当前位置:首页 > 人工智能

企业级虚拟专有网络统一认证解决方案及实战

发布时间:2019-05-08 18:05:55   编辑:it技术学习网   阅读次数:

HTML模版企业级虚拟专用网解决方案和统一认证战斗
摘要:本文针对的是办公和研发环境,虚拟专用网络的统一认证,为需要保护环境的同时形势的安全性,完整性和可控性。关键词:0。背景

本文是为办公和研发环境,虚拟专用网络的统一认证,为需要保护环境的同时形势的安全性,完整性和可控性。

内网安全涉及WiFi接入,上网行为管理,网络防火墙等出口。ZStack进行基于平台的私有云环境,你需要一套系统平台的虚拟专用网络访问和审计日志。

其主要用途是作为统一认证的OpenLDAP,思科ASA的VPN服务器使用sys日志日志审计。它还提供了一种使用登录名和用户IP的SNMP定期轮训。

描述:

本文介绍与实际环境的新方案钛云服务架构师实践总结,效果还是不错的,所以整理分享。

战斗环境:

AA。ZStack配合+ ASA8.42 +的AnyConnect + LDAP(CiscoPerson)+系统日志

1。快速安装的OpenLDAP

https://开头的github上。COM / osixia /泊坞窗,OpenLDAP的

搬运工运行--env LDAP_ORGANISATION = “tyun” --env LDAP_DOMAIN =“tyun。CN “--env LDAP_ADMIN_PASSWORD =” ldap_passwd“--volume /数据/ slapd的/数据库:在/ var / lib中/ LDAP --volume /数据/ slapd的/配置:在/ etc / LDAP / slapd的。d --detach - 它-p 389:389 -p 636:636 osixia / OpenLDAP的:1.2。0

泊坞窗快速安装(选择对应版本的需要,或者手动基于最新版本dockerfile版本)或手动安装,但需要添加属性的memberOf。

2。OpenLDAP的进口CiscoPerson对象类

2.1个下载思科。模式

wget的https://开头要点。github。COM / jaseywang / 041f76d03e2f43五79d6f6984e33五8774

思科。模式(上链路发生故障时,使用部门)

8五线的MUST(UID $ CN),86行删除掉telephoneNumber(否则会报错)

它也可以直接使用已经修改好

https://开头生。githubusercontent。COM / qingyufei / ubuntutools /主/ Cisco_ASA_ldap /竹乡/思科。模式

2。基于Cisco 2。模式生成思科。LDIF

新的配置文件和目录

回声“包括思科。模式“>>思科。CONF

MKDIR LDIF_思科

slaptest的-f思科。CONF -F LDIF_思科

要获得LDIF目录结构如下:

树LDIF

├──CN = conflig

│├──CN =架构

││└──CN = {0}思科。LDIF

│├──CN =架构。LDIF

│├──olcDatabase = {0}的配置。LDIF

│└──olcDatabase = { - 1}前端。LDIF

└──CN =配置。ldif

文件CN =配置/ CN =架构/ CN = {0}思科。LDIF产生“LDIF”文件,编辑这个文件,前三行改为:

DN:CN =思科,CN =架构,CN =配置

对象类:olcSchemaConfig

CN:思科

1.jpg

最后,注释掉最后七线:

2.jpg

2.3 '‘ CN = {0}思科。LDIF“文件内容导入LDAP数据库

成相应的目录,到数据库中(如果安装搬运工,容器通过复制搬运工简档CP当然可以通过LDAP主机-H安装OpenLDAP的客户端,OpenLDAP的-devel的,执行):

CD ldif_思科 / CN =配置/ CN =架构

须藤ldapadd的-Q -Y EXTERNAL -H ldapi:/// -f CN = {0}思科。ldif

检查导入是否成功:

ldapsearch的-Q -LLL -Y EXTERNAL -H ldapi:/// -b CN =架构,CN =配置DN

直接查看生成的文件(在/ etc / LDAP / slapd的。d / CN =配置/ CN =架构/ CN = {16}思科。LDIF):

3.jpg

3。思科ASA

3.1 ASA商用硬件+的AnyConnect VPN的liscence(推荐)

3.2或模拟器VMWARE ESXi版本中ASA8。(或者其他版本ASA931等。可)42 +思科ASA注册机(更多在线教程,学习只用作为测试,请不要使用商用。)

3。ASA8的3 KVM版本。42(仅使用作为测试学会)。

OVA文件解压的VMware(ISO文件为启动文件,qcow2是Disk0上:或Flash文件,最重要的是异文件,qcow2可再生):

