Aplica A: Autenticación Multifactor de AuthPoint, AuthPoint Total Identity Security
El objeto de política de geocinética le permite crear objetos de política que comparan la ubicación actual del usuario y la ubicación de la última autenticación válida. AuthPoint deniega automáticamente las autenticaciones desde una ubicación a la que el usuario no podría haberse desplazado desde su autenticación anterior, basándose en la distancia y el tiempo transcurridos entre autenticaciones.
Cuando crea un objeto de política de geocinética, especifica la velocidad máxima de desplazamiento que se permite.
Caso de Uso
Un atacante de otro país obtuvo las credenciales de inicio de sesión de un usuario e intenta iniciar sesión en un recurso protegido por MFA. El atacante usa ingeniería social o bombardeo push para que el usuario apruebe la notificación push. Con la geocinética, aún si el usuario aprueba el push, AuthPoint deniega la autenticación si el atacante se encuentra en una ubicación a la que el usuario no podría haber viajado en el tiempo transcurrido desde su última autenticación.
Ejemplo
Usted configura un objeto de política de geocinética que deniega automáticamente las autenticaciones si la distancia entre dos lugares de autenticación no puede recorrerse a 600 millas por hora (la velocidad de un avión).
Un usuario se autentica con éxito e inicia sesión en JIRA desde la oficina corporativa en Seattle (EE. UU.) a las 9:00 a. m. El mismo usuario intenta autenticarse 30 minutos más tarde desde París (Francia). AuthPoint deniega automáticamente la autenticación, aunque el usuario se autentique correctamente con la MFA, porque el usuario no puede viajar de Seattle a París en 30 minutos.
Los objetos de política de geocinética funcionan de manera diferente que otros objetos de política porque se aplican luego de que se complete una autenticación.
Para otros objetos de política (geocerca, horario, ubicaciones de red), cuando agrega el objeto de política a una política de autenticación, la política se aplica solo a las autenticaciones de usuario que coinciden con las condiciones de la autenticación y los objetos de política. Por ejemplo, si agrega una ubicación de red específica a una política, esta solo se aplica a las autenticaciones de usuarios que proceden de esa ubicación de red.
La geocinética no afecta las condiciones de una autenticación, de modo que cuando usted agrega un objeto de política de geocinética a una política de autenticación, no tiene que crear una segunda política sin el objeto de política de geocinética.
Limitaciones
Cuando configure los objetos de política de geocinética, tenga en cuenta esta información:
- La geocinética no se aplica para la autenticación RADIUS.
- Los objetos de política de geocinética se aplican una vez completada la autenticación. Si la distancia entre la autenticación actual y la autenticación válida más reciente no se ha podido recorrer en el tiempo transcurrido, a la velocidad permitida, se deniega la autenticación, incluso si el usuario aprobó el push o ingresó correctamente el OTP o código QR de verificación.
- La geocinética compara la ubicación de la autenticación actual con la ubicación de la autenticación correcta más reciente en las últimas 24 horas.
- No se tienen en cuenta las autenticaciones anteriores que fueron denegadas o no son válidas.
- Si no hay ninguna autenticación exitosa previa en las últimas 24 horas, AuthPoint ignora el objeto de política de geocinética (ya que 24 horas es tiempo suficiente para desplazarse entre la mayoría de ubicaciones).
- La geocinética no se aplica a la Logon app, RD Web y los recursos ADFS si la política de autenticación solo requiere una contraseña (sin MFA). Esto se debe a que AuthPoint valida la geocinética después de la autenticación. En los casos en los que AuthPoint no valida la contraseña, no se envía ninguna MFA/solicitud de autenticación a AuthPoint.
Para admitir la autenticación con el objeto de política de geocinética, debe instalar estas versiones de los agentes Authpoint:
- AuthPoint agent for Windows v2.7.1 o superior
- AuthPoint agent for RD Web v1.4.2 o superior
- AuthPoint agent for ADFS v1.2.0 o superior
Para dar soporte a RD Web, se necesitan requisitos adicionales para admitir autenticaciones con datos de ubicación. Para más información, consulte la sección Geocinética para RD Web .
Estos recursos no admiten geocinética:
- AuthPoint agent for macOS
- RADIUS
Para la autenticación RADIUS, no se aplican políticas que incluyan un objeto de política de geocinética porque AuthPoint no puede determinar la dirección IP del usuario final o la dirección IP de origen.
Datos de Ubicación para Objetos de Política de Geocinética
Cuando un usuario se autentica, los datos de ubicación identifican el área desde donde se autentica el usuario. Al configurar un objeto de política de geocinética, puede elegir permitir datos de ubicación con baja precisión. Las ubicaciones de usuario identificadas a partir de datos de baja precisión tienen un radio mayor. Por ejemplo, los datos de ubicación de alta precisión pueden tener una precisión de 10 metros respecto de la ubicación real del usuario, pero los datos de localización de baja precisión pueden tener una precisión de solo un kilómetro respecto de la ubicación real.
