Citrix Gateway

El escaneo EPA como factor en la autenticación nFactor

Las siguientes son algunas de las entidades básicas de nFactor EPA.

Acción de la EPA: La acción de la EPA es un tipo de acción introducido para nFactor EPA. Contiene lo siguiente:

  • Expresión de seguridad del cliente: esta expresión se envía al complemento EPA de puerta de enlace para su evaluación.
  • Grupo de éxito: este grupo, si está configurado, se hereda en la sesión de puerta de enlace si el resultado de la EPA es verdadero.
  • Grupo de cuarentena: este grupo, si está configurado, se hereda en la sesión de puerta de enlace si el resultado de la EPA es falso.
  • KillProcess: representa el nombre del proceso que debe terminar el proceso de la EPA.
  • DeleteFiles: especifica las rutas de acceso separadas por comas a los archivos que el proceso EPA debe eliminar.

Los grupos se pueden utilizar durante la duración de la sesión para determinar si el cliente cumple determinadas condiciones de la EPA. Si en un determinado factor, la EPA falla y la última acción no contiene “Grupo de cuarentena”, la autenticación finaliza para ese usuario. Si existe el “Grupo de cuarentena”, la autenticación continúa y el administrador puede comprobar si el grupo concede acceso limitado. Para obtener más información, consulte Ejecución de la EPA.

Directiva EPA: En nFactor, todas las directivas se agregan con la misma sintaxis “agregar directiva de autenticación”. Sin embargo, el tipo de acción califica a la directiva como directiva de la EPA.

Factor EPA: El factor EPA es una etiqueta de directiva normal. No existe ninguna entidad denominada factor EPA. Una vez que la directiva de la EPA está vinculada a un factor, hereda ciertas propiedades que la convierten en un factor EPA. Nota: El término “factor EPA” se utiliza comúnmente en este documento para referirse a un factor con las directivas de la EPA.

EPA: cuarentena: Si se encuentra en un factor determinado, todas las expresiones de seguridad del cliente de todas las acciones fallan y si la última acción contiene “Grupo de cuarentena”, ese grupo se agrega a la sesión y se investiga NextFactor. Es decir, a pesar del fracaso, la presencia del “grupo de cuarentena” califica la sesión para la siguiente etapa. Sin embargo, debido a la herencia de un grupo especial, el administrador puede relegar la sesión al acceso restringido o a directivas de autenticación adicionales como OTP o SAML.

Si no hay ningún grupo de cuarentena en la última acción, la autenticación finaliza en caso de error.

La EPA en nFactor también utiliza las siguientes entidades:

  • loginSchema — representación XML del formulario de inicio de sesión. Define la “vista” del formulario de inicio de sesión y también tiene propiedades de “factor”.
  • Etiqueta de directiva o factor de directiva: es un conjunto de directivas que se prueban en una etapa determinada de la autenticación.
  • Etiqueta de servidor virtual: El servidor virtual también es una etiqueta de directiva, es decir, se pueden enlazar directivas al servidor virtual. Sin embargo, el servidor virtual es la colección de varias etiquetas de directivas, ya que es el punto de entrada para el acceso de los usuarios.
  • factor siguiente: Se utiliza para especificar el factor o etiqueta de directiva que se tomará una vez que la directiva de autenticación dada tenga éxito.
  • DirectivaNO_AUTHN: directiva especial cuya acción siempre tiene éxito.
  • Factor de paso a través: Es un factor o etiqueta de directiva cuyo esquema de inicio de sesión no contiene vista. Es una indicación para que el dispositivo Citrix ADC continúe la autenticación en el factor determinado sin la intervención del usuario.

Para obtener más información, consulte Conceptos, entidades y terminología de nFactor.

Exclusividad mutua EPA Factor

EPA Factor contiene una o más directivas de la EPA. Una vez que las directivas de la EPA están vinculadas a un factor, las directivas de autenticación regulares no se permiten en ese factor. Esta restricción es ofrecer la mejor experiencia de usuario y una separación clara del análisis de endpoints. La única excepción a esta regla es la directiva NO_AUTHN. Dado que la directiva NO_AUTHN es una directiva especial que se utiliza para simular el “salto en caso de fallo”, está permitida en el factor EPA.

Ejecución de la EPA

En cualquier factor (incluido el factor servidor virtual), antes de entregar el formulario de inicio de sesión, el dispositivo Citrix ADC comprueba si el factor está configurado para EPA. Si es así, envía una respuesta específica al cliente (IU) para que se active la secuencia EPA. Esta secuencia comprende que el cliente solicita expresiones de seguridad del cliente y envía los resultados. Las expresiones de seguridad del cliente para todas las directivas de un factor se envían al cliente a la vez. Una vez que se obtienen los resultados en el dispositivo Citrix ADC, cada una de las expresiones de todas las acciones se evalúan en una secuencia. La primera acción que da como resultado el éxito de la EPA termina ese factor y DefaultGroup, si está configurado, se hereda en la sesión. Si se encuentra la directiva NO_AUTHN, se califica como automática correcta. Si se especifica nextFactor, el dispositivo continúa con ese factor. De lo contrario, la autenticación finaliza. Esta condición también se aplica al primer factor. Si no hay ningún factor de directiva de autenticación después de EPA en el servidor virtual, la autenticación finaliza. Esto es diferente del comportamiento de las directivas clásicas, en el que al usuario siempre se le muestra la página de inicio de sesión después de la EPA. Sin embargo, en caso de que no haya una directiva EPA correcta, Citrix Gateway examina el grupo de cuarentena configurado para la última directiva de EPA en ese factor o en cascada. Si la última directiva está configurada con el grupo de cuarentena, ese grupo se agrega a la sesión y se inspecciona el NextFactor. Si existe un NextFactor, la autenticación pasa a ese factor. De lo contrario, se completará la autenticación.