转换VMware来qcow2

根竹乡@:?/思科#焦油-xvf 作为一个842。OVA

WOLF-ASA842-ADV。OVF

WOLF-ASA842-ADV。MF

WOLF-ASA842-ADV-的disk1。VMDK

WOLF-ASA842-ADV-文件1。异

根@竹乡:?/思科#LS

asa842。OVA狼ASA842-ADV-的disk1。VMDK狼ASA842-ADV-文件1。异狼ASA842-ADV。MF狼ASA842-ADV。OVF

根@竹乡:?/思科#MKDIR -pv ASA_qcow2

MKDIR:创建的目录 ’ASA_qcow2‘

根@竹乡:?/思科#QEMU-IMG转换-f VMDK -O qcow2 WOLF-ASA842-ADV-DISK1。VMDK ASA_qcow2 / ASA842-ADV-DISK1。qcow2

根@竹乡:?/思科#CP WOLF-ASA842-ADV-file1的。异ASA_qcow2 / ASA842-ADV-file1的。异

最重要的是iso文件,每个虚拟机应该开始重新启动ISO:

根@竹乡:?/思科#LS ASA_qcow2 /

ASA842-ADV-的disk1。qcow2 ASA842-ADV-文件1。iso

查看qcow2文件:

根竹乡@:?/思科/ ASA_qcow2#的virt-列表的文件系统-a ASA842-ADV-的disk1。qcow2

/开发/ sda1的

内幕信息guestmount工具查看ASA盘。

根@竹乡:?/思科/ ASA_qcow2#guestmount -a ASA842-ADV-DISK1。qcow2 -m的/ dev / SDA1 / MNT

根@竹乡:?/思科/ ASA_qcow2#LS的/ mnt /

的AnyConnect双赢-3.0。0629-K9。PKG启动csco_config RDP2-插件。090 20 one1。罐子SSH-插件。080 430。罐

ASDM-64五-206。斌coredumpinfo csd_3.6。181-K9。PKG RDP-插件。101twenty one五。罐子VNC的插件。080 130。罐

KVM系统可以产生(在E1000卡必须选择,如在第一引导入口异),或引入ISO ZStack配合,然后直接运行(导入ASA8.42。ISO,格式必须是国际标准化组织,该平台是其他):

4.jpg

创建虚拟机,云根磁盘大小选择10G,4G核心计算大小为2或更多,根据网络选择的需求,选择对应的ASA8.42 iso映像。创建虚拟机成功。(网络防欺骗功能注意关闭)

由于zstack2.3。2不支持串口重定向视图ASA8。计算节点42的位置,通过直接在主机命令的virsh控制台ASA8运行。42_domain到控制台控制台,配置基本的管理功能

(其他版本可以从控制台端口直接支持ASA着陆页)

云主机修改引导顺序(光驱,硬盘):

5.jpg

asa

[根@ bjm8-zsCNs-10-0-3-16?]#的virsh列表--all

ID状态名称

-------------------------------------------------- -

6 687ba60019f04a五fa71b3f1501560d3a运行

7 3459d91402c247ca8fabf0e7d922af7b运行

9 09cabc8ca969429c9505fafaf14071eb运行

34 fb4550f382fb496cbb03d77ca5f2456e运行

42 8af69ae1236e4827880f6684987d9438运行

43 zstack10310运行

[根@ bjm8-zsCNs-10-0-3-16?]#的virsh控制台8af69ae1236e4827880f6684987d9438

连接到域8af69ae1236e4827880f6684987d9438

转义字符是^]

ASAGW7>

ASAGW7> ENA

密码:

ASAGW7#显示版本

思科自适应安全设备软件版本8.4(2)

设备管理器第6版。4(5)206

15军11 18:17由制造商编上周三

系统映像文件是“未知,监控模式TFTP启动映像”

在启动配置文件是“启动配置”

ASAGW7了1天20小时

硬件:ASA 5520,3072 MB RAM,CPU奔腾II 2095兆赫

内置ATA CF卡,131072MB

BIOS闪存未知@为0x0,0KB

0:分机:接口GigabitEthernet0:地址是fa1a。6c10.8800,IRQ 0

1:分机:端口GigabitEthernet1:地址是FA03。b8ec。3001,IRQ 0

这个平台的授权功能:

最大物理接口:无限永恒

最大的VLAN:100永久

内部主机:无限永恒

故障切换:主动/主动永久

VPN-DES:永久启用

VPN-3DES,AES:永久启用

安全上下文:20个永久

GTP / GPRS:永久启用

的AnyConnect高级同行:10000永恒

的AnyConnect精华:0永久

其他VPN会话:5000永久

总VPN会话:0永久

共享许可:永久启用

的AnyConnect移动:永久启用

的AnyConnect思科VPN电话:永久启用

高级端点评估:永久启用

UC手机代理会议:5000永久

总UC代理会话:10000个永恒

僵尸网络流量过滤器:永久启用

公司间媒体引擎:永远禁用

该平台具有ASA 5520 VPN Plus许可证。

4。的AnyConnect VPN配置

41。WEBVPN配置

WEBVPN

WEBVPN

使外

没有的AnyConnect必需品

的AnyConnect图像Disk0上:/ AnyConnect的双赢-3.0。0629-K9。PKG 1

的AnyConnect实现

隧道群列表启用

sysopt连接许可的VPN

4。配置2节AAA服务器LDAP

AAA服务器LDAP

ASAGW7#笑running-config中的AAA服务器

AAA服务器LdapServerGroup0协议LDAP

AAA服务器LdapServerGroup0(内部)主机XXXXXXXXXX

LDAP基-DN DC = tyun,DC = CN

LDAP的范围子树

LDAP命名属性UID

LDAP登录密码

LDAP的登录-DN CN =管理员,DC = tyun,DC = CN

服务器类型的OpenLDAP

LDAP的属性映射LdapMapClass0

4.3 LDAP属性映射配置

LDAP attreibute地图

ASAGW7#笑运行LDAP

LDAP属性映射LdapMapClass0

地图名称CiscoACLin思科AV-对

地图名称CiscoBanner Banner1

地图名称CiscoDNS主要的DNS

地图名称CiscoDomain IPSec的默认域

地图名称Cisco组策略 IETF半径级

地图名称CiscoIP地址 IETF半径-帧IP地址

地图名称CiscoIPNetmask IETF半径-帧IP子网掩码

地图名称CiscoSplitACL IPSec的拆分隧道名录

地图名称CiscoSplitTunnelPolicy IPSec的隧道分离,政策

LDAP用户ciscoperson对象类,并将该ASA关键配置

ciscoperson

配置ciscoperson,下面的情况下,这种情况下可以被用作唯一的组策略

猫用户。ldiff

# 用户帐号

DN:UID =竹乡,OU =操作,OU =用户,DC = tyun,DC = CN

CN:朱湘

给定名称:竹乡

SN:竹乡

发表于:竹乡

uidNumber:10000

的gidNumber:10000

homeDirectory的:/家庭/竹乡

邮箱:竹乡@ tyun。CN

对象类:顶

对象类:的posixAccount

对象类:shadowAccount

对象类:为inetOrgPerson

对象类:organizationalPerson

对象类:人

对象类:CiscoPerson

登陆shell:/斌/庆典

的userPassword:{CRYPT}

CiscoBanner:这是一面旗帜1

CiscoIPAddress:10.1。1.1

CiscoIPNetmask:255.255。255.128

CiscoDomain:xtstack。COM

CiscoDNS:223.5。5.5

CiscoACLin:IP:inacl#1 =许可证IP 10.255。0.200255。255.255。25510.0。3.14255。255.255。255

IP:inacl#2 =许可证IP 10.255。0.200255。255.255。25510.0。3.10255。255.255。255

CiscoSplitACL:DefaultSplitVPNAcl0

CiscoSplitTunnelPolicy:1

CiscoGroupPolicy:DefaultGroupPolicy0

配置对应于ASA

ASAGW47#显示运行配置访问列表

访问列表DefaultSplitVPNAcl0标准许可证10.0。0.0 255.0。0.0

访问列表DefaultSplitVPNAcl1标准许可证10.0。5.0 255.255。255.0

IP本地池DefaultVPNPool0 10.255。0.11-10.255。0.64掩模255.255。255.0

新用户组策略,以及该组策略默认denyall

ASAGW47#笑运行配置组策略

组策略DefaultGroupPolicy0内部

组策略DefaultGroupPolicy0属性

VPN-同时登录帐户10

VPN-空闲超时时间9999

VPN会话超时无

VPN隧道协议的IKEv1的IKEv2 L2TP的IPSec SSL的客户端SSL的无客户端

拆分隧道政策tunnelspecified

拆分隧道网络列表值DefaultSplitVPNAcl0

默认域值tyun。cn

地址池值DefaultVPNPool0

组策略NoAccessGroupPolicy内部

组策略NoAccessGroupPolicy属性

VPN-同步的登录0

