如何在 Cisco ASA 上阻止特定计算机使用 VPN?

网络工程 思科 虚拟专用网 啊啊啊
2021-07-15 01:22:34

我们希望能够禁用 Active Directory 中的计算机并阻止该计算机访问我们的 VPN。

我有一个 ASA VPN 设置、Cisco Security Desktop 和一个动态访问策略来检查主机。AAA 使用 LDAP 与活动目录对话。主要身份验证针对用户,二级身份验证设置用于具有 DAP 的计算机。

我的第一个猜测是我可能必须切换到 RADIUS?如果我们为具有自动注册的域设置了企业证书颁发机构,我们可以检查计算机证书,但我们没有,也不能。

或者有没有办法让 ASA“代理”执行类似于计算机将使用 AD 执行的 Kerberos 身份验证以验证访问的方法?

换句话说,是否存在与用户 AAA 等效的计算机:

aaa-server AD-LDAP protocol ldap
aaa-server AD-LDAP (INSIDE) host AD-SERVER
ldap-base-dn OU=Users,OU=Dept,DC=company,DC=org
ldap-scope subtree
ldap-naming-attribute userPrincipalName
ldap-login-password *****
ldap-login-dn CN=vpn.service.account,OU=ServiceAccounts,OU=Users,OU=Dept,DC=company,DC=org

您可以在哪里更改userPrincipalName为计算机CNbase-dn计算机容器?

1个回答

一般来说,如果您使用 Cisco Secure Desktop,这会打开一个完整的选项世界,根据设备为您提供限制。

就像我头顶上的一个例子,您可以执行以下操作。我还没有机会测试这个配置,但是我在现场看到过类似的配置。

  1. 在 AD 中创建一个组策略,在将访问 VPN 的每个桌面上创建一个名为 VPN-ACCESS(例如)的特定注册表项
  2. 创建一个安全组并禁用第一个组策略的继承。取而代之的是,配置一个组策略,删除 VPN-ACCESS 注册表项(如果存在)。
  3. 放置所有 PC 都不允许 VPN 访问进入此安全组。此步骤需要一些脚本编写肘部润滑脂,以确保根据您选择的任何标准将您“被阻止”的 PC 放入安全组。
  4. 在 Cisco Secure Desktop 中,让它评估该注册表项是否存在,如果不存在则阻止访问。

这将只允许“已知”的 PC 进入 VPN,并允许您明确地将 PC 列入黑名单。

我相信还有其他方法可以做到这一点,但到目前为止,这甚至可能不是最好的方法。

主要推动力是,一旦您支付了 Anyconnect Premium 许可证并部署了思科安全桌面,您就只会受到关于您构建哪种“更好的鼠标陷阱”的独创性的限制。

有关所有花里胡哨的更多信息,请参阅CSD 管理指南

其它你可能感兴趣的问题
上一篇无线网络问题 - 连接断开 下一篇BGP 路由公告定义