এসএসএলভিপিএন (সিসকো) এর জন্য দ্বি-গুণক প্রমাণীকরণ?

সবেমাত্র আমাদের সংস্থার মধ্যে এসএসএলভিপিএন ব্যবহারকারীদের জন্য দুটি ফ্যাক্টর প্রমাণীকরণ কার্যকর করার বিষয়ে জিজ্ঞাসা করা হয়েছে (সিসকো যেকোন সংযোগের মাধ্যমে আমরা ওয়েবভিপিএন সমর্থন করি না / ব্যবহার করি না)। বর্তমানে আমরা প্রমাণীকরণের জন্য এলডিএপি ব্যবহার করি।

আমি এমন একটি সংস্থা চিহ্নিত করেছি যে টোকন ভিত্তিক দুটি ফ্যাক্টর অনুমোদনের সামর্থ্য সহ যেকোন সংযোগ এবং গতিশীলতা ক্লায়েন্টের সাথে সরাসরি সংহত করে, তবে ভাবছিলাম যে এই ধরণের সেটিংয়ে দ্বি-ফ্যাক্টর বাস্তবায়নের আরও সাধারণ উপায়গুলি কী? প্রথম যে বিষয়টি আমার মনে এসেছিল তা হ'ল গুগল অথেনটিকেটর বা আরএসএ, তবে এ্যানি কানেক্টের সাথে একত্রে এই ধরণের সেটআপগুলির তথ্য সন্ধান করা আশ্চর্যজনকভাবে কঠিন ছিল (আমি কিছুই খুঁজে পেলাম না .. আসলে)

আমি যে দুটি পথের কথা ভাবতে পারি সেগুলি নিম্নরূপ:

1. আপনি বিল্ট-ইন সিসকো এএসএ মাধ্যমিক প্রমাণীকরণটি ব্যবহার করতে চান

2. আপনি ব্যাসার্ধের সার্ভার ব্যবহারের জন্য উন্মুক্ত।

# 2 এর জন্য ধারণা:

1. একটি প্রমাণীকরণ চয়ন করুন। উদাহরণস্বরূপ, গুগল, এলডিএপি, এডি, ইত্যাদি ...

2. একটি রেডিয়াস সার্ভার সেটআপ করুন (ফ্রিডাডিয়াস, উইন্ডোজ এনপিএম, সিসকো এসি, ইত্যাদি ...) যা প্রমাণীকরণকারীকে সমর্থন করে।

3. আপনার রেডিয়াস সার্ভার (আইপি অ্যাড্রেস, পোর্টস, সিক্রেট কী, ইত্যাদি ...) ব্যবহার করতে আপনার সিসকো এএসএতে প্রমাণীকরণটি কনফিগার করুন এবং তারপরে আপনি হয়ে গেছেন। প্রয়োজনীয় সময়সীমা সামঞ্জস্য করুন।

গুগল প্রমাণীকরণকারী সম্পর্কে :
আপনি গুগল প্রমাণকারী ব্যবহার করতে ফ্রিআরডিয়াস সেটআপ করতে পারেন এবং তারপরে ফ্রিআরডিয়াস সার্ভারটি ব্যবহার করতে সিসকো এএসএ এএএএ-সার্ভার সেটআপ করতে পারেন। সম্পন্ন :)

দ্বৈত সুরক্ষা সম্পর্কে :
আমি দ্বৈত সুরক্ষা ব্যবহার করেছি এবং এটি দুর্দান্ত কাজ করে। এই কনফিগারেশন লিঙ্কটি দ্বৈত সুরক্ষা অ্যাপ্লিকেশন ইনস্টল না করে কীভাবে 2-ফ্যাক্টর প্রমাণীকরণ সেট আপ করবেন তা দেখায়। তবে আপনি যদি অ্যাপ্লিকেশনটি ইনস্টল করেন (রেডিয়াস সার্ভার হিসাবে কাজ করে) তবে সেটআপটি আরও সহজ হয়ে যায়। নীচে একটি নমুনা কনফিগারেশন যা সহায়তা করা উচিত is

