Inicio » Zero Trust » Políticas de Duo Security

Políticas de Duo Security

Políticas de Duo Security

Para Zero Trust, el aspecto fundamental es las políticas que se puedan implementar para permitir o no el acceso al usuario. Duo Security ofrece políticas muy granulares que puedes implementar de manera fácil y gradual

En este artículo hablaré de todas las políticas que puedes implementar dentro de Cisco Duo Security.

Para una mejor compresión, algúnos términos técnicos preferí dejarlos en su idioma original, el Inglés

¿Qué son Políticas Zero Trust?

Las políticas en Zero Trust son todos aquellos recursos de otorgamiento o no de confianza.

Las políticas te permiten evaluar posturas de seguridad y con base a esta evaluación, tomar acciones encaminadas en asegurar el acceso a los activos de TI solicitados.


Importancia de las Políticas en Zero Trust

Zero Trust se fundamenta en establecer una condición inicial de no confianza en nadie hasta que se demuestre lo contrario.

Las políticas de acceso son justamente esas herramientas de evaluación que te permitirán avanzar dentro del marco Zero Trust.

No se puede pensar en una implementación que no lleve a cabo políticas.


Políticas de Duo Security

Cada proveedor de Zero Trust pone a disposición un conjunto de políticas que pueden ser implementadas

Duo Security siempre ha estado a la vanguardia en este tema y ofrece una muy extensa opciones de posturas que puedes implementar para blindar tu infraestructura de TI.

A continuación un listado y más adelante detallaré cada punto:

  • Políticas De Usuario: foco en el usuario dentro de Duo y su estatus en Duo Security o su ubicación
  • Dispositivos: evalúan al dispositivo de acceso en términos de su higiene (p.e. actualizaciones)
  • Políticas de Redes: Evalúan la red en la cual se encuentra conectado el dispositivo.
  • Métodos de Autenticación: Define los métodos disponibles para segundo factor.

Adicionalmente estás políticas pueden ser aplicadas en diferentes alcances de operación:

  • Ámbito global
  • Específico a la aplicación asegurada
  • A un usuario o grupos de usuarios

A continuación las detallo:


Ámbitos de las Políticas en Duo Security

Política Global

Esta política es la política por defecto que Duo Security. No se puede borrar pero sí puede ser modificada de acuerdo a los estándares de seguridad de cada organización.

En ella se reflejan las posturas fundamentales que se han definido como las mínimas necesarias dentro de la implementación.

Se aplica a todas las integraciones que se configuren a menos que sea aplicada alguna política personalizada (ver próximo punto).

Políticas Personalizadas

Estas políticas se crean cuando por alguna razón en específico se desea que una aplicación tenga una política diferente de la política global.

En estas políticas solo se especifican los parámetros que quieres que sean diferentes de la política global, es decir, su plantilla base es la política global y a partir de ella haces las modificaciones necesarias.

De Aplicación

Las políticas personalizadas se aplican directamente sobre la aplicación

De Grupo

A momento de aplicar la política a la aplicación, Duo te da opción de ser un poco más granular y especificar a qué grupo de usuarios de esa aplicación.

De esta manera se cumple una de las principales premisas de Zero Trust

Limitar el acceso a cada usuario y a cada aplicación

Zero Trust

Tipos de Políticas en Duo Security

Llegó la hora de entrar en detalles, a continuación una descripción detallada de cada política

De Usuario

New User Policy

Esta política define lo que se debe hacer cuando un usuario intenta autenticarse por primera vez en a través de Duo.

Política Duo Security: New User Policy
Política Duo Security: New User Policy
Condiciones:
  • El usuario aún no existe en Duo
  • O no tiene inscrito ningún un método de segundo factor
Acciones posibles:
  • Require enrollment: Se solicitará al usuario que inscriba al menos un método de doble factor. Opción predeterminada
  • Allow access without 2FA: Si las credenciales primarias son correctas, se permite el acceso sin pedir segundo factor de autenticación. Esta política es muy usada para el inicio de despliegues de integraciones como por ejemplo en la de MFA para Windows Logon RDP
  • Deny access: se niega el acceso a la aplicación

Authentication Policy

Política Duo Security: Authentication Policy
Política Duo Security: Authentication Policy
Condiciones
  • Intento de ingreso de cualquier usuario
Acciones Posibles
  • Enforce 2FA: Solicita autenticación de doble factor . Opción predeterminada
  • Bypass 2FA: Permite el acceso sin solicitar doble factor.
  • Deny access: Niega el acceso en todo caso

User Location

Evalúa la dirección IP que tiene asignada el dispositivo del usuario que intenta autenticarse

Política Duo Security: User Location
Política Duo Security: User Location
Condiciones
  • Dirección IP
  • País
Acciones Posibles
  • No action: Permite el acceso desde la ubicación indicada. Opción por defecto
  • Allow access without 2FA: Si las credenciales primarias son correctas, se permite el acceso sin pedir segundo factor de autenticación dede esa ubicación
  • Require 2FA: Solicita segundo factor de autenticación
  • Deny access: Niega el acceso desde esa IP o País.

De Dispositivo

Trusted Endpoints

Esta política se usa en ambientes BYOD (Bring your own Device) en los cuales se evalúa si el dispositivo de acceso es administrado por la organización o es propiedad del colaborador (dispositivo personal)

Esta validación se realiza evaluando la presencia o no de un certificado especial de duo para dispositivos, verificación del MDM o de la APP Duo mobile.

Condición
  • Dispositivo de Confianza o no
Acciones
  • Allow all endpoints: permite el acceso a todos los dispositivos. Opción predeterminada
  • Require endpoints to be trusted: permite el acceso solo a los dispositivos de confianza
  • Allow AMP for Endpoints to block compromised endpoints: Otorga el poder a cisco AMP.

Device Health Application

La Device Health Application es una aplicación que provee Duo Security que permite aumentar la granularidad de los parámetros de higiene del dispositivo que se pueden evaluar.

Estos parámetros son:

  • Estado del Firewall del sistema operativo
  • Estado de cifrado del disco
  • Existencia de contraseña para iniciar sesión en el dispositivo
  • Existencia de algún agente de seguridad, p.e. Antivirus

Para esta aplicación tenemos tres modos de operación posible

  • Don’t require users to have the app: no se exige la instalación de la App. Opción predeterminada
  • Require users to have the app: se exige la instalación de la App pero no hay ningún tipo de bloqueo
  • Require users to have the app and blocking options: permite negar el acceso si no se cumplen algunas de las condiciones que la app evalúa.
Política Duo Security: Device Health Application
Política Duo Security: User Location

Remembered Devices

Esta opción permite que el usuario active el acceso sin solicitar autenticación de segundo factor cuando ya se haya realizado una autenticación correcta en ese dispositivo.

Acá se define el tiempo en el cual no se solicitará segundo factor.

Bajo condiciones bien definidas que pueden suponer riesgos (cambio de red, actualizaciones del sistema operativo), este tiempo puede ser obviado y se solicitará la autenticación completa.

Política Duo Security: Remembered Devices
Política Duo Security: Remembered Devices

Operating Systems

Estas políticas aplican a los sistemas operativos de los PC’s que ejecutan autenticación web de Duo Security, es decir, las que usan el Duo Prompt vía web que son las que pueden ser evaluadas a través de él.

Igualmente aplica a los dispositivos móviles que tienen instalado la App Duo Mobile.

