A héten voltam a Cisco jóvoltából egy pár órás ismertető szeánszon a Duo Security kapcsán. Nem volt ismeretlen a termék, mert az ITBN-en és a vForum-on prezentált környezetben a 2nd factor termék, a Duo volt.
Alapvetően egy egyszerű szolgáltatás, de ez csalóka, mert a felhasználók szempontjából végletesen egyszerű, az adminisztrátorok könnyen emészthetőnek találhatják, a biztonsággal foglalkozó csoport pedig remeknek.
Ahogy körülnézek itthon, alapvetően két féle ügyfél létezik, akinek már van valami MFA/2FA megoldása és az akinek még nincs. Az előbbi használ valami token-es megoldást, certificate alapú rendszert, de szinte minden esetben igaz, hogy általában a második faktor bevezetése drága, folyamatos használata pedig komoly szakértelmet és adott esetben szintén méretes összeget igényel. Azok, akiknek még nincs a bevezetés bonyolultsága – és szintén a költségek miatt – gondolhatják azt, hogy nem nekik való. Ennek ellenére az igény és az egyre sokasodó támadások és egyéb biztonsági kockázatok megfelelő kezelése másképp nem lehetséges. Főleg igaz ez akkor, amikor a munkavállalóknak megengedjük a saját birtokukban lévő eszközök használatát a vállalat bármely rendszerének elérésére. Igaz ez a mobilok esetén is, ahol ma már nem ördögtől való megnézni a telefonon egy Sharepoint oldalt, hogy éppen mi a mai napra kiosztott teendő számukra stb.
Itt segíthet a Duo, ami egy SaaS megoldás, szóval akinél a felhő szó hallatán lemegy a roló, az szerintem nem lesz a Duo vásárlója. Akiknek ez nem jelent gondot annak véleményem szerint ez a perfect match. Azért is, mert a Duo mindenféle kommunikációjában igyekszik hangsúlyozni, hogy a felhasználói fiókok jelszava – illetve annak hash-e- nem kerül a birtokába, nem is szinkronizálja őket. Minden amit ők használnak, az kimerül a felhasználó nevében, a levélcímében és opcionálisan a telefonszámában – ez mondjuk tényleg nem kell csak ha hívást vagy SMS-t akarunk a második faktorra használni. Minden más esetben ott van a push.
Az okostelefonok penetrációja elég magasnak mondható így 2018 végén, ezért amennyiben rendelkezik valaki ilyen készülékkel és használt már például Viber-t, Messenger-t stb, találkoztatott a felső sorból előugró értesítéssel. Szóval a Duo Security app a telefonon, igény szerint egy a Duo – egyébként AWS-ben futó back-end-je által indítva – egy push üzenettel kéri a felhasználótól a belépés jóváhagyását/tiltását.
Bocsánat a képek minőségéért, de a Duo Security még a képernyőmentés funkcióját is letiltja az authentikáció alatt.
Már ebből a pár sorból is látszik, hogy mind az alkalmazás – admin által beírt módon – azonosítható, illetve saját ikon/branding is alkalmazható.
Itt már látható, hogy szabadon állítható módon vagy elegendő a zöld pipa megérintése vagy a biometrikus azonosítás. A fenti mentésen, látszik hogy az ujjlenyomatot is elkéri így végső soron az lesz a második faktor.
Alapvetően négy csomag van és véleményem szerint a 10 felhasználós Duo Free tökélesen alkalmas például otthoni használatra. De tényleg, ha valakinek van blog-ja, OpenVPN-je (mindkettőre aktívan használom).
A másik három szint már komolyabb és a Duo MFA-val már sok olyat is kapunk ami a vállalati ügyfeleknek érdekes lehet és egyben elengedhetetlen is. Ilyen a Directory Sync, amivel az on prem AD bizonyos entitásait (user/csoport) képes szinkronizálni, ezáltal azokra házirendeket alkalmazni. Még fontosabb a Single Sign-On képesség, ami nélkül nincs O365 védelem. Kiemelném, hogy például Cisco ASA-val SSL, Radius VPN, Check Point VPN, Palo Alto VPN, Fortinet SSL VPN esetén a Free is használható, pont úgy mint a Citrix Netscaler – személyes kedvencem – vagy éppen a Windows és MacOs kliensek védelmére. Korábbi demókban alkalmaztam már a VMware Horizon View integrálhatóságát is, de ha valakinek Microsoft RDS/VDI-je van, az sem kizáró ok.
