Duo Security Proxy de Autenticação

Quando falamos de um serviço de nuvem Zero Trust , a principal objeção que aparece é “não consigo expor meus servidores à internet”; este um ponto definitivamente válido, que é considerado no design e para isso existe o Duo Security Authentication Proxy.

Um serviço Cloud não implica necessariamente a exposição dos servidores. Precisamente essas tecnologias desenvolvem soluções que fazem uma interface segura entre a infraestrutura On-Premises e a Nuvem .

É justamente o caso da operação do Cisco Duo Security, que disponibiliza o Duo Authentication Proxy (DAP) para fazer o trabalho de conectar com segurança a infraestrutura local aos serviços em nuvem do Duo.

Neste artigo vou explicar a filosofia e o funcionamento do Proxy de Autenticação de Segurança Duo

O que é o Duo Security Authentication Proxy?

É um pequeno programa, instalado como um serviço . É fornecido pela Duo Security e vem nas versões Windows e Linux.

Sua função é atuar como intermediário entre o Duo Security e os servidores ou equipamentos instalados nas dependências da organização.

A filosofia de operação desse proxy é justamente não expor a infraestrutura local à internet.


Benefícios de Usar o Duo Security Authentication Proxy

  • Maior segurança
  • Integração multiprotocolo
  • Intermediário na autenticação primária

Responsabilidades do Duo Security Authentication Proxy

Abaixo vou descrever separadamente as funções desempenhadas pelo Duo Security Authentication Proxy e depois, uni-las e mostrar o fluxo completo de uma autenticação realizada com ele.

Sincronizador dos Usuários

A primeira função que o Duo Security Authentication Proxy (DAP) executa é a sincronização dos usuários do Duo, desta forma o DAP permite que os Diretórios permaneçam On-Premises e não sejam expostos à Internet.

Patrocinado

Dentro das opções disponíveis de sincronização no local, o DAP pode se comunicar com servidores Microsoft Active Directory ou OpenLDAP.

Para fazer essa sincronização, ela deve ser configurada no Portal de Administração do Duo e no próprio Duo Authentication Proxy em sua seção [CLOUD] .

Sincronização de usuários do Active Directory

Depois que os usuários estiverem sincronizados, devem passar por um processo de registro de seus dispositivos 2FA para poder se autenticar com o Duo Security.

Receptor de Autenticação Derivada

Outra das funções do Duo Security Authentication Proxy é receber solicitações de autenticação desde vários servidores ou aplicativos que foram configurados para derivar sua autenticação para um terceiro.

Esta funcionalidade torna o Duo Security um serviço de autenticação multiprotocolo onde praticamente qualquer aplicação pode ser integrada.

Autenticação derivada do DAP

Essas autenticações chegam com base em dois protocolos de autenticação padrão:

Solicitações via RADIUS

O DAP pode receber solicitações de autenticação via protocolo RADIUS, caracteristica que o torna uma poderosa ponte de autenticação para equipamentos de rede, como:

  • Firewalls para VPNs (Redes Privadas Virtuais)
  • Interface de gerenciamento para roteadores, switches, controladores de LAN sem fio

Isso é feito na seção [radius_server_auto] do seu arquivo de configuração

Solicitações via LDAP

Ao nível da aplicação, o protocolo LDAP surge como um protocolo de autenticação, praticamente nativo na maioria das aplicações, uma vez que o LDAP é o mesmo protocolo utilizado pelo Active Directory.

Patrocinado

Por esse motivo , é muito comum que os aplicativos tenham a opção de se autenticar externamente pelo LDAP e é nesse momento que o DAP pode receber essas solicitações.

Verificador de Autenticação Primária

Isso é feito na seção [ldap_server_auto] do arquivo de configuração.

O Duo Authentication Proxy pode enviar solicitações de autenticação para os autenticadores primários , neste caso pode enviá-las para o autenticador primário que geralmente é um Active Directory ou também pode ser para outro RADIUS.

Verificação de autenticações primárias

Active Directory/Cliente LDAP

É a opção mais comum e, nela, via LDAP, o Duo Authentication Proxy envia o hash de autenticação para o Active Directory o qual, como autenticador primário, é responsável por validar as credenciais apresentadas .

