Configurar MFA para un Firebox

Puedes añadir AuthPoint como servidor de autenticación a los Fireboxes que ejecutan Fireware v12.7 o superior. Esto facilita la configuración de la MFA AuthPoint para:

  • Mobile VPN with SSL
  • Mobile VPN with IKEv2
  • Firebox Web UI
  • Portal de Autenticación del Firebox

Para habilitar AuthPoint como servidor de autenticación en un Firebox, debes añadir un recurso Firebox en AuthPoint. Después de configurar un recurso Firebox en AuthPoint, el servidor de autenticación AuthPoint se habilita en tu Firebox.

Cuando configuras un recurso Firebox para añadir MFA a un Firebox, AuthPoint recibe la dirección IP del usuario final, por lo que se aplican objetos de política de ubicación de red cuando un usuario se autentica con un cliente VPN.

No tienes que añadir un recurso Firebox a la configuración de tu Gateway, aunque el recurso Firebox tenga MS-CHAPv2 habilitado. En esta situación, el Firebox valida la contraseña del usuario con NPS, y AuthPoint autentica al usuario con MFA.

Tu Firebox debe ejecutar Fireware v12.7.1 o superior para autenticar a los usuarios de Azure Active Directory con el servidor de autenticación AuthPoint.

Antes de Empezar

Antes de añadir AuthPoint como servidor de autenticación en tu Firebox, asegúrate de haber registrado y conectado el dispositivo a WatchGuard Cloud como Firebox gestionado localmente. La integración de AuthPoint no está admitida en los Fireboxes gestionados en la nube.

Para obtener instrucciones detalladas sobre cómo registrar y conectar tu Firebox a WatchGuard Cloud, consulta Añadir un Firebox Gestionado Localmente a WatchGuard Cloud.

Flujo de Trabajo de Autenticación

Cuando configuras AuthPoint como servidor de autenticación para usuarios de Mobile VPN with SSL, Mobile VPN with IKEv2, el Portal de Autenticación del Firebox o Fireware Web UI:

  1. El Firebox reenvía las solicitudes de autenticación de usuarios directamente a AuthPoint.
  2. AuthPoint coordina la autenticación multifactor (MFA):
    • Usuarios locales —AuthPoint valida el primer factor (contraseña) y el segundo factor (notificación push o contraseña de un solo uso)
    • Usuarios de LDAP — AuthPoint ordena al Firebox que se ponga en contacto con Active Directory para validar el primer factor (contraseña). AuthPoint valida el segundo factor (notificación push o contraseña de un solo uso).
    • Usuarios de Azure Active Directory — AuthPoint se pone en contacto con Azure Active Directory para validar el primer factor (contraseña). AuthPoint valida el segundo factor (notificación push o contraseña de un solo uso).
  3. El Firebox pide al usuario que seleccione una opción de autenticación:
    • Si el usuario selecciona la opción push, AuthPoint envía una solicitud push al teléfono del usuario.
    • Si el usuario selecciona la opción de contraseña de un solo uso, el Firebox pide al usuario que especifique una contraseña de un solo uso (OTP).

El flujo de trabajo de autenticación depende de la funcionalidad de Fireware:

