ADC

Almacenar datos secretos OTP en un formato cifrado

A partir de la versión 13.0, compilación 41.20 de Citrix ADC, los datos secretos de OTP se pueden almacenar en formato cifrado en lugar de texto sin formato.

Anteriormente, el dispositivo Citrix ADC almacenaba el secreto OTP como texto sin formato en AD. Almacenar el secreto OTP en texto plano supone una amenaza para la seguridad, ya que un atacante malintencionado o un administrador podrían explotar los datos al ver el secreto compartido de otros usuarios.

El parámetro de cifrado permite el cifrado del secreto OTP en AD. Al registrar un dispositivo nuevo en la versión 13.0, compilación 41.20 de Citrix ADC, y habilita el parámetro de cifrado, el secreto OTP se almacena en formato cifrado de forma predeterminada. Sin embargo, si el parámetro de cifrado está desactivado, el secreto OTP se almacena en formato de texto sin formato.

Para los dispositivos registrados antes de la versión 13.0 de la versión 41.20, se recomienda realizar lo siguiente:

  1. Actualice el dispositivo Citrix ADC 13.0 a la versión 41.20 de la versión 13.0.
  2. Habilite el parámetro de cifrado en el dispositivo.
  3. Utilice la herramienta de migración de secretos de OTP para migrar los datos secretos de OTP del formato de texto plano al formato cifrado.

Para obtener más información sobre la herramienta de migración secreta de OTP, consulte la herramienta de cifrado OTP.

Importante

Citrix le recomienda, como administrador, asegurarse de que se cumplen los siguientes criterios:

  • Se debe configurar un nuevo certificado para cifrar los secretos de OTP si no está usando KBA como parte de la función de restablecimiento de contraseña de autoservicio.

    • To bind the certificate to VPN global, you can use the following command:

      bind vpn global -userDataEncryptionKey <certificate name>

  • Si ya está usando un certificado para cifrar KBA, puede utilizar el mismo certificado para cifrar secretos OTP.

  • Los nuevos registros OTP siempre se realizan con el último certificado encuadernado, ya que es el que tiene la máxima prioridad. En el ejemplo que se muestra a continuación, si vincula un certificado (cert1) y, a continuación, vincula otro certificado (cert2), se tendrá en cuenta el cert2 para el registro del dispositivo. Si falta el certificado requerido para el registro del dispositivo, se produce un error en el inicio de sesión del usuario final.

       bind vpn global -userDataEncryptionKey otp-cert1
       bind vpn global -userDataEncryptionKey otp-cert2
       <!--NeedCopy-->
    

    En el ejemplo siguiente, el certificado cert2 se muestra como la primera entrada del resultado del comando show vpn global:

    ``` mostrar VPN global

    Tema del portal: RfWebUI Certificado de cifrado de datos de usuario: cert2 Certificado de cifrado de datos de usuario: cert1 1) Nombre de la directiva de acceso sin cliente de la VPN: ns_cvpn_owa_policy Prioridad: 95000 Punto de enlace: REQ_DEFAULT 2) Nombre de la directiva de acceso sin cliente de la VPN: ns_cvpn_sp_policy Prioridad: 96000 Punto de enlace: REQ_DEFAULT 3) Nombre de la directiva de acceso sin cliente de la VPN: ns_cvpn_sp2013_policy Prioridad: 97000 Punto de enlace: REQ_DEFAULT 4) Nombre de la directiva de acceso sin cliente de la VPN: ns_cvpn_default_policy Prioridad: 100000 Punto de enlace: REQ_DEFAULT ```

Para habilitar el cifrado de datos OTP mediante la CLI

En la línea de comandos, escriba:

set aaa otpparameter [-encryption ( ON | OFF )]

Ejemplo

set aaa otpparameter -encryption ON

Para configurar el cifrado OTP mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones y haga clic en Cambiar parámetro OTP AAA de autenticación en la sección Configuración de autenticación.
  2. En la página Configurar el parámetro OTP AAA, seleccione el cifrado secreto OTP.
  3. Haga clic en Aceptar.

Configuración del número de dispositivos de usuario final para recibir notificaciones OTP

Los administradores ahora pueden configurar la cantidad de dispositivos que un usuario final puede registrar para recibir la notificación o la autenticación OTP.

Para configurar la cantidad de dispositivos en OTP mediante la CLI

En la línea de comandos, escriba:

set aaa otpparameter [-maxOTPDevices <positive_integer>]

Ejemplo

set aaa otpparameter -maxOTPDevices 4

Para configurar la cantidad de dispositivos mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones.

  2. En la sección Configuración de autenticación, haga clic en Cambiar el parámetro OTP AAA de autenticación.

  3. En la página Configurar el parámetro OTP AAA, introduzca el valor máximo de dispositivo OTP configurado.

  4. Haga clic en Aceptar.

Almacenar datos secretos OTP en un formato cifrado