︿
Top

64 期 - 建置高可用性 Cisco 防火牆 (下)

by Weithenn on 星期日, 5月 01, 2011

網管人雜誌

          本文刊載於 網管人雜誌第 64 期 - 2011 年 5 月 1 日出刊,NetAdmin 網管人雜誌 為一本介紹 Trend Learning 趨勢觀念、Solution Learning 解決方案、Technology Learning 技術應用的雜誌,下列筆記為本站投稿網管人雜誌獲得刊登的文章,網管人雜誌於每月份 1 日出刊您可於各大書店中看到它或透過下列圖示連結至博客來網路書店訂閱它。



文章目錄

1、前言
2、VPN Client 整合 Microsoft CA 憑證
          Microsoft CA 伺服器安裝及設定
          Cisco ASA UTM 產生憑證要求 CSR
          提交憑證要求 CSR 至 Microsoft CA 憑證伺服器
          匯入 CA 憑證至 Cisco ASA UTM
          設定撥入的 IPSec VPN Client 使用憑證設定
          匯入 RootCA 憑證至 IPSec VPN Client
          申請使用者個人憑證IPSec VPN Client
          測試IPSec VPN Client使用憑證連接
3、VPN Client 帳號整合 Microsoft RADIUS 驗證
          安裝Microsoft IAS 服務
          設定Microsoft IAS 服務
          設定 RADIUS 共同密碼
          設定 RADIUS Client 遠端存取原則
          允許 Windows 網域使用者可連接
4、Cisco ASA UTM 啟用 RADIUS Client 功能
5、備份/撤銷使用者個人憑證
          備份使用者個人憑證
          撤銷使用者個人憑證
6、結語



1、前言

          在 上一篇文章中 已經將 Cisco ASA UTM 網路基礎設定完成,並且也將 HA 高可用性機制建置完成且運作無誤因此在整個 UTM 設備線上服務運作上已經可以不用擔心因為 UTM 設備其硬體的損壞而導致企業服務停擺,接下來要談的部份是 VPN 連線安全驗證及 VPN 使用者帳號整合的部份。

          因為 Cisco ASA UTM 設備在預設的情況下 VPN Client 連接驗證方式為採用一組文字設定 VPN 群組名稱及密碼 (Group Name、Group Password) 來進行驗證,但這樣採用文字的連接驗證方式太過薄弱難以抵擋現今充滿各式各樣威脅的網路環境,為了加強 VPN 連接安全性本文將實作以 CA 憑證來取代原來的 VPN 群組名稱及密碼。

          另外在 VPN Client 通過連接驗證後準備登入 VPN Network 時的使用者帳號及密碼驗證,在預設情況下您必須要把使用者帳號及密碼設定於 Cisco ASA UTM 設備上,但如此一來除了帳號及密碼分散造成管理不易之外在安全性上也充滿了隱憂,因此本文也會實作建立一台 RADIUS 伺服器而 Cisco ASA UTM 則擔任 RADIUS 客戶端的角色,因此當 VPN Client 通過連接驗證後要驗證使用者帳號密碼時會透過 RADIUS 協定對 RADIUS 伺服器提出驗證需求,而 RADIUS 伺服器在登入至 Windows AD 網域伺服器進行查詢後回覆給 Cisco ASA UTM 來決定是否需許該 VPN Client 能夠連入 VPN Network。



2、VPN Client 整合 Microsoft CA 憑證

          Cisco ASA UTM在進行VPN Client 連接驗證時「預設」採用使用者所自訂郡組帳號及密碼來進行文字驗證方式的連接驗證,為了提高驗證動作的安全性我們可以整合 Microsoft CA 憑證來達成,而整個採用憑證驗證的流程概念可以參考如下圖所示:

圖片來源: Cisco 官網 - ASA/PIX 8.x and VPN Client IPSec Authentication UsingDigital Certificates with Microsoft CA Configuration Example

