
こんにちは! この度 Cisco Duo の ITDRの動作について確認を行いました。
Duo ITDRとは
Duo の ITDR(Identity Threat Detection & Response) は、ユーザー ID を悪用した攻撃を検出し、リスクに応じた対応を行うための Duo のアイデンティティ脅威対策機能です。 従来の MFA だけでなく、ユーザー、認証、アクセス、デバイス、他社 ID 基盤などの情報を横断的に見て、「このユーザー/セッション/ID は信頼できるか」を判断する機能です。
設定
設定自体は非常に簡単です。 細かい内容については自分のブログに記載の内容をご確認ください。
https://licensecounter.jp/engineer-voice/blog/articles/20260401__asaduoitdr.html
検証
概要
今回行った検証の全体概要図は以下のようになっています。
ASAにはグローバルIPアドレスを持たせています。接続PCもASAとは別のグローバルIPアドレスを持ちインターネットに接続しています。
まずASAにリモートアクセスVPNを設定します。 そのうえでWeb loginを有効にしておきます。そしてDuoによるMFAを設定します。
ASA側でWeb loginを有効化しておくことによってASAは接続PCのブラウザからHTTPSで接続してきたクライアントに対してリモートアクセスVPNの認証を用いて相手を確認(認証)します。
1回目の認証
1回目は日本にある接続PCのブラウザから同じく日本にあるASAに対してログインし認証を行いました。
Duoは接続PCの送信元IPアドレスが日本であることを検知しています。そしてDuo側の設定に従いMFAも稼働し問題なく認証が通ります。
2回目の認証
2回目の認証を行います。
2回目はVPNを利用し接続PCをカナダのVPN GWへ接続します。
VPN接続が完了してから接続PCのブラウザからASAに対してHTTPSで接続を行います。
このようにVPNを利用することにより接続PCの送信元IPアドレスを日本ではなくカナダにしてしまいます。
2回目の認証も正常に終了しASAへ接続することができました。
結果
ITDRのレポートを見ると通常「Trusted」となっているトラストレベルが「Neutral」に変化しています。
詳細を確認すると新しい国からアクセスがあったことを表示しています。
認証的には成功しているものの、Duoからはユーザーに状況を確認することを推奨しています。
最後の画像はブラウザの日本語翻訳を利用しています。。。
他のログとしてDuo側のReports > Authntication Logから「Risk Assessment Detections」に「Unrealistic travel」をチェックしてログを確認していただくと時間的に移動不能な距離でのアクセスであったとDuoが検知していることが確認できます。
備考
ITDRの結果表示には少し時間がかかります。
リフレッシュが可能ということなのですが、検証時においてはうまく動作していませんでした。
資料のご紹介 「ASAとDuo連携設定資料(ITDR)」
著者紹介
SB C&S株式会社
技術本部 技術統括部 第3技術部 1課
柴山 弘
