Inicio ¬Ľ Zero Trust ¬Ľ Pol√≠ticas de Duo Security

Políticas de Duo Security

Políticas de Duo Security

Para Zero Trust, el aspecto fundamental es las políticas que se puedan implementar para permitir o no el acceso al usuario. Duo Security ofrece políticas muy granulares que puedes implementar de manera fácil y gradual

En este artículo hablaré de todas las políticas que puedes implementar dentro de Cisco Duo Security.

Para una mejor compresi√≥n, alg√ļnos t√©rminos t√©cnicos prefer√≠ dejarlos en su idioma original, el Ingl√©s

¬ŅQu√© son Pol√≠ticas Zero Trust?

Las políticas en Zero Trust son todos aquellos recursos de otorgamiento o no de confianza.

Las políticas te permiten evaluar posturas de seguridad y con base a esta evaluación, tomar acciones encaminadas en asegurar el acceso a los activos de TI solicitados.


Importancia de las Políticas en Zero Trust

Zero Trust se fundamenta en establecer una condición inicial de no confianza en nadie hasta que se demuestre lo contrario.

Las políticas de acceso son justamente esas herramientas de evaluación que te permitirán avanzar dentro del marco Zero Trust.

No se puede pensar en una implementación que no lleve a cabo políticas.


Políticas de Duo Security

Cada proveedor de Zero Trust pone a disposición un conjunto de políticas que pueden ser implementadas

Duo Security siempre ha estado a la vanguardia en este tema y ofrece una muy extensa opciones de posturas que puedes implementar para blindar tu infraestructura de TI.

A continuación un listado y más adelante detallaré cada punto:

  • Pol√≠ticas De Usuario: foco en el usuario dentro de Duo y su estatus en Duo Security o su ubicaci√≥n
  • Dispositivos: eval√ļan al dispositivo de acceso en t√©rminos de su higiene (p.e. actualizaciones)
  • Pol√≠ticas de Redes: Eval√ļan la red en la cual se encuentra conectado el dispositivo.
  • M√©todos de Autenticaci√≥n: Define los m√©todos disponibles para segundo factor.

Adicionalmente estás políticas pueden ser aplicadas en diferentes alcances de operación:

  • √Āmbito global
  • Espec√≠fico a la aplicaci√≥n asegurada
  • A un usuario o grupos de usuarios

A continuación las detallo:


√Āmbitos de las Pol√≠ticas en Duo Security

Política Global

Esta política es la política por defecto que Duo Security. No se puede borrar pero sí puede ser modificada de acuerdo a los estándares de seguridad de cada organización.

En ella se reflejan las posturas fundamentales que se han definido como las mínimas necesarias dentro de la implementación.

Se aplica a todas las integraciones que se configuren a menos que sea aplicada alguna política personalizada (ver próximo punto).

Políticas Personalizadas

Estas políticas se crean cuando por alguna razón en específico se desea que una aplicación tenga una política diferente de la política global.

En estas políticas solo se especifican los parámetros que quieres que sean diferentes de la política global, es decir, su plantilla base es la política global y a partir de ella haces las modificaciones necesarias.

De Aplicación

Las políticas personalizadas se aplican directamente sobre la aplicación

De Grupo

A momento de aplicar la política a la aplicación, Duo te da opción de ser un poco más granular y especificar a qué grupo de usuarios de esa aplicación.

De esta manera se cumple una de las principales premisas de Zero Trust

Limitar el acceso a cada usuario y a cada aplicación

Zero Trust

Tipos de Políticas en Duo Security

Llegó la hora de entrar en detalles, a continuación una descripción detallada de cada política

De Usuario

New User Policy

Esta política define lo que se debe hacer cuando un usuario intenta autenticarse por primera vez en a través de Duo.

Política Duo Security: New User Policy
Política Duo Security: New User Policy
Condiciones:
  • El usuario a√ļn no existe en Duo
  • O no tiene inscrito ning√ļn un m√©todo de segundo factor
Acciones posibles:
  • Require enrollment: Se solicitar√° al usuario que inscriba al menos un m√©todo de doble factor. Opci√≥n predeterminada
  • Allow access without 2FA: Si las credenciales primarias son correctas, se permite el acceso sin pedir segundo factor de autenticaci√≥n. Esta pol√≠tica es muy usada para el inicio de despliegues de integraciones como por ejemplo en la de MFA para Windows Logon RDP
  • Deny access: se niega el acceso a la aplicaci√≥n

Authentication Policy

Política Duo Security: Authentication Policy
Política Duo Security: Authentication Policy
Condiciones
  • Intento de ingreso de cualquier usuario
Acciones Posibles
  • Enforce 2FA: Solicita autenticaci√≥n de doble factor . Opci√≥n predeterminada
  • Bypass 2FA: Permite el acceso sin solicitar doble factor.
  • Deny access: Niega el acceso en todo caso

User Location

Eval√ļa la direcci√≥n IP que tiene asignada el dispositivo del usuario que intenta autenticarse

Política Duo Security: User Location
Política Duo Security: User Location
Condiciones
  • Direcci√≥n IP
  • Pa√≠s
Acciones Posibles
  • No action: Permite el acceso desde la ubicaci√≥n indicada. Opci√≥n por defecto
  • Allow access without 2FA: Si las credenciales primarias son correctas, se permite el acceso sin pedir segundo factor de autenticaci√≥n dede esa ubicaci√≥n
  • Require 2FA: Solicita segundo factor de autenticaci√≥n
  • Deny access: Niega el acceso desde esa IP o Pa√≠s.

De Dispositivo

Trusted Endpoints

Esta pol√≠tica se usa en ambientes BYOD (Bring your own Device) en los cuales se eval√ļa si el dispositivo de acceso es administrado por la organizaci√≥n o es propiedad del colaborador (dispositivo personal)

Esta validación se realiza evaluando la presencia o no de un certificado especial de duo para dispositivos, verificación del MDM o de la APP Duo mobile.

Condición
  • Dispositivo de Confianza o no
Acciones
  • Allow all endpoints: permite el acceso a todos los dispositivos. Opci√≥n predeterminada
  • Require endpoints to be trusted: permite el acceso solo a los dispositivos de confianza
  • Allow AMP for Endpoints to block compromised endpoints: Otorga el poder a cisco AMP.

Device Health Application

La Device Health Application es una aplicación que provee Duo Security que permite aumentar la granularidad de los parámetros de higiene del dispositivo que se pueden evaluar.

Estos par√°metros son:

  • Estado del Firewall del sistema operativo
  • Estado de cifrado del disco
  • Existencia de contrase√Īa para iniciar sesi√≥n en el dispositivo
  • Existencia de alg√ļn agente de seguridad, p.e. Antivirus

Para esta aplicación tenemos tres modos de operación posible

  • Don‚Äôt require users to have the app: no se exige la instalaci√≥n de la App. Opci√≥n predeterminada
  • Require users to have the app: se exige la instalaci√≥n de la App pero no hay ning√ļn tipo de bloqueo
  • Require users to have the app and blocking options: permite negar el acceso si no se cumplen algunas de las condiciones que la app eval√ļa.
Política Duo Security: Device Health Application
Política Duo Security: User Location

Remembered Devices

Esta opción permite que el usuario active el acceso sin solicitar autenticación de segundo factor cuando ya se haya realizado una autenticación correcta en ese dispositivo.

Ac√° se define el tiempo en el cual no se solicitar√° segundo factor.

Bajo condiciones bien definidas que pueden suponer riesgos (cambio de red, actualizaciones del sistema operativo), este tiempo puede ser obviado y se solicitará la autenticación completa.

Política Duo Security: Remembered Devices
Política Duo Security: Remembered Devices

Operating Systems

Estas pol√≠ticas aplican a los sistemas operativos de los PC’s que ejecutan autenticaci√≥n web de Duo Security, es decir, las que usan el Duo Prompt v√≠a web que son las que pueden ser evaluadas a trav√©s de √©l.

Igualmente aplica a los dispositivos móviles que tienen instalado la App Duo Mobile.