Microsoft CA 伺服器安裝及設定

          此次實作中我們設定 Windows Server 2003 R2 所擔任的角色為 Standard-alone RootCA 根憑證伺服器,而除了安裝憑證服務之外還要負責讓使用者 (VPN Client) 屆時可以來此台 CA 伺服器申請使用者憑證 (屆時匯入使用者端個人電腦的憑證),因此也必須需安裝 IIS 服務,了解後請為此台主機新增二項 Windows 元件即 「Application Server 中 網際網路資訊服務(IIS)」及「Certificate Services」,安裝完成後除了必須確定 IIS 服務啟動運作之外也必須確定是否把屆時提供使用者申請憑證服務的網頁放入 IIS 首頁資料夾內。


Cisco ASA UTM 產生憑證要求 CSR

          在操作以前請先確定 Cisco ASA UTM 其系統時區、日期、時間是否正確,以免等一下產生的憑證要求 CSR (Certificate Signing Request) 時,因為跟 Microsoft CA 憑證伺服器時間差的關係造成申請錯誤的情況發生,請您開啟 ASDM 管理軟體連結至 Cisco ASA UTM 後依下列操作步驟來產生憑證要求 CSR,請依序點選【Configuration】 >> 【Device Management】 >> 【Certificate Management】 >> 【Identity Certificates】 >> 【Add】 >> 【Add Identity Certificate】後填入下列憑證申請資訊:
  • Trustpoint Name: 設定檔名稱,請輸入 Weithenn_VPN
  • Key Pair: 建立加密私鑰 (Private Key),請輸入 Private.key
  • Certificate Subject DN: 此憑證申請書的資訊
  • Common Name(CN): Microsoft CA 伺服器的 FQDN,請輸入 CA.weithenn.org
  • Department(OU): 組織或部門別,請輸入 IT
  • Company Name(O): 公司名稱,請輸入 Weithenn Research
  • Country(C): 國碼,請輸入 TW(Taiwan)
  • Location(L): 地區,請輸入 Taipei
  • Email Address(EA): 連絡人 E-Mail,請輸入 weithenn@weithenn.org

          完成上述設定後按下 【Add Certificate】產生憑證要求 CSR,之後 Cisco ASA UTM 會提示您將此憑證要求 CSR 存檔至您的本機以便等一下提交給 Microsfot CA 憑證伺服器用來申請憑證,將Cisco ASA UTM 所產生的憑證要求 CSR 存檔為 ASA_CSR.txt 內容如下所示:
-----BEGIN CERTIFICATE REQUEST-----
 MIIB/DCCAWUCAQAwgYwxITAfBgNVBAcTGE5laWh1IERpc3QuLCBUYWlwZWkgQ2l0
 eTELMAkGA1UEBhMCVFcxFDASBgNVBAoTC0RLU0ggVGFpd2FuMQswCQYDVQQLEwJJ
 VDEiMCAGA1UEAaMZVFdaMDUuZWR3YXJka2VsbGVyLmNvbS50dzETMBEGCSqGSIb3
 DQEJAhYEREtTSDCBnzANBgkqhkiG7w0BAQEFAAOBjQAwgYkCgYEAoNaaNRiZE1nE
 +kI0Ih0IQ+aQa3PADyw2dVHzqdi1RVJlhkTwoBmeX+dMQn9MVf2jezmjYE6T2Cff
 xBXP0WDAbaZ31Rb1Udh//igbRC57DEg7DEZjVtlomjim7+W9HaDeS1+IAUl0dgqo
 PjJR23Z6KDwOigcE1fP+WbRhuHdtaZkCAwEAAaAvMC0GCSqGSIb3DQEJDjEgMB4w
 CwYDVR0PBAQDAgWgMA9GA1UdEQQIdAaCBERLU0gwDQYJKoZIhvcNAQEEBQADgYEA
 FDh+CJnk8Tn0SkJCbRUMKiKxOy1auGw5NKKxdSRWGVQFwCx5qjoQg1TAXu/HIEDf
 Dv+S7GVfaojdyM0qhoLiyPJyHVSumdLYOwBdEAjsTvcs1I/ek9Rji/5N7eNiZPju
 XbLw3OYK/0EpgAhqN8X/Zw73jckz08hhfkBzwjRmLadd
 -----END CERTIFICATE REQUEST-----

提交憑證要求 CSR 至 Microsoft CA 憑證伺服器

          接下來我們要將剛才在 Cisco ASA UTM 所產生的憑證要求 CSR 提交至 Microsoft CA 憑證伺服器中,請開啟瀏覽器輸入 Microsoft CA 憑證服務網址 (此次實作網址為 http://192.168.1.10/certsrv),後點選【要求憑證】>>【進階憑證要求】>>【用 Base-64 編碼的 CMC 或 PKCS #10 檔案來提交憑證要求,或用 Base-64 編碼的 CMC 或 PKCS #7 檔案提交更新要求】接著將剛才產生的憑證要求 CSR 內容貼至已儲存的要求文字區域內後按下【提交】,此時網頁會回應您「憑證擱置」及「要求識別碼」的網頁訊息看到這樣的訊息表示已正確提交憑證申請要求給 Microsoft CA 憑證伺服器了。

          接著請登入 Microsoft CA 憑證伺服器開啟【憑證授權】後點選【擱置要求】>> 點擊【欲發行的憑證】 >> 按下右鍵後選擇【所有工作】 >> 【發行】,完成憑證發行的動作之後您可以在【已發出的憑證】內看到剛才發行給 Cisco ASA UTM的憑證。

          此時請再開啟瀏覽器輸入 Microsoft CA 憑證服務網址 http://192.168.1.10/certsrv 後點選【檢視擱置中的憑證要求狀態】>>【已儲存要求的憑證(時間)】>>【Base 64】 >> 【下載憑證】並且將此憑證名稱命名為 asaca.cer 此憑證為等一下要匯入 Cisco ASA UTM 內 Identity Certificates 時使用。


匯入 CA 憑證至 Cisco ASA UTM

          此步驟中我們要將上層根 CA (RootCA) 及剛才提交憑證要求 CSR而獲得的 CA Certificate (asaca.cer) 匯入至 Cisco ASA UTM 內,下載 RootCA 請開啟瀏覽器輸入Microsoft CA 憑證服務網址 http://192.168.1.10/certsrv 後點選【下載 CA 憑證、憑證鏈結或 CRL】>>【Base 64】 >> 【下載 CA 憑證】並命名為 Weithenn_RootCA.cer

          接下來將 RootCA (Weithenn_RootCA.cer) 匯入至 Cisco ASA UTM 內,請開啟【ASDM】 >> 【Configuration】 >> 【Device Management】 >> 【Certificate Management】 >> 【CA Certificates】 >> 【Add】 >> 【貼上 RootCA 憑證內容 (PEM格式)】 >> 按下【Install Certificate】即將 RootCA 匯入成功。

          再來便是匯入 CA Certificate (asaca.cer),請點選 【Configuration】 >> 【Device Management】 >> 【Certificate Management】 >> 【Identity Certificates】 >> 【Install】 >> 【貼上 ASA Certificate 內容 (Base 64 格式)】 >> 按下【Install Certificate】即將 CA Certificate 匯入成功,下圖為將相關憑證匯入後查看憑證詳細內容。


設定撥入的 IPSec VPN Client 使用憑證設定

          下列步驟中我們要設定屆時連接 Cisco ASA UTM 的 IPSec VPN Client 配合使用剛才匯入的 RootCA 及 CA Certificate 憑證進行連接驗證的相關設定,由於此步驟要設定的部份比較多因此細分為下列7個步驟以方便讀者了解其設定項目:

步驟1. 設定 IKE Policy
          首先請開啟 【ASDM】 >>【Configuration】 >>【Remote Access VPN】 >> 【Network (Client) Access】 >> 【Advanced】 >> 【IPsec】 >> 【IKE Policies】 >> 【Add】 >> 【設定 IKE Policy 資訊 (如下所示)】 >> 設定完成後按下【OK】 >> 再點擊【Apply】 以便完成新增 IKE Policy 的動作。
  • Priority: 優先權數值為 65535
  • Authentication: 認證方式請選擇 rsa-sig
  • Encryption: 加密方式請選擇 3des
  • D-H Group: 2
  • Hash: 雜湊方式請選擇 md5
  • Lifetime: Session 存活時間請輸入 86400 單位請選擇秒 (seconds)

步驟2. 設定 IPSec Transform Sets
          請點選【Configuration】 >> 【Remote Access VPN】 >> 【Network (Client) Access】 >> 【Advanced】 >> 【IPSec】 >> 【IPSec Transform Sets】 >> 【Add】 >> 【設定 IPSec Transform Sets 資訊 (如下所示)】 >> 設定完成後按下【OK】 >>再點擊【Apply】以便完成新增 IPSec Transform Sets 的動作
  • Set Name: 設定名稱為 Weithenn-3DES-MD5
  • Mode: 模式請選擇為通道模式 (Tunnel)
  • ESP Encryption: ESP 加密方式請選擇 3DES
  • ESP Authentication: ESP 認證方式請選擇 MD5

步驟3. 設定 Crypto Maps
          請點選【Configuration】 >> 【Remote Access VPN】 >> 【Network (Client) Access】 >> 【Advanced】 >> 【IPSec】 >> 【Crypto Maps】 >>【Add】 >> 【設定 Crypto Maps 資訊 (如下所示)】 >> 設定完成後按下【OK】 >>再點擊【Apply】以便完成新增 Crypto Maps 的動作
  • Interface: 網路介面選擇擁有外部 IP 的 wan
  • Priority: 優先權數值為 10
  • Transform Sets: 轉換方式選擇剛才建立的 Weithenn-3DES-MD5

步驟4. 設定 IPSec Rules Group Policies
          請點選【Configuration】>> 【Remote Access VPN】 >> 【Network (Client) Access】 >> 【Group Policies】 >>【Add】 >> 【設定 IPSec Rules Group Policies 資訊 (如下所示)】 >> 設定完成後按下【OK】 >> 再點擊【Apply】以便完成新增 IPSec Rules Group Policies 的動作
  • Name: 政策名稱為 Weithenn_Policy
  • DNS Servers: 192.168.1.20, 192.168.1.30
  • WINS Servers: 192.168.1.20, 192.168.1.30
步驟5. 設定 VPN Client IP Range
          此步驟為設定屆時 VPN Client 撥入後所能取得的 IP 網段設定,請點選【Configuration】>> 【Remote Access VPN】 >> 【Network (Client) Access】 >> 【Address Assignment】 >> 【Address Pools】 >>【Add】 >> 【設定 VPN Client IP Range資訊 (如下所示)】>>設定完成後按下【OK】 >>再點擊【Apply】以便完成新增 VPN Client IP Range 的動作
  • Name: 此 IP 網段設定名稱為 VPN_Client_IP_Pool
  • Starting IP Address: 起始 IP 位址 192.168.1.101
  • Ending IP Address: 結束 IP 位址 192.168.1.200
  • Subnet Mask: 遮罩 255.255.255.0
步驟6. 建立 Cisco ASA 本機使用者帳號
          此步驟為建立 Cisco ASA 本機使用者帳號以便等一下測試 VPN Client 連接驗證通過後能否使用帳號及密碼登入 VPN Network 後續會說明結合 RADIUS 的身份驗證方式,請點選 【Configuration】 >> 【Remote Access VPN】 >> 【AAA/Local Users】 >> 【Local Users】 >>【Add】 >> 【設定 ASA 本機帳號資訊 (如下所示)】>>設定完成後按下【OK】 >>再點擊【Apply】以便完成新增本機使用者帳號的動作
  • Username: 使用者名稱為 vpnuser
  • Password: 使用者密碼為 123456
  • Confirm Password: 再次確認密碼 123456
步驟7. 設定 IPSec Connection Profiles
          此步驟為將前面6個步驟的設定結合成為一個 IPSec VPN 設定檔,請點選【Configuration】 >> 【Remote Access VPN】 >> 【Network (Client) Access】 >> 【IPsec Connection Profiles】 >> 【Edit】 >> 【設定 IPSec Connection Profiles 資訊 (如下圖所示)】>>設定完成後按下【OK】 >>再點擊 【Apply】以便完成 IPSec 連接設定檔的動作。


