Almacenar datos secretos de OTP en un formato cifrado

A partir de Citrix ADC versión 13.0 compilación 41.20, los datos secretos de OTP se pueden almacenar en un formato cifrado en lugar de texto sin formato.

Anteriormente, el dispositivo Citrix ADC almacenaba el secreto de OTP como texto sin formato en AD. Almacenar el secreto de OTP en texto sin formato supone una amenaza para la seguridad, ya que un atacante malintencionado o un administrador podría explotar los datos al ver el secreto compartido de otros usuarios.

El parámetro de cifrado habilita el cifrado del secreto OTP en AD. Cuando registra un nuevo dispositivo con Citrix ADC versión 13.0 compilación 41.20 y habilita el parámetro de cifrado, el secreto OTP se almacena de forma predeterminada en un formato cifrado. Sin embargo, si el parámetro de cifrado está inhabilitado, el secreto OTP se almacena en formato de texto sin formato.

Para los dispositivos registrados antes de la compilación 13.0 41.20, debe realizar lo siguiente como práctica recomendada:

  1. Actualice el dispositivo Citrix ADC 13.0 a 13.0 compilación 41.20.
  2. Habilite el parámetro de cifrado en el dispositivo.
  3. Utilice la herramienta de migración secreta de OTP para migrar los datos secretos de OTP del formato de texto sin formato al formato cifrado.

Para obtener más información acerca de la herramienta de migración secreta OTP, consulte Herramienta de cifrado OTP.

Importante

Citrix le recomienda como administrador para asegurarse de que se cumplen los siguientes criterios:

  • Se debe configurar un nuevo certificado para cifrar los secretos de OTP si no está utilizando KBA como parte de la función de restablecimiento de contraseña de autoservicio.

    • Para enlazar el certificado a VPN global, puede utilizar el siguiente comando:

      bind vpn global -userDataEncryptionKey c1

  • Si ya está utilizando un certificado para cifrar KBA, puede utilizar el mismo certificado para cifrar secretos OTP.

Para habilitar los datos de cifrado OTP mediante la CLI

En el símbolo del sistema, escriba:

set aaa otpparameter [-encryption ( ON | OFF )]

Ejemplo

set aaa otpparameter -encryption ON

Para configurar el cifrado OTP mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones y haga clic en Cambiar autenticación Parámetro OTP AAA en la sección Configuración de autenticación.
  2. En la página Configurar parámetro OTP AAA, seleccione Cifrado secreto OTP.
  3. Haga clic en Aceptar.

Configuración del número de dispositivos de usuario final para recibir notificaciones de OTP

Ahora los administradores pueden configurar el número de dispositivos que un usuario final puede registrar para recibir una notificación o autenticación OTP.

Para configurar el número de dispositivos en OTP mediante la CLI

En el símbolo del sistema, escriba:

set aaa otpparameter [-maxOTPDevices <positive_integer>]

Ejemplo

set aaa otpparameter -maxOTPDevices 4

Para configurar el número de dispositivos mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones, haga clic en Cambiar autenticación Parámetro OTP AAAen la sección Configuración de autenticación.
  2. En la página Configurar Parámetro OTP AAA, introduzca el valor de Dispositivo OTP Máximo configurado.
  3. Haga clic en Aceptar.

    Imagen localizada