Se pueden evaluar los siguientes sistemas operativos: Android, BlackBerry, Chrome OS, iOS, Linux, macOS, Windows, and Windows Phone

Esta política se fundamenta en determinar el nivel de actualización del sistema operativo correspondiente y con base a esta información:

  • Permitir el Acceso
  • Solicitar actualizar
  • Rechazar el acceso
Política Duo Security: Operating Systems
Política Duo Security: Operating Systems

Browsers

Esta política evalúa el navegador desde el cual se está realizando la solicitud de autenticación y determinar su nivel de actualización

Con esta política puedes:

  • Restringir o permitir el uso de navegadores específicos
  • Solicitar actualización
  • Rechazar el acceso a navegadores no actualizados
Política Duo Security: Navegadores
Política Duo Security: Navegadores

Plugins

Evalúa las versiones de Flash o Java y permite:

  • Solicitar actualización
  • Rechazar el acceso
Política Duo Security: Plugins
Política Duo Security: Plugins

De Redes

Authorized Networks

Condición

La dirección IP de la red a desde la cual se solicita autenticación

Política Duo Security: Redes Autorizadas
Política Duo Security: Redes Autorizadas
Acciones Posibles
  • Allow access without 2FA from these networks: permite el acceso sin doble factor de Duo desde esas redes
  • Require 2FA from these networks: exige la autenticación de segundo factor desde esas redes
  • Deny access from all other networks: rechaza el acceso desde redes no especificadas en los puntos anteriores.

Anonymous Networks

Duo permite detectar conexiones provenientes de redes anónímas como TOR and I2P, HTTP/HTTPS proxies, or anonymous VPNs.

Con esta política, podemos rechazar conexiones provenientes de estas redes.

Condición

Red de origen de la conexión

Política Duo Security: Redes Anónimas
Política Duo Security: Redes Anónimas
Posibles Acciones
  • Mantener los requisitos de autenticación, como si fuera una conexión normal
  • Solicitar MFA o passwrodless
  • Negar el acceso

De los Autenticadores

En esta sección se definen los métodos de autenticación 2FA y se evalúan los parámetros de seguridad de los dispositivos móviles usados como métodos de segundo factor.

Risk-Based Autentication

Nuevo esquema de autenticación con base en el riesgo liberado al Public Preview el 16 de Septiembre del 2022.

política de autenticación con base en el riesgo
Opciones de Políticas con Base en el Riesgo

Acá permite activar esta funcionalidad y muestra los autenticadores disponibles en caso de que Duo detecte un alto nivel de riesgo en la autenticación.

Authentication Methods

En esta opción se define la política de los métodos de autenticación que son aceptados, en la lista tenemos:

  • Duo Push / Verified Duo Push
  • Duo mobile passcodes
  • Llamada telefónica
  • SMS
  • Security Keys (U2F)
  • Dispositivos WebAuthn (FIDO2)
  • Tokens
Politica de Autenticadores Duo Security
Política Duo Security: Métodos 2FA

Puedes seleccionar uno, varios o todos según tus políticas internas de implementación de Duo.

Duo Mobile App

Con esta política puedes forzar que la aplicación Duo mobile se encuentre actualizada para poder funcionar como método MFA

Condición

Versión instalada de la aplicación Duo Mobile

Política Duo Security: Duo Mobile App
Política Duo Security: Duo Mobile App
Posibles Acciones

Exigir o no el acceso si la applicación Duo Mobile no está actualizada

Tampered Devices

Detecta si el sistema operativo del móvil no es el que provee el fabricante (Equipo “rooteado” o “jailbreaking”)

Condición

Condición de manipulación del Sistema Operativo del Móvil

Política Duo Security: Dispositivos Manipulados
Política Duo Security: Dispositivos Manipulados
Posibles Acciones

Permitir o no el acceso si el sistema operativo del dispositivo ha sido manipulado

Screen Lock

Detecta si el dispositivo tiene activa la opción de bloqueo de pantalla

Condición

Estado del bloqueo de pantalla del dispositivo

Política Duo Security: Bloqueo de Pantalla
Política Duo Security: Bloqueo de Pantalla
Posibles Acciones

Permitir o no el acceso a dispositivos sin bloqueo de pantalla.

Full-Disk Encryption

Detecta si el dispositivo móvil tiene cifrado el disco interno.

Condición

Disco interno cifrado o no, aplica a dispositivos Android.

Política Duo Security: Cifrado del Disco
Política Duo Security: Cifrado del Disco
Posibles Acciones

Permitir o no la autenticación con el disco sin cifrado

Mobile Device Biometrics

Detecta si el dispositivo tiene activo algún mecanismo de bloqueo por biometría.

