SSLVPN（cisco）の2要素認証？

本日、社内でSSLVPNのユーザーに2要素認証を実装することについて質問を受けました（WebVPNをサポート/使用しないCisco AnyConnectを介して接続します）。現在、認証にLDAPを使用しています。

anyConnectおよびモビリティクライアントと直接統合してトークンベースの2要素認証を提供する会社を特定しましたが、この種の設定で2要素を実装するより一般的な方法は何ですか？最初に思いついたのはGoogle AuthenticatorまたはRSAでしたが、AnyConnectと組み合わせてこれらのタイプのセットアップに関する情報を見つけることは驚くほど見つけるのが困難でした（実際には何も見つかりませんでした。）

私が考えることができる2つのパスは次のとおりです。

1. 組み込みのCisco ASAセカンダリ認証を使用したい

2. RADIUSサーバーを使用することにオープンです。

＃2のコンセプト：

1. オーセンティケーターを選択します。たとえば、Google、LDAP、ADなど。

2. オーセンティケーターをサポートするRadiusサーバー（FreeRADIUS、Windows NPM、Cisco ACSなど）をセットアップします。

3. そのRADIUSサーバー（IPアドレス、ポート、シークレットキーなど）を使用するようにCisco ASAで認証を設定すると、完了です。必要に応じてタイムアウトを調整します。

Google認証について：
あなたはセットアップできFreeRADIUSのはGoogle認証に使用する FreeRADIUSのサーバーを使用するようにCisco ASAのAAAサーバ、その後、セットアップを。完了:)

Duo Securityについて：Duo Security
を使用しましたが、うまく機能します。この構成リンクは、Duo Securityアプリケーションをインストールせずに2要素認証をセットアップする方法を示しています。ただし、アプリケーションをインストールすると（RADIUSサーバーとして機能）、セットアップはさらに簡単になります。以下に役立つサンプル構成を示します。

このセットアップの注意事項：
タイムアウトを増やしてください！これに問題があります。Duoアプリケーションを既存のRADIUSサーバーにインストールしないでください（ポートの競合を確認する）。

• サーバーにアプリケーションをインストールした後、authproxy.cfgファイルを変更して、Active Directoryをプライマリ認証者として使用する必要があります。authproxy.cfg

• クライアントをad_clientサーバーに設定radius_server_auto

  [main]  
  client=ad_client  
  server=radius_server_auto  
  

• というセクションを作成しますad_client。

  [ad_client]
  host=10.x.x.11
  host_2=10.x.x.12
  service_account_username=ldap.duo
  service_account_password=superSecretPassword
  search_dn=DC=corp,DC=businessName,DC=com
  

• セキュリティグループはオプションです。このグループは、ユーザーが認証できるようにします。

  security_group_dn=CN=Administrators,CN=Builtin,DC=example,DC=com
  

• 特定のDUOセキュリティ構成情報

  [radius_server_auto]
  ikey=xxxxxxxxxxxxx
  skey=xxxxxxxxxxxxx
  api_host=api-xxxxx.duosecurity.com
  

• ここでのオプションは安全または安全です。

• Safe=allow auth Duoに到達できない場合。

• Secure=do not allow auth Duoに到達できない場合failmode = safe

• ヒットするCisco ASAのIPアドレスとキー

  radius_ip_1=10.x.x.1
  radius_secret_1=superSecretPassword
  

• DuoSecurityアプリがインストールされているWindows Server

  net stop DuoAuthProxy
  net start DuoAuthProxy
  

• Cisco ASA 8.4の構成

• 新しいAAAサーバーを対応するVPNポリシーに追加する

  aaa-server DUO protocol radius
  !
  aaa-server DUO (inside) host 10.x.x.101
   accounting-port 1813
   authentication-port 1812
   key superSecretPassword
   retry-interval 10
   timeout 300
  !
  

2要素認証の定義には、さまざまな方法があります。これらのメソッドは次のとおりです。

1. ログインアカウントのユーザー名とパスワードなど、知っていること
2. 番号や証明書ファイルを生成するRSAキーフォブのようなもの
3. 網膜スキャンや指紋スキャナーなど、あなたは何ですか

2要素認証では、2つの異なるユーザー名とパスワードのセットのように、2つの異なるソースからの2つの異なるログインアカウントはありません。2つの要素認証の例としては、スマートカードをラップトップに挿入（所有しているもの）してから、指紋スキャナーをスワイプ（所有者）しています。

LDAPの使用を理解している場合、Microsoftサーバーを持っているようです。オペレーティングシステムに含まれている最も近いMicrosoft Windows ServerでMicrosoft Certificate Authorityサービスを有効にし、ユーザー証明書の登録を有効にしてみませんか？ASAは、CAのルート証明書を使用して、XAUTHと呼ばれるアカウントを検証し、Windows、Linux、およびMacOSが使用できるユーザー証明書を認証できます。

ただし、携帯電話が物理的なキーフォブになるように、登録の安全なプロセスがある場合は正しいです。Duoは、アプリプッシュまたはSMSコードのUXの柔軟性も提供します。ASAの内部CAも優れていますが、HAペアまたはマルチコンテキストで実行する場合のオプションではありません。提案されているように、MS / Dogtag CAまたはDuoを使用してください。

IMOでは、vpnグループを次のように構成することで、最大限のカバレッジを取得できます。

要因1-証明書の使用（CAのMS / Dogtag / ASAオンボード）-ldap / ADユーザーを使用して証明書を生成できます。（ローカルで行うのが最善です。OpSecのベストプラクティスに従って証明書を配信/インストールする必要があります。）

要因2-トークン/ OTPフォブまたはモバイルデバイスの安全な登録を使用したFreeRADIUSまたはDuoプロキシ。

このように、ユーザーが標的にされた場合、攻撃者はa。）ラップトップ/エンドポイントキーストアにのみ存在する証明書のコピーb。）ユーザーAD / radiusユーザー名/パスワードc。）fob（rsa / yubikey）またはモバイルデバイス（DuoSec）

これにより、デバイスの紛失/盗難に対する責任も制限されます。また、デュオはADを介してユーザーを管理する方法も提供するため、セットアップ全体を簡単に管理できると思います。認証中に帯域外のユーザーインタラクションをサポートするには、ギアでタイムアウト/再試行の調整を許可する必要があります。（電話のロックを解除する/ポケットからフォブを引っ張る-少なくとも30秒の半径タイムアウトを許可する）