Použitie MFA Cisco Duo SAML pre overovanie SSL VPN prístupov

Miloš Kamenický

Team Leader Borderless

milos.kamenicky@alef.com

Overovanie vzdialene pristupujúcich používateľov cez AnyConnect SSL VPN klienta (ďalej AC klient) systémom Cisco Duo a použitím SAML autentifikácie umožňuje používateľovi na rozdiel od LDAP a Radius metódy interaktívne zvoliť spôsob Duo overenia.

Podmienky pre implementáciu:
minimálna verzia ASA imagu:     9.7.1.24, 9.8.2.28, 9.9.2.1, 9.10 a novšie
minimálna verzia Any Connect klienta: 4.6 (bez „trusted endpoint detection“ funkcionality), 4.7 a novšie verzie

Základná informácia

 Pri implementácii ASA SSL VPN prístupu s použitím autentifikácie Duo SAML v2 je kľúčovým prvkom Duo Access Gateway. Duo Access Gateway z pohľadu SAML plní funkciu Identity Providera (IdP). Duo Access Gateway zabezpečuje aj primárnu autentifikáciu (napríklad voči Microsoft AD, OpenLDAP databáze a podobne) a aj autentifikáciu voči Cisco Duo cloudu interaktívne zvolenou metódou.

Komunikácia medzi Duo Access GW a Duo Cloudom je kryptovaná, používa sa protokol HTTPS.

Pár poznámok ku konfigurácii

Konfigurácia jednotlivých prvkov je popísaná v Duo dokumentácii. Cez nasledujúce URL sa dostanete k potrebným dokumentom:

https://duo.com/docs/cisco#asa-ssl-vpn-using-saml

https://duo.com/docs/dag#overview

Uvedená dokumentácia neobsahuje kompletnú konfiguráciu ASA FW, je potrebné dokonfigurovať napríklad základné parametre pre SSL VPN prístup,  „Group Policies“ a niektoré ďalšie  funkčné celky. Ďalej sa predpokladá, že máte nakonfigurovaný Microsoft AD server.

Na rozdiel od Duo dokumentácie som pri konfigurácii autentifikačného zdroja Active Directory na Duo Access GW namiesto nastavenia „search attributes“ položky na hodnotu „mail“ použil hodnotu (atribút) „sAMAccountName“.

Test konektivity

Po zadaní FQDN ASA firewallu do príslušného riadku v Cisco AC klientovi a kliknutí na tlačidlo „Connect“ sa zobrazí okno pre primárnu autentifikáciu. Používateľ pre prihlásenie použije svoje doménové prihlasovacie údaje  - primárna autentifikácia sa v tomto prípade vykonávala voči  Microsoft Active Directory serveru. Na pozadí sa ešte otvorí okno s názvom „Connection Profilu“.

Ak je autentifikácia voči primárnemu zdroju úspešná, otvorí sa druhé okno. V tomto okne si používateľ môže vybrať autentifikačnú metódu, ktorá bude použitá voči Cisco Duo systému (free verzia neponúkala možnosť autentifikácie „Phone Callback“).

Po  kliknutí na „Send Me a Push“ sa v dolnej časti okna  zobrazí informácia o tom, že systém poslal informáciu používateľovi a čaká na jeho reakciu.

Používateľ následne potvrdí požiadavku cez svoje mobilné zariadenie a je autentifikovaný a autorizovaný pre prístup do siete.

Radi Vás u nás privítame a ponúkame možnosť vykonať PoC (Proof of concept) testovanie tejto novej architektúry.  

 SK-SALES@alef.com