Category: лытдыбр

Настройка Cisco VPN с авторизацией по сертификатам


    Довольно распространенной задачей является организация удаленного доступа в корпоративную сеть. При этом встает выбор технологии и средств обеспечения безопасности. Наиболее надежной я считаю такую реализацию удаленного доступа, при которой злоумышленник не сможет ею воспользоваться, даже получив каким-либо образом правильные учетные данные. Это можно сделать, настроив авторизацию по сертификатам. Таким образом, подключиться извне к корпоративной сети сможет только тот, кто предоставит валидный сертификат. Если же хранить сертификат не на мобильном устройстве, а на eToken, имеющем свой PIN-код, то мы сводим практически к нулю угрозу несанкционированного подключения к сети при утере/краже устройства (например, ноутбука). Практически – потому что защита от социальной инженерии в отношении пользователей ключевых носителей выходит за рамки этой статьи.

    Для крупных организаций самым правильным решением была бы интеграция с центром сертификации используемой службы каталогов, например, Active Directory. Но в небольшой организации, где, как правило, удаленный доступ имеют лишь несколько человек, это излишне. И в таком случае проще всего использовать центр сертификации, встроенный в Cisco IOS. Об этом и пойдет речь на примере маршрутизатора Cisco 2811. Я приведу в качестве примера рабочий конфиг – разумеется, адаптированный, без указания реальных IP адресов и имен.

Collapse )