Исходное сообщение
"ASA5520+MS CA - 2-х факторная аутентификация - вопросы реализац" Отправлено Velos, 23-Июн-11 23:28
> Добрый день! > Подскажите, скорее всего вы уже разобрались=) > Поднимаю vpn на ASA 5520 + CA. > AD не учавствует на данном этапе. > Получается,что любой юзер может скачать сертификат c CA и подрубиться, пройдя local > аутентификацию к ASA5520-ведь сертификаты у них одинаковые.. > Существует ли возможность контролировать подключение VPNclienta с помощью центра сертификации? На ASA сертификаты могут использоваться только на первой фазе IKE - аутентификации peer-ов (фактически - рабочих станций, с которых строится туннель). После первой фазы - идёт аутентификация пользователя (xauth) - в Ipsec реализации циски она возможна только через ввод логина/пароля (EAP у меня по-крайней мере так и не получилось прикурить к этой конструкции). Поэтому как производится xauth - локально, через внешний сервер или вообще не производится - с т.з. использования сертификата в Phase 1 - нет никакой разницы. Т.е.сертификаты по-сути в Isec позволяют уйти от необходимости передачи разделенного секрета. Также появляеся возможность управлением подключениями с помощью выданных сертификатов. Отзывая сертификат - вы фактически запретите обладателю закрытого ключа подключаться. Если Вы переживаете за то, что пользователь скачает сертификат УЦ и предоставит его - спешу успокоить - всё в порядке :) Очень советую почитать про основы ассиметричной крпитографии вот тут: https://rapidshare.com/files/2637983018/____________________... Этот документ я немного подправил в своё время - в оригинале было пара опечаток на картинках. Но сам документ напсан очень простым языком и очень доступно. Суть в том, что сам по себе сертификат не имеет никакой ценности - он наоборот создан для того, чтобы его можно было свободно и без опасений распространять всем желающим. Главное - это закрытый ключ, который соотвествует сертификату. Т.е. когда peer устанавливает подключение с ASA с использовании сертификата - просиходит обмен параметрами DH. Точно такой же обмен производится и без использования сертификатов, разница только в том, что параметры подписываются закрытыми ключами каждой из сторон. При этом подпись будет считаться верной, в случае если ни один из сертификатов каждой стороны не отозван и выданы они удостоверяющим центром, которому доверяют оба. Скачав сертификат УЦ - я не скачаю его закрытый ключ :) А значит не смогу подписать параметры, необходимые для генерации сессионого ключа через алгоритм DH.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Добрый день! >> Подскажите, скорее всего вы уже разобрались=) >> Поднимаю vpn на ASA 5520 + CA. >> AD не учавствует на данном этапе. >> Получается,что любой юзер может скачать сертификат c CA и подрубиться, пройдя local >> аутентификацию к ASA5520-ведь сертификаты у них одинаковые.. >> Существует ли возможность контролировать подключение VPNclienta с помощью центра сертификации? > На ASA сертификаты могут использоваться только на первой фазе IKE - аутентификации > peer-ов (фактически - рабочих станций, с которых строится туннель). После первой > фазы - идёт аутентификация пользователя (xauth) - в Ipsec реализации циски > она возможна только через ввод логина/пароля (EAP у меня по-крайней мере > так и не получилось прикурить к этой конструкции). Поэтому как производится > xauth - локально, через внешний сервер или вообще не производится - > с т.з. использования сертификата в Phase 1 - нет никакой разницы. > Т.е.сертификаты по-сути в Isec позволяют уйти от необходимости передачи разделенного секрета. > Также появляеся возможность управлением подключениями с помощью выданных сертификатов. > Отзывая сертификат - вы фактически запретите обладателю закрытого ключа подключаться. > Если Вы переживаете за то, что пользователь скачает сертификат УЦ и предоставит > его - спешу успокоить - всё в порядке :) > Очень советую почитать про основы ассиметричной крпитографии вот тут: > https://rapidshare.com/files/2637983018/______________________________________________________.doc > Этот документ я немного подправил в своё время - в оригинале было > пара опечаток на картинках. Но сам документ напсан очень простым языком > и очень доступно. > Суть в том, что сам по себе сертификат не имеет никакой ценности > - он наоборот создан для того, чтобы его можно было свободно > и без опасений распространять всем желающим. Главное - это закрытый ключ, > который соотвествует сертификату. > Т.е. когда peer устанавливает подключение с ASA с использовании сертификата - просиходит > обмен параметрами DH. Точно такой же обмен производится и без использования > сертификатов, разница только в том, что параметры подписываются закрытыми ключами каждой > из сторон. При этом подпись будет считаться верной, в случае если > ни один из сертификатов каждой стороны не отозван и выданы они > удостоверяющим центром, которому доверяют оба. > Скачав сертификат УЦ - я не скачаю его закрытый ключ :) А > значит не смогу подписать параметры, необходимые для генерации сессионого ключа через > алгоритм DH.
	Введите код, изображенный на картинке: