Tag: Authentication

Checkpoint Two-Factor Authentication with Cisco DUO

Checkpoint Two-Factor Authentication with Cisco DUO

        İki adımlı doğrulama (two-factor authentication); Günlük hayatta bankacılık işlemlerinde sık kullandığımız Giriş Şifresi + sms kodu yada uygulamadan üretilen doğrulama kodu olarak bildiğiniz bir güvenlik mekanizmasıdır.Sizlere makalemde Checkpoint Firewall ile Cisco DUO entegrasyonunu sağlayıp ,vpn ile kuruma erişim sağlayan kullanıcılardan şifrelerinin yanında ,telefonlarındaki DUO uygulamasından da ikinci bir onay almalarını isteyeceğim.
Örnek topolojim aşağıdaki gibi olacak.


    İlk olarak DUO admin sayfasına giriş yapıyorum ,ardından two-factor authentication özelliğini kullanacağım uygulamayı belirlemek için Application sekmesinden Check Point VPN i buluyorum.


Authentication Proxy sunucu ile DUO erişiminde kullanacağım Integration key ,Secret key ve API hostname bilgilerini bir kenara not alıyorum.


Tüm kullanıcıların telefonlarına otomatik bir şekilde DUO programının linkini göndermek , register işleminin kullanıcının kendi kendine yapmasını sağlamak için kullanacağım ekran Bulk Enroll Users


Tek kullanıcı test edeceğim için bu işlemi manuel olarak tanımladım.


Bir yöntem de DUO nun uygulumasını Store üzerinden yükleyip karekod ile de hesabınızla eşleştirebilirsiniz.

User enroll işleminin farklı yolları olduğundan DUO nun sitesini incelemekte fayda var.


İkinci adımda networkumuzde Authentication Proxy işini yapacak bir sunucuya ihtiyacımız var ,bu sunucu Windows veya Linux olabilir, görevi DUO ile Chekpoint arasındaki authentication işlemini yönetecek ,vpn ile şirket kaynaklarına erişmek isteyen kişi, kullanıcı şifresini girdikten sonra ikinci doğrulama için telefonundaki uygulamaya bu isteği iletecek.

Authentication Proxy rolü için aşağıdaki linkten programı kuruyorum

https://dl.duosecurity.com/duoauthproxy-latest.exe

Ardından C:\Program Files (x86)\Duo Security Authentication Proxy\conf dizinindeki authproxy.cfg dosyasını notepad ile açıyorum ve aşağıda paylaştığım satırları yapıştırıyorum.

[ad_client]

host=10.10.10.10

service_account_username=duoservice

service_account_password=password1

search_dn=DC=coskunsanli,DC=local

[radius_client]

host=10.10.10.33

secret=radiussecret1

[radius_server_auto]

ikey=DI0XU4XA1J8SM9DYFTO1

skey=Cnf4V9Jg5ZWv5sVmoldiFc3FbIHNWX21Dr8WKrsv

api_host=api-a9f29fb9.duosecurity.com

radius_ip_1=10.10.10.33

radius_secret_1=radiussecret1

client=ad_client

port=1812

failmode=safe


Kaydedip kapattıktan sonra Authentication Proxy servisini aşağıdaki komutlar ile tekrar başlatıyorum.

net stop DuoAuthProxy

net start DuoAuthProxy

Üçüncü son adımda Checkpoint üzerindeki gereksinimleri yerine getireceğim.

New Host deyip Authentication Proxy rolu olan sunucumun ip adresini yazıyorum.


Radius Server tanımı için;

New > Server > More > RADIUS


Radius sunucuma bir isim veriyorum , service kısmına NEW-RADIUS versiyon olarakta RADIUS Ver. 2.0 belirliyorum.


Vpn ile erişim sağlayacaklar active directory kullanıcıları olacağı için Identity Awareness blade i açık olmalı

 

Yukarda tanımladığım RADIUS sucusunu authentication işlemine dahil etmek için

Gateway > Mobile Access > Settings > Authentication Method


Mobile Access tabından coskun.sanli kullanıcısına vpn izni veriyorum.


Sıra test etmeye geldi

Firewall umun dış ip adresini yazıp active directory şifremle giriş yapmak istiyorum.


Ardından telefonumdaki DUO uygulamasından bu işlem için bir onay isteği geliyor.

Approve diyorum.

Not: Bu uygulama açık olduğunda ekran görüntüsü alınamamaktadır.


Vpn erişimim sağlandı sıra logları incelemeye geldi.


Firewall üzerinde gördüğüm log aşağıdaki gibidir.


DUO admin panel üzerinden Users tabında da erişim loglarına ulaşabilirsiniz.


Görüşmek üzere.

Kaynak https://duo.com/docs/checkpoint

Active Directory Integration with Cisco ISE 2.1

Active Directory Integration with Cisco ISE 2.1

Bu makalemizde ISE Server ımı Active Directory ile entegrasyonunu sağlayacağım  ardından Active Directory User ve Computer  bazlı ,authentication authorization policy leri nasıl yazılır onu göreceğim.

Active Directory Entegrasyonu;

External Identy Sources altında Active Directory add deyip bir isim veriyorum.

 

İlgili yerleri doldurduktan Submit diyorum.

ISE Node altında domain imiz işaretleyip join deyip entegrasyonu bitiriyorum.

