IT BLOG(KR)

PALOALTO랑 2FA를 설정할때 제약 사항. 

PALOALTO MGMT PORT또는 DATA PORT로 LDAP또는 RADIUS Packet를 전달 한다.

하지만 아래 사진 처럼 SOURCE INTERFACE를 한개만 설정 할수 있다. 

아래 같은 상황을 설정해 봅니다. 

내부에 서버가 있습니다.

ISP01 - 192.168.1.2 통해서 GP연결하는 유저는 Production server에 접속 함.

ISP01 - 192.168.1.3 통해서 GP연결하는 유저는 Test server에 접속 함. 

PRODUCTION SERVER - 192.168.150.100 - Active Directory and Cisco DUO

TEST SERVER - 192.168.151.100 - Active Directory and Cisco DUO

Production GP USER - Portal Authentication - AD

1. GP User - 192.168.1.2 접속

2. PA E1/3 LDAP Traffic 전달

   192.168.150.254 Source  -> LDAP 192.168.150.100   same L2

3. LDAP Server 인증 체크

4. 인증 리턴 패킷을 다시 192.168.150.100 Source -> 192.168.150.254 Destination 전달

5. PAloalto는 다시 유저에게 전달해서 Portal authentication 완료 됩니다. 

Cisco DUO authentication

1. RADIUS TRAFFIC 전달

    Source 192.168.150.254 -> Destination 192.168.150.100 

2. Cisco DUO Proxy -> Cisco DUO CLOUD 전달

    Source 192.168.150.100이 API를 통해서 Cisco DUO전달

3. Cisco DUO CLOUD에 User에 포함된 모바일폰 정보를 확인후 Push Notification 전달

지금까지는 LDAP and Radius Source Interface IP가 192.168.150.254 <->  192.168.150.100 LDAP and DUO서버랑 같은 L2 도메인 이라서 통신 되는데 문제가 없습니다.

*****  하지만 Test Server에 접속 할때는 상황이 다릅니다. ******

GP Portal IP - 192.168.1.3

LDAP02 and DUO02 - 192.168.151.100

PALOALTO Source LDAP and RADIUS IP - 192.168.150.254

1. GP User가 ISP01 192.168.1.3에 접속 합니다.

2. PA E1/3 192168.150.254를 Source해서 192.168.151.100으로 접속을 시도 합니다. 

하지만 실제 E1/4 192.168.151.254 <-> 192.168.151.100 같은 L2이기때문에, 패킷이 E1/3이 아니라 E1/4 전달 됩니다.

리턴 패킷도 E1/3이 아니라 E1/4로 받아서 AD 인증 cisco DUO 인증 모두 실패 합니다. 

라우팅을 변경 하면 해결 됩니다. 

1. PALOALTO에서 192.168.151.100/32를 E1/3를 통해서 Internet PA - E1/2 192.168.168.150으로 전달 합니다

2. INTNET PA입장에서는 192.168.151.1 <-> 192.168.151.100 같은 L2도메인이기때문에,  

    INTERNET PA  E1/3 192.168.151.1를 통해서 192.168.151.100 통신 합니다

3. 192.168.151.100 - AD02 DUO02는 Default Gateway가 192.168.151.1이고 AD02/DUO02는 패킷을 INTERNET PA로 전달 합니다. 

4.  INTERNET PA는 E1/3를 받아서 192.168.1.2 E1/2 전달합니다. 

5. GP PALOALTO는 E1/3 192.168.1.254로 AD2/DUO2패킷을 전달 받습니다.

이렇게 하면 이 문제가 해결 됩니다. 

GP PA1에서 단순히 Static Routing를 아래처럼 설정하면 됩니다.

192.168.151.0/24 - E1/4 연결 되었지만 아래처럼 192.168.151.100/32로 E1/3강제로 라우팅을 변경 가능합니다.

그 이유는 Longest Match Rule에 의해서 가능 합니다

Aysmetric 구조가 아니고 PA AD/DUO source interface로 패킷이 나가서 라우팅만 잘 되고 다시 그 인터페이스로 패킷을 전달 받으면 제대로 동작하는 것을 확인 하였습니다. 

안녕하세요.

이번에는 Active Directory 유저를 자동으로 Cisco duo에 동기화 하는 방법에 대해서 알아보겠습니다.

1. cisco duo cloud에 로그인 합니다.

2. Users -> Config -> Directory Sync 에서 Add external Directory클릭 합니다. 

3.  Active Directory를 선택 합니다. 

4. Add new connection를 선택하고 Continue를 선택 합니다. 

5. Save 버튼을 클릭 합니다. 

6. Cloud랑 동기활수 있게 AD Syncs관련 정보들을 입력합니다. 

7. Test Connection를 클릭 합니다. 

8. Connection이 성공 하였습니다. 

9. Active Directory에서 Group를 생성합니다.

Cisco duo

10. user를 생성하고 cisco duo 그룹에 추가 합니다. 

11. 그리고 AD Sync3에서 Groups를 클릭해서 cisco duo를 선택합니다.

12. 강제로 User들을 Syn 합니다. 

13,   User가 자동으로 생성 되었습니다. 

