CISCO의 대표 UTM 솔루션 중인 Meraki MX는 Cisco Secure Client(구 Anyconnect) 기반 SSL VPN을 지원한다.

이번 테스트는 Meraki MX의 SAML기반의 DUO MFA 테스트를 보여준다.

Meraki MX는 기본으로 SAML이 활성화 되어 있지 않다. TAC SR Open하여 SAML 활성화를 사전에 요청하여

Authentication Type에서 SAML을 확인할 수 있어야 한다..

Step 1 - DUO SSO 설정

- DUO Dashboard > Single Sign-On > + Add source > Add Authentication Proxy

*Local AD의 계정 정보를 가져오기 위한 Authproxy와의 연동을 설정한다.

- DUO Cloud와 AuthProxy의 연동을 위한 API Key 정보를 확인하여 Authproxy설정을 수정한다.

예제) Linux 기준 /opt/duoauthproxy/conf/authproxy.cfg 파일 수정

Authproxy설정이 정상이라면  Run test가 성공하여야 한다.

이후 Active Directory에 대한 설정을한다.

AD 설정 예제)

DUO <> Authproxy <> AD 의 모든 통신이 정상이면 Run tests가 성공해야한다.

*중요 

- SSO로 접근하는 Domain은 외부에 광고가 되어 있어야 한다.

외부에 광고되지 않은 도멘인은....... 허용하는 방법은있다. 그건 다음기회에

Step 2 - Meraki Secure Client Application 등록

DUO Dashboard > Applications > Protect an application > meraki 검색 > Meraki Secure Client > ' Protect'

- SAML Metadata는 다운로드 하여 Meraki MX에 Import한다.

- Anyconnect Server URL은 Meraki MX에서 제공하는 SSL VPN URL을 붙여넣기 한다.

*이 URL이 사용자들이 실제 접속을 시도하게 되는 URL이다.

Step 3 : Meraki MX SSL VPN설정

이외 기본설정인 Clinet IP Pool, DNS, Split Tunnel 등의 일반 설정을 하면 완료이다.

- 완료 - 

Dashboard에서 Client VPN접속 확인

Cisco DUO 에서 LDAPS 서비스 중지가 발표됨에 따라 SSL VPN Appliance의 LOCAL 계정을 사용하던 고객은 RADIUS로의 전환이 필수가 되었다.

https://help.duo.com/s/article/8019?language=en_US 

참고 링크

https://help.duo.com/s/article/1144?language=en_US

https://duo.com/docs/ciscoasa-ldap

https://duo.com/docs/authproxy-reference#radius-duo-only

이번 포스팅은 ASA의 Local User 계정을 이용한 RADIUS기반의 MFA 구현을 테스트 해본다.

*참고* RADIUS로 전환시 Self Enroll 기능 미지원

-Lab Info- 

ASAv : 9.12(3)12 / ASDM : 7.13(1)

Authproxy : Window 10 Based

--- 기본 ASA SSL VPN 설정 생략 --- 

Page 1 : DUO 설정

- DUO Application 에서 Cisco RADIUS VPN 을 선택

Cisco RADIUS VPN에서는 총 3가지의 기본 정보를 제공해주고 이 정보를 Duo Authproxy에 함께 설정해야 한다.

authproxy.cfg에 [radius_server_duo_only] 를 아래와 같이 입력하고, 이외에 기본 값들은 # 을 통해 주석처리한다.

[radius_server_duo_only]
ikey=DIDRWZFKBKEB1KMC06BV       ## integration key
skey=E25N8ykzz7dZWyaxPnFBbcCw4JOSeACqhEjxf3OG     ##Secert Key
api_host=api-490c7b38.duosecurity.com     ##API Hostname 
failmode=safe
radius_ip_1=10.70.139.53       ## ASA IP
radius_secret_1=cisco123      ##ASA RADIUS Secert Key

예시)

* 예시는 Window 기준이며 Linux는 /opt/duoauthproxy/conf/authproxy.cfg에 동일하게 설정

설정값 입력후 Validate 클릭시 Passed 되어야 하며 Start 를 클릭하여 Running 상태가 되어야 한다.

Page 2 - ASA설정

- Device Management > AAA Server Group > Add > RADIUS 프로토콜로 AAA Server Group생성

Servers in the Selected Group > Add 

Server Name or IP address 를 Authproxy IP로 설정

Secret Key 도 Authproxy와 동일하게 입력

Anyconnect Connection Profile > Edit > Authentication > AAA Server Group > LOCAL * 1차 인증은 ASA의 Local 계정 사용

Secondary Authentication 에 Server Group을 미리 생성해 두었던 Authproxy로 설정

* Use primary username(Hide secondary username on login page) 를 선택하지 않으면

Login시 Username을 두번 입력해야함.

- 테스트-

SSL VPN 인증 창에서 Second Password 창이 추가로 생긴다.

DUO App의 PASS CODE 입력 또는 PUSH 알람을 받기 위해서는 PUSH 를 입력하면 등록된 단말에 Push 알람이 오게된다.

성공!!  

FMC Version : 7.3.0

FMC에서는 ASA와 유사한 형태의 VPN 설정을 위한 Wizard 환경을 제공한다.

[설정]

Step 1 : Policy Assignment 

Devices > Remote Access > Add > RA VPN정책 이름, 프로토콜 및 적용 대상 방화벽 선택 후  > Next

Step 2 : Connection Profile

- Connection Profile은  Policy Name에 의해 자동 입력

- Authentication Server에서 Local, RADIUS등 선택 가능 

- Local 계정을 위해서는 Local Realm 생성 필요

- VPN접속 유저에게 할당할 IPv4/6 Address Pool 선택 및 생성

**Local Account를 이용하려면 LOCAL Realm이 필요하며 FTD장비별 1개의 LOCAL Realm 만 적용가능

Step 3 : Secure Client 

- 최초 접근하는 사용자를 위한 VPN Client 이미지 업로드

- 최소 1개의 Pkg 파일이 필요하며, Upload필요

Step 3 : Access & Certificate

- RA-VPN을 허용할 Interface와 SSL 통신을 위한 인증서를 선택

- 인증서가 없으면 '+' 버튼으로 Self-Signed 인증서 생성

** Enrollment Type을 Self Signed Certificate로 선택 후 Certificate Parameters에 CN 만 입력

Step 5 : Summary

- 설정에 대한 최종 확인 후 완료

디폴트로 CDO 테넌트만 생성시 cdFMC는 비활성화

매뉴얼하게 사용자가 cdFMC 요청해야 프로비저닝 됨

순서 : 

 1. CDO 로그인(https://www.apj.cdo.cisco.com, 본 샘플은 APJ 리전)

 2. cdFMC 요청

 - Tools & Services 메뉴 -> Firewall Management Center 클릭

 - Request FMC

 - cdo-alert@cisco.com 발신자 메일로 프로비저닝 완료 메일 받음

참고 자료 : https://www.cisco.com/c/en/us/td/docs/security/cdo/cloud-delivered-firewall-management-center-in-cdo/managing-firewall-threat-defense-services-with-cisco-defense-orchestrator/m-about-cloud-delivered-firewall-management-center.html#task_ubv_52n_m5b

CDO는 30일 무료 계정 제공 

 - 전제 조건은 SecureX 계정 필요(없다면 링크를 클릭하여 새롭게 발급)

순서 : 

1. 접속 : https://defenseorchestrator.com/trial

2. 데이터 센터 위치 선택(한국이니까 APJC!)

3. SecureX 계정으로 로그인

4. 로그인 되었다면  SecureX 메일 아이디로 프로비저닝된 CDO 정보 확인 가능

참고 자료 : https://docs.defenseorchestrator.com/index.html#!c-provision-cdo-tenant-securex.html

- Firepower IPS는 User Define signature을 LOCAL RULE 이름으로 지원

- 타사 Migration 또는 외부 UDS를 Text 형태로 Bulk import 지원

- Firepower UDS Bulk Import를 위해서는 아래 사항을 유의한다.

로컬 침입 규칙 가져오기 모범 사례

Ref) https://www.cisco.com/c/en/us/td/docs/security/firepower/70/configuration/guide/fpmc-config-guide-v70/system_software_updates.html

테스트 

- alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (sid:1000001; gid:1; flow:established,to_server; uricontent:"1=0"; fast_pattern:only; pcre:"/(and|or)[\s\x2F\x2A]+1=0/Ui"; metadata:policy balanced-ips drop, policy max-detect-ips drop, policy security-ips drop, service http; reference:url,attack.mitre.org/techniques/T1190; reference:url,ferruh.mavituna.com/sql-injection-cheatsheet-oku/; msg:"SQL 1 = 0 - possible sql injection attempt"; classtype:web-application-attack; rev:1; )

의 셈플 시그니처의 SID 를 1000000 부터 1씩 증가 시켜 15개 생성

- 샘플 시그니처를 Plain Text UTF-8 또는 ASCII 으로 저장

System > Updates > Rule Updates > One-Time rule Update/Rules Import > 'Choose File' 을 클릭하여 

생성한 시그니처 Import

- Error가 없으면 아래 와 같이 시그니처 Bulk Import 성공