Cisco AnyConnect

Подключения к корпоративным ресурсам через Cisco AnyConnect на базе FreeRadius и Google Authenticator

Подключения к корпоративным ресурсам через Cisco AnyConnect посредстовм FreeRadius и Google Authenticator имеет свои плюсы и минусы.

Из плюсов данного варианта можно отметить то, что это решение бесплатное.

Минусы:

  • Интеграция с AD. Конечно можно интегрировать FreeRadius с AD через LDAP, но особенности архитектуры данного решения предусматривают хранение профилей пользователей локально на FreeRadius сервере.
  • Только один тип аутентификации – Time-Based One Time Password (TOTP).
  • Неочевидность необходимости использования второго фактора (пояснения в статье).

Установка компонентов

Для установки FreeRaduis в данном случае используется Debian Jessie 8.0 на виртуальной машине.

Ввиду того, что для авторизации будет использоваться TOTP, время на сервере должно быть правильным. Лучший способ синхронизировать время – установка NTP.


sudo apt-get update
sudo apt-get install ntp

Далее устанавливаем FreeRadius и необходимые модули:


sudo apt-get install build-essential libpam0g-dev freeradius libqrencode3 git

Загружаем и устанавливаем Google Authenticator:


cd ~
git clone https://code.google.com/p/google-authenticator/
cd google-authenticator/libpam/
make
make install

Также потребуется группа для пользователей, которых не нужно аутентифицировать:


addgroup radius-off

Настройка FreeRadius

Так как FreeRadius должен иметь доступ к .google_authenticator токенам во всех пользовательских директориях, он должен иметь права root-а. Для предоставления прав редактируем файл /etc/freeradius/radusd.conf.

Находим строки:


user = freerad
group = freerad

И меняем на:


user = root
group = root

Здесь, и в дальнейшем, сохраняем изменения.

Далее редактируем /etc/freeradius/users. Мы должны добавить ранее созданную группу «radius-off» в секцию «Deny access for a group of users.»

После строк:


# Deny access for a group of users.
#
# Note that there is NO 'Fall-Through' attribute, so the user will not
# be given any additional resources.

Добавляем:


DEFAULT         Group == "radius-disabled", Auth-Type := Reject
Reply-Message = "Your account has been disabled."
DEFAULT        Auth-Type := PAM

Теперь редактируем /etc/freeradius/sites-enabled/default.

Находим:


#  Pluggable Authentication Modules.
#  pam

И раскомментируем строку с pam

Редактируем /etc/pam.d/radiusd. Говорим FreeRadius аутентифицировать пользователей по принципу локальный unix пароль + Google Authenticator код.

Здесь мы должны закомметнировать все строки которые начинаются с @:


#@include common-auth
#@include common-account
#@include common-password
#@include common-session

И добавляем:


auth requisite pam_google_authenticator.so forward_pass
auth required pam_unix.so use_first_pass

Теперь нам нужно добавить Radius клиента, что бы FreeRadius обрабатывал запросы от CISCO ASA. В файл/etc/freeradius/clients.conf добавляем:


Client 192.168.110.6 {
secret = Password
shortname = ASA
}

Настройка пользователя

Создаем пользователя:


adduser mfatest

Создаем для него google-authenticator:


cd /home/mfatest/
su mfatest
google-authenticator

В ответ получаем QR code:

QR code

После этого необходимо перезапустить сервис FreeRadius:


sudo service freeradius restart

На мобильном устройстве должно быть установлено приложение Google Authenticator (ссылки для iOS и Android).

Сканируем QR code с помощью приложения Google Authenticator. В итоге учетная запись «mfatest» подвязывается к Вашему мобильному устройству.

Google Authenticator app

Протестируем аутентификацию:


radtest   localhost 18120 testing123

Где:

  • <unix_password><google_auth> — это unix пароль + код из приложения в одну строку. В данном случае пароль Pass_123, код – 731923.
  • localhost 18120 testing123– это параметры стандартного локального radius клиента.

В итоге получается:


radtest mfatest Pass_123731923 localhost 18120 testing123

33

Настройка CISCO ASA

На ASA лучше настроить AnyConnect VPN gateway с локальной аутентификацией. Убедиться, что подключение работает, после чего приступить к настройке аутентификации через Radius.

Настраиваем RADIUS:

  1. Переходим на Configuration / Remote Access VPN / AAA/Local Users / AAA Server Groups и создаем группу:

edit AAA Server Group

  1. Добавляем в группу сервер:

edit AAA Server Group

Где Server Name or IP Address – это адрес нашего FreeRadius, Server Secret Key – ключ который мы настроили для клиента.

  1. Тестируем связку с RADIUS сервером:

test AAA Server

Где Password – это пароль пользователя + код из Google Authenticator

При успешном тесте, на ранее настроенном «AnyConnect Connection Profiles» меняем аутентификацию с локальной на группу FreeRad:

AnyConnect Connection Profiles

На этом настройки закончены. Чтобы убедится что все работает инициируем тестовое подключение.

AnyConnect Connection test connection

Вот здесь и появляется та неочевидность, о которой упоминалось ранее. FreeRadius не использует поэтапную аутентификацию, он не может запрашивать код для Google Authentication отдельно. Поэтому для успешной аутентификации, как и в тестах, в строке Password мы вводим пароль+код. Для неискушенного пользователя это может стать преградой для комфортного использования сервиса.

Данная схема универсальна и может быть реализована для любых сервисов, поддерживающих аутентификацию посредством протокола Radius.

Обсуждение статьи доступно здесь.

Unified Communication UC IP

Unified communication UC и IP телефония, сравнение четырех решений Avaya, CISCO, MS Lync, Asterisk

Asterisk

Включая сборки на основе типа: Switchvox, Elastix, AstersikNow.

Плюсы:

  • Дешево;
  • Очень гибко;
  • Работает на любом гипервизоре;
  • Подходит для облачных решений;
  • Подключение большого количества IP телефонов разных ценовых категорий.

Минусы:

  • Не очень функционально;
  • Не очень надежно;
  • Отсутствие пригодной реализации Unified Communication.

Avaya

Avaya Communication Manager ACM, Aura, Definity, IP office IPO, Communication Server CS.

Плюсы:

  • Самый старый и надежный производитель телефонных станций, перенесший на IP платформу проверенные несколькими десятилетиями телефонные алгоритмы;
  • Большой телефонный функционал;
  • Лучший Call Centre;
  • Поддержка гибридных решений: IP, цифровые и аналоговые абоненты;
  • Работа по старым телефонным сетям;
  • Высокая надежность стандартного телефонного функционала — включил и забыл;
  • Наличие VPN phone;
  • Хорошие решения микросотовой связи.

Минусы:

  • Отсутствие try-and-buy;
  • Высокая цена;
  • Весьма посредственный софт для UC, скорее даже его отсутствие;
  • Отсутствие полной интеграции со skype, не удобный шлюз в GTalk;
  • Не полная интеграция с сетями передачи данных, построенными на CISCO;
  • Очень дорогие отказоустойчивые решения;
  • Невозможность построения сетей без явной иерархии;
  • Виртуализация работает только на VmWare.

CISCO

Cisco Unified Communications Manager(CUCM),  Cisco Unified Communications Manager Express, Cisco Call Manager, Cisco Integrated Services Router (ISP) G2, Cisco Unity Express, Cisco Unified Border Element, Cisco Gateways, Cisco Jabber, Cisco Unity Connection, Cisco WebEx Meetings, Cisco IP Phone, Cisco ISR Unified Communications.

Плюсы:

  • Моновендорное решение для большинства сетей передачи данных;
  • Удобный и знакомый интерфейс управления для сетевых специалистов;
  • Отличная поддержка и документация;
  • Отличные IP телефоны с поддержкой видеосвязи;
  • Есть рабочее UC приложение;
  • Есть DECT решения;
  • Поддержка виртуализации.

Минусы:

  • Нет легального try-and-buy;
  • Только IP абоненты; есть аналоговые адаптеры, но они не пригодны для старых телефонных сетей;
  • Высокая цена;
  • UC в зачаточном состоянии;
  • Нет интеграции со Skype Gtalk;
  • Виртуализация работает только на VmWare.

MS Lync (c 2015г. Skype for business)

Плюсы:

  • Полностью работающее интегрированное в остальную офисную инфраструктуру UC решение;
  • Наличие try-and-buy, бесплатный период тестирования 120 дней;
  • Гибкая ценовая политика, разные схемы лицензирования;
  • Работает на любом гипервизоре;
  • Отличная поддержка отказоустойчивых конфигураций, распределенных систем и вне офисных пользователей;
  • Отличные клиенты для всех настольных и мобильных платформ;
  • Шлюзы IM c GTalk, XMPP (Jabber) и полная интеграция со Skype, Office 365, и другими Lync федерациями;
  • Большой выбор стационарных телефонов разных производителей;
  • Открытый, хорошо знакомый большинству программистов программный интерфейс и, соответственно, большое количество приложений партнеров, расширяющих функционал.

Минусы:

  • Нет дешевых настольных телефонов;
  • Только IP абоненты; есть сторонние аналоговые адаптеры, но они не пригодные для старых телефонных сетей;
  • Не большой выбор классических телефонных функций;
  • Функционал call center реализуется с помощью приложений сторонних производителей;
  • Для функционирования с полной отдачей требует остальных компонентов UC от Майкрософта;
  • Необходимость настройки других серверов Майкрософт для получения полного функционала;
  • Не все провайдеры поддерживают SIP транк по TCP, что может создать необходимость установки шлюза.
Server maintenance

Об обслуживании серверов

Полная аренда инфраструктуры

За последние несколько лет наметилась стойкая тенденция выделения серверной инфраструктуры в отдельный компонент предоставления сервиса и, как следствие, передача функций по поддержки этой инфраструктуры специализированным компаниям.

Компания Сервилон предоставляет все виды услуг по проектированию, настройке и поддержке серверных решений. Наша команда сертифицированных специалистов по продуктам HP, DELL, Microsoft, CISCO и AVAYA спроектирует и внедрит самое оптимальное решение.

Все современные серверы имеют интерфейсы удаленного управления, а учитывая правила построения дата центров и серверных комнат, производить работы не связанные с заменой компонентов в непосредственной близости от серверов не только не безопасно, но и не правильно. Так же все больше представителей бизнеса понимают, что несколько штатных администраторов имеющих практически бесконтрольный доступ к серверам и данными это большая угроза безопасности чем специализированная компания. Как результат, все больше компаний передают поддержку серверной инфраструктуры на аутсорсинг.

Клиент арендует у заказчика все: серверы, программное обеспечение, а так же заказывает введение в строй и поддержку всего комплекса.

Итак, каким бывает аутсорсинг серверной инфраструктуры?

Мы не будем рассматривать вариант получения покупки сервиса как услуги Office365, Google mail, Облачные CRM и АТС.

Плюсы:

  • Все покупается в одном месте;
  • Можно очень гибко платить за лицензии, т.к. поставщик услуг использует SPLA лицензирование;
  • Единственная точка контакта и ответственности за весь проект;

Минусы:

  • Цена, часто гибридные решения получаются значительно дешевле;
  • Привязанность к одному поставщику услуг и соответственно сложности в случае если надо сменить какой-то один из компонентов;
  • Качество, чаще всего компании специализируются либо на сервисе, либо на предоставлении хостинга (colocation), и найти такого поставщика услуг который бы делал все на самом высоком уровне практически не возможно

Гибридные решения — самостоятельная покупка, аренда или аренда серверного оборудования и лицензий

При этом типе решения клиент разделяет услугу на несколько:

  • Покупка или аренда серверов и оборудования;
  • Размещение серверов и оборудования collocation;
  • Подключение к интернету;
  • Покупка или аренда лицензий;
  • Настройка и поддержка;
  • И самостоятельно определяет какие части отдавать на аутсорсинг и кому, либо делает их своими силами.

Плюсы:

  • Цена, выбирая самые оптимальные варианты можно получить самое дешевое решение из всех возможных;
  • Полный контроль над ситуацией, понимание сильных и слабых сторон конфигурации, рисков и стоимости увеличения надежности;
  • Возможность легкой замены компонентов или сервисов, не устраивающих по качеству или цене;
  • Наиболее надежное решение с точки зрения информационной безопасности;
  • Можно использовать ранее купленные лицензии.
  • Гибкость решений — можно запустить в минимальной конфигурации и, по мере увеличения нагрузки или добавления новых пользователей, оперативно расширить.

Минусы:

  • Дополнительные трудозатраты по ведению договоров оплате и т.д.;
  • Желательно иметь сотрудника который будет управлять всем проектом, иначе все плюсы данного решения могут сойти на нет.

Размещение серверов в собственном дата центре и передача их обслуживания на аутсорсинг

Данный вид аутсорсинга обычно применяется в следующих случаях:

  • Расположение большого числа пользователей в местах где не возможно или слишком дорого получить быстрые и надежные каналы передачи данных;
  • Необходимость размещения серверов в соответствии с требованиями властей и дорогие или не качественные альтернативные варианты;
  • Желание поставить серверы на баланс и тем самым увеличить стоимость основных средств.

Плюсы:

  • Возможность поставить оборудование на баланс;
  • Полное соблюдение различных требований властей;
  • Возможность организации быстрых каналов связи до 10Gb/s между серверами и пользователями;
  • Возможность использования серверов для приложений реального времени.
  • Часто бывает ситуация, когда внедрение новых сервисов затягивается на несколько лет, и к началу эксплуатации серверное оборудование уже устаревает.

Минусы:

  • Высокая цена;
  • Нельзя быстро увеличить ресурсы или снизить затраты;
  • Проблемы с безопасностью – на территории Российской федерации запрещено использование TPM;
  • Необходимость решения большого количества побочных задач — надежное электропитание, кондиционирование, физическая безопасность, каналы связи и т.д.;
  • Если дата-центр находится в офисе, то переезд в другой офис превращается в очень серьезную проблему.