AD에서 User01를 삭제하고 다시 동기화 하면 계정이 Cisco DUO Cloud에서 계정이 자동으로 사라집니다. 

14. AD에서 user01삭제하기

15. Cisco DUO CLOUD에서 싱크를 합니다. 

16. 유저를 확인합니다. User01이 없습니다. 

*** 다른 AD에서 Sync된 유저들은 영향을 받지 않습니다. ***

테스트 Active Directory3에서 kevin1를 삭제하고 AD3에서 Syn를 합니다. 

1. kevin1 삭제

2. DUO Cloud에서 AD3 강제 SYNC

3. Kevin1은 그대로 있습니다. 이유는 kevin1은 AD3에서 Syn되어서 배워온 계정이 아니기때문 입니다. 

지금까지 테스트를 같이 해보았습니다.

감사합니다.

안녕하세요. 

저번에 windows server 2019에 cisco DUO RDP를 설치 후 2FA테스트 하였습니다.

이번에는 BYPASS기능을 테스트 해보겠습니다. 

cisco duo에 설정값이나 어떤 변수에 의해서 cisco duo를 통해서 인증이 실패하여 windows server 2019에 로그인 못하는 상황입니다.

2FA인증 대신 그냥 로컬 계정으로 이용하여 로그인 해보겠습니다.

우선 로컬 계정으로 이용해서 로그인 할려면 인터넷을 차단해야 합니다.

Cisco DUO RDP프로그램이 인터넷을 통해서 cisco duo cloud에 주기적으로 패킷을 보내서 통신이 가능 하면 로컬 계정을 통해서 로그인이 불가능 합니다.

1. 저는 VMware Esxi를 사용중이기 떄문에 랜카드를 그냥 연결 해지 합니다. 

2. 패스워드를 입력합니다. 

3. 로그인 가능 합니다. 

4. 다시 로그아웃을 하고 랜카드를 연결합니다. 

5. 그리고 로그인 시도하면 DUO 프로그램이 동작하고 push notification 메시지가 휴대폰으로 전송 됩니다. 

6. 로그인이 성공 하였습니다. 

이 기능을 사용 하기위해서는 설치 할때 Bypass기능에 체크가 되어져 있어야지 가능 합니다. 

지금까지 글을 읽어주셔서 감사합니다. 

안녕하세요.

이번에는 Windows Server 로그인 또는 RDP에 접속 했을때 Cisco DUO를 통해서 인증을 받는 방법에 대해서 알아보겠습니다.

Cisco DUO 웹페이지에서 회원 가입을 하시면 30일동안 trial version으로 기능들을 사용 할수 있습니다. 

이 글에서는 회원가입하는 방법에 대해서는 생략 하겠습니다.

1. Cisco DUO cloud 접속합니다.

2.  Applications -> Protect an Application 선택합니다. 

3. 그리고 RDP를 검색합니다.  그리고 Protect버튼을 클릭 합니다. 

4. RDP documentation를 클릭 합니다.

5. First Steps and Duo Authentication for windows logon installer 를 다운로드 받습니다. 

6. 파일을 실행해서 설치 합니다.

7. Cisco DUO에서 RDP Detail에 보시면 아래 정보들이 3가지 입니다. 

API를 COPY하고 프로그램에 붙여넣기 합니다. 

8. 이번에는 integeration Key랑 Secret Key 복사합니다. 

9. 만약에 Cisco DUO가 문제 있을때 랜선을 빼서 offline으로 만들면 Local User로 로그인 가능합니다.

꼭 체크 합니다.  

10. enable를 체크하고 next를 선택합니다. 

11. Next 를 눌러서 설치를 진행하고 설치가 완료 되면 Finish버튼을 클릭 합니다. 

12. 서버를 log-out하고 로그인을 시도 합니다.

하지만 로그인이 실패하였습니다.

이유는 Cisco DUO에 administrator 계정이 없습니다.

설정 방법은 크게 2가지가 있습니다.

1. Active Directory랑 cisco DUO랑 연동해서 자동으로 User들을 cisco DUO cloud에 등록하는 방법

2. 또는 cisco duo에서 수동으로 user를 등록하는 방법.

13. cisco DUO에서 계정을 생성합니다.

오른쪽 위에 Add User를 선택합니다. 

14. 유저 이름에 administrator입력합니다. 

그리고 add phone를 클릭 합니다. 

15. 휴대폰을 입력하고 add phone를 선택합니다. 

16. 계정과 휴대폰 번호가 추가 되었습니다.

이제 테스트 해보겠습니다.

저는 이미 휴대폰에 cisco DUO를 설치 했고 activation 한 상태에서 그냥 administrator를 추가 적으로 등록 했기 떄문에 바로 테스트 가능 합니다.

17. 패스워드를 입력 합니다. 

18. AD인증은 끝났고 이제 DUO 프로그램이 cisco duo cloud에 패킷을 보내서 휴대폰 번호를 확인후 휴대폰으로 push 메시지를 전송 합니다. 

19. Approve버튼을 클릭 합니다. 

20. 로그인이 성공 하였습니다.

지금까지 windows server 2019에 cisco DUO RDP프로그램을 설치해서 2FA 연동해보았습니다.