Quando falamos de um serviço de nuvem Zero Trust , a principal objeção que aparece é “não consigo expor meus servidores à internet”; este um ponto definitivamente válido, que é considerado no design e para isso existe o Duo Security Authentication Proxy.
Um serviço Cloud não implica necessariamente a exposição dos servidores. Precisamente essas tecnologias desenvolvem soluções que fazem uma interface segura entre a infraestrutura On-Premises e a Nuvem .
É justamente o caso da operação do Cisco Duo Security, que disponibiliza o Duo Authentication Proxy (DAP) para fazer o trabalho de conectar com segurança a infraestrutura local aos serviços em nuvem do Duo.
Neste artigo vou explicar a filosofia e o funcionamento do Proxy de Autenticação de Segurança Duo
É um pequeno programa, instalado como um serviço . É fornecido pela Duo Security e vem nas versões Windows e Linux.
Sua função é atuar como intermediário entre o Duo Security e os servidores ou equipamentos instalados nas dependências da organização.
A filosofia de operação desse proxy é justamente não expor a infraestrutura local à internet.
Abaixo vou descrever separadamente as funções desempenhadas pelo Duo Security Authentication Proxy e depois, uni-las e mostrar o fluxo completo de uma autenticação realizada com ele.
A primeira função que o Duo Security Authentication Proxy (DAP) executa é a sincronização dos usuários do Duo, desta forma o DAP permite que os Diretórios permaneçam On-Premises e não sejam expostos à Internet.
Dentro das opções disponíveis de sincronização no local, o DAP pode se comunicar com servidores Microsoft Active Directory ou OpenLDAP.
Para fazer essa sincronização, ela deve ser configurada no Portal de Administração do Duo e no próprio Duo Authentication Proxy em sua seção [CLOUD] .
Depois que os usuários estiverem sincronizados, devem passar por um processo de registro de seus dispositivos 2FA para poder se autenticar com o Duo Security.
Outra das funções do Duo Security Authentication Proxy é receber solicitações de autenticação desde vários servidores ou aplicativos que foram configurados para derivar sua autenticação para um terceiro.
Esta funcionalidade torna o Duo Security um serviço de autenticação multiprotocolo onde praticamente qualquer aplicação pode ser integrada.
Essas autenticações chegam com base em dois protocolos de autenticação padrão:
O DAP pode receber solicitações de autenticação via protocolo RADIUS, caracteristica que o torna uma poderosa ponte de autenticação para equipamentos de rede, como:
Isso é feito na seção [radius_server_auto] do seu arquivo de configuração
Ao nível da aplicação, o protocolo LDAP surge como um protocolo de autenticação, praticamente nativo na maioria das aplicações, uma vez que o LDAP é o mesmo protocolo utilizado pelo Active Directory.
Por esse motivo , é muito comum que os aplicativos tenham a opção de se autenticar externamente pelo LDAP e é nesse momento que o DAP pode receber essas solicitações.
Isso é feito na seção [ldap_server_auto] do arquivo de configuração.
O Duo Authentication Proxy pode enviar solicitações de autenticação para os autenticadores primários , neste caso pode enviá-las para o autenticador primário que geralmente é um Active Directory ou também pode ser para outro RADIUS.
É a opção mais comum e, nela, via LDAP, o Duo Authentication Proxy envia o hash de autenticação para o Active Directory o qual, como autenticador primário, é responsável por validar as credenciais apresentadas .
Após essa validação, o Active Directory responde ao DAP se as credenciais estão corretas ou não.
A configuração desta autenticação vai na seção [ad_client] do arquivo de configuração
Uma configuração não tão comum é redirecionar a autenticação para outro servidor RADIUS e aguardar uma resposta dele por meio desse protocolo.
Para sua configuração, vamos para a seção [radius_client] do arquivo de configuração
Tão logo a autenticação primária aceita as credenciais do usuário, ela informa o DAP. Em seguida, pede para a nuvem do Duo Security que solicite o segundo fator de autenticação do usuário .
Parte dessa intermediação consiste em gerenciar os modos de falhas do Duo Security para os momentos em que os serviços em nuvem estão indisponíveis .
Agora que você conhece as funções separadamente, vamos juntar todas as peças do quebra-cabeça e analisar todo o fluxo de autenticação, começando pelo diagrama a seguir e pela numeração que coloquei nele:
Tudo começa quando um usuário tenta acessar os serviços de um aplicativo
Para o serviço Single Sing-On (SSO), o Duo suporta dois tipos de fontes de autenticação: uma Cloud via SAML ou OIDC ou uma On-Premises via Duo Security Authentication Proxy.
Caso seja necessário manter os equipamentos ou aplicativos completamente isolados da Internet, o Duo Authentication Proxy pode servir como proxy http.
Um aplicativo comum é o Windows Logon e RDP , onde você pode querer que os computadores Windows não entrem em contato diretamente com os serviços Duo Cloud.
Nesse caso, um Proxy de Autenticação de Segurança Duo é configurado para lidar com solicitações https de máquinas Windows e enviá-las para a nuvem Duo.
O Duo Security Authentication Proxy é um componente vital para o ecossistema Duo Zero Trust. Permite um grande número de integrações graças ao seu gerenciamento multiprotocolo, principalmente RADIUS e LDAP.
Além disso, permite a não exposição da infraestrutura On-Premises consumindo poucos recursos e uma configuração simples via arquivo de configuração.
Documentação de segurança do Duo, Proxy de autenticação do Duo – Referência
Engenheiro de Soluções Principal na ICT International MSP
Especialista em Cibersegurança ZeroTrust | Marketing de Conteúdo | Especialista em SEO |
Esta entrada ha sido publicada el 17 de agosto de 2022
Vamos trabalhar juntos, fazer um PoC gratuito por meio de um MSP
Esta web usa cookies.
Leer más...