  1. El usuario inicia una conexión VPN desde un cliente de Mobile VPN with SSL al Firebox.
  2. El Firebox reenvía la solicitud a AuthPoint.
  3. AuthPoint determina si el usuario es local y tiene una política de MFA válida.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se pone en contacto con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
  1. El usuario inicia una conexión VPN desde un cliente de Mobile VPN with SSL al Firebox.
  2. El Firebox reenvía la solicitud a AuthPoint.
  3. AuthPoint determina si el usuario es un usuario de Active Directory.
  4. AuthPoint informa al Firebox de que el servidor de Active Directory debe validar al usuario.
  5. El Firebox envía las credenciales del usuario al servidor de Active Directory (solicitud de vinculación LDAP).
  6. Active Directory valida las credenciales del usuario y responde al Firebox.
  7. El Firebox envía una solicitud de MFA a AuthPoint.
  8. AuthPoint verifica que el usuario tenga una política de MFA válida.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push
      3. AuthPoint recibe la aprobación push y se pone en contacto con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
  1. El usuario inicia una conexión VPN desde un cliente de Mobile VPN with SSL al Firebox.
  2. El Firebox reenvía la solicitud a AuthPoint.
  3. AuthPoint determina si el usuario es un usuario de Azure Active Directory.
  4. AuthPoint se pone en contacto con Azure Active Directory para validar el primer factor (contraseña).
  5. AuthPoint verifica que el usuario tenga una política de MFA válida y autentica al usuario.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se pone en contacto con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
  1. El usuario inicia una conexión VPN desde un cliente de Mobile VPN with IKEv2 al Firebox.
  2. El Firebox reenvía la solicitud a AuthPoint.
  3. AuthPoint determina si el usuario es local y tiene una política de MFA válida.
  4. AuthPoint autentica al usuario.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se pone en contacto con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
  1. El usuario inicia una conexión VPN desde un cliente de Mobile VPN with IKEv2 al Firebox.
  2. El Firebox reenvía la solicitud a AuthPoint.
  3. AuthPoint determina si el usuario es un usuario de Active Directory.
  4. AuthPoint informa al Firebox de que el servidor de NPS debe validar al usuario.
  5. El Firebox envía las credenciales del usuario al servidor de NPS para su validación (protocolo RADIUS). NPS es necesario para los usuarios de Active Directory que inician sesión desde un cliente de IKEv2.
  6. El servidor de NPS responde al Firebox.
  7. El Firebox envía una solicitud de MFA a AuthPoint.
  8. AuthPoint verifica que el usuario tenga una política de MFA válida.
  9. AuthPoint envía una notificación push al teléfono móvil del usuario.
  10. El usuario recibe y aprueba la notificación push.
  11. AuthPoint recibe la aprobación push y se pone en contacto con el Firebox.
  12. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
  1. El usuario inicia una conexión VPN desde un cliente de Mobile VPN with IKEv2 al Firebox.
  2. El Firebox reenvía la solicitud a AuthPoint.
  3. AuthPoint determina si el usuario es un usuario de Azure Active Directory.
  4. AuthPoint informa al Firebox de que el servidor de NPS debe validar al usuario.
  5. El Firebox envía las credenciales del usuario al servidor de NPS para su validación (protocolo RADIUS). NPS es necesario para los usuarios de Azure Active Directory que inician sesión desde un cliente de IKEv2.
  6. El servidor de NPS responde al Firebox.
  7. El Firebox envía una solicitud de MFA a AuthPoint.
  8. AuthPoint verifica que el usuario tenga una política de MFA válida.
  9. AuthPoint envía una notificación push al teléfono móvil del usuario.
  10. El usuario recibe y aprueba la notificación push.
  11. AuthPoint recibe la aprobación push y se pone en contacto con el Firebox.
  12. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
  1. El usuario se conecta al Portal de Autenticación del Firebox en el puerto 4100.
  2. El usuario proporciona las credenciales y selecciona el dominio de autenticación de AuthPoint.
  3. El Firebox reenvía la solicitud a AuthPoint.
  4. AuthPoint determina si el usuario es local y tiene una política de autenticación multifactor (MFA) válida.
  5. El usuario ve una página de autenticación que muestra los métodos de autenticación disponibles.
  6. El usuario selecciona un método de autenticación.
  7. El Firebox envía una solicitud de MFA a AuthPoint.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se pone en contacto con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
  1. El usuario se conecta al Portal de Autenticación del Firebox en el puerto 4100.
  2. El usuario proporciona las credenciales y selecciona el dominio de autenticación de AuthPoint.
  3. El Firebox reenvía la solicitud a AuthPoint.
  4. AuthPoint determina si el usuario es un usuario de Active Directory y tiene una política de MFA válida.
  5. AuthPoint comunica al Firebox que el servidor de Active Directory debe validar al usuario.
  6. El Firebox envía las credenciales del usuario al servidor de Active Directory (solicitud de vinculación LDAP).
  7. Active Directory valida las credenciales del usuario y responde al Firebox.
  8. El usuario ve una página de autenticación que muestra los métodos de autenticación disponibles.
  9. El usuario selecciona un método de autenticación.
  10. El Firebox envía una solicitud de MFA a AuthPoint.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se pone en contacto con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
  1. El usuario se conecta al Portal de Autenticación del Firebox en el puerto 4100.
  2. El usuario proporciona las credenciales y selecciona el dominio de autenticación de AuthPoint.
  3. El Firebox reenvía la solicitud a AuthPoint.
  4. AuthPoint determina si el usuario es un usuario de Azure Active Directory.
  5. AuthPoint se pone en contacto con Azure Active Directory para validar el primer factor (contraseña).
  6. El usuario ve una página de autenticación que muestra los métodos de autenticación disponibles.
  7. El usuario selecciona un método de autenticación.
  8. El Firebox envía una solicitud de MFA a AuthPoint.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se pone en contacto con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
  1. El usuario se conecta a la Web UI del Firebox.
  2. El usuario proporciona las credenciales y selecciona el dominio de autenticación de AuthPoint.
  3. El Firebox reenvía la solicitud a AuthPoint.
  4. AuthPoint determina si el usuario es local y tiene una política de autenticación multifactor (MFA) válida.
  5. Al usuario se le presenta una página de autenticación que muestra los métodos de autenticación disponibles.
  6. El usuario selecciona un método de autenticación.
  7. El Firebox envía una solicitud de MFA a AuthPoint.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se pone en contacto con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
  1. El usuario se conecta a la Web UI del Firebox.
  2. El usuario proporciona las credenciales y selecciona el dominio de autenticación de AuthPoint.
  3. El Firebox reenvía la solicitud a AuthPoint.
  4. AuthPoint determina si el usuario es un usuario de Active Directory y tiene una política de MFA válida.
  5. AuthPoint comunica al Firebox que el servidor de Active Directory debe validar al usuario.
  6. El Firebox envía las credenciales del usuario al servidor de Active Directory (solicitud de vinculación LDAP).
  7. Active Directory valida las credenciales del usuario y responde al Firebox.
  8. El usuario ve una página de autenticación que muestra los métodos de autenticación disponibles.
  9. El usuario selecciona un método de autenticación.
  10. El Firebox envía una solicitud de MFA a AuthPoint.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se pone en contacto con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario iniciar sesión.

Convertir Configuraciones de Fireware 12.6.x o Inferior

Esta sección solo se aplica a las configuraciones que usan un servidor de autenticación RADIUS AuthPoint creado manualmente. Si ya has configurado la MFA AuthPoint para tu Firebox con un recurso del cliente RADIUS y un servidor RADIUS en el Firebox, sigue los pasos de esta sección para convertir tu configuración a fin de usar el servidor de autenticación AuthPoint.

Las configuraciones creadas antes de Fireware v12.7 que usan un servidor de autenticación RADIUS para la AuthPoint Gateway continuarán funcionando después de que actualices a Fireware v12.7.

Si tienes un servidor de autenticación existente llamado AuthPoint, ese servidor de autenticación se renombrará automáticamente como AuthPoint.1 cuando hagas lo siguiente:

  • Actualizar tu Firebox a Fireware v12.7.
  • Usar WSM o Policy Manager v12.7 o superior para gestionar un Firebox que ejecuta Fireware 12.6.x o inferior.

Si tu servidor de autenticación AuthPoint existente se renombra y no es el servidor de autenticación predeterminado, los usuarios deben escribir el nuevo nombre del servidor de autenticación (AuthPoint.1) cuando inician sesión y usan ese servidor de autenticación.

Para convertir tu configuración a fin de usar el servidor de autenticación AuthPoint:

  1. Actualiza tu Firebox a Fireware v12.7 o superior.
  2. En AuthPoint:
    1. Añade un recurso Firebox para tu Firebox.
    2. Configura una política de autenticación para el nuevo recurso Firebox o añade el recurso Firebox a una de tus políticas de autenticación existentes.
  3. En Fireware:
    • Para configurar la MFA AuthPoint para una VPN, añade AuthPoint como servidor de autenticación primario para la configuración de Mobile VPN with SSL o Mobile VPN with IKEv2.
    • Para configurar la MFA AuthPoint para el Portal de Autenticación del Firebox, especifica AuthPoint como servidor de autenticación para usuarios y grupos.
  4. Prueba MFA con la nueva configuración.
  5. Borra tu configuración anterior:
    1. En AuthPoint, borra el recurso del cliente RADIUS existente y elimina el recurso del cliente RADIUS de tu Gateway.
    2. En Fireware, borra el servidor RADIUS que has configurado para la AuthPoint Gateway.

Configurar un recurso Firebox

Para añadir un recurso Firebox:

  1. En el menú de navegación, selecciona Recursos.
    Se abre la página Recursos.

  1. En la lista desplegable Elegir un Tipo de Recurso, selecciona Firebox. Haz clic en Añadir Recurso.
    Se abre la página del recurso Firebox.

Screenshot of the Firebox resource page.

  1. En el cuadro de texto Nombre, escribe un nombre descriptivo para el recurso.
  2. En la lista desplegable Firebox, selecciona el Firebox o el FireCluster que deseas conectar a AuthPoint. Esta lista solo muestra los Fireboxes y los FireClusters gestionados localmente que has añadido a WatchGuard Cloud.

Screenshot of the Firebox resource page.

  1. Para configurar el recurso Firebox a fin de que acepte solicitudes de autenticación MS-CHAPv2, haz clic en el botón de alternancia Habilitar MS-CHAPv2.
    Aparecen cuadros de texto adicionales.

    No tienes que habilitar MS-CHAPv2 si solo los usuarios de AuthPoint locales usan el cliente VPN IKEv2.

Screenshot of the Firebox resource page.

  1. En el cuadro de texto FQDN o IP de Confianza del Servidor RADIUS NPS, escribe la dirección IP o el nombre de dominio completo (FQDN) del servidor RADIUS NPS.
  2. En el cuadro de texto Puerto, escribe el puerto que NPS usa para la comunicación. El puerto predeterminado es 1812.
  3. En el cuadro de texto Timeout En Segundos, escribe un valor en segundos. El valor de timeout es la cantidad de tiempo que transcurre antes de que caduque una autenticación push.
  4. En el cuadro de texto Secreto Compartido, escribe la clave de secreto compartido que NPS y el Firebox usarán para comunicarse.

Screenshot of the Firebox resource page.

  1. Haz clic en Guardar.

Después de añadir el recurso Firebox en AuthPoint, el servidor de autenticación AuthPoint se habilita en tu Firebox. Para añadir MFA, debes configurar el Firebox para que use el servidor de autenticación AuthPoint.

Ver También

Acerca de las Políticas de Autenticación de AuthPoint

Integración de Mobile VPN with SSL del Firebox con AuthPoint

Integración de Mobile VPN with IKEv2 del Firebox con AuthPoint para Usuarios de Active Directory

Integración de Mobile VPN with IKEv2 del Firebox con AuthPoint para Usuarios de Azure Active Directory

Integración de Mobile VPN with IKEv2 del Firebox Cloud con AuthPoint para Usuarios de Azure Active Directory