В последние несколько лет, по известным всем причинам, стала востребована удаленная работа. В связи с этим службы ИТ и ИБ в компаниях задались вопросом как обеспечить безопасное подключение извне к ресурсам сети организации.
С помощью иностранного ПО класса NAC (Network Access Control), обеспечивались сценарии доступа через межсетевой экран с использованием супликанта. Эту задачу обычно доверяли ПО Cisco ACS, но сегодня возможности работы с этим продуктом у многих пользователей ограничены. В статье рассмотрим, как настроить работу схожего функционала с использованием отечественного продукта Efros ACS.
Для начала настроим МСЭ Cisco ASA
![Сервер RADIUS Сервер RADIUS](https://habrastorage.org/getpro/habr/upload_files/1b3/825/043/1b3825043559567bc7f2f4e8c74afdfd.png)
![Самоподписанный сертификат устройства Самоподписанный сертификат устройства](https://habrastorage.org/getpro/habr/upload_files/246/ae0/12b/246ae012b9d7eefab83285d66b8a5372.png)
![Образ VPN клиента и профиль клиента Образ VPN клиента и профиль клиента](https://habrastorage.org/getpro/habr/upload_files/f24/36b/6ae/f2436b6aeebdff8c21dda702ef681ea1.png)
![](https://habrastorage.org/getpro/habr/upload_files/f3c/ff0/e48/f3cff0e481e3fd2d7c112eacb1084400.png)
![Пул адресов для клиентов Пул адресов для клиентов](https://habrastorage.org/getpro/habr/upload_files/93b/1b8/65c/93b1b865c00ee9c280c05df74606bd6e.png)
![Правило исключения из NAT для удаленных клиентов Правило исключения из NAT для удаленных клиентов](https://habrastorage.org/getpro/habr/upload_files/7bf/749/156/7bf7491565cd74b8858624fe47d6a3d6.png)
![Профиль для подключения и групповая политика Профиль для подключения и групповая политика](https://habrastorage.org/getpro/habr/upload_files/c7f/91a/98e/c7f91a98e50f1a7527db2a44c676259f.png)
![Настройка профиля AnyConnect Настройка профиля AnyConnect](https://habrastorage.org/getpro/habr/upload_files/79d/03c/d60/79d03cd60d2dac050bf5a232de924306.png)
![Настройка профиля AnyConnect Настройка профиля AnyConnect](https://habrastorage.org/getpro/habr/upload_files/96b/789/aa1/96b789aa1e461043f1636d1cb8c3d290.png)
![Настройка профиля AnyConnect Настройка профиля AnyConnect](https://habrastorage.org/getpro/habr/upload_files/d63/9b1/3ed/d639b13ed16893710fe64a69bfb163c9.png)
![Настройка профиля AnyConnect Настройка профиля AnyConnect](https://habrastorage.org/getpro/habr/upload_files/a62/509/9df/a625099df49fd15f7436f636f2caad7c.png)
Настройки Efros ACS
Теперь переходим к настройке самого ПК Efros ACS
![Ввод в домен Ввод в домен](https://habrastorage.org/getpro/habr/upload_files/9ec/da4/750/9ecda4750075f55ef0026d649af2bc12.png)
![Профиль оборудования Профиль оборудования](https://habrastorage.org/getpro/habr/upload_files/a98/f3d/039/a98f3d039e6fbc6ee5ec5a3892952ab8.png)
![Профиль авторизации Профиль авторизации](https://habrastorage.org/getpro/habr/upload_files/3df/e94/eca/3dfe94eca5229387237a2378d136a3d6.png)
![Политика доступа Политика доступа](https://habrastorage.org/getpro/habr/upload_files/7a0/73e/f02/7a073ef029141e288fe0451256d5afa5.png)
![Политика доступа Политика доступа](https://habrastorage.org/getpro/habr/upload_files/584/de4/923/584de4923ad21b4b264245cd57dd4a37.png)
![Политика доступа Политика доступа](https://habrastorage.org/getpro/habr/upload_files/50c/b14/56b/50cb1456ba942ca0c4bcc2e946ca2db2.png)
![Журнал событий Журнал событий](https://habrastorage.org/getpro/habr/upload_files/0d9/798/f2b/0d9798f2b4b9e422ff317f96a7accf95.png)
![Проверка подключения на клиенте и информация о VPN сессии на Cisco ASA Проверка подключения на клиенте и информация о VPN сессии на Cisco ASA](https://habrastorage.org/getpro/habr/upload_files/01f/194/732/01f19473276a314c079f7f24fd9a71fb.png)
![](https://habrastorage.org/getpro/habr/upload_files/deb/f90/cea/debf90cea3d42ccc095197dffc3f33cc.png)
Данный сценарий успешно опробован в сетях заказчиков и является востребованным инструментом.
В данных примерах мы показываем настройку активного сетевого оборудования (АСО) от производителя CISCO, но если у заказчика есть АСО других производителей, то готовы помочь и в его настройке данным способом.
Материал подготовили специалисты ГК «Газинформсервис»: Никита Яковлев, Виталий Даровских.
Комментарии (6)
olegtsss
31.10.2022 18:40Я так понимаю, это настройка ipsec ikev2?
Gazinformservice Автор
01.11.2022 14:04Добрый день. Сценарий ipsec ikev2 не тестировали, в статье представлено описание сценария по доступу в сеть с использованием VPN клиента Cisco AnyConnect и Cisco ASA в качестве аутентификатора
sukharichev
А скажите пожалуйста, в обоих этих продуктах вообще нет возможности конфигурации через api\cms\конфиг-файлы и все нужно накликивать мышой в бесконечных экранах, или что-то все-таки изменилось и какой-то менеджмент конфигураций клиента и сервера имеется? Ну, как Ansible + git и т. п.?
Gazinformservice Автор
Добрый день. Если вы подразумеваете конфигурирование контролируемых Efros ACS устройств? То да, такая возможность реализована в родственном продукте Efros Config Inspector.