Category: Network

Checkpoint Two-Factor Authentication with Cisco DUO

Checkpoint Two-Factor Authentication with Cisco DUO

        İki adımlı doğrulama (two-factor authentication); Günlük hayatta bankacılık işlemlerinde sık kullandığımız Giriş Şifresi + sms kodu yada uygulamadan üretilen doğrulama kodu olarak bildiğiniz bir güvenlik mekanizmasıdır.Sizlere makalemde Checkpoint Firewall ile Cisco DUO entegrasyonunu sağlayıp ,vpn ile kuruma erişim sağlayan kullanıcılardan şifrelerinin yanında ,telefonlarındaki DUO uygulamasından da ikinci bir onay almalarını isteyeceğim.
Örnek topolojim aşağıdaki gibi olacak.


    İlk olarak DUO admin sayfasına giriş yapıyorum ,ardından two-factor authentication özelliğini kullanacağım uygulamayı belirlemek için Application sekmesinden Check Point VPN i buluyorum.


Authentication Proxy sunucu ile DUO erişiminde kullanacağım Integration key ,Secret key ve API hostname bilgilerini bir kenara not alıyorum.


Tüm kullanıcıların telefonlarına otomatik bir şekilde DUO programının linkini göndermek , register işleminin kullanıcının kendi kendine yapmasını sağlamak için kullanacağım ekran Bulk Enroll Users


Tek kullanıcı test edeceğim için bu işlemi manuel olarak tanımladım.


Bir yöntem de DUO nun uygulumasını Store üzerinden yükleyip karekod ile de hesabınızla eşleştirebilirsiniz.

User enroll işleminin farklı yolları olduğundan DUO nun sitesini incelemekte fayda var.


İkinci adımda networkumuzde Authentication Proxy işini yapacak bir sunucuya ihtiyacımız var ,bu sunucu Windows veya Linux olabilir, görevi DUO ile Chekpoint arasındaki authentication işlemini yönetecek ,vpn ile şirket kaynaklarına erişmek isteyen kişi, kullanıcı şifresini girdikten sonra ikinci doğrulama için telefonundaki uygulamaya bu isteği iletecek.

Authentication Proxy rolü için aşağıdaki linkten programı kuruyorum

https://dl.duosecurity.com/duoauthproxy-latest.exe

Ardından C:\Program Files (x86)\Duo Security Authentication Proxy\conf dizinindeki authproxy.cfg dosyasını notepad ile açıyorum ve aşağıda paylaştığım satırları yapıştırıyorum.

[ad_client]

host=10.10.10.10

service_account_username=duoservice

service_account_password=password1

search_dn=DC=coskunsanli,DC=local

[radius_client]

host=10.10.10.33

secret=radiussecret1

[radius_server_auto]

ikey=DI0XU4XA1J8SM9DYFTO1

skey=Cnf4V9Jg5ZWv5sVmoldiFc3FbIHNWX21Dr8WKrsv

api_host=api-a9f29fb9.duosecurity.com

radius_ip_1=10.10.10.33

radius_secret_1=radiussecret1

client=ad_client

port=1812

failmode=safe


Kaydedip kapattıktan sonra Authentication Proxy servisini aşağıdaki komutlar ile tekrar başlatıyorum.

net stop DuoAuthProxy

net start DuoAuthProxy

Üçüncü son adımda Checkpoint üzerindeki gereksinimleri yerine getireceğim.

New Host deyip Authentication Proxy rolu olan sunucumun ip adresini yazıyorum.


Radius Server tanımı için;

New > Server > More > RADIUS


Radius sunucuma bir isim veriyorum , service kısmına NEW-RADIUS versiyon olarakta RADIUS Ver. 2.0 belirliyorum.


Vpn ile erişim sağlayacaklar active directory kullanıcıları olacağı için Identity Awareness blade i açık olmalı

 

Yukarda tanımladığım RADIUS sucusunu authentication işlemine dahil etmek için

Gateway > Mobile Access > Settings > Authentication Method


Mobile Access tabından coskun.sanli kullanıcısına vpn izni veriyorum.


Sıra test etmeye geldi

Firewall umun dış ip adresini yazıp active directory şifremle giriş yapmak istiyorum.


Ardından telefonumdaki DUO uygulamasından bu işlem için bir onay isteği geliyor.

Approve diyorum.

Not: Bu uygulama açık olduğunda ekran görüntüsü alınamamaktadır.


Vpn erişimim sağlandı sıra logları incelemeye geldi.


Firewall üzerinde gördüğüm log aşağıdaki gibidir.


DUO admin panel üzerinden Users tabında da erişim loglarına ulaşabilirsiniz.


Görüşmek üzere.

Kaynak https://duo.com/docs/checkpoint

FMC INTEGRATION WITH ISE VIA PXGrid

FMC INTEGRATION WITH ISE VIA PXGrid

Merhaba ;

Yazımızın konusu Cisco FirePower , ISE entegrasyonu

Öncelikle PXGrid teknolojisinden bahsedeyim ;Network altyapısını oluşturan güvenlik, monitoring, kimlik yönetimi, tehdit algılama, önleme gibi tüm bileşenlerin arasındaki entegrasyonu sağlayıp ,aralarında bilgi alışverişi sağlayan multivendor çalışan bir teknolojidir.

Ağımıza yeni katılan bir cihazın ip adresi, mac adresi, kimlik bilgisi, konumu, üzerindeki yazılımları vs gibi önemli bilgileri ISE ile öğrenebiliyoruz. Bu öğrendiğimiz bilgileri networkdeki diğer cihazlar ile paylaşıp ,bu bilgiler üzerinden yetkilendirme , gruplama gibi işlemleri yapabiliriz. PXGrid in yaptığı da bu cihazlar arası bilgi alışverişi sağlamak.

Makalenin sonunda ISE üzerindeki SGT (Security Group Tags) lere göre Firepower üzerinde kural yazabilir. FirePower ile Active Directory entegrasyonunu sağlayabilir duruma geleceğiz.

ISE üzerinde yapılması gereken işlemler;

PXGrid servisini enable etmek için

Administrator > Deployment

Servislerin durumunu kontrol etmek için kullanacağımız komut

show application status ise

Entegrasyonun sağlandığında PXGrid isteğini otomatik olarak kabul edilmesi ile ilgili bir ayardır, manuel de yapılabilir.

ISE üzerinde sertfika konfigürasyonunu tekrardan anlatmayacağım ,detaylı bilgiyi sitemde bulabilirsiniz.

FMC üzerinde yapılması gereken ayarlar;

Microsoft CA Root sertfikamızı ,FMC sunucumuza import ediyoruz.

Object > PKI > Trusted CAs

PXGrid servisi için bir sertifika kullanacağız , bunun için CSR oluşturuyoruz.

Object > PKI >Internal Cas Generate CA

İlgili alanları doldurduktan sonra Generate CSR diyoruz.

Oluşturduğumuz CSR ı kopyalayıp Microsoft CA üzerinden onaylıyoruz.

Bu işlem sonunda elimizde pxgrid2.cer adında Microsoft CA in onayladığı bir sertifikaya sahip oluyoruz.

Sertifika işlemini bitirmek için aynı ekranda pxgird2.cer gösterip save diyoruz.

FMC için oluşturduğumuz Internal CA sertifika hazır , internal sertfikalar altında görebilmek için bir işlemimiz daha var

Oluşturduğumuz sertifikayı private key i ile birlikte export alıyoruz.

Export ettiğimiz *.p12 uzantılı dosyamızı pem formatına çevirmemiz gerekmektedir. Bu işlem için online bir tool kullanacağız.

Object > PKI >Internal Certs Add Internal Cert

Certificate Date yazan kısım için pxgrid2.cer , Key için *.pem dosyamızı gösteriyoruz.

Bag Attributes ile başlayan kısımları silerek OK diyoruz.

Internal Certs altında sertifikamızı görebiliyoruz artık.

Bir sonraki adım Integration > Identity Sources kısmından entegrasyon yapacağımız alana ulaşıyoruz.

İstenilen bilgileri sağlayıp Test butonuna basıyoruz.

Active Directoy entegrasyonu için tanımlarımıza devam ediyoruz.

System > Integration Directory bu kısımda Active Directory sunucumuzu ekliyoruz.

System > Integration Realm configuration Active Directory erişim bilgilerimizi giriyoruz.

System > Integration User Download Active Directory üzerindeki gruplarımızı seçiyoruz.

