Общие сведения
Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение к VPN Cisco ASA/ASAv при помощи клиента Cisco AnyConnect. В инструкции описывается настройка 2FA для Cisco AnyConnect/Cisco ASA/Cisco ASAv с использованием RADIUS-сервера Avanpost FAM и различные сценарии использования 2FA для Cisco AnyConnect.
Сценарий взаимодействия Cisco AnyConnect с Avanpost FAM для аутентификации:
- Пользователь подключается к VPN, вводит логин и пароль в Cisco AnyConnect. Cisco AnyConnect подключается к VPN-серверу Cisco ASA/ASAv.
- Cisco ASA по протоколу RADIUS подключается к службе RADIUS Avanpost FAM, выполняет проверку логина и пароля по одному из настроенных методов аутентификации RADIUS-протокола.
- Если для Cisco ASA настроена проверка дополнительных факторов аутентификации, то Cisco AnyConnect запрашивает у пользователя проверку этих факторов в режиме диалога, либо в фоновом режиме.
- После успешной проверки аутентификаторов в соответствии с настроенным сценарием аутентификации пользователь успешно подключен к VPN.
Для Cisco AnyConnect в качестве второго фактора (2FA) возможно использование следующих методов аутентификации:
Через клиент Cisco AnyConnect доступна первичная настройка аутентификаторов для тех пользователей, у которых настройка не была выполнена:
- Мобильное приложение Avanpost Authenticator;
- TOTP;
- SMS;
- E-mail.
Для выполнения настройки 2FA в Cisco AnyConnect в соответствии с инструкцией необходимо выполнить следующие предварительные условия:
- Установить в сети Cisco ASA/ASAv, выполнить настройку VPN-сервера.
- Установить АРМ с клиентом Cisco AnyConnect, который может выполнить подключение по VPN через Cisco ASA/ASAv.
- Установить в сети компонент Avanpost FAM Server.
Если необходима аутентификация через:
- Мобильное приложение Avanpost Authenticator, то установить компонент Avanpost FAM Mobile Services.
- Мобильное приложение SafeTech PayControl, то установить сервер SafeTech PayControl.
- SMS, то настроить подключение к внешнему SMS-шлюзу, который предоставляет услугу доставки SMS-сообщений.
- E-mail, то настроить подключение к SMTP-шлюзу, который обеспечивает доставку почтовых сообщений.
- Telegram, то настроить подключение к Telegram Bot API.
Настройка
Настройка предполагает первичную настройку RADIUS-сервера на стороне Cisco ASA или замену ранее используемого RADIUS сервера на RADIUS-сервер Avanpost FAM.
Для выполнения настройки необходимо знание следующих параметров:
- IP-адрес и порт RADIUS-интерфейса компонента Avanpost FAM Server;
- IP-адрес сервера Cisco ASA/ASAv, с которого Cisco будет осуществлять отправку RADIUS-запросов.
На стороне Cisco ASA/ASAv необходимо выполнить следующие настройки:
- Настроить
Connection profile
дляRemote Access VPN
, указав дляConnection Profile
в секцииAuthentication
методAAA
и настроивAAA Server Group
, указать:Server Name or IP Address
– IP-адрес RADIUS-интерфейса Avanpost FAM.Timeout
-60 seconds
(при необходимости указать значение из диапазона от 60 до 120 секунд).Server Authentication Port
– порт RADIUS-интерфейса Avanpost FAM (по умолчанию -1812
).Server Accounting Port
– порт RADIUS-интерфейса Avanpost FAM (по умолчанию -1812
).Retry Interval –
10 seconds
.Server Secret Key
– секрет, который будет задан для IP-адреса сервера Cisco ASA/ASAv.ACL Netmask Convert
-Standard
.Common Password
– оставить пустым.Microsoft CHAPv2 Capable
– включено
- Выполнить применение изменений конфигурации (
wr mem
).
На стороне Avanpost FAM необходимо выполнить следующие настройки:
- Создать и настроить приложение с типом RADIUS, указав для него в карточке приложения на вкладке «Настройки»:
- Флаг
IP-адрес как идентификатор
- включен. NAS IP (Source IP) –
IP-адрес сервера Cisco ASA/ASAv.Протокол аутентификации
–PAP
,CHAP
илиMSCHAPv2
(
в соответствии с требованиями безопасности организации).- Флаг
Поддержка Access-Challenge
– активен.
- Флаг
- В разделе «Разделяемые секреты RADIUS» создать RADIUS-секрет, указав для него в IP-адрес с маской подсети сервера Cisco ASA либо подсеть (диапазон IP-адресов), из которой обращается Cisco ASA.
