Menu

Region US

Grandmetric LLC
Brookfield Place Office
200 Vesey Street
New York, NY 10281
EIN: 98-1615498
Phone: +1 302 691 9410
info@grandmetric.com

Region EMEA

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

Cisco Duo, czyli Multi-Factor Authentication
w praktyce 

Cisco Duo, czyli Multi Factor Authentication w praktyce 

Autor:
Kategoria: Jak działa


20.09.2022

Jak podaje Verizon w raporcie z 2022 roku, ponad 82% incydentów bezpieczeństwa to incydenty związane z zaniedbaniem po stronie człowieka, związanych choćby z wypłynięciem haseł czy phishingiem. Co więcej, hasła, które zostają wykradzione to hasła o różnej długości i różnym stopniu złożoności. Biorąc pod uwagę skalę i udoskonalane przez atakujących metody, o wypłynięcie nawet mocnego hasła wcale nie jest trudno. A stąd już tylko krok, żeby użyć go w atakach słownikowych. 

Bez względu na to, czy mówimy o wypłynięciu hasła chroniącego dostęp do aplikacji społecznościowych, sklepów internetowych czy do firmowych finansów lub systemów produkcyjnych, skutki mogą być opłakane. 

Co zatem zrobić, skoro logowanie nazwą użytkownika i hasłem nie wystarcza, żeby bezpiecznie korzystać z systemów IT? Powinniśmy zacząć zastanawiać się nad alternatywnymi drogami zabezpieczenia dostępu do zasobów firmowych, tym bardziej, że coraz częściej łączymy się do niej z domowego biura. 

45% żądań dostępu do aplikacji firmowych pochodzi spoza siedzib firm. 

– 2019 Duo Trusted Access Report 

Z pomocą przychodzą rozwiązania Multi Factor Authentication (MFA), które umożliwiają wykorzystanie dodatkowego składnika w procesie uwierzytelnienia i potwierdzenia tożsamości użytkownika. Generalną ideą stojącą za rozwiązaniami MFA jest wykorzystanie przez logującego się użytkownika czegoś, co ten posiada, poza tym, co już zna (hasło). Coś, co użytkownik posiada, wymusza z nim fizyczną interakcję, a to pozwala jednoznacznie potwierdzić jego tożsamość w danym momencie. 

Jak działa Multi Factor Authentication? 

Dodatkowy składnik jest niezależnym kanałem potwierdzenia tożsamości użytkownika. Może to być token fizyczny zsynchronizowany z serwerem tokenów, który wykorzystuje generator liczb pseudolosowych. 

Możemy też użyć kanałów SMS-owych do przesłania jednorazowych kodów SMS, czy funkcji call back do wydzwonienia użytkownika w celu potwierdzenia logowania. 

Nowoczesne systemy MFA korzystają jednak najczęściej z aplikacji mobilnej wyposażonej w mechanizm push notification. 

Multi-Factor Authentication by Cisco Duo
Źródło: https://duo.com/product/multi-factor-authentication-mfa 

Rozwiązanie Duo Security pozwala na wykorzystanie wszystkich powyższych kanałów.   

Kiedy warto stosować MFA w systemach firmowych? 

VPN Remote Access – Scenariusz 1 

Pierwszą architekturą i scenariuszem, z którego często korzystają zespoły IT jest VPN Remote Access. To zestawienie szyfrowanego tunelu między pracownikiem zdalnym, a siecią wewnętrzną firmy. To rozwiązanie pozwala pracownikowi korzystać z systemów w taki sam sposób, jakby był w biurze.  

Dodając Multi Factor do procesu uwierzytelniania pozwalamy zintegrować alternatywny kanał potwierdzający. 

Scenariusz polega na wykorzystaniu komponentu Duo Proxy, który po prawidłowym uwierzytelnieniu w oparciu np. o Active Directory wyśle informację do Duo Cloud z prośbą o potwierdzenie alternatywnym kanałem. Gdy użytkownik wpisze nazwę użytkownika i hasło, otrzyma momentalnie prośbę o potwierdzenie tego drugim kanałem, dzięki czemu automatycznie zestawi się tunel szyfrowany Remote Access pozwalający na pracę zdalną.  

MFA VPN by Grandmetric
Scenariusz użycia Duo Proxy do zestawienia tunelu VPN 

Duo Network Gateway – Scenariusz 2 

Jeśli nie mamy wystarczających zasobów VPN Remote Access, możemy skorzystać z dostępu w oparciu o Duo Network Gateway. To często wykorzystywany scenariusz dostępu dla pracowników, kontraktorów, partnerów czy klientów firmy.   

Komponent Duo Network Gateway jest serwerem proxy, który pomaga uwierzytelnić drugim składnikiem próby dostępu do aplikacji wewnętrznych. Jak to wygląda?  

  1. Użytkownik zestawia sesję webową do Duo Network Gateway w ramach sesji HTTPS (szyfrowanej sesji w przeglądarce).  
  1. Następnie użytkownik wybiera aplikację wewnętrzną, z której chce skorzystać. 
  1. Network Gateway wysyła prośbę do Duo Cloud o uwierzytelnienie użytkownika drugim składnikiem. 

Duo Network Gateway można też stosować przy dostępie SSH, czyli w przypadku, gdy administratorzy systemów, inżynierowie DevOps i inni specjaliści łączą się do naszych zasobów za pomocą protokołu SSH.  

Mogą to zrobić też bez VPNa, korzystając z lekkiej aplikacji Duo Connect, za pomocą której zestawia się tunel SSH przez Network Gateway do serwera SSH, a network Gateway odpytuje Duo Cloud o drugi składnik uwierzytelnienia, tak jak w przypadku aplikacji webowej.  

Duo Access Gateway – Scenariusz 3 

Duo Access Gateway, w odróżnieniu od Network Gateway, nie przenosi ruchu  
produkcyjnego inline, ale służy do uwierzytelnienia danej sesji użytkownika. Wykorzystywany jest w aplikacjach typu Software as a Service, np. Salesforce.  

  1. By uzyskać dostęp do aplikacji, użytkownik podaje swoje dane logowania.  
  1. Aplikacja w integracji z Access Gateway wysyła żądanie uwierzytelnienia.  
  1. Access Gateway uwierzytelnia użytkownika w oparciu o repozytorium typu Active Directory oraz wysyła informację do Duo Cloud w celu uwierzytelnienia drugim składnikiem.  
  1. Gdy użytkownik uwierzytelni się drugim składnikiem, automatycznie nawiązywana jest sesja z aplikacją.  
Cisco Duo Access Gateway by Grandmetric
Scenariusz użycia Duo Access Gateway 

W jakich sytuacjach korzystać z Duo Access Gateway? 

Popularną opcją jest użycie Active Directory, innego repozytorium użytkowników zlokalizowanego on-premise lub w zasobach chmurowych (np. Microsoft Azure czy Google G-suite), a następnie wykorzystanie Duo Access Gateway w procesie uwierzytelniania w oparciu o Cloud Directory Provider.  

Sam mechanizm działa w sposób następujący: 

  1. Logujemy się do aplikacji podając dane użytkownika i hasło.  
  1. Aplikacja wysyła do Duo prośbę o potwierdzenie uwierzytelniania.  
  1. Duo wysyła nam push notification.  
  1. Potwierdzamy i jesteśmy uwierzytelniani w danej aplikacji. 

Wachlarz najczęściej wybieranych aplikacji jest podany na stronie duo.com/docs#cloud. 

Całe portfolio jest znacznie bogatsze.  

Licencje na Cisco Duo 

Jak na rozwiązanie chmurowe przystało, Cisco Duo jest produktem subskrypcyjnym, z trzema poziomami licencji. 