Firewall kurallarında bu entegrasyonu kullanabilmek için

Policy > Identity New Policy

Bir önceki adımda Realm konfigürasyonumuzu burada seçiyoruz.

Policy sekmesinde de identity Policy miz artık seçilebilir duruma geliyor.

Artık kurallarımızda Active Directory objelerimizi kullanabiliriz.

SGT için ISE üzerinde oluşturduğum statik grupların FMC üzerine geldiğini kontrol edelim.

COSKUN1 ve COSKUN2 adındaki 2 adet Grup firewall a gelmiş.

FMC 6.5 sürümüne kadar Active Directory entegrasyonunu agent ile yapabiliyorduk , 6.5 den sonra bu işlem için ISE veya ISE PIC kullanılması gerekecek bunu da dipnot olarak belirtmeykte fayda var.

Makalemizin başında PXGrid için multivendor çalışan bir teknoloji olduğundan bahsetmiştim ,bir sonraki makalemizin konusu da ISE / Checkpoint entegrasyonu PXGrid ile sağlayabiliriz.

Görüşmek üzere.

IOS Self-Signed Certificate Expiration

IOS Self-Signed Certificate Expiration

Son zamanlarda cisco forumlarında gezen arkadaşların çoğu haberi görmüştür.

“1 ocak tan itibaren cisco cihazlar üzerindeki self sign sertifika süresi sona erecektir”

Sitede paylaşılan belli ios router switch lerde artık harici bir ca üzerinden sertifika sağlamamız gerektiği yazmaktadır.

Bu makalede sizlere bunun etkilerinden bahsetmeye çalışacağım.

Burada dikkatte aldığım tamamen cihaz erişimi ile ilgili kısımdır(SSH). VPN VOICE gibi işlemlerde sertfika kullanıyorsanız prosedürlerine göre ilerlemekte fayda vardır.

Read More Read More

Configure ISE Threat-Centric NAC with Rapid7

Configure ISE Threat-Centric NAC with Rapid7

Cisco ISE Makaleler serimde bugün ISE Threat-Centric NAC özelliğinin ne işe yaradığını ve Rapid7 InsighVM ürünü ile nasıl birlikte çalıştığını, bizlere ne gibi faydalar sağladığını anlatmaya çalışacağım.

Rapid7 InsignVM ürünü tam anlamıyla zafiyet yönetim sistemidir, perentasyon dediğimiz zafiyet analizi yapan bunları bizim anlayabileceğimiz bir dile çeviren, bu zafiyetlerin nasıl kapanacağını, hangi işlemleri yapmamız gerektiğini, rapor şeklinde de sunabilen bir SIEM çözümünün parçasıdır.

Bu işlemleri nasıl yapar;

Networku discover ederek ağımızdaki asset leri bulur.

Buldukları asset leri gruplar.

Read More Read More

Cisco ISE Posture

Cisco ISE Posture

Makalemizin konusu Cisco ISE Posture ;

Networkumuze erişim sağlayacak clientlarda belli kriterler aradığımız , bu kriterler sağlandığı taktirde kaynaklara erişim izni verdiğimiz bir sistemdir. Antivirüs yazılımı yüklü olmayan ,Windows updateleri eksik , Windows Defender servisi çalışmayan clientları networke dahil etme , bu kriterler sağlanırsa dahil et gibi örnekler verebiliriz.

Makalemde konuyu anyconnect yazılımını kullanarak yapacağım.Anyconnect in deploy edilmesi profil belirlenmesi ve posture işlemi şeklinde devam edeceğim.

Önceki makalelerde Anyconnect yazılımını GPO üzerinden deploy edilmesini açıklamıştım , bu makalede client kendi yükleyecek.

Read More Read More

Cisco ISE Portal Builder

Cisco ISE Portal Builder

Cisco ISE Portal Builder;

Bir önceki makalemizin konusu Guest Portal dı bu makaleyi konunun devamı olarak görecek olursak kısaca ; Networkümüze bağlanmak isteyen kullanıcılar kurum politikası gereği istenen bilgileri dolduruyor sonrasında bir kullanıcı şifreye sahip oluyor ve bu bilgilerle networke yada internete erişim sağlıyorlardı.

