COMMENT CONFIGURER UN VPN AVEC UNE AUTHENTIFICATION A MULTIPLES FACTEURS (en anglais, MFA : Multiple Factor Authentication) ?
Problématique :
Se connecter à distance à votre réseau d’entreprise par VPN, avec une authentification à multiples facteurs.
Pré-requis :
Il vous faut d’abord installer :
- Cisco ASA.
- ISE.
- Une machine Windows pour manager l’ISE.
- Une machine Windows Server pour y configurer l’Active Directory (2016 de préférence).
- Une machine Windows Server pour y configurer Duo Proxy (2016 de préférence).
- Et enfin au moins un client Windows pour le test du VPN.
Topologie :
Description détaillée :
L’utilisateur va utiliser l’outil Anyconnect pour se connecter au VPN.
Dans cet outil, il va saisir un nom d’utilisateur et un mot de passe pour s’authentifier. Ces informations vont être envoyées au ASA VPN.
Ce dernier va envoyer la requête à Cisco ISE(1).
Comme l’ISE ne gère pas l’authentification, il va la transférer à celui qui gère cela (le Duo Authentication Proxy) (2).
Le Duo Proxy vérifie si l’utilisateur est dans l’annuaire de l’Active Directory ou pas (3) et il va avoir la réponse (4). Si l’utlisateur est dedans, il va à nouveau vérifier si cet utilisateur est enrollé dans le Duo Cloud (5). Si oui, le Duo Cloud va demander à l’utilisateur de confirmer son identité en envoyant un push vers le téléphone du client (6).
Si le push est accepté (7), le cloud relaie la confirmation au Duo Proxy (8) qui va à son tour notifier l’ISE que l’authentification a réussi (9).
Maintenant, l’ISE va vérifier si l’utilisateur est autorisé à accéder au réseau ou pas, en utilisant les groupes qui ont été créés dan l’Active Directory, avant de notifier à l’ASA que l’utilisateur peut ou non accéder par VPN au réseau (10).
Si l’autorisation est Ok, l’ASA établit la connexion.
Dans la partie qui suit, vous trouverez des liens qui mènent vers chacune des configurations des technologies utilisées.
Techno Skills 