نحوه استفاده از سیسکو ISE برای ارزیابی امنیتی ارتباطات VPN سازمان

مقدمه‌ای بر انواع VPN

در حال حاضر انواع مختلفی از VPNها وجود دارد که شما می‌توانید از آنها برای امن‌سازی زیرساخت ارتباطی شبکه خود استفاده کنید. شما می‌توانید با استفاده از نوعی از این VPNها ارتباط بین دو شبکه یا بیشتر را امن و آنها را از طریق یک تونل امن و بدون نیاز به زیرساخت اختصاصی به هم متصل نمایید. این نوع از VPN تحت عنوان Site-to-Site شناخته می‌شود و از محبوبیت زیادی برخوردارند. نوع دیگر از VPNها نیز وجود دارد که برای امن سازی ارتباط بین کاربران و نقاط پایانی با شبکه سازمان استفاده می‌شود و به Remote access VPNها معروفند.

Site-To-Site VPN و استفاده از سیسکو ISE برای ارزیابی امنیتی نقاط پایانی

یک تونل Site-to-Site دو شبکه کاملا مجزا را از طریق تونل امن به هم وصل و کاربران و نقاط پایانی موجود در آنها را از لحاظ منطقی در یک شبکه قرار می‌دهد. بنابراین، سیسکو ISE می‌تواند همچنان کاربران و نقاط پایانی را در سویچ Edge متعلق به شبکه Remote از طریق مکانیزم‌های dot1x و MAB یا روش‌های دیگر احراز هویت و مورد ارزیابی امنیتی قرار دهد.

Remote access VPN و استفاده از سیسکو ISE برای ارزیابی امنیتی نقاط پایانی

Remote access VPNها از ابتدا و بیشتر بدلیل جایگزینی آنها با ارتباطات Dial-up کاربران این اسم معروف شدند. این نوع VPNها بیشتر برای ارتباط کاربران از خارج از سازمان استفاده می‌شوند و اکثرا نقاط پایانی مورد استفاده در این ارتباطات تحت کنترل سازمان نمی‌باشد. به همین دلیل این موضوع سازمان‌ها را با چلاش‌های امنیتی زیادی ربرو کرده‌است. سازمان‌ها برای اینکه بتواند این چالش‌های امنیتی را برطرف کنند و نقاط پایانی را مجبور به رعایت سیاست‌های امنیتی سازمان نمایند، نیازمند ابزارهایی هستند که علاوه بر ارایه ارکان اصلی امنیت یعنی Confidentiality، Integrity، Authenticity، Availablity، NonRepudiation باید بتوانند نقاط پایانی را از لحاظ امنیتی نیز ارزیابی کنند. سیسکو ISE می‌تواند در یک راهکار ترکیبی با سیسکو ASA این نیازها را برطرف کند.

Clientless Ra-VPN

در روش Clientless معمولاً برای دسترسی امن به داده‌های داخل سازمان از مکانیزم پروکسی معکوس استفاده می‌شود، به طوری که نقطه پایانی هرگز به طور مستقیم با شبکه سازمان ارتباط برقرار نمی‌کند. در واقع در این ارتباط، سرور VPN با انتشار پیوندهای مربوط با برنامه‌های کاربردی یا داده‌های مشخص از طریق یک پرتال امن HTTPS، به عنوان یک پروکسی معکوس عمل می‌کند. در این روش کاربران می‌توانند از طریق مرورگر وب خود به این لینک‌ها دسترسی پیدا کنند. در واقع زمانی که کاربر اقدام به دسترسی به داده‌های منتشر شده می‌کند، سرور VPN در نقش پروکسی ظاهر شده و داده‌ها را از سرویس‌دهنده دریافت و از طریق پرتال امن وب به کاربر نهایی ارائه می‌دهد.

در این نوع VPN با توجه به اینکه کاربران و نقاط پایانی هیچ زمانی به طور مستقیم با شبکه ارتباط برقرار نمی‌کنند به همین دلیل نیازی به ارزیابی امنیتی ندارند و از راهکار ISE فقط برای احراز هویت، تعیین سطح دسترسی و حسابرسی نقاط پایانی استفاده می‌شود.

