Checkpoint Two-Factor Authentication with Cisco DUO
İki adımlı doğrulama (two-factor authentication); Günlük hayatta bankacılık işlemlerinde sık kullandığımız Giriş Şifresi + sms kodu yada uygulamadan üretilen doğrulama kodu olarak bildiğiniz bir güvenlik mekanizmasıdır.Sizlere makalemde Checkpoint Firewall ile Cisco DUO entegrasyonunu sağlayıp ,vpn ile kuruma erişim sağlayan kullanıcılardan şifrelerinin yanında ,telefonlarındaki DUO uygulamasından da ikinci bir onay almalarını isteyeceğim.
Örnek topolojim aşağıdaki gibi olacak.
İlk olarak DUO admin sayfasına giriş yapıyorum ,ardından two-factor authentication özelliğini kullanacağım uygulamayı belirlemek için Application sekmesinden Check Point VPN i buluyorum.
Authentication Proxy sunucu ile DUO erişiminde kullanacağım Integration key ,Secret key ve API hostname bilgilerini bir kenara not alıyorum.
Tüm kullanıcıların telefonlarına otomatik bir şekilde DUO programının linkini göndermek , register işleminin kullanıcının kendi kendine yapmasını sağlamak için kullanacağım ekran Bulk Enroll Users
Tek kullanıcı test edeceğim için bu işlemi manuel olarak tanımladım.
Bir yöntem de DUO nun uygulumasını Store üzerinden yükleyip karekod ile de hesabınızla eşleştirebilirsiniz.
User enroll işleminin farklı yolları olduğundan DUO nun sitesini incelemekte fayda var.
İkinci adımda networkumuzde Authentication Proxy işini yapacak bir sunucuya ihtiyacımız var ,bu sunucu Windows veya Linux olabilir, görevi DUO ile Chekpoint arasındaki authentication işlemini yönetecek ,vpn ile şirket kaynaklarına erişmek isteyen kişi, kullanıcı şifresini girdikten sonra ikinci doğrulama için telefonundaki uygulamaya bu isteği iletecek.
Authentication Proxy rolü için aşağıdaki linkten programı kuruyorum
https://dl.duosecurity.com/duoauthproxy-latest.exe
Ardından C:\Program Files (x86)\Duo Security Authentication Proxy\conf dizinindeki authproxy.cfg dosyasını notepad ile açıyorum ve aşağıda paylaştığım satırları yapıştırıyorum.
[ad_client]
host=10.10.10.10
service_account_username=duoservice
service_account_password=password1
search_dn=DC=coskunsanli,DC=local
[radius_client]
host=10.10.10.33
secret=radiussecret1
[radius_server_auto]
ikey=DI0XU4XA1J8SM9DYFTO1
skey=Cnf4V9Jg5ZWv5sVmoldiFc3FbIHNWX21Dr8WKrsv
api_host=api-a9f29fb9.duosecurity.com
radius_ip_1=10.10.10.33
radius_secret_1=radiussecret1
client=ad_client
port=1812
failmode=safe
Kaydedip kapattıktan sonra Authentication Proxy servisini aşağıdaki komutlar ile tekrar başlatıyorum.
net stop DuoAuthProxy
net start DuoAuthProxy
Üçüncü son adımda Checkpoint üzerindeki gereksinimleri yerine getireceğim.
New Host deyip Authentication Proxy rolu olan sunucumun ip adresini yazıyorum.
Radius Server tanımı için;
New > Server > More > RADIUS
Radius sunucuma bir isim veriyorum , service kısmına NEW-RADIUS versiyon olarakta RADIUS Ver. 2.0 belirliyorum.
Vpn ile erişim sağlayacaklar active directory kullanıcıları olacağı için Identity Awareness blade i açık olmalı
Yukarda tanımladığım RADIUS sucusunu authentication işlemine dahil etmek için
Gateway > Mobile Access > Settings > Authentication Method
Mobile Access tabından coskun.sanli kullanıcısına vpn izni veriyorum.
Sıra test etmeye geldi
Firewall umun dış ip adresini yazıp active directory şifremle giriş yapmak istiyorum.
Ardından telefonumdaki DUO uygulamasından bu işlem için bir onay isteği geliyor.
Approve diyorum.
Not: Bu uygulama açık olduğunda ekran görüntüsü alınamamaktadır.
Vpn erişimim sağlandı sıra logları incelemeye geldi.
Firewall üzerinde gördüğüm log aşağıdaki gibidir.
DUO admin panel üzerinden Users tabında da erişim loglarına ulaşabilirsiniz.
Görüşmek üzere.
Kaynak https://duo.com/docs/checkpoint