El escaneo EPA como factor en la autenticación nFactor
Importante:
El objetivo de Endpoint Analysis es analizar el dispositivo del usuario según criterios de cumplimiento predeterminados y no hace cumplir ni validar la seguridad de los dispositivos de los usuarios finales. Se recomienda utilizar sistemas de seguridad de dispositivos de punto final para proteger los dispositivos de los ataques de los administradores locales.
Las siguientes son algunas de las entidades básicas de nFactor EPA.
Acción de EPA: Una acción de EPA es un tipo de acción introducido para EPA de nFactor. Contiene lo siguiente:
- Expresión de comprobación del dispositivo cliente: Esta expresión se envía al plug-in de EPA de Gateway para su evaluación.
- Grupo de éxito: Este grupo, si está configurado, se hereda en la sesión de Gateway si el resultado de EPA es verdadero.
- Grupo de cuarentena: Este grupo, si está configurado, se hereda en la sesión de Gateway si el resultado de EPA es falso.
- killProcess: Representa el nombre del proceso que el proceso de EPA debe detener.
- deleteFiles: Especifica las rutas separadas por comas a los archivos que el proceso de EPA debe eliminar.
Los grupos se pueden utilizar durante la duración de la sesión para determinar si el cliente cumple determinadas condiciones de la EPA. Si en un factor determinado, EPA falla, la última acción no contiene el “Grupo de cuarentena” y se da por finalizada la autenticación de ese usuario. Si existe un “grupo en cuarentena”, se continúa con la autenticación y el administrador puede comprobar si el grupo otorga acceso limitado. Para obtener más información, consulte Ejecución de la EPA.
Directiva de EPA: En nFactor, todas las directivas se agregar con la misma sintaxis “add authentication policy”. Sin embargo, el tipo de acción califica a la directiva como directiva de la EPA.
Factor de EPA: El factor de EPA es una etiqueta de directiva habitual. No existe ninguna entidad denominada factor EPA. Una vez que la directiva de la EPA está vinculada a un factor, hereda ciertas propiedades que la convierten en un factor EPA.
Nota:
El término “factor de EPA” se usa comúnmente en este documento para referirse a un factor incluido en las directivas de EPA.
EPA — Cuarentena: Si, en un factor determinado, fallan todas las expresiones de comprobación del dispositivo cliente de todas las acciones y, si la última acción contiene un “grupo en cuarentena”, ese grupo se agrega a la sesión y se analiza el nextFactor. Es decir, a pesar del fracaso, la presencia del “grupo de cuarentena” califica la sesión para la siguiente etapa. Sin embargo, debido a la herencia de un grupo especial, el administrador puede relegar la sesión al acceso restringido o a directivas de autenticación adicionales como OTP o SAML.
Si no hay ningún grupo de cuarentena en la última acción, la autenticación finaliza en caso de error.
La EPA en nFactor también utiliza las siguientes entidades:
- LoginSchema: Representación XML del formulario de inicio de sesión. Define la “vista” del formulario de inicio de sesión y también tiene las propiedades de un “factor”.
- Etiqueta de directiva o factor de directiva: Es un conjunto de directivas que se prueban en una etapa determinada de la autenticación.
- Etiqueta de servidor virtual: El servidor virtual también es una etiqueta de directiva, es decir, se pueden vincular directivas al servidor virtual. Sin embargo, el servidor virtual es la colección de varias etiquetas de directivas, ya que es el punto de entrada para el acceso de los usuarios.
- next factor: Se utiliza para especificar la etiqueta/factor de la directiva que se utilizará una vez que la directiva de autenticación dada se haya aplicado correctamente.
- Directiva NO_AUTHN: Directiva especial cuya acción siempre se realiza correctamente.
- Factor de PassThrough: Es una etiqueta o factor de directiva cuyo esquema de inicio de sesión no contiene ninguna vista. Es una indicación para que el dispositivo NetScaler continúe la autenticación en el factor determinado sin la intervención del usuario.
Para obtener más información, consulte Conceptos, entidades y terminología de nFactor.
Exclusividad mutua EPA Factor
EPA Factor contiene una o más directivas de la EPA. Una vez que las directivas de la EPA están vinculadas a un factor, las directivas de autenticación regulares no se permiten en ese factor. Esta restricción es ofrecer la mejor experiencia de usuario y una separación clara del análisis de endpoints. La única excepción a esta regla es la directiva NO_AUTHN. Dado que la directiva NO_AUTHN es una directiva especial que se utiliza para simular “on-failure-jump”, está permitida en el factor de EPA.
