Реализация концепции высокозащищенного удаленного доступа
Продолжая серию статьей по теме организации Remote-Access VPN доступа не могу не поделиться интересным опытом развертывания высокозащищенной конфигурации VPN. Задачу нетривиальную подкинул один заказчик (есть выдумщики в Русских селениях), но Challenge Accepted и творчески реализован. В результате получился интересный концепт со следующими характеристиками:
Несколько факторов защиты от подмены оконечного устройства (с жесткой привязкой к пользователю);
Оценка соответствия ПК пользователя назначенному UDID разрешенного ПК в базе аутентификации;
С MFA, использующей UDID ПК из сертификата для вторичной аутентификации через Cisco DUO;
Многофакторной аутентификацией:
Сертификат пользователя с проверкой полей и вторичной аутентификации по одному из них;
Логин (неизменяемый, взятый из сертификата) и пароль;
Оценкой состояния, подключающегося хоста (Posture)
Используемые компоненты решения:
Cisco ASA (Шлюз VPN);
Cisco ISE (Аутентификация / Авторизация / Аккаунтинг, Оценка Состояния, CA);
Cisco DUO (Многофакторная Аутентификация);
Cisco AnyConnect (Многоцелевой агент для рабочих станций и мобильных ОС);
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Vladimir: TSMC может понести убытки из-за возможных пошлин США на тайваньские чипы
- VLESS+Reality и Multi-hop: Архитектура VPN-цепочки для нового поколения блокировок
- Laravel: электронная подпись на сервере с PDF визуализацией
- Perplexity запускает Comet — собственный AI-браузер, бросающий вызов Google
- OSINT на боевом рубеже: новый фронт военной разведки
- Блеск и ад p2p-торговли на Bybit
- Руководство по pgcrypto — шифрование внутри PostgreSQL. Часть 2
- Как я подружил Yandex Cloud и Gemini API без миграции на зарубежные сервера
- Деньги ушли в Telegram, а риэлтор — в тень: как россиян обманывают при покупке недвижимости в Таиланде
- Крепость под наблюдением: ставим Maltrail и ловим «шпионов» (Часть 2)