Configurar el análisis periódico de Endpoint Analysis como un factor en la autenticación nFactor
En Citrix Gateway, Endpoint Analysis (EPA) se puede configurar para comprobar si un dispositivo de usuario cumple ciertos requisitos de seguridad y, en consecuencia, permitir el acceso de recursos internos al usuario. El complemento Endpoint Analysis se descarga e instala en el dispositivo de usuario cuando los usuarios inician sesión en Citrix Gateway por primera vez. Si un usuario no instala el plug-in de Endpoint Analysis en el dispositivo de usuario, el usuario no puede iniciar sesión con el plug-in de Citrix Gateway.
Para conocer la EPA en los conceptos de nFactor, consulte Conceptos y entidades utilizadas para EPA en la autenticación de nFactor a través de NetScaler.
En la directiva clásica, la EPA periódica se configuró como parte de la directiva de sesión en vpn session action. En Infraestructura avanzada de directivas, se puede vincular a nFactor.
En este tema, el escaneo EPA se utiliza como comprobación continua en una autenticación NFactor o multifactor.
El usuario intenta conectarse a la dirección IP virtual de Citrix Gateway. Una página de inicio de sesión simple con nombre de usuario y campo de contraseña se representa al usuario para proporcionar credenciales de inicio de sesión. Con estas credenciales, la autenticación basada en LDAP o AD se realiza en el back-end. Si tiene éxito, se presenta al usuario un pop-up para autorizar el escaneo EPA. Una vez que el usuario lo autorice, se realiza la exploración EPA y, en función del éxito o el fracaso de la configuración del cliente de usuario, se proporciona acceso al usuario.
Si el análisis se realiza correctamente, el análisis EPA se realiza periódicamente para comprobar que se cumplen los requisitos de seguridad configurados. Si la exploración EPA falla durante dicha comprobación, la sesión finaliza.
Requisitos previos
Se supone que existen las siguientes configuraciones:
- Configuraciones de servidor virtual y puerta de enlace VPN y servidor virtual de autenticación
- Configuraciones del servidor LDAP y directivas asociadas
En este tema se muestran las directivas necesarias y las configuraciones de etiqueta de directiva y se asocian a un perfil de autenticación.
La imagen siguiente muestra la asignación de directivas y etiqueta de directiva. Este es el enfoque utilizado para la configuración, pero de derecha a izquierda.
Realice lo siguiente mediante la CLI
-
Cree una acción para realizar la exploración EPA y asociarla a una directiva de exploración EPA.
add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")" <!--NeedCopy-->La expresión anterior escanea si el proceso ‘Firefox’ se está ejecutando. El plug-in de la EPA comprueba la existencia del proceso cada 2 minutos, indicado por el dígito “2” en la expresión del escaneo.
add authentication Policy EPA-check -rule true -action EPA-client-scan <!--NeedCopy--> -
Configure la etiqueta de directiva post-ldap-epa-scan que hospeda la directiva para el análisis EPA.
add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT <!--NeedCopy-->Nota: LSCHEMA_INT está en esquema construido sin esquema, lo que significa que no se presenta ninguna página web adicional al usuario en este paso.
-
Asocie la directiva configurada en el paso 1 con la etiqueta de directiva configurada en el paso 2.
bind authentication policylabel post-ldap-epa-scan -policyName EPA-check -priority 100 -gotoPriorityExpression END <!--NeedCopy-->En este comando, END indica el final del mecanismo de autenticación.
-
Configure la directiva ldap-auth y asociarla a una directiva LDAP configurada para autenticarse con un servidor LDAP determinado.
add authentication Policy ldap-auth -rule true -action ldap_server1 <!--NeedCopy-->donde ldap_server1 es la directiva LDAP y ldap-auth es el nombre de la directiva.
-
Asocie la directiva ldap-auth al servidor virtual de autenticación, autorización y auditoría con el siguiente paso que apunte a la etiqueta de directiva post-ldap-epa-scan para realizar el análisis EPA.
bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT <!--NeedCopy-->
Configuración mediante el visualizador nFactor en la GUI
La configuración anterior también se puede realizar mediante Visualizador nFactor, que es una función disponible en el firmware 13.0 y versiones posteriores.
-
Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador nFactor > Flujo de factores y haga clic en Agregar.
-
Haga clic en + para agregar el flujo de nFactor.
-
Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor.
-
Haga clic en Agregar esquema para agregar un esquema para el primer factor y, a continuación, haga clic en Agregar.
-
Haga clic en Agregar directiva para agregar la directiva LDAP. Si la directiva LDAP ya está creada, puede seleccionar la misma.
Nota: Puede crear una directiva LDAP. Haga clic en Agregar y, en el campo Acción, seleccione LDAP. Para obtener más información sobre cómo agregar un servidor LDAP, consulte https://support.citrix.com/article/CTX123782)
-
Haga clic en + para agregar el factor EPA.
-
Deje la sección Agregar esquema en blanco, para que el esquema predeterminado no se aplique a este factor. Haga clic en Agregar directiva para agregar la directiva y acción de EPA posterior a la autenticación.
Acción de la EPA:
Directiva de la EPA:
Haga clic en Crear.
-
Una vez completado el flujo de nFactor, vincule este flujo al servidor virtual de autenticación, autorización y auditoría.
Nota: Si la EPA periódica se configura como varios factores, se considera el último factor con la configuración periódica de EPA.
Ejemplo:
En este ejemplo, EPA es el primer factor en el que el escaneo busca el proceso ‘Firefox’. Si el análisis EPA se realiza correctamente, se lleva a la autenticación LDAP, seguida del siguiente análisis EPA, que busca el proceso ‘Chrome’. Cuando existen varios análisis periódicos configurados como factores diferentes, el análisis más reciente tiene prioridad. En este caso, el plug-in EPA busca el proceso ‘Chrome’ cada 3 minutos después de que el inicio de sesión se haya realizado correctamente.