Licencja MFA – Podstawa 

  • Licencja MFA umożliwia uruchomienie funkcjonalności Duo Push, czyli związanej z aplikacją mobilną, a także kanały One Time Passwords, Phone Call Back, SMS token i Harbor token.  
  • Jeśli skonfigurujemy politykę uwierzytelniającą phone callback, otrzymujemy w tej licencji także sto kredytów telefonicznych na użytkownika na rok. 
  • W licencji MFA możemy przeglądać urządzenia, z których dokonano logowania w oparciu o Duo Cloud. 
  • Możemy tworzyć polityki globalne i politykę uwierzytelniania dla danej aplikacji. 
  • Mamy dostęp do Duo Access Gateway w trybie aplikacji SaaS Single Sign On (SSO), opisany wyżej w Scenariuszu nr 3.   

Licencja Access  

  • Zawiera wszystkie funkcjonalności MFA oraz umożliwia wgląd w stan bezpieczestwa komputerów i telefonów. 
  • Pozwala na tworzenie polityk globalnych dla danej aplikacji, ale z użyciem grup użytkowników. Dzięki temu możemy uzależnić dostęp od grupy Active Directory, w której znajduje się dany użytkownik. 
  • Możemy też do polityki dodać takie elementy jak wymuszenie aktualizacji systemu operacyjnego, jeśli użytkownik korzysta z konkretnej, nieaktualnej wersji systemu.   

Licencja Beyond  

  • Zawiera wszystkie funkcjonalności Access oraz MFA.
  • Może posługiwać się informacjami związanymi z agentami Antivirus, Anti-Malware. Może stwierdzić, czy na stacji końcowej zainstalowany jest Windows Defender albo Cisco AMP (Anty- Malware Protection). 
  • Możemy dzięki Beyond dodatkowo identyfikować urządzenia i rozgraniczać urządzenia służbowe od prywatnych, które zostały zaimportowane do naszego systemu w procesie BYOD. 
  • Możemy wykorzystać integrację z Microsoft Intune oraz z innymi dostępnymi na rynku MDMami – inaczej Mobile Device Management – czyli oprogramowaniem do zarządzania i zabezpieczania urządzen mobilnych pracujących w sieci firmowej. 

Architektura numer 2, o której opowiadałem wcześniej, to architektura wykorzystująca Duo Network Gateway. Właśnie ona jest dostępna w licencji Beyond.  

Cisco Duo licencje by Grandmetric
Plany licencyjne Cisco Duo 

Zwiększ bezpieczeństwo dostępu do ważnych zasobów  

Dzięki zastosowaniu uwierzytelniania wieloskładnikowego użytkownik zwolniony jest z obowiązku zapamiętywania długich i skomplikowanych haseł. W praktyce eliminuje to problem zapisywania skomplikowanych haseł na karteczkach albo używaniem jednego hasła wszędzie, gdzie to tylko możliwe. 

Chcesz zobaczyć, jak Cisco Duo poradzi sobie z Twoim scenariuszem dostępu? Umów się na niezobowiązującą rozmowę, podczas której nasi inżynierowie pokażą więcej scenariuszy i możliwości Duo Security. 

Autor

Marcin Bialy

Architekt systemów sieciowych i bezpieczeństwa IT. Prowadził duże projekty transformacyjne u klientów z branży bankowości, sektora enterprise, produkcji oraz instytucji państwowych. Spędził setki godzin przy konfiguracji, diagnostyce i projektowaniu sieci IP. Jest autorem kursów, workbook’ów do szkoleń autorskich Grandmetric i organizatorem inicjatyw takich jak Network & Wireless meetup zrzeszających społeczność specjalistów sieciowych. Jego specjalizacje obejmują obszar Network Security, Routing & Switching. Marcin posiada certyfikaty Cisco CCSI#35269, CCNP, CCNA. Był także był jednym z pierwszych inżynierów w Polsce uzyskując certyfikat FCNSP#7207 (dzisiejsza ścieżka NSE).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Sign up to our newsletter!


Grandmetric