Checkpoint Two-Factor Authentication with Cisco DUO

Checkpoint Two-Factor Authentication with Cisco DUO

        İki adımlı doğrulama (two-factor authentication); Günlük hayatta bankacılık işlemlerinde sık kullandığımız Giriş Şifresi + sms kodu yada uygulamadan üretilen doğrulama kodu olarak bildiğiniz bir güvenlik mekanizmasıdır.Sizlere makalemde Checkpoint Firewall ile Cisco DUO entegrasyonunu sağlayıp ,vpn ile kuruma erişim sağlayan kullanıcılardan şifrelerinin yanında ,telefonlarındaki DUO uygulamasından da ikinci bir onay almalarını isteyeceğim.
Örnek topolojim aşağıdaki gibi olacak.


    İlk olarak DUO admin sayfasına giriş yapıyorum ,ardından two-factor authentication özelliğini kullanacağım uygulamayı belirlemek için Application sekmesinden Check Point VPN i buluyorum.


Authentication Proxy sunucu ile DUO erişiminde kullanacağım Integration key ,Secret key ve API hostname bilgilerini bir kenara not alıyorum.


Tüm kullanıcıların telefonlarına otomatik bir şekilde DUO programının linkini göndermek , register işleminin kullanıcının kendi kendine yapmasını sağlamak için kullanacağım ekran Bulk Enroll Users


Tek kullanıcı test edeceğim için bu işlemi manuel olarak tanımladım.


Bir yöntem de DUO nun uygulumasını Store üzerinden yükleyip karekod ile de hesabınızla eşleştirebilirsiniz.

User enroll işleminin farklı yolları olduğundan DUO nun sitesini incelemekte fayda var.


İkinci adımda networkumuzde Authentication Proxy işini yapacak bir sunucuya ihtiyacımız var ,bu sunucu Windows veya Linux olabilir, görevi DUO ile Chekpoint arasındaki authentication işlemini yönetecek ,vpn ile şirket kaynaklarına erişmek isteyen kişi, kullanıcı şifresini girdikten sonra ikinci doğrulama için telefonundaki uygulamaya bu isteği iletecek.

Authentication Proxy rolü için aşağıdaki linkten programı kuruyorum

https://dl.duosecurity.com/duoauthproxy-latest.exe

Ardından C:\Program Files (x86)\Duo Security Authentication Proxy\conf dizinindeki authproxy.cfg dosyasını notepad ile açıyorum ve aşağıda paylaştığım satırları yapıştırıyorum.

[ad_client]

host=10.10.10.10

service_account_username=duoservice

service_account_password=password1

search_dn=DC=coskunsanli,DC=local

[radius_client]

host=10.10.10.33

secret=radiussecret1

[radius_server_auto]

ikey=DI0XU4XA1J8SM9DYFTO1

skey=Cnf4V9Jg5ZWv5sVmoldiFc3FbIHNWX21Dr8WKrsv

api_host=api-a9f29fb9.duosecurity.com

radius_ip_1=10.10.10.33

radius_secret_1=radiussecret1

client=ad_client

port=1812

failmode=safe


Kaydedip kapattıktan sonra Authentication Proxy servisini aşağıdaki komutlar ile tekrar başlatıyorum.

net stop DuoAuthProxy

net start DuoAuthProxy

Üçüncü son adımda Checkpoint üzerindeki gereksinimleri yerine getireceğim.

New Host deyip Authentication Proxy rolu olan sunucumun ip adresini yazıyorum.


Radius Server tanımı için;

New > Server > More > RADIUS


Radius sunucuma bir isim veriyorum , service kısmına NEW-RADIUS versiyon olarakta RADIUS Ver. 2.0 belirliyorum.


Vpn ile erişim sağlayacaklar active directory kullanıcıları olacağı için Identity Awareness blade i açık olmalı

 

Yukarda tanımladığım RADIUS sucusunu authentication işlemine dahil etmek için

Gateway > Mobile Access > Settings > Authentication Method


Mobile Access tabından coskun.sanli kullanıcısına vpn izni veriyorum.


Sıra test etmeye geldi

Firewall umun dış ip adresini yazıp active directory şifremle giriş yapmak istiyorum.


Ardından telefonumdaki DUO uygulamasından bu işlem için bir onay isteği geliyor.

Approve diyorum.

Not: Bu uygulama açık olduğunda ekran görüntüsü alınamamaktadır.


Vpn erişimim sağlandı sıra logları incelemeye geldi.


Firewall üzerinde gördüğüm log aşağıdaki gibidir.


DUO admin panel üzerinden Users tabında da erişim loglarına ulaşabilirsiniz.


Görüşmek üzere.

Kaynak https://duo.com/docs/checkpoint

Leave a Reply

Your email address will not be published. Required fields are marked *

Enjoy this blog? Please spread the word :)