo80 pisze: 27 lut 2018, 17:19 Co do Certyfikatow z Windows CA w trybie Enterprise (AD) z SHA-2 to moglby mi Pan krotko opisac od czego sie zabrac?
troche trzeba sie narzezbic zeby to zrobic i miec dostep do CA (chyba ze Windows team to dla Ciebie zrobi) i firewalla, cos na poczatek do poczytania: https://www.petenetlive.com/KB/Article/0001030 tam jest tez link do Part2. niestety nie mam nic lepszego do polecenia pod reka, chyba ze ktos inny z forum ma, jesli nie to potem google search.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

norbo80
member
member
Posty: 16
Rejestracja: 27 lut 2018, 11:50

Re: ASA, AnyConnect + 2 factor authentication

#9

#9 Post autor: norbo80 »

No właśnie problem jest taki że potrzebny mi dostęp dla użytkowników spoza organizacji więc nie mogę zakładać im kont AD. Same przeszkody :(

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA, AnyConnect + 2 factor authentication

#10

#10 Post autor: mihu »

norbo80 pisze: 27 lut 2018, 19:20 No właśnie problem jest taki że potrzebny mi dostęp dla użytkowników spoza organizacji więc nie mogę zakładać im kont AD. Same przeszkody :(
tak to jest jak się chce coś za free, trzeba się pogłowić, a czas i support własny tez kosztuje

w takim razie AD nie ma raczej sensu, tak samo AD CA. Poza tym żaden 3rd party nie będzie chciał instalować Twojego certa, nie ważne czy z AD czy z ASy.

Jeśli masz maly budżet (brak) / chcesz przyoszczędzić musisz porzeźbić a potem to Ty będziesz odpowiedzialny za support. W takim przypadku najlepsza opcja będzie tak jak wysłał Frontier - FreeRadius na jakimś VM i Google Authenticator. Ale jak Ci sie posypie to Twoja odpowiedzialność, ewentualnie przedstaw sprawę menedżerowi.

inna opcja : https://duo.com/docs/cisco, nie korzystałem wiec nie wiem jak się sprawdza, maja opcje DuoFree, do 10 userow, bardzo ograniczona i free, moze to Ci pomoże, ale musisz poczytać i sprawdzić opinie.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

norbo80
member
member
Posty: 16
Rejestracja: 27 lut 2018, 11:50

Re: ASA, AnyConnect + 2 factor authentication

#11

#11 Post autor: norbo80 »

Bardzo dziękuję za informacje, zobaczę na czym stoję i się odezwę.

norbo80
member
member
Posty: 16
Rejestracja: 27 lut 2018, 11:50

Re: ASA, AnyConnect + 2 factor authentication

#12

#12 Post autor: norbo80 »

Dzisiaj będę wszystko sprawdzał. W między czasie znalazłem jeszcze opcję z zewnętrznym CA serverem + failover.https://learningnetwork.cisco.com/thread/98198 Znacie moze jakiś darmowy w miarę stabilny CA server?

norbo80
member
member
Posty: 16
Rejestracja: 27 lut 2018, 11:50

Re: ASA, AnyConnect + 2 factor authentication

#13

#13 Post autor: norbo80 »

mihu pisze: 27 lut 2018, 18:02 bo jesli BYOD/external to beda narzekac ze nie ufaja certifikatowi ASA od Win AD CA a maszyny i tak nie beda mogly uzyc certu od internal CA
Jeszcze tego zdania do konca nie rozumiem, moglby mi Pan wyjasnic?

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA, AnyConnect + 2 factor authentication

#14

#14 Post autor: mihu »

norbo80 pisze: 28 lut 2018, 09:55
mihu pisze: 27 lut 2018, 18:02 bo jesli BYOD/external to beda narzekac ze nie ufaja certifikatowi ASA od Win AD CA a maszyny i tak nie beda mogly uzyc certu od internal CA
Jeszcze tego zdania do konca nie rozumiem, moglby mi Pan wyjasnic?
tylko nie pan az tak stary nie jestem ;) sorry za skroty wczoraj ale ostatnio brakuje mi czasu.

BYOD - bring your own device - skrot uzywany w przypadku gdy pozwalasz pracownikowi uzywac wlasnego sprzetu w sieci firmy i na podstawie tego tworzyc polityki dostepu - zaufany user ale nie urzadzenie

ze wzgledu na bezpieczenstwo nie polecam zewnetrznych nieautoryzowanych serverow CA, byloby latwiej jakbys napisal co chcesz osiagnac i jaki masz budżet. Tam gdzie sie tnie koszty tnie sie jakosc do kwadratu (i bezpieczeństwo).

jesli tak jak pisales nie jest to dla użytkowników AD, tylko dla osob z poza firmy to PKI odpada, aczkolwiek zalecane by było żeby ASA miala web certificate od zaufanego dostawcy (kasa) , co do uwierzytelniania 2 factor: jedna z opcji to local user database + cos ale nie cert w tym przypadku, ten Duo wygląda ciekawie, kiedyś juz chyba sie o niego otarlem ale nie bylo czasu zglebic tematu. Pewnie jest sporo innych rozwiazan, tylko trzeba poszukac.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

norbo80
member
member
Posty: 16
Rejestracja: 27 lut 2018, 11:50

Re: ASA, AnyConnect + 2 factor authentication

#15

#15 Post autor: norbo80 »

Po rozmowie z managerem mam pozwolenie na instalację Free Radius Server for Windows. Spróbuję to skonfigurować. Jest coś na co muszę zwracać uwagę?

ODPOWIEDZ