Se pueden evaluar los siguientes sistemas operativos: Android, BlackBerry, Chrome OS, iOS, Linux, macOS, Windows, and Windows Phone

Esta política se fundamenta en determinar el nivel de actualización del sistema operativo correspondiente y con base a esta información:

  • Permitir el Acceso
  • Solicitar actualizar
  • Rechazar el acceso
Política Duo Security: Operating Systems
Política Duo Security: Operating Systems

Browsers

Esta pol√≠tica eval√ļa el navegador desde el cual se est√° realizando la solicitud de autenticaci√≥n y determinar su nivel de actualizaci√≥n

Con esta política puedes:

  • Restringir o permitir el uso de navegadores espec√≠ficos
  • Solicitar actualizaci√≥n
  • Rechazar el acceso a navegadores no actualizados
Política Duo Security: Navegadores
Política Duo Security: Navegadores

Plugins

Eval√ļa las versiones de Flash o Java y permite:

  • Solicitar actualizaci√≥n
  • Rechazar el acceso
Política Duo Security: Plugins
Política Duo Security: Plugins

De Redes

Authorized Networks

Condición

La dirección IP de la red a desde la cual se solicita autenticación

Política Duo Security: Redes Autorizadas
Política Duo Security: Redes Autorizadas
Acciones Posibles
  • Allow access without 2FA from these networks: permite el acceso sin doble factor de Duo desde esas redes
  • Require 2FA from these networks: exige la autenticaci√≥n de segundo factor desde esas redes
  • Deny access from all other networks: rechaza el acceso desde redes no especificadas en los puntos anteriores.

Anonymous Networks

Duo permite detectar conexiones provenientes de redes anónímas como TOR and I2P, HTTP/HTTPS proxies, or anonymous VPNs.

Con esta política, podemos rechazar conexiones provenientes de estas redes.

Condición

Red de origen de la conexión

Política Duo Security: Redes Anónimas
Política Duo Security: Redes Anónimas
Posibles Acciones
  • Mantener los requisitos de autenticaci√≥n, como si fuera una conexi√≥n normal
  • Solicitar MFA o passwrodless
  • Negar el acceso

De los Autenticadores

En esta secci√≥n se definen los m√©todos de autenticaci√≥n 2FA y se eval√ļan los par√°metros de seguridad de los dispositivos m√≥viles usados como m√©todos de segundo factor.

Risk-Based Autentication

Nuevo esquema de autenticación con base en el riesgo liberado al Public Preview el 16 de Septiembre del 2022.

política de autenticación con base en el riesgo
Opciones de Políticas con Base en el Riesgo

Acá permite activar esta funcionalidad y muestra los autenticadores disponibles en caso de que Duo detecte un alto nivel de riesgo en la autenticación.

Authentication Methods

En esta opción se define la política de los métodos de autenticación que son aceptados, en la lista tenemos:

  • Duo Push / Verified Duo Push
  • Duo mobile passcodes
  • Llamada telef√≥nica
  • SMS
  • Security Keys (U2F)
  • Dispositivos WebAuthn (FIDO2)
  • Tokens
Politica de Autenticadores Duo Security
Política Duo Security: Métodos 2FA

Puedes seleccionar uno, varios o todos seg√ļn tus pol√≠ticas internas de implementaci√≥n de Duo.

Duo Mobile App

Con esta política puedes forzar que la aplicación Duo mobile se encuentre actualizada para poder funcionar como método MFA

Condición

Versión instalada de la aplicación Duo Mobile

Política Duo Security: Duo Mobile App
Política Duo Security: Duo Mobile App
Posibles Acciones

Exigir o no el acceso si la applicación Duo Mobile no está actualizada

Tampered Devices

Detecta si el sistema operativo del m√≥vil no es el que provee el fabricante (Equipo “rooteado” o “jailbreaking”)

Condición

Condición de manipulación del Sistema Operativo del Móvil

Política Duo Security: Dispositivos Manipulados
Política Duo Security: Dispositivos Manipulados
Posibles Acciones

Permitir o no el acceso si el sistema operativo del dispositivo ha sido manipulado

Screen Lock

Detecta si el dispositivo tiene activa la opción de bloqueo de pantalla

Condición

Estado del bloqueo de pantalla del dispositivo

Política Duo Security: Bloqueo de Pantalla
Política Duo Security: Bloqueo de Pantalla
Posibles Acciones

Permitir o no el acceso a dispositivos sin bloqueo de pantalla.

Full-Disk Encryption

Detecta si el dispositivo móvil tiene cifrado el disco interno.

Condición

Disco interno cifrado o no, aplica a dispositivos Android.

Política Duo Security: Cifrado del Disco
Política Duo Security: Cifrado del Disco
Posibles Acciones

Permitir o no la autenticación con el disco sin cifrado

Mobile Device Biometrics

Detecta si el dispositivo tiene activo alg√ļn mecanismo de bloqueo por biometr√≠a.

Condición

Estado de activación de Apple Touch ID o Huella digital en Andoid.

Politica Duo Security: Biometría
Politica Duo Security: Biometría
Posibles Acciones

Puedes exigir o tener desbloqueo del dispositivo usando la biometría del móvil.


Políticas vs. Edición de Duo Security

En la siguiente tabla resumo las políticas disponibles en cada versión o edición de Duo Security.

PolíticaDuo FreeDuo MFADuo AccessDuo Beyond
New Userxxxx
Authentication Policyxxx
User Locationxx
Trusted Endpointsx
Device Health Applicationxx
Remembered Devicesxxx
Operating Systemsxx
Browsersxx
Pluginsxx
Authorized Networksxxx
Anonymous Networksxx
Authentication Methodsxxx
Duo Mobile Appxx
Tampered Devicesxx
Screen Lockxx
Full-Disk Encryptionxx
Mobile Device Biometricsxx
Pol√≠ticas disponibles seg√ļn la edici√≥n de Duo


contacta a especialista en ciberseguridad
Hagamos una Prueba de Concepto Gratuita a través de un MSP

Tips de Implementación Políticas en Duo Security

  • Plasma en la pol√≠tica global las posturas est√°ndar de tu organizaci√≥n
  • Permite temporalmente el acceso sin MFA a los usuarios desconocidos (Pol√≠tica de nuevo usuario)
  • Comienza probando las pol√≠ticas sobre un grupo de usuarios reducido y controlado
  • Implementa pol√≠ticas que realmente hagan sentido a tu organizaci√≥n y las aplicaciones que proteges
  • Comienza solicitando la instalaci√≥n de la Duo Device Health pero no apliques pol√≠ticas hasta que tengas claro el panorama de higiene de todos tus dispositivos y tomes acciones correctivas que permitan un despliegue con menos fricci√≥n.

Preguntas Frecuentes

  1. ¬ŅCu√°l es la diferencia entre las diferentes ediciones de Duo Security?

    La diferencia radica en las políticas que puedes implementar, mientras más avanzada sea la edición de Duo, tendrás más políticas disponibles.

  2. ¬ŅLa Duo Device Health Application es un Agente?

    No, Técnicamente hablando no es un agente porque solo se ejecuta por demanda en cada autenticación

  3. ¬ŅPor qu√© debo evaluar la higiene de los dispositivos?

    Los hackers aprovechan las vulnerabilidades m√°s recientes justamente durante la ventana de tiempo entre la cual conocen la existencia de la vulnerabilidad y el momento en el cual el patch es aplicado.

    Es nuestra responsabilidad hacer que esa ventana de tiempo sea lo m√°s peque√Īa posible, manteniendo actualizados los dispositivos.

    Permitir el acceso a aplicaciones desde dispositivos no seguros compromete la integridad de la aplicación y sus datos.

  4. ¬ŅC√≥mo evito que se solicite segundo factor a un usuario en espec√≠fico?

    En este caso no se usan políticas, lo que se hace es entrar a las propiedades de ese usuario y activar la opción de Bypass.
    Aunque la opción recomendada para casos en los que se necesita hacer este bypass es generar un código de bypass para evitar que el usuario quede en ese estado por más tiempo del deseado.

  5. ¬ŅC√≥mo determina Duo el estado de higiene de un dispositivo?

    Lo hace a través de 2 caminos:
    1) El Duo Prompt web
    2) La Device Health Application

  6. ¬ŅCu√°l es el m√©todo de segundo factor m√°s seguro?

    Sin lugar a dudas son las llaves FIDO tipo Yubico Yubikey. Los otros mecanismos tienen vulnerabilidades conocidas que si bien es cierto son dif√≠ciles de explotar… la posibilidad es cierta.



Conclusiones

Exprimir las funcionalidades de Duo Security se fundamenta principalmente en: proteger la mayor cantidad de aplicaciones posible y en aplicar políticas de seguridad que nos introduzcan dentro del marco de Zero Trust

Solo de esta manera estaremos dando acceso seguro a nuestros activos de TI

Referencias

Duo Security Policies

contacta a especialista en ciberseguridad
Hagamos una Prueba de Concepto Gratuita a través de un MSP

Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *