Resumen técnico: Autenticación multifactor con Citrix nFactor

Introducción

Las contraseñas débiles o robadas son una de las principales causas de filtraciones en las redes empresariales. Pueden provocar la pérdida de propiedad intelectual, la pérdida de información de identificación personal (PII) y tener un impacto significativo en el negocio. La autenticación multifactor (MFA) es una de las mejores medidas de seguridad para protegerse de las vulnerabilidades de identidad.

Por lo general, se utilizan tres tipos de autenticación para identificar a los usuarios:

1) Algo que usted sabe (por ejemplo, contraseña): este tipo es históricamente el tipo más utilizado. Los usuarios escriben un nombre de usuario y una contraseña que solo ellos conocen. Las contraseñas se pueden reforzar contra los ataques de los malos actores, con mayor cantidad de personajes y con más tipos de personajes. Sin embargo, los usuarios son solo humanos y pueden mantenerlos simples o evitar cambiarlos regularmente. Entonces, si el punto final está infectado con malware, solo es cuestión de tiempo hasta que algoritmos implacables descubran la contraseña y pongan en peligro los sistemas y datos a los que el usuario tiene acceso.

2) Algo que usted tiene (por ejemplo, una llave digital, una tarjeta inteligente física o virtual): este tipo es un segundo factor común, particularmente con el gobierno de EE. UU. A los usuarios se les emite una tarjeta inteligente y, después de introducir su nombre de usuario y contraseña, se extrae y valida un certificado y una clave privados. Las tarjetas físicas se insertan en los lectores conectados a los endpoints o se instalan tarjetas virtuales en el endpoint para que el usuario las copie y pegue en el formulario de autenticación.

3) Algo que usted es (por ejemplo, un escáner de huellas digitales): este tipo es un tercer método que se centra en el uso de la biometría para identificar de manera única a un usuario. Históricamente, la biometría ha tenido una adopción generalizada más lenta debido a los gastos de implementación y la complejidad, pero son una opción poderosa para entornos de alta seguridad.

La autenticación multifactor se refiere al uso de dos o más de estos tipos de autenticación para verificar la identidad del usuario y mitigar el riesgo de que actores maliciosos obtengan acceso a entornos empresariales.

Citrix nFactor MFA

Información general

Citrix ADC admite varios métodos de autenticación multifactor. Proporciona un enfoque extensible y flexible para configurarlos con autenticación nFactor.

También admite varias tecnologías de entrega de aplicaciones que pueden utilizar la autenticación multifactor, incluidos Content Switching, Traffic Management Load Balancing, Full VPN y Gateway Proxy. Se puede emplear en entornos locales, en la nube e híbridos.

En este resumen se describe la autenticación multifactor mediante cinco pares de métodos con Citrix Gateway. Se centra en el uso de los métodos con los entornos locales de Citrix Virtual Apps and Desktops y con Citrix Workspace.

Citrix nFactor MFA

Factor nFactor

nFactor usa los servidores virtuales AAA de Citrix ADC para implementar la autenticación multifactor. Se vinculan a políticas y acciones avanzadas, agrupadas en factores, para implementar métodos de autenticación. La interfaz para los usuarios que solicitan credenciales de autenticación y las variables que almacenan su entrada se definen en un esquema de inicio de sesión.

nFactor se puede configurar a través de la CLI, a través de la GUI manualmente o a través de la herramienta del visualizador en la GUI. Los elementos de configuración pertinentes incluyen:

  • Visualizador: una herramienta disponible en la GUI de Citrix ADC para ayudar con la configuración de nFactor para implementar flujos de MFA para una multitud de requisitos de autenticación.
  • Servidor virtual AAA de Citrix ADC: “Factor 0” es el punto de partida para MFA, al que hacen referencia los servidores virtuales Gateway, LB o Content Switch que dependen de él para la autenticación.
  • Factor: los factores, que están vinculados al servidor virtual AAA de Citrix ADC, actúan como un “depósito” para contener un conjunto de directivas y un esquema pertinente. (También conocidas como etiquetas de política cuando no se utiliza el visualizador)
  • Esquema de inicio de sesión: la “página de inicio” de cada factor de autenticación incluye los tipos de campo y las variables a las que se hace referencia en
  • Política: un objeto que se asigna a las acciones de autenticación e incluye una expresión para determinar cuándo coincide.
  • Acción: define los distintos métodos de autenticación. SAML, OAuth, Certificate, LDAP, etc.

Citrix nFactor MFA

Métodos

Citrix ADC admite muchos métodos de autenticación. Para obtener más información, consulte Métodos de autenticación de Citrix ADC. En este resumen, nos centramos en el uso de credenciales de dominio, que representan algo que el usuario sabe, con cinco variaciones de algo que el usuario tiene.

  1. OTP nativo
  2. Token de inserción
  3. Correo electrónico OTP
  4. Extracción de grupo
  5. Certificado del dispositivo

OTP nativo

La OTP nativa o “Pin de una sola vez” funciona con Citrix ADC, ya que los usuarios se registran en una aplicación que admite OTP y comparten una clave con ella. A continuación, utiliza la hora actual junto con esa clave para generar una cadena de números, a intervalos regulares, que solo tiene la aplicación OTP del usuario (por ejemplo, Microsoft Authenticator o la aplicación Citrix SSO). De forma predeterminada, utiliza un código OTP de seis dígitos que es válido durante 30 segundos.

En nuestro caso, para autenticarse correctamente, el usuario introduce sus credenciales de dominio seguidas del código OTP. Después de la validación correcta por parte de Citrix ADC, las credenciales del usuario se transmiten a los sistemas de entrega de destino y las sesiones de sus aplicaciones se pueden establecer con el inicio de sesión único.