VPN隧道协议的IKEv1的IKEv2 L2TP的IPSec SSL的客户端SSL的无客户端

默认域值tyun。cn

地址池无

LDAP用户匹配的组策略DefaultGroupPolicy0可以访问其他用户的默认匹配的组策略NoAccessGroupPolicy,政策默认不能访问VPN

ASAGW7#笑运行的隧道群

隧道组DefaultTunnelGroup0型远程接入

隧道组DefaultTunnelGroup0通用属性

认证服务器组LdapServerGroup0

默认情况下,组策略NoAccessGroupPolicy

隧道组DefaultTunnelGroup0 WEBVPN的属性

基的别名OperationsAdmin使

6.jpg

LDAP对象类ciscoperson常见

https://开头WWW。cisco。COM / C / EN / US / TD /文档/安全/ ASA / asa90 /配置/引导/ asa_90_cli_config / ref_extserver。PDF格式

7.jpg

5。日志配置

ASA VPN开放,并权威性日志

ASA系统日志

记录启用

记录时间戳

记录缓冲器大小1048576

日志缓冲的通知

日志类VPN缓冲的通知

日志类AUTH缓冲的通知

您可以查看登录的用户日志历史

log

ASAGW7#显示日志| 包括竹乡

5月23日2018年17:54:02:%ASA-4-722041:TunnelGroup GroupPolicy 用户 IP <58.twenty one5.49.222> 没有可用的SVC连接IPv6地址

5月23日2018 17:54:02:%ASA-5-722033:集团 用户 IP <58.215.49.222> 首先TCP SVC连接建立SVC会议。

5月23日2018 17:54:02:%ASA-4-722051:集团 用户 IP <58.215.49.222> Address <10.255.0.13> 分配给会议

5月23日2018 17:57:20:%ASA-5-722012:集团 用户 IP <58.215.49.222> SVC消息:16 /注意:由呼叫者中止。

5月23日2018 17:57:20:%ASA-5-722037:集团 用户 IP <58.215.49.222> SVC关闭连接:用户请求。

5月23日2018 17:57:20:%ASA-4-113019:组= DefaultTunnelGroup0,用户名=竹乡,IP = 58.215。49.222,会话断开连接。会话类型:AnyConnect的单亲,时间:0H:03米:18S,字节XMT:8592,字节RCV:1053,原因:用户请求

5月23日2018 18:45:44:%ASA-5-722037:组 用户 IP <101.81.238.100> SVC关闭连接:交通运输闭幕。

5月23日2018 18:48:15:%ASA-5-722037:集团 用户 IP <101.81.238.100> SVC关闭连接:交通运输闭幕。

通过获取用户,并通过SNMP源IP地址的访问

ASA SNMP

[根@ zabbix55?]#snmpwalk的-v 2C -c tyun11325 10.0。5.7家企业。9.9。392.1。3.21。1.10

的SNMPv2-SMI ::企业。9.9。392.1。3.21。1.10。8.122。104.117。120.105。97.110。103.53249 = STRING:“124.78。135.29“

的SNMPv2-SMI ::企业。9.9。392.1。3.21。1.10。8.122。104.117。120.105。97.110。103.57345 = STRING:“101.81。238.100’

重量级Graylog

https://开头博客。CSDN。净/ liukuan73 /条/信息/ 52525431

商务猕猴桃syslog

6。后记

下面的方法是直接LDAP的memberOf(ldapsearch的-x -h“127.0。0.1 “-b DC = tyun,DC = CN -D” CN =管理员,DC = tyun,DC = CN“-W ‘(UID =竹乡)’ 的memberOf)映射模式属性,8.4。2没有测试成功,估计会更高版本。

参考文件:

https://开头WWW。cisco。COM / C / ZH_CN /支持/文档/安全/ ASA-5500-X系列的下一代的防火墙/ 91831-mappingsvctovpn。HTML#anc6

https://开头WWW。tunnelsup。COM /思科-ASA-VPN检查-基于用户的上-LDAP的组/

https://开头WWW。cisco。COM / C / EN / US /支持/文档/安全/ ASA-5500-X系列的下一代的防火墙/ 98625-ASA-LDAP认证。html

作者:对比新的钛云服务的运行和维护架构师

十几年的运行和维护经验,担任过云操作和维修工程师,为微蜡烛云和网上银行平台的运行和维护总设计师刻。它的OpenStack,CCIE,阿里云,ZStack进行技术认证。有数以万计的云托管的,PB级分布式存储操作和维修经验。熟悉虚拟化技术,硬件和软件,网络,集装箱等技术安排与Python开发经验。我喜欢各种各样的开源技术。

本文链接:企业级虚拟专有网络统一认证解决方案及实战

友情链接: 心经结缘 大悲咒 大悲咒功德
it技术学习网版权所有   苏ICP备18043316号