Ejecución de la EPA
En cualquier factor (incluido el factor servidor virtual), antes de entregar el formulario de inicio de sesión, el dispositivo NetScaler comprueba si el factor está configurado para EPA. Si es así, envía una respuesta específica al cliente (IU) para que se active la secuencia EPA. Esta secuencia comprende que el cliente solicite expresiones de verificación del dispositivo cliente y envíe los resultados. Las expresiones de verificación del dispositivo cliente para todas las directivas de un factor se envían al cliente a la vez. Una vez que se obtienen los resultados en el dispositivo NetScaler, cada una de las expresiones de todas las acciones se evalúan en una secuencia. La primera acción que da como resultado el éxito de la EPA termina ese factor y DefaultGroup, si está configurado, se hereda en la sesión. Si se encuentra la directiva NO_AUTHN, se califica como automática correcta. Si se especifica nextFactor, el dispositivo continúa con ese factor. De lo contrario, la autenticación finaliza. Esta condición también se aplica al primer factor. Si no hay ningún factor de directiva de autenticación después de EPA en el servidor virtual, la autenticación finaliza. Esto es diferente del comportamiento de las directivas clásicas, en el que al usuario siempre se le muestra la página de inicio de sesión después de la EPA. Sin embargo, en caso de que no haya una directiva EPA correcta, NetScaler Gateway examina el grupo de cuarentena configurado para la última directiva de EPA en ese factor o en cascada. Si la última directiva está configurada con el grupo de cuarentena, ese grupo se agrega a la sesión y se inspecciona el NextFactor. Si existe un NextFactor, la autenticación pasa a ese factor. De lo contrario, se completará la autenticación.
Configurar el escaneo de EPA para que se ejecute después de la autenticación
Puede configurar el escaneo de EPA para que se ejecute después de la autenticación. En el siguiente ejemplo, el escaneo de EPA se utiliza como comprobación final en una autenticación nFactor o de varios factores. En esta configuración, si el escaneo de EPA falla durante alguna de estas comprobaciones, la sesión finaliza.
- El usuario intenta conectarse a la IP virtual de NetScaler Gateway.
- Se muestra al usuario una página de inicio de sesión con el campo de nombre de usuario y contraseña para que proporcione sus credenciales de inicio de sesión. Con estas credenciales, la autenticación basada en LDAP o AD se realiza en el back-end. Si tiene éxito, se muestra al usuario una ventana emergente para autorizar el escaneo de la EPA.
- Una vez que el usuario lo autoriza, se realiza el análisis EPA y, en función del éxito o el fracaso de la configuración del cliente del usuario, se proporciona acceso.
- Si el escaneo se realiza correctamente, el escaneo de EPA se realiza periódicamente para comprobar que se siguen cumpliendo los requisitos de verificación del dispositivo configurados.
- Si se produce un error en el análisis de la EPA durante dicha comprobación, la sesión finaliza.
Requisitos previos
Se supone que existe la siguiente configuración:
- Configuración del servidor virtual de VPN, puerta de enlace y servidor virtual de autenticación
- Configuraciones del servidor LDAP y directivas asociadas.
En la siguiente sección se capturan las configuraciones de rótulos de directivas y directivas necesarias, así como la asignación de directivas y rótulos de directivas a un perfil de autenticación.
En la CLI
-
Cree una acción para realizar un análisis de la EPA antes de la autenticación de LDAP y asócielo a una directiva de análisis de la EPA.
add authentication epaAction pre-ldap-epa-action -csecexpr "sys.client_expr ("proc_2_firefox")" add authentication Policy pre-ldap-epa-pol -rule true -action pre-ldap-epa-action <!--NeedCopy-->
La expresión anterior analiza si el proceso “Firefox” se está ejecutando. El cliente de la EPA comprueba la existencia del proceso cada 2 minutos, lo que se indica con el dígito «2» en la expresión escaneada.
-
Configure la etiqueta de directiva
pre-ldap-epa-label
, que aloja la directiva para el análisis de la EPA.add authentication policylabel pre-ldap-epa-label -loginSchema LSCHEMA_INT <!--NeedCopy-->
Nota:
LSCHEMA_INT es un esquema incorporado sin esquema (noschema), lo que significa que no se presenta ninguna página web adicional al usuario en este paso.
-
Asocie la directiva configurada en el paso 1 con la etiqueta de directiva configurada en el paso 2. Esto completa el mecanismo de autenticación.
bind authentication policylabel pre-ldap-epa-label -policyName pre-ldap-epa-pol -priority 100 -gotoPriorityExpression END <!--NeedCopy-->
-
Configure una acción y una directiva de LDAP.
add authentication ldapAction ldap-act -serverIP 10.106.103.60 -ldapBase "dc=cgwsanity,dc=net" -ldapBindDn user1@example.net -ldapBindDnPassword 1.cloud -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN -passwdChange ENABLED add authentication Policy ldap-pol -rule true -action ldap-act <!--NeedCopy-->
-
Cree un esquema de inicio de sesión con el SSO activado.
add authentication loginSchema ldap-schema -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuth.xml" -SSOCredentials Yes <!--NeedCopy-->
-
Configure la etiqueta de la directiva
ldap-pol-label
, que aloja la directiva para la autenticación LDAP.add authentication policylabel ldap-pol-label -loginSchema ldap-schema <!--NeedCopy-->
-
Enlaza el esquema de inicio de sesión configurado en el paso 5 a la etiqueta de directiva configurada en el paso 6.
