CCIE.pl

Witam szanowne grono, jestem poczatkujacym uzytkownikiem zarowno forum jak i rozwiazan Cisco, dlatego prosze o wyrozumialosc. Mam do rozwiazania nastepujacy problem: Chcialbym aby uzytkownik laczyl sie przez VPN za pomoca ANYConnect przy uzyciu 2 factor authentication. Nie chcialbym aby wymagane do tego byly dodatkowe urzadzenia tj, token lub smardcard. W tym wypadku zostaje mi prawdopodobnie tylko Klucz prywatny + Passphrase ale niestety kompletnie ne wiem jak sie za to zabrac. Czy moglby mnie ktos naprowadzic jak i w ktorym punkcie menu moge sie tym pobawic? Dodam tylko, ze moim pierwszym rozwiazaniem bylo uzycie local certificate authority, niestety ta opcja nie jest dostepna w Failover a wlasnie taka mam konfiguracje. Serdecznie pozdrawiam i dziekuje za kazda pomoc.

Na przyklad tak:

https://www.petenetlive.com/KB/Article/0001256

Niestety nie mam serwera Radius a instalacja nie wchodzi w gre. Chodzi mi bardziej o to czy ASA sama w sobie, bez zadnych dodatkowych rozwiazan potrafi cos takiego wykonac.

norbo80 pisze: ↑27 lut 2018, 12:24 Niestety nie mam serwera Radius a instalacja nie wchodzi w gre. Chodzi mi bardziej o to czy ASA sama w sobie, bez zadnych dodatkowych rozwiazan potrafi cos takiego wykonac.

Tak, CA na ASA do certyfikatów plus login/hasło.

polak pisze: ↑27 lut 2018, 14:03

norbo80 pisze: ↑27 lut 2018, 12:24 Niestety nie mam serwera Radius a instalacja nie wchodzi w gre. Chodzi mi bardziej o to czy ASA sama w sobie, bez zadnych dodatkowych rozwiazan potrafi cos takiego wykonac.

Tak, CA na ASA do certyfikatów plus login/hasło.

No tak ale nie moge skonfigurowac CA na Asa bo chodzi w failover mode: https://supportforums.cisco.com/t5/vpn/ ... -p/1676190

norbo80 pisze: ↑27 lut 2018, 15:27

polak pisze: ↑27 lut 2018, 14:03

norbo80 pisze: ↑27 lut 2018, 12:24 Niestety nie mam serwera Radius a instalacja nie wchodzi w gre. Chodzi mi bardziej o to czy ASA sama w sobie, bez zadnych dodatkowych rozwiazan potrafi cos takiego wykonac.

Tak, CA na ASA do certyfikatów plus login/hasło.

No tak ale nie moge skonfigurowac CA na Asa bo chodzi w failover mode: https://supportforums.cisco.com/t5/vpn/ ... -p/1676190

w single mode dalo sie w HA, nie mowie ze sie nie da bo nie sprawdzalem, ale nie jest to supportowane + informacje z CA nie beda sie synchronizowac, wiec i tak sie do produkcji nie nadaje. Ostatnio sprawdzalem to na ASA-nonX - i CA dawalo tylko certy z SHA1, nie SHA2, nie pamietam jak jest teraz, ale jesli ciagle SHA1 to tez odpada. Inna opcja to certy z Windows CA i podpiac pod niego ASA zeby mu ufala.

Jesli jest to srodowisko AD to jedna z lepszych i tanszych opcji - AAA po groupach AD + certy z Windows CA w trybie Enterprise (AD) z SHA-2

ok, dziekuje za odpowiedz! Musi to byc AAA po groupach AD? czy moge po prostu w Configuration > Remote Access VPN > AAA/Local Users > Local Users dodac uzytkownika VPN?

Co do Certyfikatow z Windows CA w trybie Enterprise (AD) z SHA-2 to moglby mi Pan krotko opisac od czego sie zabrac?

hej norbo80 ,

norbo80 pisze: ↑27 lut 2018, 17:19 ok, dziekuje za odpowiedz! Musi to byc AAA po groupach AD? czy moge po prostu w Configuration > Remote Access VPN > AAA/Local Users > Local Users dodac uzytkownika VPN?