Térjünk vissza egy pillanatra a Microsoft és MacOs klienseken történő használatra. Képes arra, hogy lokális vagy RDP bejelentkezés esetén második faktort kérjen. Ezt természetesen csak úgy képes megtenni, hogy a szükséges kliens telepítésre került az adott operációs rendszeren. Ez jelenti véleményem szerint a legnagyobb problémát is, ugyanis ezáltal minden kliensnek képesnek kell lennie elérnie a Duo szolgáltatását a publikus interneten TCP/443-on. Ha 1000 kliens van, akkor ez 1000 ilyen kapcsolat, ami bár nem permanens, de mégis furcsa, mivel nincs on prem komponens. Abban az esetben, mikor mégsem képes elérni az adott kliens a szolgáltatást, lehetséges a második faktor mellőzése(FailOpen) – na ennek aztán nincs értelme, mert például egy akarattal izolált kliens így “kinyitható”. Jobbnak találom ha marad bekapcsolva a telefonos alkalmazásból generálható olyan one time kód, amivel be lehet lépni. Az is megadható, hogy milyen felhasználók léphetnek be offline, illetve hányszor engedélyezett az maximum.
A Duo Access csomag már több betekintést ad a kliensek részleteibe. A felhasználó belépésekor képes ellenőrizni például a használt böngészőt, annak verzióját stb. és ha az nem megfelelő akkor javasol lépéseket a remediációra. A mobil eszközöknél, amelyeken telepítve van a Duo Security applikáció – azaz a második faktor kikényszerítésére használtak – biztosítható, hogy csak adott Android verzió használható, csak olyan eszköz amin titkosított a tárterület vagy például használnak PIN alapú képernyőzárat.
Ennél is komolyabb a bizonyos szintű geolocking, ami véleményem szerint jelen állapotában nagyon kezdetleges, de mindenképpen ígéretes ha belefaragják a GPS alapú meghatározást. Jelenleg országokra lehet lebontani a hozzáférés engedélyezését 2FA-val vagy éppen tiltását. Az országokhoz tartozó IP tartományokat a Duo Security kezeli. Be lehet állítani olyan IP-ket is, ahonnan nem kér második faktort, tipikusan ilyen lehet például a vállalat publikus IP-je amit a VPN GW vagy a proxy használ. Így ha valaki a vállalati hálózaton van, akkor nem kér második faktort.
A Duo Beyond az ami a legkomolyabb funkcionalitást nyújtja. Ezen a szinten már lehetséges olyan eszközöket megadni, amelyek alapértelemzetten biztonságosak, azaz ezekről a belépés lehetséges az adott alkalmazásba, rendszerbe. Ezt valami ügyfél által használt Certificate Authority-val képes megoldani, ő maga nem telepít azonban cert-et az adott kliensekre, azt másképp kell megoldani – MDM rendszer például. A Duo Network Gateway telepítése esetén – on prem – az használható egy, amolyan micro-VPN megoldásként. Miután authentikál hozzá a felhasználó, minden további VPN és authentikáció nélkül képes hozzáférni a vállalati belső alkalmazásokhoz – természetesen csak azokhoz amiket engedélyezünk.
Az App Level Segmentation még érdekes, alkalmazások szintjén lehet kezelni a fentebb említett engedélyezett hálózatokat, a 2FA szükségességét stb. Amúgy ezt csak globálisan lehet megtenni.
Összefoglaló
Véleményem szerint nagyon egyszerű bevezetni a Duo-t, tényleg egyszerű használni és amit ilyen szinten növeli a biztonságot és nem okoz a felhasználóknak túl sok bosszúságot, az “no brainer”. A felhasználók enrollment-je könnyen kezelhető, saját formátumra igazítható levelet tud kiküldeni a rendszer, amiben egy URL van, ahol a felhasználó akár saját maga képes az eszközén életre lehelni a Duo applikációt – QR kód – és felkészíteni azt a használatra.