Authentication policy mizi computer ve user bazlı yapacağımız için Active Directory mizden bu grupları çekelim

Aynı tab dan Groups > Add > Select Groups From Directory deyip “Retrieve Groups” ordan Domain Users ve Domain Computers  seçiyorum.

Örnek 1:

Çalışanlarımızdan Coşkun evinden notebookunu getirdi ama bilgisayarında antivirusü yok windows update leri eksik

Yapmamız gereken Coşkun kabloyu taktığında networkumden izole edilsin şirket kaynaklarına ulaşamasın ama internete çıkabilsin.

Authentication Policy ;

Authorization  Policy ;

Eğer bir cihaz sistemde tanımlı bir yetkiye gruba üye değilse mab_mach  kuralına çarpsın ve  VLAN_60_ONLY_INTERNET permission ile networkte gezinsin.

Peki nedir bu VLAN_60_ONLY_INTERNET

İlk önce ISE üzerinde switch lere gönderebildiğimiz Downloadable ACL yazıyoru.

Sonrasında Authorization Policy de vlan ataması yapıp bu vlan da bir önceki adımdaki DACL yi assing ediyorum.

Switch üzerinden durumu control etmek gerekirse kullanacağımız komut

“show authentication sessions interface gigabitEthernet 1/0/1 details”

Aldığı ip ,authentication method, uygulan DACL hepsini burada görebilirim.

Interface altındaki komutum.

ve son olaran client taki aksiyon,

Örnek 2:

Örneğimizde user yada machine bazlı authorization gerçekleştiğinde VLAN_10 herikiside gerçekleştiğinde VLAN_41 e assing et diyeceğim (windows işletim sistemi sadece açılışta machine bilgisi gönderir, yani machine authentication yapacaksanız bilgisayarı restart etmeniz gerek)

Authentication Policy ;

2.kuralda makalenin başında gerçekleştirdiğim active directory seçiyorum

Authorization  Policy ;

Client ımı restart ediyorum ve aksiyonumuzu loglardan adım adım takip ediyorum.

Kullanıcı adı şifremi yazdığım sırada Machine Auth oldu ardından user ve halka tamamlandı hem user hemde machine authentication olduğundan beni vlan 41 e assing etti.

Switch deki durumumuz.

 

 

 

 

 

Managing Network Devices Cisco ISE 2.1

Managing Network Devices Cisco ISE 2.1

Makalemizin bu bölümünde Switch konfigürasyonu Wireless Lan Controller konfigürasyonu ve bunların ISE tarafındaki tanımlamalarını anlatmaya çalışıcam

ISE kullanmamızın sebebi nedir diye düşünürsek ; ortamdaki bilgisayarlar ,tabletler, akıllı telefonlar ve diğer kullanıcı cihazlarını networküme girdiği vakit bir authentication mekanızmasından geçsin eğer şartları karşılıyor ise verdiğim yetkiler doğrultusunda networkte gezinebilsin  , aynı zamanda da port konfigürasyonları aynı olsun ki ben gerekli yetkilendirmeleri tek ekrandan yönetim logunu göreyim  gerekirse önlemimi alayım.

Read More Read More

Implement Cisco ISE 2.1 Server Certificates

Implement Cisco ISE 2.1 Server Certificates

Bir önceki makalemizde ISE Server  kurdum , erişim için ip adresi verdim.

Sıra geldi Client larımın networke girereken  yapacağı authentication işleminde sertifika kullanması için ISE Server ımda ve CA Server ımda yapılması gereken işlemlere

Öncelikli olarak CA server için yapımdaki Active Directory sunucuma iki servisin yüklenmesi gerekiyor.

 

Bunlar ;

Servisleri kurduktan sonra internet explorer üzerinden http://127.0.0.1/certsrv adresine giriyorum.

Bu makalede ; İhityacım olan ROOT sertifikamı indiriyorum sonrasında da ISE Server üzerinde oluşturduğum CRS kod ile sertifikamı  onaylayacağım.

ROOT Certificate ;

Download a CA certificate , certificate chain ,or CRL  linkini tıklıyorum.

Ikinci adımda Encoding method BASE64 seçip Download CA Certificate diyorum.

Bu sertifikaya ROOT deyip kaydediyorum.

Sonrasında ROOT Sertifikamı ISE Server ımın Trusted Certificates tabına ekliyorum.

Dikkat edilmesi gereken nokta “Trust for client authentication and Syslog” kutucuğunun işaretlenmesi.

Artık ROOT sertifikam ISE Database inde Trusted Certificate altında

CLIENT Certificate ;

Client Makinelerimin kullanacağı sertifika için ISE üzerinde CSR üretiyorum.

Boşluklara aşağıdaki şekilde düzenleyip CSR kodu export ediyorum.

Sonrasında tekrar CA  yı açıp , bu sefer “Request a certificate” ardından “advanced certificate request” tıklıyorum.

ISE üzerinden oluşturduğum CRS kodu buraya yapıştıryorum.

Son olarak Base64  seçip download ediyorum.

CA üzerinde işimiz bitti şimdi ISE üzerindeki Request imi sonlandırmam gerekiyor.

“Bind CA Signed Certificate” diyorum.

Sonrasında bu sertifikayı nerede kullanacağımı işaretliyorum ve submit diyorum

5 dakika kadar servislerin tekrar ayağa kalkmasını bekliyorum.

ISE server ım açıldı sertifikayı kontrol ediyorum.

 

 

 

Enjoy this blog? Please spread the word :)