GlobalProtect: Autenticación de dos factores basada en contraseña única
Resolution
Por Sivasekharan Rajasekaran
Fondo
Las empresas requieren métodos de autenticación más fuertes como contraseñas de un solo tiempo (OTPs) antes de permitir a los usuarios acceder a recursos corporativos. Al requerir OTP autenticación basada, las empresas pueden evitar que los atacantes usen credenciales de usuario robadas y obtengan acceso no autorizado. Sin embargo, cualquier implementación que requiera OTP recibe un retroceso de los usuarios finales, ya que consideran las OTPs como una experiencia de usuario dolorosa.
Objetivo
GlobalProtect admite OTP la autenticación basada y también proporciona maneras de mantener la experiencia del usuario mejor. El objetivo de este documento es proporcionar a los administradores empresariales información sobre diferentes OTP flujos de trabajo de autenticación y GlobalProtect ayudarles a decidir sobre el escenario de GlobalProtect autenticación que cumpliría con sus requisitos de seguridad y cumplimiento y al mismo tiempo mantener la experiencia del usuario fácil y sencilla.
OTP Autenticación para GlobalProtect
GlobalProtect admite OTP la autenticación basada a través o y esto permite ser completamente RADIUS SAML GlobalProtect agnóstico para el OTP proveedor. GlobalProtect puede trabajar con cualquier OTP proveedor siempre y cuando lo habiliten usando o RADIUS SAML . Dependiendo de cómo OTP se configure el servicio, los usuarios autenticarían usando uno de estos 2 flujos de trabajo:
- El usuario proporciona nombre de usuario y contraseña primero y, a continuación, solo después de desafiar proporciona el OTP archivo . podría ser push para aprobar o código de OTP SMS token.
- El usuario proporciona nombre de usuario OTP y/o contraseña a la vez sin esperar a un desafío
GlobalProtect soporta ambos flujos de trabajo.
Para que una configuración de muestra RADIUS en Duo logre estos 2 flujos de trabajo refieran "Ejemplodeconfiguración duo"al final de la sección.
Requerir OTP autenticación basada en el modo Always-On – Consulte aquí
Requerir OTP autenticación basada en el modo bajo demanda
Cuando GlobalProtect se implementa en modo bajo demanda, el usuario se conectará manualmente según sea GlobalProtect necesario. Este modo es el caso típico de uso remoto seguro donde los usuarios remotos VPN configuran el túnel para obtener acceso a los recursos del centro de datos corporativo y desconectar VPN cuando ya no necesitan acceso a una red interna del centro de datos.
Caso de uso 1: Requerir OTP autenticación para en modo bajo demanda GlobalProtect usando RADIUS
En un método de conexión bajo demanda, GlobalProtect el agente siempre se autentica primero en el portal y, a continuación, la puerta de enlace cada vez que el usuario inicia la conexión a GlobalProtect . Requerir OTP autenticación tanto en el portal como en la puerta de enlace significaría que el usuario recibiría OTP dos solicitudes (una por el portal y, a continuación, por la puerta de enlace). Sin embargo, GlobalProtect (a partir de PAN OS 7.1 y GlobalProtect 3.1) ofrece invalidación de autenticación, una característica que minimiza el número de veces que se solicita autenticación a un usuario. Para más detalles sobre la invalidación de autenticación, refiera: autenticación mejorada de dos factores
Configuración recomendada:
- Requerir OTP autenticación tanto para el portal como para la puerta de enlace
- En el portal,
- Configure guardar credenciales de usuario para "guardar sólo el usuario"
- Habilitar la anulación de autenticación y habilitar tanto el reemplazo de cookies de autenticación como la aceptación de cookies para la autenticación.
- Establezca la duración de la cookie en N ' horas. ' ' horas es cuánto tiempo no se le pedirá al N usuario credenciales de nuevo. Elija ' N ' en función de la experiencia de usuario que desea proporcionar.
- En la pasarela,
- Habilitar la anulación de autenticación y habilitar tanto el reemplazo de cookies de autenticación como la aceptación de cookies para la autenticación.
- Establezca la duración de la cookie en N ' horas.
- Asegúrese de utilizar el mismo certificado para cifrar/descifrar cookies tanto en portal como en Gateway.
- Nota: El uso de un certificado dedicado para el cifrado y descifrado de la cookie de autenticación proporciona flexibilidad si alguna vez es necesario revocar el certificado utilizado para la invalidación de autenticación.
Con esta configuración, cuando el usuario final inicia manualmente la conexión a GlobalProtect , la experiencia del usuario final sería:
flujo de trabajo – 1
flujo de trabajo – 2
Caso de uso 2: Requerir OTP autenticación para en modo bajo demanda GlobalProtect usando SAML
A partir de PAN OS 8.0 y GlobalProtect 4.0, GlobalProtect admite la SAML autenticación. Cuando se utiliza SAML , el agente abre una vista web / navegador GlobalProtect incrustado para servir la página de inicio de sesión desde SAML idp y permitir que el usuario complete la autenticación. Debido a que es un navegador diferente (navegador incrustado),
Nota: GlobalProtect App 5.2+ y Pan-OS 8.1.17,9.0.11,9.1.6,10.0+ y versiones posteriores admiten la capacidad de iniciar el Navegador del sistema predeterminado en lugar del navegador integrado cuando se utiliza la SAML autenticación.Puede encontrar más información aquí.
- SAML cookie obtenida mediante la autenticación a GlobalProtect no se puede utilizar para proporcionar a otras aplicaciones SSO SAML habilitadas y viceversa.
- SAML cookie obtenida mediante la autenticación GlobalProtect a no persiste a través de reinicios y cierres de sesión.
Para lograr una autenticación transparente incluso cuando se utiliza OTP a través de , la configuración recomendada SAML es:
- Requerir SAML autenticación tanto para el portal como para la puerta de enlace
- La configuración de IdP decide cuánto tiempo es válida la SAML cookie. Mientras la SAML cookie persista y sea válida, el usuario experimenta una autenticación transparente para GlobalProtect .
Para obtener información sobre cómo configurar SAML la autenticación para utilizar GlobalProtect Okta, consulte aquí.
Para proporcionar autenticación transparente entre reinicios y cierres de sesión, utilice la característica de anulación de autenticación de GlobalProtect
- En el portal,
- Configure guardar credenciales de usuario para "guardar sólo el usuario"
- Habilitar la anulación de autenticación y habilitar tanto el reemplazo de cookies de autenticación como la aceptación de cookies para la autenticación.
- Establezca la duración de la cookie en N ' horas. ' ' horas es cuánto tiempo no se le pedirá al N usuario credenciales de nuevo. Elija ' N ' en función de la experiencia de usuario que desea proporcionar.
- En la pasarela,
- Habilitar la anulación de autenticación y habilitar tanto el reemplazo de cookies de autenticación como la aceptación de cookies para la autenticación.
- Establezca la duración de la cookie en N ' horas.
- Asegúrese de utilizar el mismo certificado para cifrar/descifrar cookies tanto en portal como en Gateway.
- Nota: El uso de un certificado dedicado para el cifrado y descifrado de la cookie de autenticación proporciona flexibilidad si alguna vez es necesario revocar el certificado utilizado para la invalidación de autenticación.
- En el portal,
Para las recomendaciones para OTP la autenticación en el modo GlobalProtect always-on, refiera a la siguiente parte de esta serie aquí.
Ejemplo de configuración de dúo
La configuración de muestra para que Duo alcance los 2 flujos de trabajo:
Para obtener información más detallada sobre cómo configurar Duo para proporcionar OTP GlobalProtect autenticación, consulte aquí.
Flujo de trabajo 1: El usuario proporciona nombre de usuario y contraseña primero y, a continuación, solo después de desafiar proporciona el OTP archivo . podría ser push para aprobar o código de OTP SMS token.
Flujo de trabajo 2: El usuario proporciona nombre de usuario OTP y/o contraseña a la vez sin esperar a un desafío
[ad_client]
host= AD- Servidor>
service_account_username =<administrator></administrator>
service_account_password =<administrator’s password=""></administrator’s>
search_dn= DC =acme, DC =com
[duo_only_client]
[radius_server_challenge]
iKey =<duo-integration-key></duo-integration-key>
skey =<duo-security-key></duo-security-key>
api_host =<duo-host-name></duo-host-name>
radius_ip_1= firewall -mgmt-ip>
radius_secret_1 =<radius-secret></radius-secret>
Client = ad_client
failmode = seguro
Puerto = 1812