Começo Zero Trust Duo Failmodes

Modos de Operação Duo Security (Failmodes)

Publicado por
Ramón Antonio Jiménez
3 de março de 2024
Duo Security failmodes

Uma das características do Cisco Duo Security menos documentadas é o modo de operação em caso de falha ou também conhecido como failmodes.

E por mais pouco conhecido que seja, é uma pergunta muito comum: O que acontece se o Duo cair?

É neste momento que entra no jogo os modos de funcionamento em fallas ou failmodes de Duo.

Os modos de funcionamento em caso de falha permitem definir o comportamento de início de sessão de seus aplicativos que não podem ser alcanzados com os serviços Zero Trust de Duo Security.

Que é Failmodes en Duo Security?

Failmodes é um parâmetro de configuração de algumas aplicações integradas ao Duo Security

Este parâmetro define o comportamento da aplicação cuando por alguma circunstancia no se alcanzan los servicios de Duo.

Casos de Palha

Los cases que pueden considerouse como fallas del servicio son:

  • Fallas de conectividade entre o aplicativo integrado e o nube de Duo.
  • Não há disponibilidade de serviço Cloud de Duo propiamente dicho.

Proxy de autenticação Falla Duo (DAP)

Se houver Duo Authentication Proxy on-Premises, a disponibilidade de este não está relacionada à disponibilidade do serviço Cluod de Duo porque é um equipamento interno .

Assim, se for este o caso, se pierde a autenticação sem importar o modo de operação, por lo que é importante termos na configuração redundante instalando ao menos dos DAP em modo redundante.

Failmodes de Duo Security

Modo Seguro (Secure o Fail Closed)

Este modo de operação que é mais restritivo e seguro, o aplicativo não permite o acesso a um usuário sincronizado se não houver acesso aos serviços do Duo.

Patrocinado

Melhor prática: Para o caso de integração do Duo Windows Logon RDP com a possibilidade de acesso à linha (offline), este modo deve ser escogido para que o modo offline funcione adequadamente.

Vantagens do Modo Seguro

  • Maior nível de segurança
  • Protege contra ataque de desvio de segundo fator causado pela remoção da conectividade do serviço ou dispositivo

Desvantagens do Modo Seguro

  • Existe o risco de perder o acesso ao dispositivo caso a falha de conectividade seja de origem intrínseca do equipamento.

Modo Aberto (Safe o Fail Open)

Este modo de operação é um pouco mais flexível e no caso de nenhum poder alcanzar os serviços do Duo Security, a aplicação permite o acesso se o usuário introduz corretamente as credenciais primárias (usuário e contraseña).

Vantagens do Modo Aberto

  • O acesso ao dispositivo ou serviço é mantido mesmo se houver falha de conectividade interna

Desvantagens do Modo Aberto

  • Existe o risco de um ataque de bypass do segundo fator ao remover a conectividade, seja causando falha na rede do servidor ou nos dispositivos que lhe dão acesso à Internet (proxies, firewall, etc.)
Vamos fazer uma Prova de Conceito Gratuita através de um MSP
Contate-me

Qual dos Failmodes de Duo Security Usar?

Todos os modos são totalmente válidos e funcionais, todos os protetores de suas políticas internas de segurança.

Como premissas iniciais podem ser consideradas:

  • A disponibilidade do serviço de Duo Security é muito alta, por SLA , de 99,9%.
  • A principal disponibilidade para considerar sería entonces la de la infraestructura associada a la aplicación (servidores, DAP y redes)
  • Se você preferir o modo Secure ou Fail Closed por ser mais seguro, se o embargo não for mais seguro é o operacionalmente preferido.

Acá te dejo algunas preguntas cuyas respuestas te pueden servir para definir o modo de escolha:

  • ¿Qué tanprovable es que mi aplicación pierda conectividad a la nube de Duo?
  • ¿Qué tan crítica es la aplicación? ¿puedo permitir momentos de interrupção por autenticaciones rechazadas?
  • ¿Prefiro a disponibilidade do aplicativo que bajar meu nível de segurança?
  • ¿As políticas de contraste são suficientes para entrar robustas como para dejar no segundo fator?

Aplicações Donde Puedo Configurar Failmodes

Há três grandes grupos de aplicativos nos que podemos configurar o modo de operação do Duo Security em caso de falha ou failmode

Integrações via el Duo Authentication Proxy (DAP)

Neste caso, veja todas as aplicações que derivam de autenticação se realiza via RADIUS , LDAP ou LDAPS

Integrações SSO via Duo Authentication Gateway (DAG)

Todas as integrações via SAML que usam o DAG como provador de SSO

Integrações Nativas

Acá tenemos aplicaciones que usa componentes de Duo para integrarse, como por exemplo:

  • Microsoft AD FS
  • Aplicativo da Web do Microsoft Outlook (OWA)
  • Microsoft RD Web
  • Área de trabalho remota da Microsoft (RDP)
  • Gateway de área de trabalho remota da Microsoft

Você pode obter uma lista completa na lista oficial de Duo

Patrocinado

Conclusões

Determinar o modo de operação em caso de que melhor se adeque a sua organização e seja individual de entender bem o funcionamento desta característica, analisando fatores de disponibilidade e operação. Contrastando os fatores, pode-se elegir adequadamente.

Também é importante indicar que este modo de configuração é modificável em todo momento como se não for necessário em um momento específico, você pode alterar o resultado do problema.

Vamos fazer uma Prova de Conceito Gratuita através de um MSP
Contate-me
( genuimentor )

Engenheiro de Soluções Principal na ICT International MSP
Especialista em Cibersegurança ZeroTrust | Marketing de Conteúdo | Especialista em SEO |

Esta entrada ha sido publicada el 20 de agosto de 2022

Publicado por
Ramón Antonio Jiménez
Etiquetas: DuoRADIUSSAML
3 de março de 2024