- Создать и настроить группу доступа, добавив в неё созданное приложение и пользователей, которые должны иметь доступ к приложению.
Настройки приложения типа RADIUS
Проверка настройки
- Запустить клиент Cisco AnyConnect.
- Указать логин и пароль.
Выполнить дополнительную аутентификацию в соответствии с настроенным сценарием аутентификации.
В результате пользователь должен быть успешно подключен к VPN.
Сценарии использования
Загрузка пользователей Cisco AnyConnect из домена (LDAP)
Чтобы пользователи из домена смогли проходить 2FA при подключении к Cisco AnyConnect, необходимо использовать встроенную в Avanpost FAM функциональность интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, 389Directory, openldap и т. д.). В рамках этой функции можно настроить LDAP-фильтры, которые позволят обеспечить загрузку в Avanpost FAM только тех пользователей, которые будут использовать Cisco AnyConnect. Таким образом можно подключить несколько доменов.
Контроль попыток аутентификации пользователей к Cisco AnyConnect через Avanpost FAM
Для контроля попыток аутентификации необходимо использовать журнал событий безопасности, доступный в административном интерфейсе системы и посредством syslog.
Управление доступом пользователей к Cisco AnyConnect через Avanpost FAM
Для предоставления доступа пользователю его необходимо включить в группу, которая имеет доступ к созданному приложению. Также можно реализовать автоматическое включение/исключение пользователя из группы в рамках синхронизации с LDAP-каталогом.
Для отзыва доступа у пользователя необходимо исключить его из группы, которая имеет доступ к созданному приложению.
Управление доступом пользователей к Cisco AnyConnect через домен (LDAP)
Avanpost FAM в рамках интеграции с LDAP-каталогом (Microsoft Active Directory, FreeIPA, 389Directory, openldap и т.д.) обеспечивает автоматизацию управления членством пользователей в группах Avanpost FAM путём синхронизации членства пользователей в группах Avanpost FAM на основе членства пользователей домена в доменных группах.
Управление вторым фактором (2FA) для Cisco AnyConnect через Avanpost FAM
Для настройки второго фактора, который будет использоваться для приложения Cisco ASA/ASAv, необходимо перейти в административной консоли в карточку приложения на вкладку «MFA». В качестве первого шага аутентификации необходимо указать метод – Password
. В качестве второго шага можно выбрать один из следующих факторов:
- Мобильное приложение Avanpost Authenticator;
- Мобильное приложение SafeTech PayControl (не поддерживает привязку в режиме диалога);
- TOTP;
- SMS;
- E-mail;
- Мессенджер Telegram.
Управление вторым фактором (2FA) для отдельных групп сотрудников, подключающихся к Cisco AnyConnect, через Avanpost FAM
Необходимо в административной консоли Avanpost FAM перейти в карточку группы на вкладку «MFA» и настроить дополнительный сценарий аутентификации. Пользователи, входящие в указанную группу, будут проходить аутентификацию с использованием второго фактора, заданного на указанной вкладке. Таким образом можно определить специфический сценарий 2FA для администраторов и других привилегированных пользователей, подключающихся к Cisco AnyConnect.
Аутентификация в Cisco AnyConnect пользователя без настроенного второго фактора (2FA)
Если у пользователя не привязан аутентификатор, обязательный для подключения к Cisco AnyConnect, то система предложит выполнение привязки в рамках диалога для следующих аутентификаторов:
- Мобильное приложение Avanpost Authenticator;
- TOTP;
- SMS;
- E-mail.
По результатам выполнения привязки аутентификатора система запросит у пользователя аутентификацию с использованием этого же аутентификатора.
Изменение метода проверки пароля в рамках RADIUS для Cisco AnyConnect
Для Cisco ASA/ASAv доступны следующие RADIUS-методы проверки пароля RADIUS-сервера Avanpost FAM:
- PAP;
- CHAP;
- MSCHAPv2.
Метод проверки пароля MSCHAPv2 требует наличия включенного на стороне Cisco ASA/ASAv флага Microsoft CHAPv2 Capable.
Приложение А. Настройка передачи групп в Cisco ASA
Атрибуты для ASA https://github.com/redBorder/freeradius/blob/master/share/dictionary.cisco.asa
Словарь VSA:
- вендор - Cisco-ASA
- код вендора - 3076
Имя | Код | Тип | Множ.знач |
---|---|---|---|
ASA-Member-Of | 145 | string | V |
Настройки словаря VSA
Приложение Cisco-ASA -> VSA:
Имя | Тип |
---|---|
ASA-Member-Of | Группы пользователя |
Настройка вычисления VSA
В настройках DAP установить критерий на ASA:
radius.4241 = DL-FAM-VPN_Users
где 4241 – это 145+4096.