Após essa validação, o Active Directory responde ao DAP se as credenciais estão corretas ou não.

A configuração desta autenticação vai na seção [ad_client] do arquivo de configuração

Cliente do Servidor RADIUS

Uma configuração não tão comum é redirecionar a autenticação para outro servidor RADIUS e aguardar uma resposta dele por meio desse protocolo.

Para sua configuração, vamos para a seção [radius_client] do arquivo de configuração

Intermediário com o Serviço Duo Security

Tão logo a autenticação primária aceita as credenciais do usuário, ela informa o DAP. Em seguida, pede para a nuvem do Duo Security que solicite o segundo fator de autenticação do usuário .

Comunicação SSL entre os serviços Duo e o DAP

Parte dessa intermediação consiste em gerenciar os modos de falhas do Duo Security para os momentos em que os serviços em nuvem estão indisponíveis .

Patrocinado

Fluxo de Autenticação

Agora que você conhece as funções separadamente, vamos juntar todas as peças do quebra-cabeça e analisar todo o fluxo de autenticação, começando pelo diagrama a seguir e pela numeração que coloquei nele:

Fluxo de autenticação do Duo Authentication Proxy

Tudo começa quando um usuário tenta acessar os serviços de um aplicativo

  1. A aplicação que recebe a tentativa de autenticação possui a autenticação externa configurada, apontando para o Duo Authentication Proxy, envia a referida solicitação pelo protocolo correspondente (RADIUS/LDAP) e o DAP a processa
  2. O DAP envia a solicitação de autenticação primária ao provedor de autenticação principal, que normalmente é o Active Directory, o qual avalia as credenciais e responde se elas estão corretas ou não.
  3. Se as credenciais primárias estiverem corretas, o DAP pede uma solicitação de 2FA ao usuário apropriado . O Duo recebe esse pedido e envia ao usuário uma solicitação de autenticação de dois fatores. Se essa solicitação for bem-sucedida, o Duo informa o DAP.
  4. O DAP indica ao aplicativo que o acesso foi permitido e o aplicativo conclui sua autenticação e permite o acesso ao usuário.

Fonte de Autenticação para SSO

Para o serviço Single Sing-On (SSO), o Duo suporta dois tipos de fontes de autenticação: uma Cloud via SAML ou OIDC ou uma On-Premises via Duo Security Authentication Proxy.

Proxy HTTPS

Caso seja necessário manter os equipamentos ou aplicativos completamente isolados da Internet, o Duo Authentication Proxy pode servir como proxy http.

Um aplicativo comum é o Windows Logon e RDP , onde você pode querer que os computadores Windows não entrem em contato diretamente com os serviços Duo Cloud.

Nesse caso, um Proxy de Autenticação de Segurança Duo é configurado para lidar com solicitações https de máquinas Windows e enviá-las para a nuvem Duo.

Vamos fazer uma Prova de Conceito Gratuita através de um MSP

Melhores Práticas

  • Devido à leveza do programa Duo Authentication Proxy, não é necessário instalar um servidor exclusivo para esta finalidade, a menos que seja esperado um alto tráfego de Autenticação.
  • Use o LDAPS o máximo possível, isso protegerá os dados entre o DAP e seus controladores de domínio e permitirá recursos adicionais, como a capacidade de alterar a senha do usuário da VPN por meio de autoatendimento.
  • Use uma DN base o mais alta possível para cobrir todas as ramificações da árvore do Active Directory.
  • Use o Manager integrado ao DAP para uma configuração e gerenciamento muito mais simples

Conclusões

O Duo Security Authentication Proxy é um componente vital para o ecossistema Duo Zero Trust. Permite um grande número de integrações graças ao seu gerenciamento multiprotocolo, principalmente RADIUS e LDAP.

Além disso, permite a não exposição da infraestrutura On-Premises consumindo poucos recursos e uma configuração simples via arquivo de configuração.

Referências

Documentação de segurança do Duo, Proxy de autenticação do Duo – Referência


Patrocinado

Engenheiro de Soluções Principal na ICT International MSP
Especialista em Cibersegurança ZeroTrust | Marketing de Conteúdo | Especialista em SEO |

Esta entrada ha sido publicada el 17 de agosto de 2022