Inicio Zero Trust Duo Failmodes

Modos de Operación Duo Security (Failmodes)

Publicado por
Ramón Antonio Jiménez
3 de marzo de 2024
duo security failmodes

Una de las características de Cisco Duo Security menos documentadas es el modo de operación en caso de fallas o también conocidos como failmode.

Y así como es de poco conocida, es una pregunta muy común: ¿Qué pasa si Duo se cae?

Es en este momento donde entran en juego los modos de funcionamiento en fallas o failmodes de Duo.

Los modos de funcionamiento en caso de falla te permiten definir el comportamiento de inicio de sesión de tus aplicaciones cuando no se alcanzan a los servicios Zero Trust de Duo Security.

¿Qué es un Failmode en Duo Security?

Un failmode es un parámetro de configuración de algunas aplicaciones integradas a Duo Security

Este parámetro define el comportamiento de la aplicación cuando por alguna circunstancia no se alcanzan los servicios de Duo.

Casos de Falla

Los casos que pueden considerarse como fallas del servicio son:

  • Fallas de conectividad entre la aplicación integrada y la nube de Duo.
  • No disponibilidad del servicio Cloud de Duo propiamente dicho.

Falla Duo Authentication Proxy (DAP)

Si tienes Duo Authentication Proxy on-Premises, la disponibilidad de éste no cuenta como disponibilidad del servicio Cluod de Duo porque es un equipo interno.

De hecho, si éste se cae, se pierde la autenticación sin importar el modo de operación, por lo que es importante tenerlos en configuración redundante instalando al menos dos DAP en modo redundante.

Patrocinado

Failmode de Duo Security

Modo Seguro o Cerrado (Secure o Fail Closed)

Este modo de operación que es el más restrictivo y seguro, la aplicación no permite el acceso a ningún usuario sincronizado si no alcanza a los servicios de Duo.

Mejor Práctica: Para el caso de la integración de Duo Windows Logon RDP con posibilidad de acceso fuera de línea (offline), este modo debe ser escogido para que el modo offline funcione adecuadamente.

Ventajas del Modo Cerrado

  • Mayor nivel de seguridad
  • Protege contra ataque de bypass al segundo factor provocado al quitar la conectividad del servicio o dispositivo

Desventajas del Modo Cerrado

  • Se corre el riesgo de perder el acceso al dispositivo si la falla de conectividad es de origen intrínseco del equipo.

Modo Abierto (Safe o Fail Open)

Este modo de operación es un poco más flexible y en caso de no poder alcanzar a los servicios de Duo Security, la aplicación permite el acceso si el usuario introdujo correctamente las credenciales primarias (usuario y contraseña).

Ventajas del Modo Abierto

  • El acceso al dispositivo o servicio se mantiene aunque sea una falla de de conectividad interna

Desventajas del Modo Abierto

  • Se corre el riesgo de ataque bypass del segundo factor al quitar la conectividad bien sea provocando falla en la red del server o en los dispositivos que le dan acceso a internet (proxies, firewall, etc)
Vía un MSP podemos darle vida a a tu proyecto
Contáctame

¿Cuál Modo Usar?

Los dos modos son totalmente válidos y funcionales, todo dependerá de tus políticas internas de seguridad.

Como premisas iniciales puedes considerar:

  • La disponibilidad del servicio de Duo Security es muy alta, por SLA, del 99.9%.
  • La principal disponibilidad a considerar sería entonces la de la infraestructura asociada a la aplicación (servidores, DAP y redes)
  • Se debe preferir el modo Secure o Fail Closed por ser el más seguro, sin embargo no siempre es el operativamente preferido.

Acá te dejo algunas preguntas cuyas respuestas te pueden servir para definir el modo a elegir:

  • ¿Qué tan probable es que mi aplicación pierda conectividad a la nube de Duo?
  • ¿Qué tan crítica es la aplicación? ¿puedo permitirme momentos de interrupción por autenticaciones rechazadas?
  • ¿Prefiero la no disponibilidad de la aplicación que bajar mi nivel de seguridad?
  • ¿Mis políticas de contraseñas son lo suficientemente robustas como para dejar entrar sin Two factor Authentication?

Aplicaciones Donde Puedo Configurar Failmodes

Hay tres grandes grupos de aplicaciones en las que podemos configurar el modo de operación de Duo Security en caso de falla o failmode

Integraciones vía el Duo Authentication Proxy (DAP)

En este caso se cuentan todas las aplicaciones cuya derivación de autenticación se realiza vía RADIUS, LDAP o LDAPS

Integraciones SSO vía el Duo Authentication Gateway (DAG)

Todas las integraciones vía SAML que usen el DAG como proveedor de SSO

Patrocinado

Integraciones Nativas

Acá tenemos aplicaciones que usan componentes de Duo para integrarse, como por ejemplo:

  • Microsoft AD FS
  • Microsoft Outlook Web App (OWA)
  • Microsoft RDWeb
  • Microsoft Remote Desktop (RDP)
  • Microsoft Remote Desktop Gateway

Puedes conseguir un listado completo en el listado oficial de Duo

Conclusiones

Determinar el modo de operación en falla que mejor se adecúe a tu organización es solo cuestión de entender bien el funcionamiento de esta característica, analizar factores de disponibilidad y de operación. Contrastando estos factores, podrás elegir adecuadamente.

También es importante indicar que este modo de configuración es modificable en todo momento así que si no te sirve en un momento en específico, lo puedes cambiar y problema resuelto.

Vía un MSP podemos darle vida a a tu proyecto
Contáctame
( genuimentor )

Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |

Esta entrada ha sido publicada el 27 de julio de 2022

Publicado por
Ramón Antonio Jiménez
Etiquetas: DuoRADIUSSAML
3 de marzo de 2024