匯入 RootCA 憑證至 IPSec VPN Client

          Cisco ASA UTM 處理好憑證後接下來請在使用者端電腦安裝 Cisco VPN Client (vpnclient-5.0.02.0090-k9.exe) 軟體並且至 Microsoft CA 憑證伺服器申請頁面申請使用者憑證後登入 Cisco ASA VPN,使用者端安裝完 Cisco VPN Client 後請將 RootCA 匯入至 VPN Client 中,請開啟 Cisco VPN Client >> 【Certificates】 >> 【Show CA/RA Certificates】 >> 【Import】 >> 選擇 RootCA 匯入【Weithenn_RootCA.cer】。


申請使用者個人憑證IPSec VPN Client

          再來為使用者端個人電腦連接至 Microsoft CA 伺服器送出使用者個人憑證申請要求以便後續套用於 Cisco VPN Client 中,請開啟瀏覽器輸入 Windows CA 伺服器憑證服務網址 http://192.168.1.10/certsrv,點選【要求憑證】>> 【進階憑證要求】>>【向這個 CA 建立並提交一個要求】後填入如下相關資訊:
  • 識別資訊名稱: 使用者名稱,請輸入 Weithenn Wang
  • 所需的憑證類型: 請選擇【用戶端驗證憑證
  • 金鑰選項: 請選擇【建立新的金鑰組】及【Microsoft Enhanced Cryptographic Provider v1.0
  • 金鑰使用方式: 請選擇【二者皆是
  • 金鑰大小: 請輸入【1024】及選擇【自動金鑰容器名稱】並勾選【將金鑰標示成可匯出
  • 要求格式: 請選擇 PKCS10
  • 雜湊演算法: 請選擇 MD5

          最後則按下【提交】,此時網頁會回應您「憑證擱置」及「要求識別碼」的訊息看到這樣的訊息表示已經正確提交憑證申請要求給 Microsoft CA 憑證伺服器了,此時請登入 Microsoft CA 憑證伺服器開啟【憑證授權】點選【擱置要求】 >> 點擊【欲發行的憑證】 >> 按下右鍵後選擇【所有工作】>> 【發行】,完成憑證發行的動作之後您可以在【已發出的憑證】內看到剛才發行給使用者個人的憑證。


          此時使用者端請再開啟瀏覽器輸入 Microsoft CA 憑證服務網址 http://192.168.1.10/certsrv 後點選【檢視擱置中的憑證要求狀態】點選【用戶端驗證憑證(時間)】 >> 點選【安裝這個憑證】 >> 按下【是】顯示安裝憑證成功,此時開啟 IE 瀏覽器或使用 MMC 主控台查看使用者憑證資訊時可看到剛才安裝的使用者憑證資訊,接著再開啟 Cisco VPN Client 查看 Certificates 項目內容時您會發現 RootCA 及剛才安裝的使用者憑證資訊已成功匯入其中。


測試 IPSec VPN Client 使用憑證連接

          到目前為止已經將 Cisco ASA UTM 安裝及設定好憑證,而使用者端也完成安裝 Cisco VPN Client 及匯入相關憑證,接下來便是測試能否使用憑證登入 VPN Network,請開啟Cisco VPN Client後按下 New來建立 Cisco VPN Client 連線設定首先填入此設定檔名稱 【Weithenn VPN Test】 在 Host 欄位則填入Cisco ASA UTM的外部 IP 位址【61.60.59.58】接著選擇使用剛才的使用者憑證進行驗證設定按下【Save】完成設定,建立連接設定檔完成後按下 Connect 鈕進行連接若使用的憑證通過連接驗證程序成功後即會跳出輸入使用者帳號及密碼的驗證視窗,此時請輸入剛才建立的 Cisco ASA UTM本機使用者帳號 vpnuser 及密碼 123456 即可登入 VPN Network,登入成功後即可看到使用者端電腦右下角工作列有個鎖頭圖示。




3、VPN Client 帳號整合 Microsoft RADIUS 驗證

          在上述過程中我們已經使用 CA 憑證來取代 VPN 群組及密碼來提高 VPN Client 連接 VPN Network 時連接驗證的安全性,但此時我們還必須要在 Cisco ASA UTM 中建立本機使用者帳號才可進行登入 VPN Network 並給予相對應的權限,若企業環境中已經建置了 Windows AD(Active Directory) 網域伺服器則您可透過建置 RADIUS 伺服器 (Microsoft IAS 服務) 並設定 Cisco ASA UTM 啟用 RADIUS 功能 (RADIUS 客戶端) 互相配合來取代本機使用者帳號的驗證機制,達成 VPN Client 使用者帳號集中管理的目的。

安裝 Microsoft IAS 服務

          請新增在控制台中【Networking Services\詳細資料\網際網路驗證服務 (IAS)】 的 Windows 元件,安裝完畢後請使用 netstat 指令確保 Microsoft IAS 服務已正確啟動運作中並開啟相對應的 UDP 協定及 Port 1645/1646
C:\> netstat -na | find ":164"
  UDP    0.0.0.0:1645           *:*
  UDP    0.0.0.0:1646           *:*

設定 Microsoft IAS 服務

          在預設的情況下 Windows AD 網域伺服器並不接受別人送出的使用者帳號查詢要求,在此步驟中設定此台啟用 Microsoft IAS 服務的 RADIUS 伺服器可以向 Windows AD網域伺服器查詢使用者帳號資訊,因此當 VPN Client 通過憑證連接驗證後接著驗證使用者帳號及密碼,當RADIUS 伺服器驗證使用者帳號為可存取及連接的情況下才通知 Cisco ASA UTM 允許該 VPN Client 能連接至 VPN Network 反之則無法連接,請執行下列指令將 RADIUS 伺服器登記至 Windows AD網域伺服器內以便允許屆時的查詢使用者帳號動作
C:\> netsh ras add registeredserver
登錄順利完成:
  遠端存取伺服器:    CA-RADIUS
  網域:             weithenn.org

設定 RADIUS 共同密碼

          另外在安全性考量為前提的情況下 RADIUS 伺服器與 RADIUS 客戶端會設定一組共同密碼並且設定僅接受某些 RADIUS 客戶端送過來的的驗證請求,請登入RADIUS 伺服器開啟【網際網路驗證服務】點選【RADIUS 用戶端】 按下滑鼠右鍵選擇【新增 RADIUS 用戶端】輸入名稱 Cisco ASA 5510而IP位址為 192.168.1.254 用戶端廠商則請選擇RADIUS Standard,共用密碼則輸入12345678 (屆時 Cisco ASA 上也要設定此密碼),如下圖所示:


設定 RADIUS Client 遠端存取原則

          為了日後方便查詢及分析使用者登入時間及記錄相關資訊情況下,也一併設定 RADIUS Client 存取行為及記錄,設定儲存 RADIUS Client 存取記錄請開啟【網際網路驗證服務】後點選【遠端存取記錄】 >> 【本機檔案】 >> 【設定】 >> 勾選【驗證要求(例如: access-accept 或 access-reject)】 >> 切換至【記錄檔】 >> 指定【Log 存放路徑】 >> 按下【確定】即完成RADIUS Client 儲存記錄設定。

          接下來為設定RADIUS Client 遠端存取原則,請點選【遠端存取原則】 >> 【連線到其它存取伺服器】 >> 點選 【授予遠端存取權限】 >> 按下 【編輯設定檔】 >> 切換至【驗證】頁籤 >> 確認勾選【加密驗證CHAP 及未加密驗證 PAP、SPAP】 >>切換至【加密】頁籤>> 確認勾選【不加密】 >> 【確定】即完成RADIUS Client遠端存取原則設定。


允許 Windows 網域使用者可連接

          最後則設定哪些 Windows 網域使用者帳號可在網際網路使用 Cisco VPN Client 連回企業內部網路中,請登入 Windows AD 伺服器在要允許該使用者帳號存取項目中進入使用者資訊頁面 >> 【撥入】 >> 在使用者端存取使用權限 (撥入或VPN) 請選擇【透過遠端存取原則來控制存取】後按下確定,則此網域使用者帳號便可透過 Cisco VPN Client 遠端連回 VPN Network 進而存取公司內部資源就像該台電腦位於公司內網一樣。