Client-Based Ra-VPN

در این آموزش بیشتر بر روی دسترسی VPN نوع Client-based تمرکز شده است. این نوع VPN در اصل یک تونل امن بین نرم‌افزار کاربر نقطه پایانی و سرور VPN برای حفاظت از داده‌ها و سرورهای سازمان برقرار می‌کند. به صورت پیشفرض این VPN از تونل IPSec برای برقراری ارتباط استفاده می‌کند. اما سازمان‌ها و شرکت‌ها به سرعت به خاطر سهولت استفاده از VPN مبتنی بر SSL به استفاده از این نوع VPN روی آوردند. دلیل دیگر این موضوع نیز این است که در بسیاری از زیرساخت‌های ارتباطی اجازه کار به پروتکل‌های 50 و51 و همچنین پورت UDP 500 مورد نیاز برای پروتکل IPsec داده نمی شود. در مقابل به طور معمول پورت 443 TCP مورد استفاده پروتکل‌های SSL و TLS و 443 UDP مورد استفاده پروتکل DTLS در اکثر زیرساخت‌های شبکه باز می‌باشند.

پروتکل SSL و TLS

در حقیقت SSL به خاطر مسائل امنیتی سال‌هاست که دیگر مورد استفاده قرار نمی‌گیرد. و برخلاف تفکر بسیار از افراد در مورد SSL بودن پروتکل رمزنگاری AnyConnect، سال‌هاست که این VPN از TLS برای رمزنگاری داده‌ها استفاده می‌کند. با این وجود همچنان با اسم “SSL-VPN” شناخته می‌شود. یک ویژکی مهم دیگر سیسکو AnyConnect این است که ما می‌توانیم در پیکربندی آن به صورت همزمان از TLS و Datagram Transport Layer Security (DTLS) برای رمزنگاری تونل خود استفاده کنیم. سیسکو AnyConnect علاوه بر پروتکل TLS از پروتکل IPSec مبتنی بر IKEv2 نیز پشتیبانی می‌کند.

Client-Based Ra-VPN همانطور که از اسمش مشخص است، برای اینکه بتوانید ترافیک را به صورت رمز شده به یک سرور VPN هدایت کنید به یک Agent نرم افزاری در نقطه پایانی نیاز دارید. همچنین سرور VPN از نظر جغرافیایی می‌تواند در ناحیه شبکه سازمان یا بر روی ابر یا هرجای دیگری قرار گیرد. آمار استفاده از سیسکو AnyConnect بر روی بیش از 150 میلیون نقطه پایانی در سراسر جهان گویای این است که این راهکار با اختلاف زیاد شماره یک این حوزه می‌باشد.

صرف نظر از ویژگی‌های سیسکو AnyConnect به عنوان یک نرم‌افزار VPN، این نرم‌افزار ویژگی‌هایی فراتر از VPN نیز ارایه می‌دهد. طراحی ماژولار سیسکو AnyConnect به آن اجازه می‌دهد تا سایر سرویس‌های امنیتی ماژولار نیز بر روی آن قرار بگیرند. در زیر تعدادی از ماژول‌هایی را که می‌توان همراه سیسکو AnyConnect استفاده کرد، لیست شده است.

• ISE Posture module
• Umbrella Roaming module
• Network Access Manager (NAM) module
• AMP Enabler module

در ادامه نحوه پیکربندی سیسکو ASA و سیسکو ISE ارایه شده است. شما می‌توانید از این راهنما برای راه‌اندازی زیرساخت VPN خود استفاده نمایید. در این راهنما از سیسکو ISE هم برای احراز هویت، کنترل دسترسی و اکانتیگ کاربران و هم از ماژول Posture آن برای ارزیابی امنیتی کاربران و نقاط پایانی استفاده شده است.

نحوه پیکربندی سیسکو ASA و سیسکو ISE

در ارتباطات راه دور سازمان که از طریق AnyConnetc فراهم می‌شود. شما می‌توانید با استفاده از ماژول Posture سیسکو ISE نقاط پایانی را از لحاظ امنیتی ارزیابی کنید. در واقع کاربران در صورتی می‌تواند به شبکه شما متصل شوند که مطابق با سیاست‌های امنیتی شما باشند. علاوه بر این می‌توانیم با استفاده از این ماژول کاربران را در بازه‌های زمانی مشخصی مجداد ارزیابی کنیم. اگر در ارزیابی مجدد تغییری در وضعیت مشاهده شود، ISE می‌تواند با ارسال پیامی به ASA سطح دسترسی آن را کاهش یا آن را قرنطینه کند.

انجام تنظیمات مورد نیاز برای ASA

• ایجاد نام دامنه برای ASA بر روی سرور DNS
• دانلود آخرین ورژن AnyConnect نسخه webdeploy
• پیکربندی تنظیمات اینترفیس‌ها سیسکو ASA
• تنظیمات مربوط Certificate دیوایس ASA
• اضافه کردن پروفایل ارتباطی AnyConnect

• اضافه کردن سیسکو ISE به عنوان AAA سرور بر روی سیسکو ASA

انجام تنظیمات شبکه‌ای مورد نیاز برای رنج VIP

• پیکربندی Route برگشت لازم بر روی سایر دستگاه های شبکه
• پیکربندی NAT

انجام تنظیمات ISE

• تنظیمات مربوط به Certificate دیوایس ISE
• join کردن ISE به اکتیو دایرکتوری

برای اینکه سیسکو ISE بتواند نقاط پایانی را از لحاظ امنیتی ارزیابی کند، نیاز است که تنظیمات زیر را انجام دهیم.

