Inicio ¬Ľ Zero Trust ¬Ľ Duo Failmodes

Modos de Operación Duo Security (Failmodes)

duo security failmodes

Una de las características de Cisco Duo Security menos documentadas es el modo de operación en caso de fallas o también conocidos como failmode.

Y as√≠ como es de poco conocida, es una pregunta muy com√ļn: ¬ŅQu√© pasa si Duo se cae?

Es en este momento donde entran en juego los modos de funcionamiento en fallas o failmodes de Duo.

Los modos de funcionamiento en caso de falla te permiten definir el comportamiento de inicio de sesión de tus aplicaciones cuando no se alcanzan a los servicios Zero Trust de Duo Security.

¬ŅQu√© es un Failmode en Duo Security?

Un failmode es un parámetro de configuración de algunas aplicaciones integradas a Duo Security

Este parámetro define el comportamiento de la aplicación cuando por alguna circunstancia no se alcanzan los servicios de Duo.

Casos de Falla

Los casos que pueden considerarse como fallas del servicio son:

  • Fallas de conectividad entre la aplicaci√≥n integrada y la nube de Duo.
  • No disponibilidad del servicio Cloud de Duo propiamente dicho.

Falla Duo Authentication Proxy (DAP)

Si tienes Duo Authentication Proxy on-Premises, la disponibilidad de éste no cuenta como disponibilidad del servicio Cluod de Duo porque es un equipo interno.

De hecho, si éste se cae, se pierde la autenticación sin importar el modo de operación, por lo que es importante tenerlos en configuración redundante instalando al menos dos DAP en modo redundante.


Failmode de Duo Security

Modo Seguro (Secure o Fail Closed)

Este modo de operaci√≥n que es el m√°s restrictivo y seguro, la aplicaci√≥n no permite el acceso a ning√ļn usuario sincronizado si no alcanza a los servicios de Duo.

Para el caso de la integración de Duo Windows Logon RDP con posibilidad de acceso fuera de línea (offline), este modo debe ser escogido para que el modo offline funcione adecuadamente.

Modo a Salvo (Safe o Fail Open)

Este modo de operaci√≥n es un poco m√°s flexible y en caso de no poder alcanzar a los servicios de Duo Security, la aplicaci√≥n permite el acceso si el usuario introdujo correctamente las credenciales primarias (usuario y contrase√Īa).


contacta a especialista en ciberseguridad
Vía un MSP podemos darle vida a a tu proyecto

¬ŅCu√°l Modo Usar?

Los dos modos son totalmente válidos y funcionales, todo dependerá de tus políticas internas de seguridad.

Como premisas iniciales puedes considerar:

  • La disponibilidad del servicio de Duo Security es muy alta, por SLA, del 99.9%.
  • La principal disponibilidad a considerar ser√≠a entonces la de la infraestructura asociada a la aplicaci√≥n (servidores, DAP y redes)
  • Se debe preferir el modo Secure o Fail Closed por ser el m√°s seguro, sin embargo no siempre es el operativamente preferido.

Ac√° te dejo algunas preguntas cuyas respuestas te pueden servir para definir el modo a elegir:

  • ¬ŅQu√© tan probable es que mi aplicaci√≥n pierda conectividad a la nube de Duo?
  • ¬ŅQu√© tan cr√≠tica es la aplicaci√≥n? ¬Ņpuedo permitirme momentos de interrupci√≥n por autenticaciones rechazadas?
  • ¬ŅPrefiero la no disponibilidad de la aplicaci√≥n que bajar mi nivel de seguridad?
  • ¬ŅMis pol√≠ticas de contrase√Īas son lo suficientemente robustas como para dejar entrar sin Two factor Authentication?

Aplicaciones Donde Puedo Configurar Failmodes

Hay tres grandes grupos de aplicaciones en las que podemos configurar el modo de operación de Duo Security en caso de falla o failmode

Integraciones vía el Duo Authentication Proxy (DAP)

En este caso se cuentan todas las aplicaciones cuya derivación de autenticación se realiza vía RADIUS, LDAP o LDAPS

Integraciones SSO vía el Duo Authentication Gateway (DAG)

Todas las integraciones vía SAML que usen el DAG como proveedor de SSO

Integraciones Nativas

Ac√° tenemos aplicaciones que usan componentes de Duo para integrarse, como por ejemplo:

  • Microsoft AD FS
  • Microsoft Outlook Web App (OWA)
  • Microsoft RDWeb
  • Microsoft Remote Desktop (RDP)
  • Microsoft Remote Desktop Gateway

Puedes conseguir un listado completo en el listado oficial de Duo

Conclusiones

Determinar el modo de operaci√≥n en falla que mejor se adec√ļe a tu organizaci√≥n es solo cuesti√≥n de entender bien el funcionamiento de esta caracter√≠stica, analizar factores de disponibilidad y de operaci√≥n. Contrastando estos factores, podr√°s elegir adecuadamente.

También es importante indicar que este modo de configuración es modificable en todo momento así que si no te sirve en un momento en específico, lo puedes cambiar y problema resuelto.


contacta a especialista en ciberseguridad
Vía un MSP podemos darle vida a a tu proyecto

Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *