SSLVPN (cisco)的双因素认证？

Question

今天刚刚被问及如何在我们公司内为SSLVPN的用户实现两个因素的身份验证(通过思科AnyConnect连接，我们不支持/使用WebVPN)。目前，我们使用LDAP进行身份验证。

我已经确定了一家直接与anyConnect和移动客户端集成以提供基于令牌的双因素身份验证的公司，但我想知道在这种设置中实现双因素的更常见的方法是什么？我想到的第一件事是或RSA，但是与AnyConnect一起寻找这些类型的设置的信息却令人惊讶地难以找到(我什么也没发现。)(事实上)

Answer 1

我能想到的两条途径如下：

1. 您希望使用内置的Cisco ASA辅助身份验证。
2. 您可以使用radius服务器。

第二条的概念：

1. 选一个鉴定人。比如Google，LDAP，AD等等.
2. 建立一个半径服务器(FreeRADIUS，Windows，Cisco等)它支持身份验证器。
3. 将Cisco ASA上的身份验证配置为使用Radius服务器(IP地址、端口、密钥等)然后你就完了。根据需要调整超时。

关于Google身份验证者：

您可以设置使用FreeRadius身份验证器，然后设置Cisco服务器以使用FreeRadius服务器.已完成:)

关于二元组保安：

我用过二重奏保安，而且效果很好。此配置链路演示如何在不安装双安全性应用程序的情况下设置双因素身份验证。但是，如果您安装应用程序(充当RADIUS服务器)，则安装变得更加容易。下面是一个应该有帮助的示例配置。

对此设置的注意事项：

增加你的超时时间！我对此有意见。不要在现有的RADIUS服务器上安装Do应用程序(侦听端口冲突)。

• 在服务器上安装应用程序之后，您需要修改authproxy.cfg文件，将Active用作您的主身份验证器，位于authproxy.cfg的顶部
• 将客户端设置为ad_client，将服务器设置为radius_server_auto main client=ad_client server=radius_server_auto
• 创建一个名为ad_client的节。广告_客户端 host=10.x.x.11 host_2=10.x.x.12 service_account_username=ldap.duo service_account_password=superSecretPassword search_dn=DC=corp，DC=businessName，DC=com
• 安全组是可选的。此组允许用户进行身份验证。security_group_dn=CN=Administrators，CN=Builtin，DC=example，DC=com
• 半径_服务器_自动 ikey=xxxxxxxxxxxxx skey=xxxxxxxxxxxxx api_host=api-xxxx.duosecurity.com
• 安全或可靠是这里的选择。
• 如果二重奏不可及，则为Safe=allow auth。
• Secure=do not allow auth如果Duo是不可及的failmode=safe
• 您想要访问的Cisco ASA的IP地址和密钥radius_ip_1=10.x.x.1 radius_secret_1=superSecretPassword
• 安装了DuoSecurity应用程序的Windows，停止DuoAuthProxy网启动DuoAuthProxy
• Cisco ASA 8.4配置
• 添加新的aaa-服务器到相应的VPN策略aaa-服务器双协议半径！aaa-服务器双(内)主机10.x.x.101记帐-端口1813认证-端口1812键superSecretPassword重试-间隔10超时300！

Answer 2

双因素身份验证的定义有多种方法。以下是这些方法：

1. 你所知道的，就像登录帐户的用户名和密码
2. 您所拥有的，比如生成数字或证书文件的RSA keyfob。
3. 你是什么样的人，比如视网膜扫描和指纹扫描仪

双因素身份验证不具有来自两个不同来源的两个不同的登录帐户，例如在两个不同的用户名和密码集合中，因为它们都是“您所知道的”。两个因素验证的一个例子是将智能卡插入到膝上型计算机(您拥有的)，然后刷指纹扫描仪(您是什么)。

如果我理解您对LDAP的使用，您似乎拥有一个Microsoft。为什么不在与操作系统一起包含的最近的Microsoft Windows Server上启用Microsoft证书颁发机构服务，并启用用户证书注册？带有CA根证书的ASA可以验证帐户(它称为XAUTH )，然后对Windows、Linux和MacOS可以使用的用户证书进行身份验证。

Answer 3

正确，但是，只要您有一个安全的注册过程，在某种程度上，移动电话成为物理密钥fob。Duo还提供了应用程序push或sms代码的UX灵活性。ASA上的内部CA也很好，但如果您在HA对或多上下文中运行，则不是一个选项。按照建议，使用MS/Dogtag CA或Duo。

海事组织，通过将vpn组配置为这样，可以获得最大的覆盖率：

第1因素--使用证书(MS/Dogtag/ASA在CA上)--可以使用ldap/AD用户来生成证书。(最好在本地完成，在传递/安装证书时必须遵循OpSec最佳实践。)

因素2- FreeRADIUS或双代理为令牌/OTP或移动设备的安全注册。

这样，如果用户是目标，攻击者必须获得一个。)(只应存在于膝上型计算机/端点密钥存储b中的证书副本。)(用户AD / radius用户名/密码c.)fob (rsa/yubikey)或移动设备(DuoSec)

这也限制了丢失/被盗装置的赔偿责任。我相信duo也提供了一种通过您的AD来管理用户的方法，这使得整个设置更易于管理。您的设备必须允许超时/重试调整，以支持在认证期间的带外用户交互。(解锁电话/从口袋中取出fob /等)-允许半径超时至少30秒)