- mozesz, ale jesli i tak bedziesz uzywal certow z AD (zakladam ze bedzie to dla maszyn w AD, bo jesli BYOD/external to beda narzekac ze nie ufaja certifikatowi ASA od Win AD CA a maszyny i tak nie beda mogly uzyc certu od internal CA) to bedzie to najbardziej przezroczyste i latwe rozwiazanie dla end userow - Windows wszystko sam poda ASie na tacy - wyciagnie user/machine (zalezy ktory chcesz uzyc) certyfikat i uzyje zalogowanego konta AD, chyba ze to dla 3rd party/ non-AD.

norbo80 pisze: ↑27 lut 2018, 17:19 Co do Certyfikatow z Windows CA w trybie Enterprise (AD) z SHA-2 to moglby mi Pan krotko opisac od czego sie zabrac?

troche trzeba sie narzezbic zeby to zrobic i miec dostep do CA (chyba ze Windows team to dla Ciebie zrobi) i firewalla, cos na poczatek do poczytania: https://www.petenetlive.com/KB/Article/0001030 tam jest tez link do Part2. niestety nie mam nic lepszego do polecenia pod reka, chyba ze ktos inny z forum ma, jesli nie to potem google search.

No właśnie problem jest taki że potrzebny mi dostęp dla użytkowników spoza organizacji więc nie mogę zakładać im kont AD. Same przeszkody

norbo80 pisze: ↑27 lut 2018, 19:20 No właśnie problem jest taki że potrzebny mi dostęp dla użytkowników spoza organizacji więc nie mogę zakładać im kont AD. Same przeszkody

tak to jest jak się chce coś za free, trzeba się pogłowić, a czas i support własny tez kosztuje

w takim razie AD nie ma raczej sensu, tak samo AD CA. Poza tym żaden 3rd party nie będzie chciał instalować Twojego certa, nie ważne czy z AD czy z ASy.

Jeśli masz maly budżet (brak) / chcesz przyoszczędzić musisz porzeźbić a potem to Ty będziesz odpowiedzialny za support. W takim przypadku najlepsza opcja będzie tak jak wysłał Frontier - FreeRadius na jakimś VM i Google Authenticator. Ale jak Ci sie posypie to Twoja odpowiedzialność, ewentualnie przedstaw sprawę menedżerowi.

inna opcja : https://duo.com/docs/cisco, nie korzystałem wiec nie wiem jak się sprawdza, maja opcje DuoFree, do 10 userow, bardzo ograniczona i free, moze to Ci pomoże, ale musisz poczytać i sprawdzić opinie.

Bardzo dziękuję za informacje, zobaczę na czym stoję i się odezwę.

Dzisiaj będę wszystko sprawdzał. W między czasie znalazłem jeszcze opcję z zewnętrznym CA serverem + failover.https://learningnetwork.cisco.com/thread/98198 Znacie moze jakiś darmowy w miarę stabilny CA server?

mihu pisze: ↑27 lut 2018, 18:02 bo jesli BYOD/external to beda narzekac ze nie ufaja certifikatowi ASA od Win AD CA a maszyny i tak nie beda mogly uzyc certu od internal CA

Jeszcze tego zdania do konca nie rozumiem, moglby mi Pan wyjasnic?

norbo80 pisze: ↑28 lut 2018, 09:55

mihu pisze: ↑27 lut 2018, 18:02 bo jesli BYOD/external to beda narzekac ze nie ufaja certifikatowi ASA od Win AD CA a maszyny i tak nie beda mogly uzyc certu od internal CA

Jeszcze tego zdania do konca nie rozumiem, moglby mi Pan wyjasnic?

tylko nie pan az tak stary nie jestem sorry za skroty wczoraj ale ostatnio brakuje mi czasu.

BYOD - bring your own device - skrot uzywany w przypadku gdy pozwalasz pracownikowi uzywac wlasnego sprzetu w sieci firmy i na podstawie tego tworzyc polityki dostepu - zaufany user ale nie urzadzenie

ze wzgledu na bezpieczenstwo nie polecam zewnetrznych nieautoryzowanych serverow CA, byloby latwiej jakbys napisal co chcesz osiagnac i jaki masz budżet. Tam gdzie sie tnie koszty tnie sie jakosc do kwadratu (i bezpieczeństwo).

jesli tak jak pisales nie jest to dla użytkowników AD, tylko dla osob z poza firmy to PKI odpada, aczkolwiek zalecane by było żeby ASA miala web certificate od zaufanego dostawcy (kasa) , co do uwierzytelniania 2 factor: jedna z opcji to local user database + cos ale nie cert w tym przypadku, ten Duo wygląda ciekawie, kiedyś juz chyba sie o niego otarlem ale nie bylo czasu zglebic tematu. Pewnie jest sporo innych rozwiazan, tylko trzeba poszukac.

Po rozmowie z managerem mam pozwolenie na instalację Free Radius Server for Windows. Spróbuję to skonfigurować. Jest coś na co muszę zwracać uwagę?