https://opennet.dev/openforum/vsluhforumID6/21464.html Доброго времени суток всем гуру. Простите чайника, если вопросы откровенно глупые.<br><br>Стоит следующая задача: реализация 2-х факторной аутентификации для Remote Access VPN.<br><br>Дано: Cisco ASA 5520 (IOS 8.0(4)), Домен AD (Win2003), CA (Win2003), FreeRADIUS (Debian), токены (rutoken).<br><br>Общая идея, которой руководствовался следующая (см. рис.): <br>Схема: http://velos.users.photofile.ru/photo/velos/115313786/139110685.jpg<br>1)Выдаем пользователю сертификат и помещаем его на токен, без возможности экспорта закрытого ключа.<br>2)Выдаем сертификат ASA-е. <br>3)Создаем туннельную группу с аутентификацией peer-ов с помощью сертификатов.<br>4)Настраиваем в туннельной группе аутентификацию пользователей через radius. <br>5)RADIUS осуществляет ntlm-аутентификацию и авторизацию пользователя в AD.<br>6)RADIUS возвращает на ASA аксесс-лист для пользователя. <br><br><br>Руководствовался следующими документами:<br>http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080930f21.shtml <br>http://www.cisco.com/en/US/ https://opennet.dev/openforum/vsluhforumID6/21464.html#7 Thu, 23 Jun 2011 19:28:23 GMT &gt; Добрый день!<br>&gt; Подскажите, скорее всего вы уже разобрались=) <br>&gt; Поднимаю vpn на ASA 5520 + CA.<br>&gt; AD не учавствует на данном этапе.<br>&gt; Получается,что любой юзер может скачать сертификат c CA и подрубиться, пройдя local <br>&gt; аутентификацию к ASA5520-ведь сертификаты у них одинаковые..<br>&gt; Существует ли возможность контролировать подключение VPNclienta с помощью центра сертификации? <br><br>На ASA сертификаты могут использоваться только на первой фазе IKE - аутентификации peer-ов (фактически - рабочих станций, с которых строится туннель). После первой фазы - идёт аутентификация пользователя (xauth) - в Ipsec реализации циски она возможна только через ввод логина/пароля (EAP у меня по-крайней мере так и не получилось прикурить к этой конструкции). Поэтому как производится xauth - локально, через внешний сервер или вообще не производится - с т.з. использования сертификата в Phase 1 - нет никакой разницы.<br><br>Т.е.сертификаты по-сути в Isec позволяют уйти от необходимости передачи разделенного секрета. <br>Также появляес https://opennet.dev/openforum/vsluhforumID6/21464.html#6 Thu, 23 Jun 2011 16:10:59 GMT Добрый день!<br>Подскажите, скорее всего вы уже разобрались=) <br>Поднимаю vpn на ASA 5520 + CA.<br>AD не учавствует на данном этапе.<br>Получается,что любой юзер может скачать сертификат c CA и подрубиться, пройдя local аутентификацию к ASA5520-ведь сертификаты у них одинаковые..<br>Существует ли возможность контролировать подключение VPNclienta с помощью центра сертификации? <br> https://opennet.dev/openforum/vsluhforumID6/21464.html#5 Mon, 30 Aug 2010 19:48:35 GMT В итоге сделал на IAS :) Работает ) Правда в отличие от freeRADIUS-а, access-лист завязать получается только на AD-ой группе, а не на пользователя. <br><br>&gt;Ещё вот такой вопросик по пункту 1: получается для проверки ЭЦП, peer-ы <br>&gt;дожны что-то некий набор бит друг другу послать, чтоб затем каждая <br>&gt;из сторон это значение зашифровав закрытым ключём, вернула обратно, а отправляющая <br>&gt;смогла это расшифровать и сравнить с оригиналом. Это ведь так? А <br>&gt;вот что они посылают друг другу? Или используется другая схема? Я <br>&gt;просто не могу понять, как обладатель сертификата подтверждает владение закрытым ключем. <br>&gt;<br><br>Судя по данной инфе http://www.ciscopress.com/articles/article.asp?p=24833&seqNum=5 <br>насколько я понял происходит всё следующим образом:<br><br>1.