Реализация концепции высокозащищенного удаленного доступа

[drap_hap]

К сожалению, DUO в России официально не продается. Легально его купить на юр лицо нельзя.

[dkazakov]

Это правда, но я еще в самом начале отметил что это не мешает Вам использовать собственный MFA SAML/Radius совместимый.

[SpiritOfVox]

Когда вы привязываетесь к куче параметров винды заранее приобретите расширеный молитвенный уголок в ваше место самоизоляции т.к. где-то что-то взбрыкнёт внутри этого поделия и привет спокойный сон.

Основные усилия лучше тратить на снижение смысла в удалённых атаках. Допустим если кто-то удалённо делает некие манипуляции с важными цифрами, то может следует разработать инструмент который даёт обрабатывать данные, но не показывает их на удалённый компьютер? Допустим цифры не видны, но их можно вставлять в нужные поля, сравнивать и т.д., но украсть их нельзя. Путь этот сложный и местами невозможный, но это снизит сам смысл воровства данных из удалённого подключения.

[dkazakov]

К кучу параметров привязываться нет смысла, нам нужен только сертификат — это не Rocket Science. Я не большой специалист по винде поэтому детали реализации на ней не расписываю — только концепцию, к Линуксу больше тяготею.

Ваше предложение относится к уровню Самого приложения, мы же предоставляем безопасный транспорт до него.

[imbasoft]

На практике Cisco решения для удаленного доступа мягко скажем не очень.
1) Клиент AnyConnect не является стандартным (не входит в состав ОС).
2) Чтобы пользователю скачать AnyConnect нужна учетка на сайте Cisco.
3) AnyConnect старых Cisoc не обновляется в результате запуск на Win10 это танцы с бубном.
4) По факту настроить AnyConnect для ИТ-специалиста (скажем бизнес-аналитика) без админа невозможно. Нужен TeamViewer или другой способ работы админа на машине клиента.

С точки зрения ИБ L2TP/IPsec вполне защищенное решение. К нему легко прикручивается двухфакторка, либо через Google Auth или через SMS или через токены. Клиент есть везде Android, IOS, Win, MAC. При прочих равных отсутствие танцев с бубном. Для редких случаях, когда надо ходить через HTTP-Proxy OpenVPN или какое-нибудь SSL-VPN.

Любые проприетарные VPN-клиенты — зло.

[dkazakov]

Особенности лицензирования продукта не говорят о том что продукт плохой.
Никто и не заявлял AnyConnect как Freeware или тем более OpenSource.

Только вот он мультиплатформенный, поведение на разных платформах предсказуемое и есть поддержка вендора, чего не скажешь про встроенные агенты в ОС. И да, ИБ выберет решение производителя с регулярной поддержкой и богатыми сервисами, установка на компьютеры пользователей, как и другого софта в Enterprise не является сколь либо проблемой. На своё устройство в прочем ставится элементарно, а для конечного пользователя VPN никакой учетки не надо, агент скачивается со шлюза. Компании же развертывающей VPN требуется его приобрести.

Кстати никто не мешает использовать L2TP с ASA или классический IPSEC, но конечно такого мощного функционала получить не получится.

[imbasoft]

На своё устройство в прочем ставится элементарно, а для конечного пользователя VPN никакой учетки не надо, агент скачивается со шлюза.

Шлюз работает только из IE, притом не из любых версий. Попытки открыть его из Яндекс.Браузера или Firefox закончились неудачей. Поэтому пришлось лезть на сайт cisco.com. Перенос настроек AnyConnect с одного компьютера на другой это вообще отдельная песня.

Я понимаю конечно, Cisco — гигант, но порекомендуйте вашим коллегам провести юзабилити тест продукта. Возьмите людей, не админов, а потенциальных конечников, поверьте вы узнаете много нового.

P.S. В логин окне AnyConnect увидел забавную вещь, жалко скрин не сделал, там есть поле пароль и второй пароль… но согласно комбинаторики один длинный пароль гораздо надежнее двух коротких…

[dkazakov]

Шлюз работает и для Firefox и Chrome и Safari. Возможно у Вас самоподписанный сертификат.

Настройки вручную между клиентами переносить категорически не нужно — они скачиваются с профилем со шлюза. Либо можете свой инсталляционный бандл уже с с профилями подготовить — очень просто.

Второй пароль может быть One-Time Password. И тут важно разделять что он генерируется на отдельном устройстве.

[dkazakov]

Кстати я и настраиваю и пользуюсь AnyConnect более 10 лет, ничего более удобного и рядом не видел.

[Rel1cto]

Дмитрий, подскажите, пожалуйста, как реализовать кейс с гибким назначением прав подключающимся пользователям.
Например, у нас есть набор разных сервисов и групп в AD, регламентирующих сетевой доступ к ним.
Механизм SGT или авторизация в ISE позволяют задать пользователю ровно один профиль или одну метку. То есть если у меня есть много разных сервисов, я обязан создать по профилю/метке под все возможные их комбинации (Разрешить А, Разрешить Б, Разрешить С, Разрешить А+Б, Разрешить Б+С, Разрешить A+С, Разрешить А+Б+С — уже 7 вариантов, а это всего 3 сервиса! А если их 50?).
На оборудовании конкурентов я бы просто писал в политике безопасности то же самое, что и в проводном варианте, только source ip указывал из пула VPN.
А как сделать на Cisco?

[dkazakov]

Добрый день, метки нужны для контекста и роли. Роли это более общее понятие чем права на каждого юзера в группе в отдельности. Для решения Вашей задачи есть всеми любимый Dynamic access policies (DAP). Естественно можно комбинировать до кучи с меткой SGT, а можно и без, если не используете.