Para la autenticación basada en el navegador, cuando un usuario se autentica, el navegador les indica que deben compartir su ubicación. Si el usuario acepta, el navegador envía las coordenadas geográficas de la ubicación del usuario a AuthPoint. AuthPoint usa esta información para validar la geocinética. Estos son datos de ubicación de alta precisión.
Si el usuario no acepta la solicitud de compartir la ubicación, la ubicación se basa en su dirección IP. AuthPoint considera los datos de ubicación basados en dirección IP como datos de baja precisión.
Estos recursos utilizan datos de ubicación basados en navegador:
- Portal del IdP
- SAML
- RD Web
- ADFS
AuthPoint admite los datos de ubicación basados en la dirección IP solo para estos tipos de autenticaciones:
- Conexiones RDP
- Recursos Firebox
- Máquinas virtuales (VM) de Windows
El AuthPoint agent for Windows utiliza la API de Windows para obtener la ubicación del usuario. Si el agente está instalado en una VM de Windows, los datos de ubicación siempre están basados en la dirección IP (baja precisión).
Configurar un Objeto de Política de Geocinética
Para configurar un objeto de política de geocinética, en la AuthPoint management UI:
- En el menú de navegación de AuthPoint, seleccione Objetos de Política.
- Haga clic en Agregar Objeto de Política.
Aparece la página Agregar Objeto de Política.
- En la lista desplegable Tipo, seleccione Geocinética.
Aparecen campos adicionales. - En el cuadro de texto Nombre, escriba un nombre para identificar este objeto de política de geocinética. Esto le ayuda a identificar la geocinética cuando la agrega a las políticas de autenticación.
- En el cuadro de texto Velocidad y en la lista desplegable adyacente, especifique un número y una unidad para que AuthPoint los use para este objeto de política de geocinética. AuthPoint deniega las autenticaciones si la distancia entre la autenticación actual y la anterior no puede recorrerse a esta velocidad.
La velocidad predeterminada es 600 millas por hora (la velocidad promedio de un avión comercial).
- (Opcional) En el cuadro de texto Excepciones, introduzca una dirección IP pública o máscara de red que defina un rango de direcciones IP públicas que AuthPoint deba ignorar para este objeto de política de geocinética y, a continuación, presione Enter o Retorno. Puede especificar varias excepciones. Puede hacerlo para que el objeto de política de geocinética no deniegue las autenticaciones cuando los usuarios se conecten a una VPN.
- Si desea que AuthPoint tenga en cuenta las autenticaciones que tengan datos de localización con baja precisión cuando se considere este objeto de política de geocinética, seleccione la casilla de selección Considerar autenticaciones que tengan datos de localización con baja precisión.
Si no selecciona esta casilla de selección, las autenticaciones que tengan datos de localización con baja precisión no se evaluarán con respecto al objeto de política de geocinética.
- Haga clic en Guardar.
- Agregue este objeto de política de geocinética a las políticas de autenticación a las que desee que se aplique. Para más información, consulte Acerca de las Políticas de Autenticación de AuthPoint.
A diferencia de otros objetos de política (geocerca, horario, ubicaciones de red), cuando agregue un objeto de política de geocinética a una política de autenticación, no tendrá que crear una segunda política sin el objeto de política de geocinética.
Geocinética para RD Web
Para admitir el objeto de política de geocinética para RD Web, debe editar el archivo webscripts-domain.js en su servidor RD Web Access y configurar el cliente para guardar la ubicación del usuario como cookie en el servidor RD Web. Esto permite a RD Web enviar las coordenadas del usuario a AuthPoint cuando el usuario se autentica.
Esto también es necesario para admitir la geocerca para RD Web. Si ya completó estos pasos para admitir el objeto de política de geocerca, no es necesario que los repita para la geocinética.
- Inicie sesión en su servidor RD Web Access.
- Abra el Explorador de Archivos de Windows y navegue a C:\Windows\Web\RDWeb\Pages.
- Abra el archivo webscripts-domain.js en un editor de texto.
- Al final de la función onLoginPageLoad, agregue este script para obtener las coordenadas del navegador y guardarlas en cookies:
document.cookie = 'WatchGuardGeolocation=;max-age=0';
if (navigator.geolocation) {
var options = { enableHighAccuracy : true };
navigator.geolocation.watchPosition(function(position) {
var geolocation = { latitude: position.coords.latitude, longitude: position.coords.longitude, accuracy: position.coords.accuracy };
var geolocationJson = JSON.stringify(geolocation);
var geolocationEncoded = encodeURIComponent(geolocationJson);
document.cookie = 'WatchGuardGeolocation=' + geolocationEncoded + ';secure;samesite=none;path=/';
}, function(error) { }, options);
}
Acerca de las Políticas de Autenticación de AuthPoint
Acerca de los Objetos de Política
Objetos de Política de Geocerca