Citrix nFactor MFA

Para obtener más información sobre cómo probarlo en su entorno, consulte: Guía de prueba de concepto: nFactor for Citrix Gateway with Native OTP Authentication

Token de inserción

Con Push Token, el usuario también realiza un registro inicial en Citrix ADC. Sin embargo, con este método, el usuario no está obligado a copiar y pegar un código. En cambio, el ADC envía una notificación PUSH a través de redes de distribución móvil (APNS para dispositivos Apple o GCM para dispositivos Android). Luego, el usuario simplemente tiene que aceptar una ventana emergente de la aplicación Citrix SSO para completar el segundo factor. De nuevo, una vez que las credenciales del usuario se transmiten a los sistemas de entrega de destino y sus aplicaciones, las sesiones se pueden establecer con el inicio de sesión único.

Citrix nFactor MFA

Para obtener más información sobre cómo probarlo en su entorno, consulte: Guía de prueba de concepto: nFactor for Citrix Gateway Authentication with Push Token

Correo electrónico OTP

La OTP de correo electrónico funciona como la OTP nativa, pero el código OTP se envía como un correo electrónico en lugar de a una aplicación. Este método es valioso para los grupos de usuarios que no tienen dispositivos móviles. Funciona de manera similar en que el código generado caduca a intervalos regulares y el usuario debe copiarlo y pegarlo en un campo junto con sus credenciales.

Citrix nFactor MFA

Para obtener más información sobre cómo probarlo en su entorno, consulte: Guía de prueba de concepto: nFactor for Citrix Gateway Authentication with Email OTP

Extracción de grupo

La extracción de grupos es el mismo tipo de autenticación que la introducción de credenciales de dominio, pero puede enrutar a otros tipos extrayendo la pertenencia al grupo del usuario. Luego, usando el ejemplo anterior, los administradores pueden designar un grupo como usuarios móviles o usuarios no móviles para determinar si su segundo factor es Push Token y OTP de correo electrónico. Como alternativa, pueden designar grupos de usuarios de acuerdo con su persona de seguridad y hacer coincidir el número y el tipo de métodos de autenticación de acuerdo con el perfil de riesgo de los grupos.

Algunos ejemplos de grupos de usuarios incluyen:

  • Grupo de seguridad normal para personas que tienen requisitos de seguridad más bajos por la naturaleza de su trabajo o acceso limitado a los datos y que se encuentran dentro de los límites del perímetro de seguridad empresarial. Este grupo solo puede requerir 1 factor.

  • Grupo de seguridad elevada para trabajadores o contratistas externos que no se han sometido a verificaciones de antecedentes y tienen requisitos de seguridad más altos. Este grupo puede requerir dos o más factores.

  • Grupo de alta seguridad para empleados que realizan trabajos críticos y requieren autorización gubernamental especial o aprobación de la industria. Este grupo puede requerir dos o más factores y verificaciones contextuales, como la dirección IP de origen.

Citrix nFactor MFA

Para obtener más información sobre cómo probarlo en su entorno, consulte: Guía de prueba de concepto: nFactor for Citrix Gateway Authentication with Group Extraction

Certificado del dispositivo

El certificado de dispositivo depende de la disponibilidad de un certificado único en el punto final. El Citrix ADC valida que el certificado haya sido emitido por una autoridad de certificación designada. Existen varios métodos para gestionar la emisión y revocación de los certificados. Una vez implementado, puede proporcionar un segundo factor de autenticación sin interrupciones que requiere poca o ninguna intervención del usuario.

Citrix nFactor MFA

Para obtener más información sobre cómo probarlo en su entorno, consulte: Guía de prueba de concepto: nFactor for Citrix Gateway Authentication with Device Certificate

Servicio de Workspace

Una vez que tenga una configuración de flujo nFactor, puede integrarse con el servicio Workspace. Dentro del servicio Workspace en Administración de acceso e identidad, el servicio Citrix Gateway proporciona la configuración necesaria para integrarse con Citrix ADC mediante OAuth.

1.) Citrix Workspace: configure el servicio Citrix Gateway para que apunte al servidor virtual Citrix ADC. Cambie el método de autenticación de Workspace a Citrix Gateway

Para obtener más información sobre cómo probarlo en su entorno, consulte: Vídeo de Tech Insight: Autenticación: Citrix Gateway local

Citrix nFactor MFA

2.) Citrix ADC nFactor: cree una directiva de Oauth con la información de inquilinos obtenida del servicio Workspace. Enlácelo al servidor virtual AAA pertinente con una prioridad más alta que el flujo nFactor. Actualice el tema de la página de inicio “Punto de inicio de sesión” con el aspecto de Citrix Workspace.

Para obtener más información sobre cómo probarla en su entorno, consulte: Personalización de la página de autenticación de Citrix Gateway local para que sea idéntica a la página de inicio de sesión de Citrix Cloud

Citrix nFactor MFA

Una vez configurados, los usuarios siguen accediendo a su dominio de servicio de Workspace (por ejemplo, https://<customerdomain>.cloud.com) y se les redirige automáticamente al FQDN de Citrix ADC. Tras una autenticación correcta, Citrix ADC transmite el estado del nombre de usuario al espacio de trabajo y se presentan al usuario sus recursos.

Citrix nFactor MFA

Resumen

Con Citrix nFactor, las empresas pueden implementar una autenticación multifactor fiable y fortalecer la entrada principal a sus entornos. Pueden implementar esta mejora de seguridad y, al mismo tiempo, mantener una buena experiencia de usuario.

Resumen técnico: Autenticación multifactor con Citrix nFactor