Configurar la exploración periódica de la EPA como factor en la autenticación nFactor

Puede configurar el análisis periódico de la EPA como factor en la autenticación de nFactor mediante la infraestructura de directivas avanzada. Nota: En la directiva clásica, la EPA periódica se configuró como parte de la directiva de sesión en vpn session action. La siguiente lógica se utiliza como ejemplo para implementar la exploración EPA como factor en la autenticación nFactor.

EPA en secuencia de flujo nFactor

  • El usuario intenta conectarse a la IP virtual de NetScaler Gateway.
  • Se muestra al usuario una página de inicio de sesión con el campo de nombre de usuario y contraseña para que proporcione sus credenciales de inicio de sesión. Con estas credenciales, la autenticación basada en LDAP o AD se realiza en el back-end. Si tiene éxito, se muestra al usuario una ventana emergente para autorizar el escaneo de la EPA.
  • Una vez que el usuario lo autoriza, se realiza el análisis EPA y, en función del éxito o el fracaso de la configuración del cliente del usuario, se proporciona acceso.
  • Si el análisis se realiza correctamente, el análisis EPA se realiza periódicamente para comprobar que se siguen cumpliendo los requisitos de seguridad configurados.
  • Si se produce un error en el análisis de la EPA durante dicha comprobación, la sesión finaliza.

Requisitos previos

Se supone que existe la siguiente configuración:

  • Configuración del servidor virtual VPN, puerta de enlace y servidor virtual de autenticación
  • Configuraciones del servidor LDAP y directivas asociadas.

En la siguiente sección se capturan las configuraciones de rótulos de directivas y directivas necesarias, así como la asignación de directivas y rótulos de directivas a un perfil de autenticación.

EPA en el mapeo de etiquetas de directivas y directivas de nFactor

Configuración CLI de la lógica

  1. Cree una acción para realizar el análisis de la EPA y asociarlo a una directiva de análisis de la EPA.

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr("proc_2_firefox")"
    
    add authentication Policy EPA-check -rule true -action EPA-client-scan
    <!--NeedCopy-->
    

    La expresión anterior analiza si el proceso ‘Firefox’ se está ejecutando. El plug-in de la EPA comprueba la existencia del proceso cada 2 minutos, lo que significa el dígito “2” en la expresión de escaneo.

  2. Configure el post-ldap-epa-análisis de etiquetas de directivas”, que aloja la directiva para el análisis EPA.

    add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT
    <!--NeedCopy-->
    

    Nota: LSCHEMA_INT es un esquema incorporado sin esquema (sin esquema), lo que significa que no se presenta ninguna página web adicional al usuario en este paso.

  3. Asocie la directiva configurada en el paso 1 con la etiqueta de directiva configurada en el paso 2.

    bind authentication policylabel post-ldap-epa-scan -policyName EPA-check -priority 100 -gotoPriorityExpression END
    <!--NeedCopy-->
    

    Esto completa el mecanismo de autenticación.

  4. Configúrelo y asócielo ldap-auth policy a una directiva LDAP configurada para autenticarse con un servidor LDAP específico.

    add authentication Policy ldap-auth -rule true -action ldap_server1
    <!--NeedCopy-->
    

    donde ldap_server1 es la directiva LDAP y ldap-auth es el nombre de la directiva.

  5. Al juntarlo todo, asocie ldap-auth policy al servidor virtual Citrix ADC AAA con el siguiente paso apuntando a la etiqueta de directiva post-ldap-epa-scan para realizar un análisis de la EPA.

    bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT
    <!--NeedCopy-->
    

    Nota: En la EPA periódica configurada como varios factores, se tiene en cuenta el último factor con configuración periódica de la EPA.

    En el ejemplo anterior, la EPA es el primer factor en el que el análisis busca el proceso “Firefox”.

    • Si el análisis de la EPA se realiza correctamente, lleva a la autenticación LDAP, seguida del siguiente análisis de la EPA, que busca el proceso “Chrome”.
    • Cuando se configuran varias exploraciones periódicas como factores diferentes, la última exploración tiene prioridad. En este caso, el plug-in de la EPA busca el proceso “Chrome” cada 3 minutos después de que el inicio de sesión se haya realizado correctamente.

Referencias

El escaneo EPA como factor en la autenticación nFactor