Condición

Estado de activación de Apple Touch ID o Huella digital en Andoid.

Politica Duo Security: Biometría
Politica Duo Security: Biometría
Posibles Acciones

Puedes exigir o tener desbloqueo del dispositivo usando la biometría del móvil.


Políticas vs. Edición de Duo Security

En la siguiente tabla resumo las políticas disponibles en cada versión o edición de Duo Security.

PolíticaDuo FreeDuo EssentialsDuo AdvantageDuo Premier
New Userxxxx
Authentication Policyxxx
User Locationxx
Trusted Endpointsxxxx
Device Health Applicationxx
Remembered Devicesxxx
Operating Systemsxx
Browsersxx
Pluginsxx
Authorized Networksxxx
Anonymous Networksxx
Authentication Methodsxxx
Duo Mobile Appxx
Tampered Devicesxx
Screen Lockxx
Full-Disk Encryptionxx
Mobile Device Biometricsxx
Políticas disponibles según la edición de Duo


contacta a especialista en ciberseguridad
Hagamos una Prueba de Concepto Gratuita a través de un MSP

Tips de Implementación Políticas en Duo Security

  • Plasma en la política global las posturas estándar de tu organización
  • Permite temporalmente el acceso sin MFA a los usuarios desconocidos (Política de nuevo usuario)
  • Comienza probando las políticas sobre un grupo de usuarios reducido y controlado
  • Implementa políticas que realmente hagan sentido a tu organización y las aplicaciones que proteges
  • Comienza solicitando la instalación de la Duo Device Health pero no apliques políticas hasta que tengas claro el panorama de higiene de todos tus dispositivos y tomes acciones correctivas que permitan un despliegue con menos fricción.

Preguntas Frecuentes

  1. ¿Cuál es la diferencia entre las diferentes ediciones de Duo Security?

    La diferencia radica en las políticas que puedes implementar, mientras más avanzada sea la edición de Duo, tendrás más políticas disponibles.

  2. ¿La Duo Device Health Application es un Agente?

    No, Técnicamente hablando no es un agente porque solo se ejecuta por demanda en cada autenticación

  3. ¿Por qué debo evaluar la higiene de los dispositivos?

    Los hackers aprovechan las vulnerabilidades más recientes justamente durante la ventana de tiempo entre la cual conocen la existencia de la vulnerabilidad y el momento en el cual el patch es aplicado.

    Es nuestra responsabilidad hacer que esa ventana de tiempo sea lo más pequeña posible, manteniendo actualizados los dispositivos.

    Permitir el acceso a aplicaciones desde dispositivos no seguros compromete la integridad de la aplicación y sus datos.

  4. ¿Cómo evito que se solicite segundo factor a un usuario en específico?

    En este caso no se usan políticas, lo que se hace es entrar a las propiedades de ese usuario y activar la opción de Bypass.
    Aunque la opción recomendada para casos en los que se necesita hacer este bypass es generar un código de bypass para evitar que el usuario quede en ese estado por más tiempo del deseado.

  5. ¿Cómo determina Duo el estado de higiene de un dispositivo?

    Lo hace a través de 2 caminos:
    1) El Duo Prompt web
    2) La Device Health Application

  6. ¿Cuál es el método de segundo factor más seguro?

    Sin lugar a dudas son las llaves FIDO tipo Yubico Yubikey. Los otros mecanismos tienen vulnerabilidades conocidas que si bien es cierto son difíciles de explotar… la posibilidad es cierta.



Conclusiones

Exprimir las funcionalidades de Duo Security se fundamenta principalmente en: proteger la mayor cantidad de aplicaciones posible y en aplicar políticas de seguridad que nos introduzcan dentro del marco de Zero Trust

Solo de esta manera estaremos dando acceso seguro a nuestros activos de TI

Referencias

Duo Security Policies

contacta a especialista en ciberseguridad
Hagamos una Prueba de Concepto Gratuita a través de un MSP

Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |

Scroll al inicio