تعریف DACL

در این قسمت با توجه به وضعیتی که نقطه پایانی می‌تواند داشته باشد، به دو نوع لیست دسترسی (Downloadable ACLs) نیاز داریم. مورد اول اینکه در صورت مطابقت نقطه پایانی با سیاست‌های امنیتی سازمان (Compliant)، دسترسی‌های لازم به سرویس های سازمان به آن داده شود. مورد دوم نیز می‌تواند به این صورت باشد که اگر نقطه پایانی نیازمندی‌های امنیتی ما را برآورد نکند (NoneCompliant یا Unkown) دسترسی‌های آن را محدود می‌کنیم تا در صورت برآورد کردن نیازمندی‌های امنیتی در ارزیابی مجدد، دسترسی‌های لازم به سرویس‌های سازمان به آن داده شود.

آدرس سرور DNS و آدرس سرور ISE به ترتیب 192.168.21.212 و 192.168.21.215 می‌باشد.

تعریف Authorization Profile برای DACLهای تعریف شده

با توجه به نتیجه ارزیابی نقطه پایانی، سرور ISE نیاز دارد تا پروفایل دسترسی مربوط به نقطه پایانی را مشخص و برای سرور ASA ارسال نماید. پروفایل VPN_Posture_Redirect مربوط به آن دسته از کاربرانی است که یا وضعیت امنیتی آنها مشخص نیست یا دارای وضعیت NoneCompliant می‌باشند. در صورتی که وضعیت نقطه پایانی نامشخص باشد از طریق ACL تعریف شده بر روی سرور ASA کلیه ارتباطات آن به سمت پرتال Provisioning برای دانلود Agent هدایت می‌شود.

تعریف Network Device

در این قسمت تنظیمات مورد نیاز برای فایروال ASA را تعریف می‌کنیم. این همان تنظیماتی است که بر روی فایروال ASA برای تعریف سرور AAA استفاده کردیم. با استفاده از این تنظیمات فایروال ASA از طریق پروتکل Radius درخواست‌های خود را برای سرور ISE ارسال می‌کند.

تست کارکرد صحیح ISE برای انجام احراز هویت از طریق کنسول ASA

بعد از انجام تنظیمات بالا می‌توانیم از قسمت تنظیمات مربوط به پروفایل VPN، کارکرد صحیح ارتباط بین فایروال ASA و سرور ISE را با استفاده از دکمه تست و با استفاده از یک کاربر عضو دامین تست نماییم.

تعریف Policy set

در این قسمت سیاست‌های مورد نیاز برای شرایطی که کاربران می‌تواند داشته باشند ایجاد می‌کنیم. در اینجا یک سیاست برای درخواست‌هایی که از طرف فایروال ASA می‌آید، تعریف می‌کنیم. در ادامه دو سیاست برای دو وضعیت Compliant و NoneCompliant در داخل Policy set مربوط به ASA_VPN ایجاد خواهیم کرد.

Posture

• دانلود آخرین ورژن AnyConnectComplianceModuleWindows
• دانلود آخرین ورژن AnyConnectDesktopWindows
• تعریف ISE Posture Agent Profile Settings در قسمت Resources
• تعریف AnyConnectConfig در قسمت Resources

• پیکربندی posture client provisioning policy

• پیکربندی Client Provisioning Portal

• پیکربندی posture elements (تعریف posture conditions، تعریف posture remediation و تعریف posture requirements)
• پیکربندی posture policy

• فعال سازی posture client provisioning and assessment در قسمت سیاست‌های Authorization در policy set

• تعریف ACL بر روی فایروال ASA برای هدایت کاربران به سمت ISE برای ارزیابی امنیتی.

• فعال سازی posture assessment بر روی دستگاه شبکه.

برای فعال سازی فقط کافیست که از طریق AnyConnet به فایروال ASA متصل شویم. در صورت استفاده از مرورگر وب به پرتال Provisionig هدایت می‌شویم که می توانیم Agent مورد نیاز برای ارزیابی امنیتی را دانلود و نصب نماییم.

• نصیب گواهی مربوط به CA بر روی سیستم کاربر از طریق Group policy یا import کردن دستی آن در هر دو قسمت current user و computer account و اتصال مجدد با AnyConnect.