ASA, AnyConnect + 2 factor authentication
ASA, AnyConnect + 2 factor authentication
Witam szanowne grono, jestem poczatkujacym uzytkownikiem zarowno forum jak i rozwiazan Cisco, dlatego prosze o wyrozumialosc. Mam do rozwiazania nastepujacy problem: Chcialbym aby uzytkownik laczyl sie przez VPN za pomoca ANYConnect przy uzyciu 2 factor authentication. Nie chcialbym aby wymagane do tego byly dodatkowe urzadzenia tj, token lub smardcard. W tym wypadku zostaje mi prawdopodobnie tylko Klucz prywatny + Passphrase ale niestety kompletnie ne wiem jak sie za to zabrac. Czy moglby mnie ktos naprowadzic jak i w ktorym punkcie menu moge sie tym pobawic? Dodam tylko, ze moim pierwszym rozwiazaniem bylo uzycie local certificate authority, niestety ta opcja nie jest dostepna w Failover a wlasnie taka mam konfiguracje. Serdecznie pozdrawiam i dziekuje za kazda pomoc.
Re: ASA, AnyConnect + 2 factor authentication
Jeden konfig wart więcej niż tysiąc słów
Re: ASA, AnyConnect + 2 factor authentication
Niestety nie mam serwera Radius a instalacja nie wchodzi w gre. Chodzi mi bardziej o to czy ASA sama w sobie, bez zadnych dodatkowych rozwiazan potrafi cos takiego wykonac.
Re: ASA, AnyConnect + 2 factor authentication
Tak, CA na ASA do certyfikatów plus login/hasło.
King Kong ain't got shit on me!
Re: ASA, AnyConnect + 2 factor authentication
No tak ale nie moge skonfigurowac CA na Asa bo chodzi w failover mode: https://supportforums.cisco.com/t5/vpn/ ... -p/1676190
Re: ASA, AnyConnect + 2 factor authentication
w single mode dalo sie w HA, nie mowie ze sie nie da bo nie sprawdzalem, ale nie jest to supportowane + informacje z CA nie beda sie synchronizowac, wiec i tak sie do produkcji nie nadaje. Ostatnio sprawdzalem to na ASA-nonX - i CA dawalo tylko certy z SHA1, nie SHA2, nie pamietam jak jest teraz, ale jesli ciagle SHA1 to tez odpada. Inna opcja to certy z Windows CA i podpiac pod niego ASA zeby mu ufala.norbo80 pisze: ↑27 lut 2018, 15:27No tak ale nie moge skonfigurowac CA na Asa bo chodzi w failover mode: https://supportforums.cisco.com/t5/vpn/ ... -p/1676190
Jesli jest to srodowisko AD to jedna z lepszych i tanszych opcji - AAA po groupach AD + certy z Windows CA w trybie Enterprise (AD) z SHA-2
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: ASA, AnyConnect + 2 factor authentication
ok, dziekuje za odpowiedz! Musi to byc AAA po groupach AD? czy moge po prostu w Configuration > Remote Access VPN > AAA/Local Users > Local Users dodac uzytkownika VPN?
Co do Certyfikatow z Windows CA w trybie Enterprise (AD) z SHA-2 to moglby mi Pan krotko opisac od czego sie zabrac?
Co do Certyfikatow z Windows CA w trybie Enterprise (AD) z SHA-2 to moglby mi Pan krotko opisac od czego sie zabrac?
Re: ASA, AnyConnect + 2 factor authentication
hej norbo80 ,
- mozesz, ale jesli i tak bedziesz uzywal certow z AD (zakladam ze bedzie to dla maszyn w AD, bo jesli BYOD/external to beda narzekac ze nie ufaja certifikatowi ASA od Win AD CA a maszyny i tak nie beda mogly uzyc certu od internal CA) to bedzie to najbardziej przezroczyste i latwe rozwiazanie dla end userow - Windows wszystko sam poda ASie na tacy - wyciagnie user/machine (zalezy ktory chcesz uzyc) certyfikat i uzyje zalogowanego konta AD, chyba ze to dla 3rd party/ non-AD.
troche trzeba sie narzezbic zeby to zrobic i miec dostep do CA (chyba ze Windows team to dla Ciebie zrobi) i firewalla, cos na poczatek do poczytania: https://www.petenetlive.com/KB/Article/0001030 tam jest tez link do Part2. niestety nie mam nic lepszego do polecenia pod reka, chyba ze ktos inny z forum ma, jesli nie to potem google search.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: ASA, AnyConnect + 2 factor authentication
No właśnie problem jest taki że potrzebny mi dostęp dla użytkowników spoza organizacji więc nie mogę zakładać im kont AD. Same przeszkody
Re: ASA, AnyConnect + 2 factor authentication
tak to jest jak się chce coś za free, trzeba się pogłowić, a czas i support własny tez kosztuje
w takim razie AD nie ma raczej sensu, tak samo AD CA. Poza tym żaden 3rd party nie będzie chciał instalować Twojego certa, nie ważne czy z AD czy z ASy.
Jeśli masz maly budżet (brak) / chcesz przyoszczędzić musisz porzeźbić a potem to Ty będziesz odpowiedzialny za support. W takim przypadku najlepsza opcja będzie tak jak wysłał Frontier - FreeRadius na jakimś VM i Google Authenticator. Ale jak Ci sie posypie to Twoja odpowiedzialność, ewentualnie przedstaw sprawę menedżerowi.
inna opcja : https://duo.com/docs/cisco, nie korzystałem wiec nie wiem jak się sprawdza, maja opcje DuoFree, do 10 userow, bardzo ograniczona i free, moze to Ci pomoże, ale musisz poczytać i sprawdzić opinie.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: ASA, AnyConnect + 2 factor authentication
Bardzo dziękuję za informacje, zobaczę na czym stoję i się odezwę.
Re: ASA, AnyConnect + 2 factor authentication
Dzisiaj będę wszystko sprawdzał. W między czasie znalazłem jeszcze opcję z zewnętrznym CA serverem + failover.https://learningnetwork.cisco.com/thread/98198 Znacie moze jakiś darmowy w miarę stabilny CA server?
Re: ASA, AnyConnect + 2 factor authentication
tylko nie pan az tak stary nie jestem sorry za skroty wczoraj ale ostatnio brakuje mi czasu.
BYOD - bring your own device - skrot uzywany w przypadku gdy pozwalasz pracownikowi uzywac wlasnego sprzetu w sieci firmy i na podstawie tego tworzyc polityki dostepu - zaufany user ale nie urzadzenie
ze wzgledu na bezpieczenstwo nie polecam zewnetrznych nieautoryzowanych serverow CA, byloby latwiej jakbys napisal co chcesz osiagnac i jaki masz budżet. Tam gdzie sie tnie koszty tnie sie jakosc do kwadratu (i bezpieczeństwo).
jesli tak jak pisales nie jest to dla użytkowników AD, tylko dla osob z poza firmy to PKI odpada, aczkolwiek zalecane by było żeby ASA miala web certificate od zaufanego dostawcy (kasa) , co do uwierzytelniania 2 factor: jedna z opcji to local user database + cos ale nie cert w tym przypadku, ten Duo wygląda ciekawie, kiedyś juz chyba sie o niego otarlem ale nie bylo czasu zglebic tematu. Pewnie jest sporo innych rozwiazan, tylko trzeba poszukac.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: ASA, AnyConnect + 2 factor authentication
Po rozmowie z managerem mam pozwolenie na instalację Free Radius Server for Windows. Spróbuję to skonfigurować. Jest coś na co muszę zwracać uwagę?