4、Cisco ASA UTM 啟用 RADIUS Client 功能

          RADIUS 伺服器部份已經設定完畢,接下來就剩 Cisco ASA UTM 啟用 RADIUS 客戶端功能即可運作,請開啟 【ASDM】管理工具 >> 【Configuration】 >> 【Remote Access VPN】 >> 【AAA/Local Users】 >> 【AAA Server Groups】 >> 按下【Add】 >> 設定 Server Group 為【Weithenn_Radius】而 Protocol 為【RADIUS】後按下【OK】即啟用 RADIUS 客戶端功能。
    
          再來為指定 RADIUS 伺服器資訊,請點選【Configuration】 >> 【Remote Access VPN】 >> 【AAA/Local Users】 >> 【Servers in the Selected Group】 >> 按下【Add】 >> Interface Name 為【lan】、RADIUS Server IP為【192.168.1.10】、Secret Key 也就是RADIUS 共同密碼為【12345678】完成後按下【OK】即指定 RADIUS 伺服器資訊。

          最後則是將使用者驗證由本來的 Cisco ASA UTM 本機使用者帳號驗證改為向 RADIUS 伺服器提出驗證要求,請點選【Configuration】 >> 【Remote Access VPN】 >> 【Network (Client) Access】 >> 【IPsec Connection Profiles】 >> 【DefaultRAGroup】 >> 【Edit】 >> Server Group為【Weithenn_Radius】按下【OK】後按下【Apply】套用變更,最後選擇 IPsec Connection Profiles 套用介面請選擇套用至【wan】,便完成了 Cisco ASA UTM 的 RAIDUS 客戶端設定。

          經過上述設定後擔任 RADIUS 客戶端角色的 Cisco ASA UTM 應該可以正常向 RADIUS 伺服器詢問網域使用者帳號資訊,下列步驟為在 Cisco ASA UTM 上進行手動測試能否與 RADIUS 伺服器進行使用者帳號驗證的行為,請開啟【ASDM】 >> 【Configuration】 >> 【Remote Access VPN】 >> 【AAA/Local Users】 >> 【AAA Server Groups】 >> 【Test】填入驗證資訊進行測試選擇【Authentication】填入網域使用者帳戶及密碼請填入 【weithenn / 12345678】後按下【OK】即馬上進行 RADIUS 驗證程序,如下圖所示:


          當手動進行 RADIUS 驗證網域使用者資訊的程序成功之後,您便可使用 Cisco VPN Client 連接 VPN Network 當通過憑證連接驗證之後便會跳出身份驗證視窗此時請您填入【網域使用者帳戶及密碼 weithenn/123456】即可成功連接至 VPN Network 並存取公司內部資源,日後當您想要查詢 VPN Client 存取行為時您可登入 RADIUS 伺服器查看 RADIUS 記錄檔內容及分析使用者登入時間及相關資訊 RADIUS 記錄中會出現如下類似驗證訊息:
192.168.1.254,weithenn,03/23/2010,16:50:25,IAS,CA-RADIUS,4
192.168.1.254,5,3,61,5,4108
192.168.1.254,4116,0,4128,Cisco ASA 5510,4155,1,4154,對所有使用者使用 Windows 驗證,4129,WEITHENN\weithenn,4127,1,4149,連線到其他存取伺服器
192.168.1.10 03/23/2010 06:07:08 7,4130,weithenn.org/IT Group/weithenn,4136,1,4142,0
192.168.1.254,weithenn,03/23/2010,16:50:25,IAS,CA-RADIUS,25,311 1
192.168.1.10 03/23/2010 06:07:08 7,4130,weithenn.org/IT Group/weithenn,6,2,7,1,4108,
192.168.1.254,4116,0,4128,Cisco ASA 5510,4155,1,4154,對所有使用者使用 Windows 驗證,4129,WEITHENN\weithenn,4127,1,4149,連線到其他存取伺服器



5、備份及撤銷使用者個人憑證

          經過上述實作後我們已經成功整合憑證進行連接驗證及 RADIUS 進行使用者帳號驗證,但使用者端電腦在現今充滿各種網路威脅的情況下有可能不慎中毒或其它因素造成作業系統損壞,又或者公司人員攜帶筆記型電腦外出時不慎遺失或被偷走都可能造成安全性問題,因此下列便是針對這些風險提供使用者個人憑證的備份及撤銷以便因應上述的情況發生。