Cisco ISE Portal Builder ; ISE Server da portal sayfaları için tek bir template bulunmaktadır.ISE Portal bizlere daha fazla template ve bu templateleri daha fazla özelleştirme imkanı veren bir portaldır.Bu makalemizde bir template seçip bunu kurumumuza göre hazırlayacağız ardından ISEPB Portal Upload & Config Tool yardımı ile ISE serverımıza import etmeyi göreceğiz.

Read More Read More

Cisco ISE 2.3 Guest Portal

Cisco ISE 2.3 Guest Portal

Bundan önceki makalelerimizde Dot1x kullanarak Active Directory kullanıcılarımızı networke nasıl dahil ettiğimizi gördük.

Bu işlemler sırayla ;

  • Switchde ISE Server tanımı
  • ISE Serverda switch tanımı
  • ISE serverın Active Directory entegrasyonu
  • Client Pc de dot1x aktif edilmesi ve networke erişim sağlamasıydı.

Central Web Authentication ; Networke giriş yapmak isteyen kullanıcıları karşılayan BYOD ,Register Device , Guest vs. olarak gruplayan sonrasında belirlediğimiz yetkilerle networke erişim izni verdiğimiz bir yapıdır.

Read More Read More

CISCO ISE Upgrade

CISCO ISE Upgrade

Merhaba Arkadaşlar CISCO ISE makaleler serisinde sıra geldi upgrade işlemine
Cisco download sayfasını incelediğimizde versiyonlar arası geçiş paketlerini görebilirsiniz.
ISE 1.4 den ISE 2.0 , 2.2 ye direk geçiş paketleri varken 2.3 için minumum 2.0 a geçmeniz gerekmektedir.
Bu makalemde sizlere 2.1 den 2.3 e geçiş aşamasını anlatacağım
Öncelikle download paketlerini indiriyorum.

Sonrasında ISE Sunucumun bir snapshot ını alıp aksi bir durumda geri dönüşü hızlandırıyorum.

İndirdiğim upgrade dosyasını ftp ile ISE sunucumun diskine çekiyorum kullanacağım komut seti
” copy ftp://10.10.10.10/ise-upgradebundle-2.3.0.298.SPA.x86_64.tar.gz disk:/

Kopyalama işlemi bitti dosyam artık ISE serverımda

Upgrade için önce repository oluşturuyorum bu repository local disk de bulunacak ve adı da” upgrade ” olacak

ise01/admin# conf t
Enter configuration commands, one per line. End with CNTL/Z.
ise01/admin(config)# repository upgrade
ise01/admin(config-Repository)# url disk:
e% Warning: Repositories configured from CLI cannot be used from the ISE web UI and are not replicated to other ISE nodes. If this repository is not created in the ISE web UI, it will be deleted when ISE services restart.
ise01/admin(config-Repository)# end
ise01/admin#

Upgrade işlemini tetiklemeye geldi sıra kullanacağımız komut

” application upgrade prepare ise-upgradebundle-2.3.0.298.SPA.x86_64.tar.gz upgrade “

Bu işlem datanın boyutuna göre değişiklik gösterecek aşağıdaki linki incelerseniz Standalone bir yapıda 240 dakika diyor
Upgrade işlemini takip edeceğiniz komut seti
ise01/admin# application upgrade proceed

Burada belirtmek istediğim son bir nokta upgrade sonrasında Guest Operating System Red Hat Linux seçilmeli . (Red Hat Linux vmxnet ve e1000 desteklemektedir.)
https://www.cisco.com/c/en/us/td/docs/security/ise/2-1/upgrade_guide/b_ise_upgrade_guide_21/b_ise_upgrade_guide_21_chapter_00.html

Cisco ISE Certificate + User Authentication

Cisco ISE Certificate + User Authentication

Merhaba arkadaşlar makalemin bu bölümde networkteki kullanıcılarımın authentication işlemlerinde kullanacağım yöntem olarak sertifika ve active directory bilgisi isteyeceğim

Bir önceki makalemde Cisco Ise üzerinde sertifika oluşturmayı anlatmıştım makaleyi okumadan önce o postu incelemenizde fayda var.

Elimde iki adet sertifika var bir tanesi local deki CA serverım root , diğeride ISE üzerinden CSR kodumuzla oluşturduğumuz sertifika bu ikisini bir GPO ile Computers OU sunun üzerine basıyorum.

Read More Read More

Enjoy this blog? Please spread the word :)