Utilizar la Autenticación Multifactor (MFA) con Mobile VPN

Para mayor seguridad, puede solicitar a los usuarios móviles que proporcionen información, además de una contraseña, para autenticarse.

La autenticación multifactor (MFA) requiere que los usuarios proporcionen dos o más piezas de información, conocidas como factores, para autenticarse:

Primer factor — Contraseña asociada al nombre de usuario
Factores adicionales — Notificación push, contraseña de un solo uso (OTP) u otros factores admitidos por su servidor RADIUS y proveedor de MFA

La autenticación de dos factores (2FA) es un tipo de autenticación multifactor que requiere que los usuarios proporcionen exactamente dos piezas de información para autenticarse: la contraseña asociada con el nombre de usuario y otro factor. La mayoría de las soluciones de MFA de terceros utilizan autenticación de dos factores y contraseñas de un solo uso a través de solicitudes de desafío-respuesta.

Para proporcionar MFA a sus usuarios móviles, puede hacer lo siguiente:

Configurar AuthPoint
Configurar una solución de MFA de terceros

Configurar AuthPoint

AuthPoint, la solución de MFA basada en la nube de WatchGuard, funciona con todos los métodos de VPN móvil de WatchGuard.

Mobile VPN with IKEv2

Para obtener información general sobre la autenticación de usuarios de Mobile VPN with IKEv2, consulte Acerca de la Autenticación de Usuario de Mobile VPN with IKEv2. Para obtener información general sobre el flujo de trabajo de AuthPoint MFA para Mobile VPN with IKEv2, consulte Configurar la MFA para un Firebox. Para ver ejemplos de configuración, consulte Integración de Firebox Mobile VPN with IKEv2 con AuthPoint.

La autenticación de usuario Mobile VPN with IKEv2 en Active Directory a través de AuthPoint solo admite la autenticación basada en notificaciones push.

Los usuarios de Android que se conectan a través del cliente VPN strongSwan reciben notificaciones push de AuthPoint solo si configura strongSwan para el túnel dividido. Cuando está configurado para el túnel completo, strongSwan no puede recibir notificaciones push de AuthPoint. Esta limitación se aplica a las cuentas de usuario locales de AuthPoint y las cuentas de usuario de LDAP. Para configurar el túnel dividido en strongSwan, consulte la documentación proporcionada por strongSwan.

Mobile VPN with SSL

Para obtener información general sobre Mobile VPN with SSL y AuthPoint, consulte Planificar su Configuración de Mobile VPN with SSL. Para ver ejemplos de configuración, consulte Integración de Firebox Mobile VPN with SSL con AuthPoint.

Para obtener información general sobre el flujo de trabajo de AuthPoint MFA para Mobile VPN with SSL, consulte Configurar la MFA para un Firebox.

Mobile VPN with L2TP

Para ver un ejemplo de configuración, consulte Integración de Firebox Mobile VPN with L2TP con AuthPoint
.

La autenticación de usuario Mobile VPN with L2TP en Active Directory a través de RADIUS y AuthPoint solo admite la autenticación basada en notificaciones push.

Para autenticar a los usuarios de L2TP móviles a través de AuthPoint, debe tener Fireware v12.5.3 o superior.

Mobile VPN with IPSec

Para ver un ejemplo de configuración, consulte Integración de Firebox Mobile VPN with IPSec con AuthPoint.

Configurar una Solución de MFA de Terceros

Esta sección se aplica principalmente a servicios de terceros que utilizan autenticación de dos factores y solicitudes de desafío-respuesta.

Debe configurar su servidor RADIUS, Firebox y la solución de autenticación multifactor.

Configurar el Servidor RADIUS

Configure la autenticación multifactor en su servidor RADIUS:

Configure un grupo para los usuarios de VPN móvil, y agregue a todos los usuarios de VPN móvil que desea autenticar en el servidor RADIUS para este grupo.
Configure la autenticación multifactor para los usuarios móviles en su servidor RADIUS.
Añada la dirección IP del Firebox al servidor RADIUS para configurar el Firebox como un cliente RADIUS.
Para RADIUS, VASCO o SecurID, asegúrese de que el servidor RADIUS envíe un atributo Identificación de Filtro (atributo 11 de RADIUS) cuando un usuario se autentica con éxito. Esto le dice al Firebox de qué grupo es miembro el usuario. El valor para el atributo Identificación de Filtro debe coincidir con el nombre de grupo de Mobile VPN tal como aparece en la configuración del servidor de autenticación de Fireware RADIUS.

Para completar estos pasos, consulte la documentación de su proveedor del servidor RADIUS.

Configurar el Firebox

Para utilizar la autenticación del servidor RADIUS para sus usuarios de VPN móvil, debe completar estos pasos:

Configurar la Autenticación del Servidor RADIUS.
Configure un método de VPN móvil. Su Firebox admite túneles de Mobile VPN IKEv2, L2TP, SSL e IPSec. Para obtener más información, consulte Seleccionar un Tipo de Mobile VPN.

Configurar la Solución de Autenticación Multifactor

Para configurar una solución multifactorial o de dos factores de terceros, consulte la documentación que proporciona su proveedor.

Cómo Funciona el Método de Desafío-Respuesta con el Cliente VPN

Cuando un usuario se autentica desde el cliente VPN, el cliente VPN envía el nombre de usuario y la contraseña al Firebox. El Firebox envía el nombre de usuario y la contraseña al servidor RADIUS. Si el usuario y la contraseña son válidos, y si la autenticación multifactor está habilitada para el usuario, el servidor RADIUS envía un mensaje de desafío de acceso al Firebox para solicitar el segundo factor. El Firebox usa la información del desafío de acceso para solicitar al cliente VPN el segundo factor de autenticación.

Para autenticar a un usuario, el cliente VPN, Firebox y el servidor RADIUS se comunican de la siguiente manera:

El cliente VPN solicita al usuario las credenciales del nombre de usuario y de la contraseña.
El cliente VPN envía las credenciales al Firebox.
El Firebox envía un mensaje de Solicitud de Acceso a RADIUS, con las credenciales, al servidor RADIUS.
El servidor RADIUS envía Desafío de Acceso con un contestar-mensaje (Atributo 18) al Firebox. Este mensaje incluye el texto para el usuario acerca del segundo método de autenticación.
El Firebox envía el atributo contestar-mensaje al cliente VPN.
El cliente VPN muestra las instrucciones al usuario en un cuadro de diálogo.
El usuario ingresa la contraseña de única vez o el PIN en el cuadro de diálogo.
El cliente VPN envía el segundo factor al Firebox.
El Firebox envía el segundo factor al servidor RADIUS con el nombre de usuario.
Si el segundo factor es válido, el servidor RADIUS envía un mensaje de Acceso-Aceptado y el Firebox permite la conexión.

Si alguno de estos pasos falla, el servidor RADIUS envía un mensaje de Acceso-Rechazado al Firebox, y la autenticación falla.

Ver También

Cómo Funciona la Autenticación del Servidor RADIUS

Acerca de AuthPoint

© 2023 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Todos los demás nombres comerciales son propiedad de sus respectivos dueños.