備份使用者個人憑證

          為避免使用者電腦重新安裝作業系統或其它因素造成該使用者憑證損壞而無法登入 VPN Network,您可將使用者憑證進行備份 (含 Private Key) 其中保護私密金鑰密碼為當日後使用者電腦重灌後匯入 .pfx 時會詢問您當初所設定的保護密碼 (您也可設為空白),下列備份步驟以使用 IE 8 瀏覽器為例開啟 【IE8】 >> 【工具】 >> 【網際網路選項】 >> 【內容】 >> 【憑證】 >> 【點選要匯出的憑證】 >> 【匯出】 >> 【憑證匯出精靈】 >> 【是,匯出私密金鑰】 >>【 PKCS #12 啟用加強保護】 >> 【私密金鑰保護密碼】 >> 【匯出的檔案路徑】 >> 【完成】。


撤銷使用者個人憑證

          若使用者電腦不幸遺失或被偷或者該使用者憑證的擁有者 (職員) 已經離職為落實公司網路安全性政策,您應該至 Windows CA 憑證伺服器將該使用者憑證撤銷,如此一來當被偷走的電腦或離職員工使用 VPN Client 企圖連接企業網路時在憑證連接驗證程序時即會驗證失敗 (還沒到跳出輸入使用者帳號驗證視窗的程序),至於撤銷憑證的理由自行選擇即可 (本例選擇已取代) ,完成撤銷憑證的動作後在預設情況下 Windows CA 憑證伺服器「一週」會更新憑證撤銷清單 CRL(Certificate Revocation List) 一次,您可自行調整更新時間或手動馬上更新憑證撤銷清單 CRL。

          撤銷使用者憑證的方式請先登入 Windows CA憑證伺服器,開啟【憑證授權】 點選【已發出的憑證】 >> 【點擊欲撤銷的憑證】 >> 【右鍵後選擇所有工作】 >> 【撤銷憑證】 >> 【理由代碼】 >> 可在【已撤銷的憑證】內看到剛才撤銷的憑證 Windows CA 憑證伺服器預設為一週更新 憑證撤銷清單一次,您可自行調整更新時間為 (小時、天、週、月、年) 或手動更新 CRL,手動更新 CRL 方式為點選【已撤銷的憑證】 >> 【右鍵後選擇所有工作】 >> 【發行】 >> 【新的 CRL】 >> 【確定】 如此即馬上更新憑證撤銷清單 CRL。





6、結語

          在上一篇文章中我們針對 Cisco ASA UTM設備建置了 HA 高可用性機制來達成具有容錯特性及高 SLA 水準等級服務時間,而在此文中使用 Microsoft CA 憑證來加強 VPN Client 連接時的安全性,並且設定 Cisco ASA UTM 設備擔任 RADIUS 客戶端角色透過對 RADIUS 伺服器送出網域使用者帳號驗證的請求進而查詢 Windows AD 網域內的使用者資訊達到驗證使用者帳號的目的。

          在本文最後也提醒讀者因為導入 CA 憑證機制,使得企業得以在擁有 VPN 連接便利性的同時更保有高安全性 (相較於設定群組名稱及密碼來說),因此使用者端電腦或憑證不慎損壞或遺失時管理人員可隨時連接至Microsoft CA 憑證伺服器進行設定以隨時撤銷該使用者憑證,在第一道防線即阻擋有心人士企圖連接企業內網存取內部資源 (因為通過憑證連接驗證程序後便剩下猜網域使用者帳號及密碼,如此一來很容易被暴力登入!!)。

          最後,筆者期望透過這二篇文章的介紹能幫助讀者建置出具有 HA 高可用性運作機制及整合 CA 憑證的高安全性 UTM 設備,並且當企業在導入 UTM 設備時在管理人員不用擔心使用者帳號分散的問題能夠很輕易達到將使用者憑證及使用者帳號整合至企業原有的網域環境中進行集中管理的目的。
文章標籤: