نحوه استفاده از سیسکو ISE برای ارزیابی امنیتی ارتباطات VPN سازمان
مقدمهای بر انواع VPN
در حال حاضر انواع مختلفی از VPNها وجود دارد که شما میتوانید از آنها برای امنسازی زیرساخت ارتباطی شبکه خود استفاده کنید. شما میتوانید با استفاده از نوعی از این VPNها ارتباط بین دو شبکه یا بیشتر را امن و آنها را از طریق یک تونل امن و بدون نیاز به زیرساخت اختصاصی به هم متصل نمایید. این نوع از VPN تحت عنوان Site-to-Site شناخته میشود و از محبوبیت زیادی برخوردارند. نوع دیگر از VPNها نیز وجود دارد که برای امن سازی ارتباط بین کاربران و نقاط پایانی با شبکه سازمان استفاده میشود و به Remote access VPNها معروفند.
Site-To-Site VPN و استفاده از سیسکو ISE برای ارزیابی امنیتی نقاط پایانی
یک تونل Site-to-Site دو شبکه کاملا مجزا را از طریق تونل امن به هم وصل و کاربران و نقاط پایانی موجود در آنها را از لحاظ منطقی در یک شبکه قرار میدهد. بنابراین، سیسکو ISE میتواند همچنان کاربران و نقاط پایانی را در سویچ Edge متعلق به شبکه Remote از طریق مکانیزمهای dot1x و MAB یا روشهای دیگر احراز هویت و مورد ارزیابی امنیتی قرار دهد.
Remote access VPN و استفاده از سیسکو ISE برای ارزیابی امنیتی نقاط پایانی
Remote access VPNها از ابتدا و بیشتر بدلیل جایگزینی آنها با ارتباطات Dial-up کاربران این اسم معروف شدند. این نوع VPNها بیشتر برای ارتباط کاربران از خارج از سازمان استفاده میشوند و اکثرا نقاط پایانی مورد استفاده در این ارتباطات تحت کنترل سازمان نمیباشد. به همین دلیل این موضوع سازمانها را با چلاشهای امنیتی زیادی ربرو کردهاست. سازمانها برای اینکه بتواند این چالشهای امنیتی را برطرف کنند و نقاط پایانی را مجبور به رعایت سیاستهای امنیتی سازمان نمایند، نیازمند ابزارهایی هستند که علاوه بر ارایه ارکان اصلی امنیت یعنی Confidentiality، Integrity، Authenticity، Availablity، NonRepudiation باید بتوانند نقاط پایانی را از لحاظ امنیتی نیز ارزیابی کنند. سیسکو ISE میتواند در یک راهکار ترکیبی با سیسکو ASA این نیازها را برطرف کند.
Clientless Ra-VPN
در روش Clientless معمولاً برای دسترسی امن به دادههای داخل سازمان از مکانیزم پروکسی معکوس استفاده میشود، به طوری که نقطه پایانی هرگز به طور مستقیم با شبکه سازمان ارتباط برقرار نمیکند. در واقع در این ارتباط، سرور VPN با انتشار پیوندهای مربوط با برنامههای کاربردی یا دادههای مشخص از طریق یک پرتال امن HTTPS، به عنوان یک پروکسی معکوس عمل میکند. در این روش کاربران میتوانند از طریق مرورگر وب خود به این لینکها دسترسی پیدا کنند. در واقع زمانی که کاربر اقدام به دسترسی به دادههای منتشر شده میکند، سرور VPN در نقش پروکسی ظاهر شده و دادهها را از سرویسدهنده دریافت و از طریق پرتال امن وب به کاربر نهایی ارائه میدهد.
در این نوع VPN با توجه به اینکه کاربران و نقاط پایانی هیچ زمانی به طور مستقیم با شبکه ارتباط برقرار نمیکنند به همین دلیل نیازی به ارزیابی امنیتی ندارند و از راهکار ISE فقط برای احراز هویت، تعیین سطح دسترسی و حسابرسی نقاط پایانی استفاده میشود.
