ASA技術提示:安全地部署SSL VPN以及VMware View
原創【51CTO.com 獨家譯稿】我將為大家介紹如何在將VMware View部署在自己無法控制或不受信任的主機上時,利用思科的SSL VPN來保障其運行安全。由于自備電腦進行工作的風氣愈發盛行,加之VDI也開始涉及B2B(即企業間業務往來,尤其是供應商與承包商之間)合作伙伴間的訪問業務,如何安全地將VDI部署于其中就顯得格外重要。在這里我會提出一些建議,幫助大家利用思科的ASA SSL VPN方案保證View運行環境的安全穩定。
1.對基于SSL VPN portal的無客戶端瀏覽器網絡用戶進行驗證。盡可能地使用雙重身份驗證。也就是說利用AD值(即距離值)及認證證書這兩種因素協同審核。
2.鎖定思科的非客戶端portal并清空瀏覽器的緩存。緩存清空是指刪除掉cookie信息、臨時文件等瀏覽器所保存的資料,注意這時需要斷開SSL VPN。
#p#
3.在身份驗證通過之后,盡快安裝并運行思科AnyConnect SSL VPN客戶端。這一過程將設置一套來自主機的完整VPN通路。大家所設定的anyconnect以及portal集群方案會自動安裝。
我們在集群方案中所配置的整套VPN通路如下所示
4.Anyconnect將會對主機狀態進行評估,以確保該主機已經安裝了所有必要的補丁、執行了安全控制工具并具備正確的硬件運行要求。大家也可以進行檢查,看看這臺企業所有或是企業控制的主機是否應用了認證檢查或注冊檢查。首先在集群方案中設置如下狀態模塊。
接下來,下圖為設置并啟用主機掃描
#p#
然后在CSD主機掃描中啟用高級端點評估
最后,配置DAP(即數據獲取與處理)以檢查主機狀態及AAA認證(即身份驗證、授權及統計)。
5.在狀態評估階段,大家同樣要進行檢查以確保主機上安裝并運行了防病毒客戶端,且已升級至最新版本。我們還將依靠A/V客戶端來檢測系統中是否存在鍵盤記錄程序。如果A/V客戶端不是最新版本,Anyconnect能夠自動為其升級。#p#
6.根據狀態評估掃描所反饋的結果來執行任何自動或手動的修復工作。而如果主機被證明存在重大的安全問題,客戶端會自動斷開連接。
7.為VMware View設置執行方案,以確保以下項目被鎖定
一、剪貼板功能被鎖定以保證剪切、粘貼、復制這些操作從VDI到主機都無法進行;
二、禁用所有的主機驅動器從/到VDI主機的讀寫操作(包括USB接口、映射驅動器以及本地硬盤驅動器訪問等等)
8.在主機上自動安裝(如果尚未安裝)并運行View客戶端。這可以通過讓Anycconect在網絡連接上運行腳本的方式實現。VBS(即采用VB編寫的腳本)或bat(即批處理文件)腳本將對View客戶端進行檢查,若該客戶端不存在,則腳本會進行下載并安裝。如果View客戶端已存在,則腳本會將其啟動。
9.對那些能夠在View和Anycconect會話處于活動狀態時運行的應用程序進行鎖定。大家可以通過建立應用程序白名單或者黑名單的方式來達到這種運行控制要求。要實現此功能,我們需要將主機注冊表中的信息利用前面提到的腳本進行修改。而想要將這些變更進行移除,大家要利用到脫機腳本。#p#
以下是一個VBS腳本范例,大家可以根據自己的使用習慣進行修改。只要將其載入ASA防火墻即可。
- If WScript.Arguments.length =0 Then
- 'run script as administrator
- Set objShell = CreateObject("Shell.Application")
- 'Pass a bogus argument with leading blank space, say [ uac]
- objShell.ShellExecute "wscript.exe", Chr(34) & _
- WScript.ScriptFullName & Chr(34) & " uac", "", "runas", 1
- Else
- 'Add your code here
- Dim WshShell
- Set WshShell = WScript.CreateObject("WScript.Shell")
- 'code to prevent certain apps from running
- WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun", 1, "REG_DWORD"
- WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer", "DisallowRun"
- WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\1", "calc.exe", "REG_SZ"
- 'Code to open ie and direct it to vmware view download page
- wshShell.run "iexplore.exe -new http://downloads.vmware.com/d/info/desktop_downloads/vmware_view/4_6"
- 'code to start an application on the host
- 'wshShell.run "c:\Program Files\VMware\VMware View\Client\bin\wswc.exe"
- wshShell.run "%windir%\system32\notepad.exe"
- End If
- Set WshShell = Nothing
這里是為大家準備的VBS脫機腳本范例
- If WScript.Arguments.length =0 Then
- 'run script as administrator
- Set objShell = CreateObject("Shell.Application")
- 'Pass a bogus argument with leading blank space, say [ uac]
- objShell.ShellExecute "wscript.exe", Chr(34) & _
- WScript.ScriptFullName & Chr(34) & " uac", "", "runas", 1
- Else
- 'Add your code here
- Dim WshShell
- Set WshShell = WScript.CreateObject("WScript.Shell")
- 'code to undo DisallowRun registry keys
- WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun", 0, "REG_DWORD"
- WshShell.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\"
- End If
#p#
10.回到終止SSL VPN通路的ASA設備頭端,我們將希望能盡快為其分配防火墻保障體系。理想狀況下我們只允許作為通路的主機與自己的VMware View服務器會話,且該會話應通過指定的端口實現。
11.ASA設備上將運行僵尸網絡過濾及全套IPS(即互聯網協議群)。在主機安全控制的幫助下,這些客戶端將使整個通路覆蓋于僵尸網絡過濾機制之下,而且IPS會識別出所有來自接入主機的惡意軟件。首先如下圖所示,啟用僵尸網絡過濾功能。然后啟用dns監控并對流量配置進行設定以對全部或是指定接口進行掃描。最后,根據危險級別對操作模塊進行配置。
#p#
12.別忘了關注View 桌面程序自身的安全。正在運行的應該是A/V,PFW(即任務進程信息),A/S等等,類似一般主機的常見狀態。我們同樣要像在一般主機上那樣處理這些程序的網絡接入及安全問題。這意味著將其數據包運行在IPS,防火墻以及網頁過濾功能等等的保護之下。由于vSphere服務器的固有漏洞具有相當大的安全隱患(目前所有view桌面程序都存在該漏洞),因此我們一定要最大限度地發揮VMware vSphere服務器自身的基礎保護能力。
在部署的過程中,我們有許多情況要考慮并制定出解決方案。希望我的文章能為大家提供一點幫助。如果大家認為我在某些方面有所遺漏,請留言告知。當然,我在文中所提到的方法絕不是惟一的,大家可以隨意挑選自己更喜歡的方案來達到目的。
這是一篇ASA管理員指南文章的鏈接
http://www.cisco.com/en/US/products/ps6120/products_installation_and_con...
www.cisco.com/go/asa
這是一篇VMware View介紹文檔的鏈接
http://www.vmware.com/support/pubs/view_pubs.html
原文鏈接:http://www.networkworld.com/community/node/73261
【51CTO.com獨家譯稿,非經授權謝絕轉載!合作媒體轉載請注明原文出處及出處!】
【編輯推薦】
