取消
显示结果 
搜索替代 
您的意思是: 
cancel
7569
查看次数
30
有帮助
7
回复

ASA5520 远程VPN身份认定问题

abc19
Level 1
Level 1
现在有ASA5520,做的EZVPN,员工使用vpnclient软件方式拨入公司。
现在采用的用户和密码及共享密钥做验证。
现在有个问题就是如何防止员工在非公司的PC使用vpn,或者说就是指定哪台设备能用vpn,即使知道密码也没用!
ipsec拨号,好像不能使用mac地址作验证,不知道还有什么其它方法能实现?
7 条回复7

YilinChen
Spotlight
Spotlight
有办法,基于证书来实现,每账号都必须有独立的证书,通过CA证书双向验证,结合AD域环境。

abc19
Level 1
Level 1
YilinChen 发表于 2017-12-28 12:16
有办法,基于证书来实现,每账号都必须有独立的证书,通过CA证书双向验证,结合AD域环境。

那就是要架设一台域服务器,一个域证书服务器,然后外带笔记本加入域并申请ipsec拨号的证书
ASA ezvpn 认证方式选择域证书服务器。
以前架设过独立的CA和网站的SSL认证,是有证书就能正常使用,不管接入设备,就像U-KEY一样。
如果域企业CA服务器的话,是不是不加入域就无效??也就是说即使CA证书,换到别的电脑,因为没有加入域,也无法使用??

YilinChen
Spotlight
Spotlight
unine 发表于 2017-12-28 14:16
那就是要架设一台域服务器,一个域证书服务器,然后外带笔记本加入域并申请ipsec拨号的证书
ASA ezvpn ...

是没有U-KEY状态,靠域+证书来绑定物理机

abc19
Level 1
Level 1
本帖最后由 unine 于 2017-12-29 15:11 编辑
YilinChen 发表于 2017-12-28 14:32
是没有U-KEY状态,靠域+证书来绑定物理机

我拿网站测试了域CA在工作组和域环境的区别
申请域证书PC,不管是域或工作组中都能正常访问网站。把证书复制到其它域PC,证书能导入私钥的不管用户都能正常访问,不能导入证书的则无法访问网站。
把证书复制到工作组PC,都不能访问网站
如果还有一些非公司员工也要使用,不知道用ISE怎么认证。我看资料,好像ISE验证客户端大多都是杀毒软件、硬盘加密,注册表之类的,不知道有什么好的方法吗?

abc19
Level 1
Level 1
YilinChen 发表于 2017-12-28 14:32
是没有U-KEY状态,靠域+证书来绑定物理机

不好意思,再请教一下层主。
我看官网一篇文章,《用数字证书和Microsoft CA的ASA/PIX 8.x和VPN客户端IPSec认证使配置示例》,这篇文章的windows ca服务器部署在公网环境
假如我的CA服务器部署在私网,是CA服务器-->ASA5520-->公网-->VPN client客户端。
这时我的客户端的证书的CRL指向应该是http://CA服务器地址,是不是需要ASA上做NAT,我公网80端口映射到CA服务器的地址,还是vpnclient客户端去ASA查找crl,不需要做80端口的映射?

YilinChen
Spotlight
Spotlight
CA基于用户信息发证书,强制要求vpnclient拨号时,要基于证书,做双向认证;用户在哪个终端上安装证书,本身并不能100%控制,但如果又强制要求加域,可能就更可控一点:P

one-time
Level 13
Level 13
感谢您的提问,若您的问题已解决,还请标记最佳答案,来鼓励一下为您解决问题的用户吧!
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接