Citrix Gateway

El escaneo EPA como factor en la autenticación nFactor

November 21, 2022

Contribución de:

Importante:

El objetivo de Endpoint Analysis es analizar el dispositivo del usuario según criterios de cumplimiento predeterminados y no hace cumplir ni validar la seguridad de los dispositivos de los usuarios finales. Se recomienda utilizar sistemas de seguridad de dispositivos de punto final para proteger los dispositivos de los ataques de los administradores locales.

Las siguientes son algunas de las entidades básicas de nFactor EPA.

Acción de la EPA: La acción de la EPA es un tipo de acción introducido para nFactor EPA. Contiene lo siguiente:

Expresión de verificación del dispositivo cliente: Esta expresión se envía al plug-in de EPA de la puerta de enlace para su evaluación.
Grupo de éxito: este grupo, si está configurado, se hereda en la sesión de puerta de enlace si el resultado de la EPA es verdadero.
Grupo de cuarentena: este grupo, si está configurado, se hereda en la sesión de puerta de enlace si el resultado de la EPA es falso.
KillProcess: representa el nombre del proceso que debe terminar el proceso de la EPA.
DeleteFiles: especifica las rutas de acceso separadas por comas a los archivos que el proceso EPA debe eliminar.

Los grupos se pueden utilizar durante la duración de la sesión para determinar si el cliente cumple determinadas condiciones de la EPA. Si en un determinado factor, la EPA falla y la última acción no contiene “Grupo de cuarentena”, la autenticación finaliza para ese usuario. Si existe el “Grupo de cuarentena”, la autenticación continúa y el administrador puede comprobar si el grupo concede acceso limitado. Para obtener más información, consulte Ejecución de la EPA.

Directiva EPA: En nFactor, todas las directivas se agregan con la misma sintaxis “agregar directiva de autenticación”. Sin embargo, el tipo de acción califica a la directiva como directiva de la EPA.

Factor EPA: El factor EPA es una etiqueta de directiva normal. No existe ninguna entidad denominada factor EPA. Una vez que la directiva de la EPA está vinculada a un factor, hereda ciertas propiedades que la convierten en un factor EPA. Nota: El término “factor EPA” se utiliza comúnmente en este documento para referirse a un factor con las directivas de la EPA.

EPA — Cuarentena: Si en un factor determinado, todas las expresiones de verificación del dispositivo cliente de todas las acciones fallan y, si la última acción contiene un “grupo de cuarentena”, ese grupo se agrega a la sesión y se analiza el nextFactor. Es decir, a pesar del fracaso, la presencia del “grupo de cuarentena” califica la sesión para la siguiente etapa. Sin embargo, debido a la herencia de un grupo especial, el administrador puede relegar la sesión al acceso restringido o a directivas de autenticación adicionales como OTP o SAML.

Si no hay ningún grupo de cuarentena en la última acción, la autenticación finaliza en caso de error.

La EPA en nFactor también utiliza las siguientes entidades:

loginSchema — representación XML del formulario de inicio de sesión. Define la “vista” del formulario de inicio de sesión y también tiene propiedades de “factor”.
Etiqueta de directiva o factor de directiva: es un conjunto de directivas que se prueban en una etapa determinada de la autenticación.
Etiqueta de servidor virtual: El servidor virtual también es una etiqueta de directiva, es decir, se pueden enlazar directivas al servidor virtual. Sin embargo, el servidor virtual es la colección de varias etiquetas de directivas, ya que es el punto de entrada para el acceso de los usuarios.
factor siguiente: Se utiliza para especificar el factor o etiqueta de directiva que se tomará una vez que la directiva de autenticación dada tenga éxito.
DirectivaNO_AUTHN: directiva especial cuya acción siempre tiene éxito.
Factor de paso a través: Es un factor o etiqueta de directiva cuyo esquema de inicio de sesión no contiene vista. Es una indicación para que el dispositivo Citrix ADC continúe la autenticación en el factor determinado sin la intervención del usuario.

Para obtener más información, consulte Conceptos, entidades y terminología de nFactor.

Exclusividad mutua EPA Factor

EPA Factor contiene una o más directivas de la EPA. Una vez que las directivas de la EPA están vinculadas a un factor, las directivas de autenticación regulares no se permiten en ese factor. Esta restricción es ofrecer la mejor experiencia de usuario y una separación clara del análisis de endpoints. La única excepción a esta regla es la directiva NO_AUTHN. Dado que la directiva NO_AUTHN es una directiva especial que se utiliza para simular el “salto en caso de fallo”, está permitida en el factor EPA.

