Una de las caracterÃsticas de Cisco Duo Security menos documentadas es el modo de operación en caso de fallas o también conocidos como failmode.
Y asà como es de poco conocida, es una pregunta muy común: ¿Qué pasa si Duo se cae?
Es en este momento donde entran en juego los modos de funcionamiento en fallas o failmodes de Duo.
Los modos de funcionamiento en caso de falla te permiten definir el comportamiento de inicio de sesión de tus aplicaciones cuando no se alcanzan a los servicios Zero Trust de Duo Security.
¿Qué es un Failmode en Duo Security?
Un failmode es un parámetro de configuración de algunas aplicaciones integradas a Duo Security
Este parámetro define el comportamiento de la aplicación cuando por alguna circunstancia no se alcanzan los servicios de Duo.
Casos de Falla
Los casos que pueden considerarse como fallas del servicio son:
- Fallas de conectividad entre la aplicación integrada y la nube de Duo.
- No disponibilidad del servicio Cloud de Duo propiamente dicho.
Falla Duo Authentication Proxy (DAP)
Si tienes Duo Authentication Proxy on-Premises, la disponibilidad de éste no cuenta como disponibilidad del servicio Cluod de Duo porque es un equipo interno.
De hecho, si éste se cae, se pierde la autenticación sin importar el modo de operación, por lo que es importante tenerlos en configuración redundante instalando al menos dos DAP en modo redundante.
Failmode de Duo Security
Modo Seguro o Cerrado (Secure o Fail Closed)
Este modo de operación que es el más restrictivo y seguro, la aplicación no permite el acceso a ningún usuario sincronizado si no alcanza a los servicios de Duo.
Ventajas del Modo Cerrado
- Mayor nivel de seguridad
- Protege contra ataque de bypass al segundo factor provocado al quitar la conectividad del servicio o dispositivo
Desventajas del Modo Cerrado
- Se corre el riesgo de perder el acceso al dispositivo si la falla de conectividad es de origen intrÃnseco del equipo.
Modo Abierto (Safe o Fail Open)
Este modo de operación es un poco más flexible y en caso de no poder alcanzar a los servicios de Duo Security, la aplicación permite el acceso si el usuario introdujo correctamente las credenciales primarias (usuario y contraseña).
Ventajas del Modo Abierto
- El acceso al dispositivo o servicio se mantiene aunque sea una falla de de conectividad interna
Desventajas del Modo Abierto
- Se corre el riesgo de ataque bypass del segundo factor al quitar la conectividad bien sea provocando falla en la red del server o en los dispositivos que le dan acceso a internet (proxies, firewall, etc)
¿Cuál Modo Usar?
Los dos modos son totalmente válidos y funcionales, todo dependerá de tus polÃticas internas de seguridad.
Como premisas iniciales puedes considerar:
- La disponibilidad del servicio de Duo Security es muy alta, por SLA, del 99.9%.
- La principal disponibilidad a considerar serÃa entonces la de la infraestructura asociada a la aplicación (servidores, DAP y redes)
- Se debe preferir el modo Secure o Fail Closed por ser el más seguro, sin embargo no siempre es el operativamente preferido.
Acá te dejo algunas preguntas cuyas respuestas te pueden servir para definir el modo a elegir:
- ¿Qué tan probable es que mi aplicación pierda conectividad a la nube de Duo?
- ¿Qué tan crÃtica es la aplicación? ¿puedo permitirme momentos de interrupción por autenticaciones rechazadas?
- ¿Prefiero la no disponibilidad de la aplicación que bajar mi nivel de seguridad?
- ¿Mis polÃticas de contraseñas son lo suficientemente robustas como para dejar entrar sin Two factor Authentication?
Aplicaciones Donde Puedo Configurar Failmodes
Hay tres grandes grupos de aplicaciones en las que podemos configurar el modo de operación de Duo Security en caso de falla o failmode
Integraciones vÃa el Duo Authentication Proxy (DAP)
En este caso se cuentan todas las aplicaciones cuya derivación de autenticación se realiza vÃa RADIUS, LDAP o LDAPS
Integraciones SSO vÃa el Duo Authentication Gateway (DAG)
Todas las integraciones vÃa SAML que usen el DAG como proveedor de SSO
Integraciones Nativas
Acá tenemos aplicaciones que usan componentes de Duo para integrarse, como por ejemplo:
- Microsoft AD FS
- Microsoft Outlook Web App (OWA)
- Microsoft RDWeb
- Microsoft Remote Desktop (RDP)
- Microsoft Remote Desktop Gateway
Puedes conseguir un listado completo en el listado oficial de Duo
Conclusiones
Determinar el modo de operación en falla que mejor se adecúe a tu organización es solo cuestión de entender bien el funcionamiento de esta caracterÃstica, analizar factores de disponibilidad y de operación. Contrastando estos factores, podrás elegir adecuadamente.
También es importante indicar que este modo de configuración es modificable en todo momento asà que si no te sirve en un momento en especÃfico, lo puedes cambiar y problema resuelto.
Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |