Citrix ADC

Configurar el análisis periódico de Endpoint Analysis como un factor en la autenticación nFactor

En Citrix Gateway, Endpoint Analysis (EPA) se puede configurar para comprobar si un dispositivo de usuario cumple ciertos requisitos de seguridad y, en consecuencia, permitir el acceso de recursos internos al usuario. El complemento Endpoint Analysis se descarga e instala en el dispositivo de usuario cuando los usuarios inician sesión en Citrix Gateway por primera vez. Si un usuario no instala el plug-in de Endpoint Analysis en el dispositivo de usuario, el usuario no puede iniciar sesión con el plug-in de Citrix Gateway.

Para conocer la EPA en los conceptos nFactor, consulte Conceptos y entidades utilizados para EPA en la autenticación nFactor a través de NetScaler.

En la directiva clásica, la EPA periódica se configuró como parte de la directiva de sesión en vpn session action. En Infraestructura avanzada de directivas, se puede vincular a nFactor.

En este tema, el escaneo EPA se utiliza como comprobación continua en una autenticación NFactor o multifactor.

Representación del escaneo EPA como una verificación continua en la autenticación de factor nFactor o multifactor

El usuario intenta conectarse a la dirección IP virtual de Citrix Gateway. Una página de inicio de sesión simple con nombre de usuario y campo de contraseña se representa al usuario para proporcionar credenciales de inicio de sesión. Con estas credenciales, la autenticación basada en LDAP o AD se realiza en el back-end. Si tiene éxito, se presenta al usuario un pop-up para autorizar el escaneo EPA. Una vez que el usuario lo autorice, se realiza la exploración EPA y, en función del éxito o el fracaso de la configuración del cliente de usuario, se proporciona acceso al usuario.

Si el análisis se realiza correctamente, el análisis EPA se realiza periódicamente para comprobar que se cumplen los requisitos de seguridad configurados. Si la exploración EPA falla durante dicha comprobación, la sesión finaliza.

Requisitos previos

Se supone que existen las siguientes configuraciones:

  • Configuraciones de servidor virtual y puerta de enlace VPN y servidor virtual de autenticación
  • Configuraciones del servidor LDAP y directivas asociadas

En este tema se muestran las directivas necesarias y las configuraciones de etiqueta de directiva y se asocian a un perfil de autenticación.

La imagen siguiente muestra la asignación de directivas y etiqueta de directiva. Este es el enfoque utilizado para la configuración, pero de derecha a izquierda.

Asignación de directivas y etiquetas de directiva utilizadas en este ejemplo

Realice lo siguiente mediante la CLI

  1. Cree una acción para realizar la exploración EPA y asociarla a una directiva de exploración EPA.

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")"
    

    La expresión anterior escanea si el proceso ‘Firefox’ se está ejecutando. El plug-in de la EPA comprueba la existencia del proceso cada 2 minutos, indicado por el dígito “2” en la expresión del escaneo.

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    
  2. Configure la etiqueta de directiva post-ldap-epa-scan que hospeda la directiva para el análisis EPA.

    add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT
    

    Nota: LSCHEMA_INT está en esquema construido sin esquema, lo que significa que no se presenta ninguna página web adicional al usuario en este paso.

  3. Asocie la directiva configurada en el paso 1 con la etiqueta de directiva configurada en el paso 2.

    bind authentication policylabel post-ldap-epa-scan -policyName EPA-check -priority 100 -gotoPriorityExpression END
    

    En este comando, END indica el final del mecanismo de autenticación.

  4. Configure la directiva ldap-auth y asociarla a una directiva LDAP configurada para autenticarse con un servidor LDAP determinado.

    add authentication Policy ldap-auth -rule true -action ldap_server1
    

    donde ldap_server1 es la directiva LDAP y ldap-auth es el nombre de la directiva.

  5. Asocie la directiva ldap-auth al servidor virtual de autenticación, autorización y auditoría con el siguiente paso que apunte a la etiqueta de directiva post-ldap-epa-scan para realizar el análisis EPA.

    bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT
    

Configuración mediante el visualizador de nFactor en la GUI

La configuración anterior también se puede realizar mediante nFactor Visualizer, que es una función disponible en el firmware 13.0 y versiones posteriores.

Representación del flujo de factor NP en el visualizador

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador de nFactor > Flujo de nFactor y haga clic en Agregar.

  2. Haga clic en + para agregar el flujo de nFactor.

    Haga clic para agregar un flujo

  3. Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor.

    Agregar un nombre para el flujo de nFactor

  4. Haga clic en Agregar esquema para agregar un esquema para el primer factor y, a continuación, haga clic en Agregar.

    Haga clic para agregar esquema

  5. Haga clic en Agregar directiva para agregar la directiva LDAP. Si la directiva LDAP ya está creada, puede seleccionar la misma.

    Haga clic aquí para agregar una directiva

    Crear una directiva de autenticación

    Nota: Puede crear una directiva LDAP. Haga clic en Agregar y, en el campo Acción, seleccione LDAP. Para obtener más información sobre cómo agregar un servidor LDAP, consulte https://support.citrix.com/article/CTX123782)

  6. Haga clic en + para agregar el factor EPA.

    Haga clic para agregar el factor EPA

  7. Deje la sección Agregar esquema en blanco, para que el esquema predeterminado no se aplique a este factor. Haga clic en Agregar directiva para agregar la directiva y acción de EPA posterior a la autenticación.

    Acción de la EPA:

    Crear acción de la EPA

    Directiva de la EPA:

    Crear una directiva de EPA

    Haga clic en Crear.

  8. Una vez completado el flujo de nFactor, vincule este flujo al servidor virtual de autenticación, autorización y auditoría.

    Vincular el flujo al servidor virtual de autenticación

    ​​​​Nota: Si la EPA periódica se configura como varios factores, se considera el último factor con la configuración periódica de EPA.

    Ejemplo:

    Ejemplo de configuración

    En este ejemplo, EPA es el primer factor en el que el escaneo busca el proceso ‘Firefox’. Si el análisis EPA se realiza correctamente, se lleva a la autenticación LDAP, seguida del siguiente análisis EPA, que busca el proceso ‘Chrome’. Cuando existen varios análisis periódicos configurados como factores diferentes, el análisis más reciente tiene prioridad. En este caso, el plug-in EPA busca el proceso ‘Chrome’ cada 3 minutos después de que el inicio de sesión se haya realizado correctamente.

Configurar el análisis periódico de Endpoint Analysis como un factor en la autenticación nFactor