Ejecución de la EPA

En cualquier factor (incluido el factor servidor virtual), antes de entregar el formulario de inicio de sesión, el dispositivo Citrix ADC comprueba si el factor está configurado para EPA. Si es así, envía una respuesta específica al cliente (IU) para que se active la secuencia EPA. Esta secuencia comprende que el cliente solicite expresiones de verificación del dispositivo cliente y envíe los resultados. Las expresiones de verificación del dispositivo cliente para todas las directivas de un factor se envían al cliente a la vez. Una vez que se obtienen los resultados en el dispositivo Citrix ADC, cada una de las expresiones de todas las acciones se evalúan en una secuencia. La primera acción que da como resultado el éxito de la EPA termina ese factor y DefaultGroup, si está configurado, se hereda en la sesión. Si se encuentra la directiva NO_AUTHN, se califica como automática correcta. Si se especifica nextFactor, el dispositivo continúa con ese factor. De lo contrario, la autenticación finaliza. Esta condición también se aplica al primer factor. Si no hay ningún factor de directiva de autenticación después de EPA en el servidor virtual, la autenticación finaliza. Esto es diferente del comportamiento de las directivas clásicas, en el que al usuario siempre se le muestra la página de inicio de sesión después de la EPA. Sin embargo, en caso de que no haya una directiva EPA correcta, Citrix Gateway examina el grupo de cuarentena configurado para la última directiva de EPA en ese factor o en cascada. Si la última directiva está configurada con el grupo de cuarentena, ese grupo se agrega a la sesión y se inspecciona el NextFactor. Si existe un NextFactor, la autenticación pasa a ese factor. De lo contrario, se completará la autenticación.

Configurar la exploración periódica de la EPA como factor en la autenticación nFactor

Puede configurar el análisis periódico de la EPA como factor en la autenticación de nFactor mediante la infraestructura de directivas avanzada. Nota: En la directiva clásica, la EPA periódica se configuró como parte de la directiva de sesión en vpn session action. La siguiente lógica se utiliza como ejemplo para implementar la exploración EPA como factor en la autenticación nFactor.

EPA en secuencia de flujo nFactor

El usuario intenta conectarse a la IP virtual de NetScaler Gateway.
Se muestra al usuario una página de inicio de sesión con el campo de nombre de usuario y contraseña para que proporcione sus credenciales de inicio de sesión. Con estas credenciales, la autenticación basada en LDAP o AD se realiza en el back-end. Si tiene éxito, se muestra al usuario una ventana emergente para autorizar el escaneo de la EPA.
Una vez que el usuario lo autoriza, se realiza el análisis EPA y, en función del éxito o el fracaso de la configuración del cliente del usuario, se proporciona acceso.
Si el escaneo se realiza correctamente, el escaneo de EPA se realiza periódicamente para asegurarse de que se siguen cumpliendo los requisitos de verificación del dispositivo configurados.
Si se produce un error en el análisis de la EPA durante dicha comprobación, la sesión finaliza.

Requisitos previos

Se supone que existe la siguiente configuración:

Configuración del servidor virtual VPN, puerta de enlace y servidor virtual de autenticación
Configuraciones del servidor LDAP y directivas asociadas.

En la siguiente sección se capturan las configuraciones de rótulos de directivas y directivas necesarias, así como la asignación de directivas y rótulos de directivas a un perfil de autenticación.

EPA en el mapeo de etiquetas de directivas y directivas de nFactor

Configuración CLI de la lógica

Cree una acción para realizar el análisis de la EPA y asociarlo a una directiva de análisis de la EPA.
```
add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr("proc_2_firefox")"

add authentication Policy EPA-check -rule true -action EPA-client-scan

```
La expresión anterior analiza si el proceso ‘Firefox’ se está ejecutando. El plug-in de la EPA comprueba la existencia del proceso cada 2 minutos, lo que significa el dígito “2” en la expresión de escaneo.
Configure el post-ldap-epa-análisis de etiquetas de directivas”, que aloja la directiva para el análisis EPA.
```
add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT

```
Nota: LSCHEMA_INT es un esquema incorporado sin esquema (sin esquema), lo que significa que no se presenta ninguna página web adicional al usuario en este paso.
Asocie la directiva configurada en el paso 1 con la etiqueta de directiva configurada en el paso 2.
```
bind authentication policylabel post-ldap-epa-scan -policyName EPA-check -priority 100 -gotoPriorityExpression END

```
Esto completa el mecanismo de autenticación.
Configúrelo y asócielo ldap-auth policy a una directiva LDAP configurada para autenticarse con un servidor LDAP específico.
```
add authentication Policy ldap-auth -rule true -action ldap_server1

```
donde ldap_server1 es la directiva LDAP y ldap-auth es el nombre de la directiva.
Al juntarlo todo, asocie ldap-auth policy al servidor virtual Citrix ADC AAA con el siguiente paso apuntando a la etiqueta de directiva post-ldap-epa-scan para realizar un análisis de la EPA.
```
bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT

```
Nota: En la EPA periódica configurada como varios factores, se tiene en cuenta el último factor con configuración periódica de la EPA.

En el ejemplo anterior, la EPA es el primer factor en el que el análisis busca el proceso “Firefox”.
- Si el análisis de la EPA se realiza correctamente, lleva a la autenticación LDAP, seguida del siguiente análisis de la EPA, que busca el proceso “Chrome”.
- Cuando se configuran varias exploraciones periódicas como factores diferentes, la última exploración tiene prioridad. En este caso, el plug-in de la EPA busca el proceso “Chrome” cada 3 minutos después de que el inicio de sesión se haya realizado correctamente.

Referencias

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Citrix solo tiene traducción automática. Citrix no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Citrix se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Citrix, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Citrix no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

El escaneo EPA como factor en la autenticación nFactor

November 21, 2022

Contribución de:

November 21, 2022

Contribución de:

En este artículo

Exclusividad mutua EPA Factor
Ejecución de la EPA
Configurar la exploración periódica de la EPA como factor en la autenticación nFactor
Referencias

¿Le ha resultado útil?