Клиент соединяется с ASA, peer-ы производят обмен сертификатами, которые будут использоваться для аутентификации каждой из сторон в Phase 1 IKE.<br>2.ASA и клиент загружают CRL, после чего каждая из сторон проверяет подлинность сертификата противоположного peer-a. https://opennet.dev/openforum/vsluhforumID6/21464.html#3 Tue, 17 Aug 2010 18:02:58 GMT &gt;[оверквотинг удален]<br>&gt;&gt;и ntlm не оч секьюрно. Есть же виндовый IAS, <br>&gt;&gt;который уже интегрирован с AD? <br>&gt;&gt;По крайней мере на 2008R2 в NAP это делается легко. А там, <br>&gt;&gt;как я понял - тот же IAS, немного в другой оболочке. <br>&gt;&gt;И инфраструктура однообразной будет. <br>&gt;<br>&gt;+1 <br>&gt;<br>&gt;я сам юниксоид, но пользуем IAS, так как не нужно интегрировать руками. <br>&gt;<br><br>Ну... тут так сложилось исторически, в боевой схеме сейчас работает RADIUS, поэтому предложенное решение должно выписываться в существующую схему. Переход на IAS планируется... <br><br>Ещё вот такой вопросик по пункту 1: получается для проверки ЭЦП, peer-ы дожны что-то некий набор бит друг другу послать, чтоб затем каждая из сторон это значение зашифровав закрытым ключём, вернула обратно, а отправляющая смогла это расшифровать и сравнить с оригиналом. Это ведь так? А вот что они посылают друг другу? Или используется другая схема? Я просто не могу понять, как обладатель сертификата подтверждает владение закрытым ключем.<br><br> https://opennet.dev/openforum/vsluhforumID6/21464.html#2 Tue, 17 Aug 2010 04:50:09 GMT <br>&gt;<br>&gt;Вопрос такой... а нафиг вам freeradius? Этож гиморой с AD дружить. Да <br>&gt;и ntlm не оч секьюрно. Есть же виндовый IAS, <br>&gt;который уже интегрирован с AD? <br>&gt;По крайней мере на 2008R2 в NAP это делается легко. А там, <br>&gt;как я понял - тот же IAS, немного в другой оболочке. <br>&gt;И инфраструктура однообразной будет. <br><br>+1<br><br>я сам юниксоид, но пользуем IAS, так как не нужно интегрировать руками.<br> https://opennet.dev/openforum/vsluhforumID6/21464.html#1 Tue, 17 Aug 2010 04:44:33 GMT &gt;[оверквотинг удален]<br>&gt;непосредственно в запросе? <br>&gt;<br>&gt;4) CRL. Изначально конфигурил асу на прошивке 7.0(5). При настройке CRL наблюдались <br>&gt;следующие траблы: точка распространения отозванных сертификатов через http, которая была прописана <br>&gt;в выданном устройству сертификате содержала доменное имя. ASA успешно его разрешала <br>&gt;в IP-адрес, но наотрез отказывалась его загружать. Проблему решила назначение точки <br>&gt;CRL вручную, где вместо доменного имени был явно прописан ип-адрес. После <br>&gt;обновления прошивки до 8.0(4), ASA наотрез отказывается подгружать crl в любом <br>&gt;виде. Не могу понять, с чем это может быть связано. (С <br>&gt;других хостов данный crl успешно загружается). <br><br>1.) исключительно для аутентификации peer-ов<br><br>2.) Все совершенно верно. Нужен шаблон и хитрое правило.<br><br>3.) ИМХО мудрите лишнее<br><br>4.) здесь ничего не скажу.<br><br><br>Вопрос такой... а нафиг вам freeradius? Этож гиморой с AD дружить. Да и ntlm не оч секьюрно. Есть же виндовый IAS, который уже интегрирован с AD?<br>По крайней мере на