এই সেটআপে ক্যাভেটস:
আপনার সময়সীমা বাড়ান! আমি এই সমস্যা ছিল। কোনও বিদ্যমান রেডিয়াস সার্ভারে দ্বৈত অ্যাপ্লিকেশনটি ইনস্টল করবেন না (শ্রবণ পোর্ট দ্বন্দ্ব)।

• একটি সার্ভারে অ্যাপ্লিকেশন ইনস্টল করার পরে authproxy.cfgআপনার শীর্ষে অ্যাক্টিভ ডিরেক্টরিটি আপনার প্রাথমিক শংসাপত্র হিসাবে ব্যবহার করার জন্য ফাইলটি পরিবর্তন করতে হবেauthproxy.cfg

• ক্লায়েন্ট ad_clientএবং সার্ভারে সেট করুনradius_server_auto

  [main]  
  client=ad_client  
  server=radius_server_auto  
  

• বলা একটি বিভাগ তৈরি করুন ad_client।

  [ad_client]
  host=10.x.x.11
  host_2=10.x.x.12
  service_account_username=ldap.duo
  service_account_password=superSecretPassword
  search_dn=DC=corp,DC=businessName,DC=com
  

• সুরক্ষা গোষ্ঠী alচ্ছিক। এই গোষ্ঠীটি ব্যবহারকারীদের অনুমোদনের অনুমতি দেয়।

  security_group_dn=CN=Administrators,CN=Builtin,DC=example,DC=com
  

• নির্দিষ্ট DUO সুরক্ষা কনফিগারেশন তথ্য

  [radius_server_auto]
  ikey=xxxxxxxxxxxxx
  skey=xxxxxxxxxxxxx
  api_host=api-xxxxx.duosecurity.com
  

• নিরাপদ বা সুরক্ষিত এখানে বিকল্পসমূহ।

• Safe=allow auth দুয়ো যদি না পারা যায়।

• Secure=do not allow auth যদি ডুও অ্যাক্সেসযোগ্য ব্যর্থমোড = নিরাপদ

• সিসকো এএসএর আইপি ঠিকানা যা আপনি হিট করতে চান এবং কীটি

  radius_ip_1=10.x.x.1
  radius_secret_1=superSecretPassword
  

• উইন্ডোজ সার্ভারে ডুওসিকিউরিটি অ্যাপ ইনস্টল করা আছে

  net stop DuoAuthProxy
  net start DuoAuthProxy
  

• সিসকো এএসএ 8.4 কনফিগারেশন

• সংশ্লিষ্ট ভিপিএন নীতিতে নতুন এএ-সার্ভার যুক্ত করুন

  aaa-server DUO protocol radius
  !
  aaa-server DUO (inside) host 10.x.x.101
   accounting-port 1813
   authentication-port 1812
   key superSecretPassword
   retry-interval 10
   timeout 300
  !
  

দুটি ফ্যাক্টর প্রমাণীকরণের সংজ্ঞাটিতে বিভিন্ন পদ্ধতি রয়েছে। এই পদ্ধতিগুলি:

1. লগইন অ্যাকাউন্টের ব্যবহারকারীর নাম এবং পাসওয়ার্ডের মতো আপনি কী জানেন
2. আপনার কাছে যেমন কোনও আরএসএ কীফব রয়েছে যা নম্বর বা শংসাপত্রের ফাইল উত্পন্ন করে
3. রেটিনা স্ক্যান এবং ফিঙ্গারপ্রিন্ট স্ক্যানারগুলির মতো আপনি কী

দুই ফ্যাক্টর প্রমাণীকরণ হয় না দুটি ভিন্ন উৎস থেকে ব্যবহারকারীর নাম ও পাসওয়ার্ড দুটি ভিন্ন সেট হিসেবে দুটি ভিন্ন লগইন অ্যাকাউন্ট থাকার কারণ তারা উভয় "আপনি কি জানেন"। দুটি ফ্যাক্টর প্রমাণীকরণের উদাহরণ হ'ল একটি ল্যাপটপে একটি স্মার্টকার্ড (োকানো (আপনার কাছে যা আছে) এবং তারপরে একটি ফিঙ্গারপ্রিন্ট স্ক্যানার সোয়াইপ করা (আপনি কী)।

মনে হচ্ছে আপনার একটি মাইক্রোসফ্ট সার্ভার রয়েছে, যদি আমি আপনার এলডিএপি ব্যবহার বুঝতে পারি। অপারেটিং সিস্টেমের সাথে অন্তর্ভুক্ত থাকা নিকটস্থ মাইক্রোসফ্ট উইন্ডোজ সার্ভারে মাইক্রোসফ্ট শংসাপত্র কর্তৃপক্ষ পরিষেবা কেন সক্ষম করবেন না এবং ব্যবহারকারীর শংসাপত্রের তালিকাভুক্তি সক্ষম করবেন ? সিএর মূল শংসাপত্র সহ এএসএ অ্যাকাউন্টগুলিকে বৈধতা দিতে পারে, যা এটি XAUTH হিসাবে উল্লেখ করে এবং তারপরে উইন্ডোজ, লিনাক্স এবং ম্যাকস ব্যবহার করতে পারে এমন ব্যবহারকারীর শংসাপত্রগুলি প্রমাণীকরণ করে।

সঠিক, তবে আপনি যদি এনরোলমেন্টের জন্য একটি সুরক্ষিত প্রক্রিয়া পেয়ে থাকেন তবে মোবাইল ফোনটি শারীরিক কী ফোব হয়ে যায়। দুয়ো অ্যাপ্লিকেশন পুশ বা এসএমএস কোডের ইউএক্স নমনীয়তাও সরবরাহ করে। এএসএ-র অভ্যন্তরীণ সিএ দুর্দান্ত তবে আপনি যদি এইচএ জোড় বা বহু-প্রসঙ্গতে চালনা করেন তবে বিকল্প নয়। প্রস্তাবিত হিসাবে, এমএস / ডগট্যাগ সিএ বা ডুও ব্যবহার করুন।

আইএমও, আপনি ভিপিএন গ্রুপকে কনফিগার করে সর্বাধিক কভারেজ পাবেন:

ফ্যাক্টর 1 - শংসাপত্রগুলি ব্যবহার করুন (সিএসএর জন্য এমএস / ডগট্যাগ / এএসএ) - সার্টিফিকেটটি ব্যবহার করতে ldap / AD ব্যবহার করতে পারেন। (স্থানীয়ভাবে সর্বোত্তমভাবে সম্পন্ন করা, সার্টিফিকেট সরবরাহ / ইনস্টল করার ক্ষেত্রে ওপসেকের সেরা অনুশীলন অবশ্যই অনুসরণ করা উচিত))

ফ্যাক্টর 2 - টোকেন / ওটিপি ফোব বা মোবাইল ডিভাইসের জন্য নিরাপদ তালিকাভুক্তির সাথে ফ্রিআরডিআইয়াস বা দ্বৈত প্রক্সি।

এইভাবে, যদি কোনও ব্যবহারকারীকে লক্ষ্যবস্তু করা হয়, আক্রমণকারীকে অবশ্যই একটি)) শংসাপত্রের একটি অনুলিপি প্রাপ্ত করতে হবে যা কেবলমাত্র ল্যাপটপ / শেষ পয়েন্ট কীস্টোরে বি থাকা উচিত b ইউবিকি) বা মোবাইল ডিভাইস (ডুউসেক)

এটি হারিয়ে যাওয়া / চুরি হওয়া ডিভাইসের দায়বদ্ধতাও সীমাবদ্ধ করে। আমি বিশ্বাস করি দুজনী আপনার AD এর মাধ্যমে ব্যবহারকারীদের পরিচালনা করার একটি উপায়ও সরবরাহ করে যা পুরো সেটআপটি পরিচালনা করা সহজ করে তোলে। আপনার গিয়ারটি অবশ্যই প্রমাণীকরণের সময় আউট-অফ-ব্যান্ড ব্যবহারকারীর ইন্টারঅ্যাকশনকে সমর্থন করার জন্য টাইমআউট / পুনরায় চেষ্টা সমন্বয়গুলির জন্য মঞ্জুরি দেয়। (ফোন আনলক করা / পকেট থেকে ফোবি টানানো ইত্যাদি) - কমপক্ষে 30 সেকেন্ডের ব্যাসার্ধের সময়সীমা মঞ্জুর করুন)