Client-Based Ra-VPN
در این آموزش بیشتر بر روی دسترسی VPN نوع Client-based تمرکز شده است. این نوع VPN در اصل یک تونل امن بین نرمافزار کاربر نقطه پایانی و سرور VPN برای حفاظت از دادهها و سرورهای سازمان برقرار میکند. به صورت پیشفرض این VPN از تونل IPSec برای برقراری ارتباط استفاده میکند. اما سازمانها و شرکتها به سرعت به خاطر سهولت استفاده از VPN مبتنی بر SSL به استفاده از این نوع VPN روی آوردند. دلیل دیگر این موضوع نیز این است که در بسیاری از زیرساختهای ارتباطی اجازه کار به پروتکلهای 50 و51 و همچنین پورت UDP 500 مورد نیاز برای پروتکل IPsec داده نمی شود. در مقابل به طور معمول پورت 443 TCP مورد استفاده پروتکلهای SSL و TLS و 443 UDP مورد استفاده پروتکل DTLS در اکثر زیرساختهای شبکه باز میباشند.
پروتکل SSL و TLS
در حقیقت SSL به خاطر مسائل امنیتی سالهاست که دیگر مورد استفاده قرار نمیگیرد. و برخلاف تفکر بسیار از افراد در مورد SSL بودن پروتکل رمزنگاری AnyConnect، سالهاست که این VPN از TLS برای رمزنگاری دادهها استفاده میکند. با این وجود همچنان با اسم “SSL-VPN” شناخته میشود. یک ویژکی مهم دیگر سیسکو AnyConnect این است که ما میتوانیم در پیکربندی آن به صورت همزمان از TLS و Datagram Transport Layer Security (DTLS) برای رمزنگاری تونل خود استفاده کنیم. سیسکو AnyConnect علاوه بر پروتکل TLS از پروتکل IPSec مبتنی بر IKEv2 نیز پشتیبانی میکند.
Client-Based Ra-VPN همانطور که از اسمش مشخص است، برای اینکه بتوانید ترافیک را به صورت رمز شده به یک سرور VPN هدایت کنید به یک Agent نرم افزاری در نقطه پایانی نیاز دارید. همچنین سرور VPN از نظر جغرافیایی میتواند در ناحیه شبکه سازمان یا بر روی ابر یا هرجای دیگری قرار گیرد. آمار استفاده از سیسکو AnyConnect بر روی بیش از 150 میلیون نقطه پایانی در سراسر جهان گویای این است که این راهکار با اختلاف زیاد شماره یک این حوزه میباشد.
صرف نظر از ویژگیهای سیسکو AnyConnect به عنوان یک نرمافزار VPN، این نرمافزار ویژگیهایی فراتر از VPN نیز ارایه میدهد. طراحی ماژولار سیسکو AnyConnect به آن اجازه میدهد تا سایر سرویسهای امنیتی ماژولار نیز بر روی آن قرار بگیرند. در زیر تعدادی از ماژولهایی را که میتوان همراه سیسکو AnyConnect استفاده کرد، لیست شده است.
- ISE Posture module
- Umbrella Roaming module
- Network Access Manager (NAM) module
- AMP Enabler module
در ادامه نحوه پیکربندی سیسکو ASA و سیسکو ISE ارایه شده است. شما میتوانید از این راهنما برای راهاندازی زیرساخت VPN خود استفاده نمایید. در این راهنما از سیسکو ISE هم برای احراز هویت، کنترل دسترسی و اکانتیگ کاربران و هم از ماژول Posture آن برای ارزیابی امنیتی کاربران و نقاط پایانی استفاده شده است.
نحوه پیکربندی سیسکو ASA و سیسکو ISE
در ارتباطات راه دور سازمان که از طریق AnyConnetc فراهم میشود. شما میتوانید با استفاده از ماژول Posture سیسکو ISE نقاط پایانی را از لحاظ امنیتی ارزیابی کنید. در واقع کاربران در صورتی میتواند به شبکه شما متصل شوند که مطابق با سیاستهای امنیتی شما باشند. علاوه بر این میتوانیم با استفاده از این ماژول کاربران را در بازههای زمانی مشخصی مجداد ارزیابی کنیم. اگر در ارزیابی مجدد تغییری در وضعیت مشاهده شود، ISE میتواند با ارسال پیامی به ASA سطح دسترسی آن را کاهش یا آن را قرنطینه کند.
انجام تنظیمات مورد نیاز برای ASA
- ایجاد نام دامنه برای ASA بر روی سرور DNS
- دانلود آخرین ورژن AnyConnect نسخه webdeploy
- پیکربندی تنظیمات اینترفیسها سیسکو ASA
- تنظیمات مربوط Certificate دیوایس ASA
- اضافه کردن پروفایل ارتباطی AnyConnect
- اضافه کردن سیسکو ISE به عنوان AAA سرور بر روی سیسکو ASA
انجام تنظیمات شبکهای مورد نیاز برای رنج VIP
- پیکربندی Route برگشت لازم بر روی سایر دستگاه های شبکه
- پیکربندی NAT
انجام تنظیمات ISE
- تنظیمات مربوط به Certificate دیوایس ISE
- join کردن ISE به اکتیو دایرکتوری
برای اینکه سیسکو ISE بتواند نقاط پایانی را از لحاظ امنیتی ارزیابی کند، نیاز است که تنظیمات زیر را انجام دهیم.
