El primer paso luego de tener un tenant de Cisco Duo Security es agregarle o sincronizar los usuarios que Duo va a conocer y que serán susceptibles de ser autenticados con su servicio de Zero Trust de MFA adaptativo.
Existen diferentes maneras de llevar a cabo esta actividad y en este artículo te las mostraré todas, y los detalles de cada tipo de sincronización los alcanzas siguiendo el correspondiente vínculo en cada sección.
Antes de entrar en la materia de sincronizar usuarios, es de vital importancia comprender que por arquitectura de funcionamiento Duo Security, éste no maneja la autenticación primaria (usuario y contraseña). Duo solo manera la MFA o Multi-Factor Authentication.
Para tener redundancia y una mejor tolerancia a brechas de seguridad, la infraestructura de autenticación primaria queda escondida en las premisas o servicios cloud de la organización.
De esta manera si alguna de las dos partes es comprometida desde el punto de vista de ciberseguridad, es más fácil de recuperar el servicio.
Hay aplicaciones que ellas mismas tienen los usuarios locales y acuden a Duo solo después de haber autenticado directamente al usuario y su contraseña.
Para el caso On-Premises, Duo security provee al Duo Authentication Proxy (DAP) quien evita a toda costa la exposición de los servidores de Directorio, sirviendo de interfaz entre los servidores, los servicios de Duo Security y las aplicaciones aseguradas.
En el caso Cloud, se realizan integraciones directas entre los servicios de Duo y el servicio Cloud.
Es así que a la hora de sincronizar usuarios, Duo solo conoce los atributos mínimos necesarios para lograr su cometido como lo son:
Nunca…. Nunca, Duo Security conocerá la contraseña del usuario.
Esta es la manera más básica de crear un usuario en Duo Security, el único dato que necesitas agregar es el nombre del usuario (username), el resto de los campos son opcionales y se agregan posteriormente.
Es importante que este nombre de usuario sea exactamente igual al nombre de usuario que la aplicación asegurada usa.
Es decir, la única manera que tiene Duo de reconocer un usuario es a través de su username y en ambientes SAML SSO lo es la dirección de correo electrónico.
Acá la documentación oficial de Duo: Creating users manually
Si se desean agregar manualmente múltiples usuarios en un solo lote, puedes cargarlos en un archivo de texto separado por comas (CSV) y con él, realizar una importación masiva.
El formato de este archivo CSV es:
username,realname,alias1,alias2,email,status,phone1,phone2,platform1,platform2,group1,group2,notes
Si alguno de los usuarios que se encuentren en ese archivo ya existe, Duo procederá a actualizar la información con el resto de los campos correspondientes.
Acá te dejo la documentación oficial
Ahora bien, en implementaciones importantes, lo más común es que los usuarios sean sincronizados desde el proveedor de identidades oficial.
Mayor Control: a través de la creación de grupos en tu Directorio y configurándolos en Duo, puedes controlar exactamente cuáles de tus usuarios son los que van a subir a Duo Security.
Actualizaciones: Duo, periódicamente realiza sincronizaciones de los usuarios del directorio, permitiendo siempre tener una base de usuarios actualizada y más confiable.
Mayor Seguridad: Si alguien es dado de baja en el Directorio, será dado de baja también en Duo, eliminando cualquier posibilidad de acceso a las aplicaciones aseguradas por Duo por parte de usuarios no autorizados.
Mayor Facilidad de Administración: técnicamente la administración de los usuarios se mantiene donde siempre se ha mantenido, en el Directorio del proveedor de identidades
Menor Superficie de Exposición: Los atributos de los usuarios sincronizados hacia Duo desde algún directorio son de solo lectura, lo que impide modificaciones accidentales y deja al Directorio (que está escondido) como única fuente de éstos atributos.
Notificación de Enrolamiento: cuando se realiza una sincronización con tu Directorio y se crea un usuario nuevo, tienes la opción de enviarle de forma automática un correo electrónico de enrolamiento de usuario para que el usuario realice, vía auto servicio, el proceso de inscripción de al menos un dispositivo de segundo factor que será su autenticador en Duo.
Control de Licencias de uso Duo: al tener los usuarios limitados dentro de grupos en tu directorio, tienes ya definida y controlada la cantidad de usuarios que tendrás en Duo, pudiendo así mantenerte dentro de los límites del licenciamiento Duo contratado.
Ahora voy a hacer un paneo sobre las opciones de sincronización disponibles en Duo Security:
Para quienes tienen servicios Cloud de Microsoft, la opción más fácil es integrar directamente a Duo Security con Azure Active Directory.
Esta integración se realiza simplemente autorizando que ambos tenants compartan información de usuarios.
Esta autorización se realiza con las credenciales de un administrador de Azure.
Es importante recalcar que a la fecha, si se desea integrar Duo Security con Microsoft 365, se necesita que la integración sea a través del Directorio Activo On-Premises.
Acá les dejo la documentación oficial de Duo
Esta es quizás la más común de las implementaciones de sincronización de usuarios de Duo Security, apuntando a un Directorio Activo (Active Directory) de Microsoft en las premisas de la organización.
Para estos casos y como les comenté al inicio, no podemos exponer a la Internet a nuestros Controladores de Domino, por ello Duo Security provee al Duo Authentication Proxy (DAP).
El DAP es una pequeña porción de software que puede ser instalada en algún servidor (de uso exclusivo o no) que tenga conectividad con los Controladores de Domino que vamos a leer.
Por motivos de seguridad, la conexión es de solo lectura así que el Proxy no puede realizar ningún cambio sobre el Directorio Activo.
El DAP corre en Windows Server o Linux, e incluso he realizado implementaciones en contenedores Docker
Como mejor práctica, sugiero instalarlo en Windows en un equipo unido al dominio que deseamos sincronizar, porque la integración con el Directorio Activo es muchísimo más fácil.
Para este caso de sincronización de Duo Security con el Active Directory, el DAP lo que hace es tener dos interfaces de conexión:
Se realiza de modo integrado (si el equipo está unido al dominio) o empleando un usuario de servicio de solo lectura.
Va a través de LDAP, LDAPS o STARTTLS y en esta conexión lo que se realiza es una lectura del Directorio Activo, específicamente de los usuarios o grupos de usuarios seleccionados para ser sincronizados.
Es una conexión estrictamente saliente (outbound) por el puerto SSL / 443 desde el DAP hacia la nube de Duo Security.
En esta conexión, se transmiten a Duo Security, de forma segura, todos los usuarios y grupos que serán luego objeto de MFA de Duo.
Acá te dejo la documentación oficial
Esta sincronización es en esencia exactamente igual a la integración con el Directorio Activo de Windows, lo único es que en lugar de apuntar a Controladores de Domino Microsoft, se apunta a servidores que corren OpenLDAP.
Igualmente, se asegura la exposición de los servidores usando al DAP como proxy de sincronización
El DAP ejerce las mismas funciones de conexión LDAP, LDAPS o STARTLS para leer el árbol del Open LDAP y la de conexión con la nube de Duo Security para subir los usuarios susceptibles de MFA de Duo.
Acá te dejo la documentación oficial
Sincronizar usuarios a Duo Security desde tu proveedor de identidades primario es un paso fundamental para una correcta y escalable implementación del Zero Trust que Duo provee.
Con experiencia y con mejores practicas establecidas, un proyecto de Zero Trust con Duo Security se realiza en solo días o algunas pocas semanas.
Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |
Esta entrada ha sido publicada el 30 de julio de 2022
Trabajemos Juntos, Hagamos una PoC Gratis a través de un MSP
Esta web usa cookies.
Leer más...