bind authentication policylabel ldap-pol-label -policyName ldap-pol -priority 100 -gotoPriorityExpression NEXT <!--NeedCopy-->
-
Cree una acción para realizar un escaneo de la EPA después de la autenticación de LDAP y asócielo a una directiva de escaneo de la EPA.
add authentication epaAction post-ldap-epa-action -csecexpr "sys.client_expr ("proc_2_chrome")" add authentication Policy post-ldap-epa-pol -rule true -action post-ldap-epa-action add authentication policylabel post-ldap-epa-label -loginSchema LSCHEMA_INT bind authentication policylabel post-ldap-epa-label -policyName post-ldap-epa-pol -priority 100 -gotoPriorityExpression <!--NeedCopy-->
-
Al juntarlo todo, asocie la directiva
pre-ldap-epa-pol
al servidor virtual de autenticación y, el siguiente paso, apunte a la etiqueta de la directivaldap-pol-label
para realizar un análisis de la EPA.bind authentication vserver user.auth.test -policy pre-ldap-epa-pol -priority 100 -nextFactor ldap-pol-label -gotoPriorityExpression NEXT bind authentication policylabel ldap-pol-label -policyName ldap-pol -priority 100 -gotoPriorityExpression NEXT -nextFactor post-ldap-epa-label <!--NeedCopy-->
Nota:
- En EPA periódico configurado como factores múltiples, se considera el factor más reciente con una configuración de EPA periódica.
- Los escaneos periódicos solo se pueden ejecutar con el complemento de la EPA y no en el explorador.
- En el primer ejemplo, la EPA es el primer factor en el que el escaneo busca el proceso «Firefox».
- Si el escaneo de EPA se realiza correctamente, se inicie la autenticación LDAP, seguida del siguiente escaneo de EPA, que busca el proceso “Chrome”.
- Cuando se configuran varias exploraciones periódicas como factores diferentes, la última exploración tiene prioridad. En este caso, el complemento de la EPA busca el proceso «Chrome» cada 2 minutos después de iniciar sesión correctamente.
En la GUI (con nFactor Visualizer)
Puede configurar el escaneo de EPA avanzado como factor mediante el visualizador nFactor de la GUI. En el siguiente ejemplo, hemos utilizado LDAP como primer factor y EPA como el siguiente factor.
-
Cree un primer factor para el flujo nFactor.
-
Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador de nFactor > Flujos de nFactor y haga clic en Agregar.
- Haga clic en + para agregar el flujo nFactor.
- Agregue un factor y haga clic en Crear.
-
-
Cree un esquema de inicio de sesión y una directiva para el primer factor.
- En el mosaico del primer factor, haga clic en Agregar esquema para agregar un esquema de inicio de sesión. Puede seleccionar un esquema de inicio de sesión de autenticación existente de la lista desplegable o crear un esquema de inicio de sesión.
-
Para crear un esquema de inicio de sesión de autenticación, haga clic en Agregar. Para obtener información detallada sobre el esquema de inicio de sesión de autenticación, consulte Configurar la autenticación nFactor.
-
Haga clic en Agregar directiva para agregar la directiva LDAP. Si la directiva LDAP ya está creada, puede seleccionarla. Haga clic en Agregar.
Nota:
Si no se ha creado una directiva de LDAP, puede crearla. Haga clic en el botón Agregar situado junto a la lista desplegable Seleccione una directiva. En el campo Acción, seleccione LDAP. Para obtener más información sobre cómo agregar un servidor LDAP de autenticación, consulte
https://support.citrix.com/article/CTX123782
.
-
Cree un factor siguiente y conéctelo con el primer factor.
- Haga clic en el icono + de color verde o rojo para agregar EPA como el siguiente factor.
- Cree el siguiente factor en la página Siguiente factor para conectar.
- Deje la sección Agregar esquema vacía para que no se aplique ningún esquema de forma predeterminada a este factor.
-
Agregue una directiva para el siguiente factor.
- Haga clic en Agregar directiva para agregar la directiva y la acción de EPA posteriores a la autenticación.
- Puede elegir entre una lista de directivas existente o crear una directiva. Para elegir entre las directivas existentes, seleccione una directiva de la lista desplegable Seleccione una directiva, proporcione los detalles vinculantes y haga clic en Agregar.
- Para crear una directiva, haga clic en el botón Agregar situado junto a la lista desplegable Seleccione una directiva.
-
Una vez completado el flujo de nFactor, haga clic en Listo.
-
Vincule el flujo de nFactor con un servidor de autenticación.
- Vaya a Seguridad AAA: Tráfico de aplicaciones > nFactor Visualizer > Flujos de nFactor.
- Seleccione el nFactor y haga clic en Vincular al servidor de autenticación.