تعریف DACL
در این قسمت با توجه به وضعیتی که نقطه پایانی میتواند داشته باشد، به دو نوع لیست دسترسی (Downloadable ACLs) نیاز داریم. مورد اول اینکه در صورت مطابقت نقطه پایانی با سیاستهای امنیتی سازمان (Compliant)، دسترسیهای لازم به سرویس های سازمان به آن داده شود. مورد دوم نیز میتواند به این صورت باشد که اگر نقطه پایانی نیازمندیهای امنیتی ما را برآورد نکند (NoneCompliant یا Unkown) دسترسیهای آن را محدود میکنیم تا در صورت برآورد کردن نیازمندیهای امنیتی در ارزیابی مجدد، دسترسیهای لازم به سرویسهای سازمان به آن داده شود.
آدرس سرور DNS و آدرس سرور ISE به ترتیب 192.168.21.212 و 192.168.21.215 میباشد.
تعریف Authorization Profile برای DACLهای تعریف شده
با توجه به نتیجه ارزیابی نقطه پایانی، سرور ISE نیاز دارد تا پروفایل دسترسی مربوط به نقطه پایانی را مشخص و برای سرور ASA ارسال نماید. پروفایل VPN_Posture_Redirect مربوط به آن دسته از کاربرانی است که یا وضعیت امنیتی آنها مشخص نیست یا دارای وضعیت NoneCompliant میباشند. در صورتی که وضعیت نقطه پایانی نامشخص باشد از طریق ACL تعریف شده بر روی سرور ASA کلیه ارتباطات آن به سمت پرتال Provisioning برای دانلود Agent هدایت میشود.
تعریف Network Device
در این قسمت تنظیمات مورد نیاز برای فایروال ASA را تعریف میکنیم. این همان تنظیماتی است که بر روی فایروال ASA برای تعریف سرور AAA استفاده کردیم. با استفاده از این تنظیمات فایروال ASA از طریق پروتکل Radius درخواستهای خود را برای سرور ISE ارسال میکند.
تست کارکرد صحیح ISE برای انجام احراز هویت از طریق کنسول ASA
بعد از انجام تنظیمات بالا میتوانیم از قسمت تنظیمات مربوط به پروفایل VPN، کارکرد صحیح ارتباط بین فایروال ASA و سرور ISE را با استفاده از دکمه تست و با استفاده از یک کاربر عضو دامین تست نماییم.
تعریف Policy set
در این قسمت سیاستهای مورد نیاز برای شرایطی که کاربران میتواند داشته باشند ایجاد میکنیم. در اینجا یک سیاست برای درخواستهایی که از طرف فایروال ASA میآید، تعریف میکنیم. در ادامه دو سیاست برای دو وضعیت Compliant و NoneCompliant در داخل Policy set مربوط به ASA_VPN ایجاد خواهیم کرد.
Posture
- دانلود آخرین ورژن AnyConnectComplianceModuleWindows
- دانلود آخرین ورژن AnyConnectDesktopWindows
- تعریف ISE Posture Agent Profile Settings در قسمت Resources
- تعریف AnyConnectConfig در قسمت Resources
- پیکربندی posture client provisioning policy
- پیکربندی Client Provisioning Portal
- پیکربندی posture elements (تعریف posture conditions، تعریف posture remediation و تعریف posture requirements)
- پیکربندی posture policy
- فعال سازی posture client provisioning and assessment در قسمت سیاستهای Authorization در policy set
- تعریف ACL بر روی فایروال ASA برای هدایت کاربران به سمت ISE برای ارزیابی امنیتی.
- فعال سازی posture assessment بر روی دستگاه شبکه.
برای فعال سازی فقط کافیست که از طریق AnyConnet به فایروال ASA متصل شویم. در صورت استفاده از مرورگر وب به پرتال Provisionig هدایت میشویم که می توانیم Agent مورد نیاز برای ارزیابی امنیتی را دانلود و نصب نماییم.
- نصیب گواهی مربوط به CA بر روی سیستم کاربر از طریق Group policy یا import کردن دستی آن در هر دو قسمت current user و computer account و اتصال مجدد با AnyConnect.
دیدگاهتان را بنویسید