F5 SSL VPN结合DKEY短信认证方案

上海宁盾信息科技有限公司DKEYforF5本方案为F5BIG-IPEDGE的SSLVPN或FirePassSSLVPN增加宁盾DKEY短信二次认证保护，支持AD/LDAP账户源。问题描述员工在内外网办公环境下借助F5SSLVPN访问资源各种应用资源很多人仍然采用初始密码或者过于简单的静态密码登录偶尔发生过登录密码遗忘事件，当用户量级大（如运营商、金融），密码管理相关成本将大大增加弱口令容易的内网信息系统泄漏事件由于没有及时回收帐号，企业离职员工仍然有应用或服务器的访问权限制执行员工定期更换VPN登录密码计划引起很多人的不满1.2目标提升VPN用户登录安全，消除弱身份鉴别带来的潜在信息泄漏风险减小静态密码遗忘或定期强制更改登录密码给员工与IT管理人员带来的开销，节约企业管理成本做到用户登录可审计，明细职责无需携带额外硬件设备，实现双因子认证2.方案简介传统SSLVPN的双因子认证技术是基于硬件令牌方式，IT管理员会为每个VPN用户分配分发一只令牌，VPN用户登录时输入令牌上显示的6位随即数字，即可完成登录是目前最为常用的强身份认证方案，它最大优点在于认证响应度高，然而采用此种方式用户需携带额外硬件设备，移动办公用户可能由于忘记携带或者丢失导致无法认证情形。短信密码通过短信方式将包含随机密码的文本发送至用户手机上，通常用户会随身携带手机，无需携带额外硬件，无需安装软件，因此它是安全与便捷紧密结合的双因子认证解决方案。F5SSLVPN结合DKEY短信密码认证，通常F5VPN帐号是托管在AD/LDAP中，在完成域帐号认证之后，认证服务器会随机生成一个一次性密码并通过短信网关发送到用户手机上，用户输入至二级认证框并提交验证后才能完成认证;这是F5域账户和动态密码的双重认证，因而能够很有效的保证账户信息的安全性，同时该方案兼容令牌认证。2.1认证流程用户登录认证的流程如下：1.用户在网络接入设备F5VPN提供的登录页面中输入用户的帐号口令；在PC上通过Web访问的截图如下：2.F5Firepass通过radius协议将帐号和加密后的口令提交给radius动态短信认证系统进行认证。3.radius动态短信认证将接收到的帐号与口令拿到LDAP上面去鉴权，如果鉴权通过，则生成动态口令并通过短信发送给用户，通过发给F5一个radius协议中的“challenge”消息；如果鉴权失败，则返回给F5一个radius协议中的“reject”消息。4.F5根据radius系统返回的challenge消息，反馈给用户进一步输入动态口令的页面；如果radius系统返回的是reject消息，F5则立即提示用户认证失败。在PC上通过Web访问的截图如下：5.用户收到动态口令短信之后在F5提供的进一步输入动态口令的页面中输入动态密码，并提交后。F5再通过radius协议将动态密码传输给radius系统做进一步认证。6.Radius系统将F5传过来的动态密码与系统中记录的数据进行比对，根据结构反馈给NETSCALER一个“accept”或者“reject”消息。7.如果F5接收到reject消息，则提示用户认证失败；反之如果接收到accept消息，则在F5上面的认证成功完成。2.2系统组成名称型号规格数量提供方DKEY短信认证服务器软件DKEYTMS-Express2个副本，双机互备方案。宁盾短信网关集成客户方提供短信网关接口，宁盾负责集成入DKEYTMS1客户/宁盾服务器2G内存、双核、硬盘140G以上，支持跨平台部署。2台（热备方案），如果增加短信猫作为高可靠性方案，则客户方需提供2台物理机部署。客户3.配置要点3.1F5配置要点参考《F5VPN_Radius配置手册.PDF》3.2DKEYTMS系统相关配置3.2.1登录启动浏览器，登录(默认3080)/，输入域用户名（默认dkeyserver）和密码（默认dkeyserver）登录：3.2.2配置RADIUS从导航栏打开“RADIUS配置”，将认证模式设为“多次认证”，认证内容设为“静态和动态密码”，勾选“RSA兼容模式”，如果希望不允许未绑定手机的用户登录则勾选“强制强认证”：从导航栏打开“当前域设定”，客户端密码是F5VPN中配置Radius服务器中输入的密码，缺省是dkeyserver。3.2.3添加手机属性从导航栏打开“认证管理”-“通用属性”，添加mobile属性：3.2.4添加AD用户源从导航栏打开“认证管理”-“用户列表”，点击“添加用户数据源”：配置说明：名称：数据源的名称，可随意填写；协议：AD使用LDAP协议进行访问；地址：域控制器的地址；端口：LDAP默认端口389；根：配置LDAP根。上图的示例与下图的AD配置对应：表示以“test.ndkey.com”域的“ningdun”OU作为根目录；只读：目前DKEYTMS不支持AD的写入操作，请勾选此选项；用户名：AD中的一个用户名；密码：该用户的密码；唯一标识字段：AD的特殊配置，请填写objectGUID；用户名字段：AD的特殊配置，请填写userPrincipalName；登录名匹配；@后缀为域名。AD用户数据源添加成功之后可以点击“认证管理”-“用户列表”，选择刚刚添加的数据源进行查看：3.2.5映射手机属性DKEYTMS支持从AD中直接提取用户手机号。点击“认证管理”-“用户列表”，选择新添加的AD数据源，点击操作栏的“属性映射”-“添加映射”：将目标属性和源属性都设为“mobile”。3.2.6设定短信密码点击“消息型令牌”-“令牌设定”。选择“SMS_Plain”型号并点击“选择”，页面将显示短信密码的设定情况：将检索属性设为“mobile”，DKEYTMS可以直接提取用户的手机号属性用于发送密码。3.2.7为用户绑定手机号码在域控制器上双击目标用户，在属性窗口点击“电话”标签，在“移动电话”输入框填入用户手机号码：3.2.8配置短信发送通道DKEYTMS本身支持多种短信发送方式。默认安装提供短信猫和DKEY短信代理的配置文件。参见《短信猫及短信网关配置文档》