Configurar Valores de Autenticación de Firewall Globales
Cuando configura los ajustes globales de autenticación para su Firebox, puede configurar los valores globales para la autenticación de firewall, lo que incluye valores de tiempo de espera, límites de inicio de sesión de usuarios y configuración de redireccionamiento de la página de autenticación. También puede habilitar el Inicio de Sesión Único (SSO) y establecer las configuraciones para Terminal Services. Para obtener más información acerca del SSO y de Terminal Services, consulte Habilitar el SSO de Active Directory en el Firebox y Configurar los Ajustes de Terminal Services.
Si configura los límites de inicio de sesión de usuario para usuarios individuales o grupos, los límites establecidos para un grupo y para un usuario tienen precedencia sobre la configuración global.
También puede configurar ajustes globales que se apliquen a las cuentas de usuario de Administración del Dispositivo.
Especificar Configuraciones de Autenticación de Firewall
Para establecer las configuraciones de Autenticación de Firewall desde Fireware Web UI:
- Conectarse a Fireware Web UI.
- Seleccione Autenticación > Configuraciones.
Aparece la página Configuraciones. - Configure los ajustes de autenticación tal como se describe en las secciones siguientes.
- Haga clic en Guardar.
Para establecer las configuraciones de Autenticación de Firewall, desde el Policy Manager:
- Abrir el Policy Manager.
- Seleccione Configuración > Autenticación > Ajustes de Autenticación.
Aparece el cuadro de diálogo Configuraciones de Autenticación con la pestaña Autenticación de Firewall seleccionada por defecto. - Configure los ajustes de autenticación tal como se describe en las secciones siguientes.
- Haga clic en Aceptar.
Configurar Tiempos de espera de autenticación globales
Puede definir el tiempo que los usuarios permanecen autenticados después de cerrar su última conexión autenticada. Para usuarios autenticados por servidores de terceros, los tiempos de espera configurados en dichos servidores también anulan los tiempos de espera globales.
Los valores globales de tiempo de espera de autenticación para la Autenticación de Firewall no anulan los ajustes individuales de tiempo de espera de autenticación para usuarios de Mobile VPN with L2TP y Mobile VPN with IKEv2.
Tiempo de Espera de la Sesión
El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si define este campo en cero (0) segundos, minutos, horas o días, la sesión no expira y el usuario puede seguir conectado por el tiempo que desee.
Tiempo de Espera Inactivo
El tiempo máximo durante el que un usuario puede permanecer autenticado cuando esté inactivo (sin transmitir tráfico a la red externa). Si configura este campo en cero (0) segundos, minutos, horas o días, el tiempo de espera de la sesión no caduca por inactividad y el usuario puede permanecer inactivo cualquier período de tiempo.
Si tiene una página abierta que recupera activamente datos del Firebox, como el Panel Delantero o Traffic Monitor, la conexión no se considera inactiva.
Si establece el Tiempo de Espera o el Tiempo de Espera Inactivo en 0, los usuarios autenticados pueden permanecer autenticados hasta que se reinicie el Firebox. Si su red utiliza DHCP, la dirección IP de un usuario autenticado podría ser reasignado a un usuario completamente diferente. Si esto sucede, el nuevo usuario puede conectarse a la red sin autenticación.
Para más información acerca de las configuraciones de autenticación de usuario, vea Definir un Nuevo Usuario para la Autenticación del Firebox.
Permitir Inicios de Sesión Ilimitados de Manera Simultánea
Por defecto, la opción Permitir múltiples sesiones de autenticación de firewall de la misma cuenta está seleccionada. Esta opción permite que los usuarios se autentiquen en el servidor de autenticación más de una vez al mismo tiempo. Eso es útil para cuentas de invitados o ambientes de laboratorio.
Los ajustes de autenticación global para sesiones de usuario simultáneas no se aplican a las sesiones de mobile VPN.
Limitar Sesiones de Inicio
Para restringir a los usuarios a un número específico de sesiones autenticadas, seleccione Limitar sesiones de usuario simultáneas a. Si selecciona esta opción, puede especificar el número de veces que sus usuarios pueden iniciar sesión en un servidor de autenticación desde diferentes direcciones IP con las mismas credenciales. Cuando un usuario está autenticado e intenta autenticarse nuevamente, puede seleccionar si se cierra la primera sesión de usuario cuando una sesión adicional es autenticada, o si las sesiones adicionales son rechazadas.
Puede configurar los límites de la sesión de inicio de sesión a nivel global, de grupo y de usuario.
- La configuración del usuario tiene prioridad sobre la configuración global y de grupo.
- Si los límites de la sesión de inicio de sesión del usuario no están configurados, la configuración de grupo tiene prioridad, si está configurada.
- Si un usuario pertenece a más de un grupo, los ajustes del primer grupo en la lista de grupos del usuario tienen prioridad.
- Si los límites de sesión de inicio de sesión de usuario o grupo no están configurados, se utilizan los ajustes globales.
- Seleccione Autenticación > Configuraciones.
Aparece la página Configuraciones de autenticación. - Seleccione Limitar sesiones de usuario simultáneas a.
- En el cuadro de texto, ingrese o seleccione el número de sesiones de usuario simultáneas permitidas.
- En la lista desplegable, seleccione una opción:
- Rechazar intentos posteriores de inicio de sesión
- Permitir intentos posteriores de inicio de sesión y cerrar la primera sesión.
Ajustes de Autenticación de Firewall en Fireware Web UI
Ajustes de Autenticación de Firewall en el Policy Manager
Especificar el Servidor de Autenticación Predeterminado en el Portal de Autenticación
Cuando los usuarios inician sesión en el Portal de Autenticación o Fireware Web UI, deben seleccionar qué servidor de autenticación usarán para la autenticación. Los usuarios pueden seleccionar entre cualquiera de los servidores de autenticación que se hayan habilitado. De manera predeterminada, el primer servidor de la lista es Firebox-DB. Puede modificar esta configuración para que otro servidor de autenticación habilitado sea el primero de la lista de servidores de autenticación. Esto resulta útil si desea que los usuarios se autentiquen con un servidor distinto de Firebox-DB.
Para seleccionar el servidor de autenticación predeterminado para el Portal de Autenticación:
En el Servidor predeterminado de autenticación en la página de autenticación, seleccione un servidor de autenticación.
Por ejemplo, si desea que sus usuarios se autentiquen en su Active Directory Server llamado Home AD, seleccione Home AD de la lista desplegable.
El servidor de autenticación predeterminado que especifique aquí también se utiliza como servidor de autenticación predeterminado para las conexiones de la aplicación FireClient, cuando se habilita Mobile Security. Para más información, consulte Acerca de FireClient.
Para seleccionar el servidor de autenticación predeterminado para Fireware Web UI:
En la lista desplegable Servidor de autenticación predeterminado utilizado para iniciar sesión en Fireware Web UI, seleccione un servidor de autenticación.
Por ejemplo, si desea que sus usuarios se autentiquen con la AuthPoint MFA, en la lista desplegable, seleccione el servidor de autenticación AuthPoint.
Redirigir Usuarios Automáticamente al Portal de Autenticación
Si requiere que los usuarios se autentiquen antes de acceder a la Internet, puede elegir enviar a los usuarios no autenticados automáticamente al portal de autenticación o solicitarles que naveguen manualmente hasta el portal. Eso se aplica solamente a conexiones HTTP y HTTPS.
Redireccionar usuarios automáticamente a la página de autenticación
Al marcador esta casilla de verificación, todos los usuarios que todavía no están autenticados serán redireccionados automáticamente al portal de autenticación cuando intenten acceder a Internet. Si no selecciona esta casilla de verificación, los usuarios no autenticados deben navegar manualmente al portal de autenticación para iniciar sesión.
Si selecciona esta opción, los usuarios solo serán redirigidos si la configuración del dispositivo no incluye una política que permita el tráfico HTTP o HTTPS desde las direcciones IP de los usuarios. Para asegurarse de que sus usuarios sean redireccionados automáticamente a la página de autenticación, puede quitar cualquier política de permitir HTTP o HTTPS distinta de las que incluyan sus grupos o usuarios autorizados.
Para obtener más información acerca de la autenticación de usuario, consulte Pasos de Autenticación de Usuario.
Redirigir el tráfico enviado a la dirección IP de Firebox a este nombre de host
Marque esta casilla de selección para especificar un nombre de host para la página adonde sus usuarios son redirigidos, cuando selecciona redirigir automáticamente a los usuarios al portal de autenticación. Ingrese el nombre del host en el cuadro de texto.
Asegúrese de que el nombre del host coincida con el Nombre Común (CN) del certificado de servidor web. Este nombre de host debe especificarse en las configuraciones del DNS para su organización, y el valor del nombre de host debe ser la dirección IP de su Firebox.
Si tiene usuarios que deben hacer la autenticación en el portal de autenticación manualmente, y usted utiliza SSO, puede agregar una excepción para SSO para esos usuarios a fin de reducir la cantidad de tiempo que les lleva hacer la autenticación. Para obtener más información sobre las excepciones de SSO, vea Habilitar el SSO de Active Directory en el Firebox.
Los usuarios solo son redireccionados al Portal de Autenticación si el pedido HTTP o HTTPS no coincide con las políticas de su Firebox. Para asegurarse de que los usuarios sean redireccionados al Portal de Autenticación, debe asegurarse de que la configuración de su dispositivo no incluya una política de HTTP o HTTPS que permita las conexiones de usuario, que no incluya el nombre de usuario o grupo de usuario de la listaDe. Debido a que la política Saliente predeterminada incluye a todos los puertos TCP y UDP, debe o bien deshabilitar la política Saliente, o editar la política Saliente para incluir los nombres de usuarios o grupos de usuarios en la lista De.
Después de que haya realizado los cambios necesarios en la configuración, para asegurarse de que los usuarios puedan llegar al Portal de Autenticación, verifique que los usuarios se puedan conectar a un servidor DNS local o externo. Antes de que un pedido HTTP o HTTPS pueda completarse para un usuario, el usuario debe poder resolver el nombre de DNS de un sitio web externo a su red.
Si la redirección de autenticación está habilitada y un usuario navega a un sitio web de HTTPS, aparece un mensaje de advertencia de certificado en el explorador. Esto ocurre porque la solicitud de página redirigida no coincide con la dirección en la barra de direcciones del explorador.
Usar una Página de Inicio Predeterminada Personalizada
Cuando marca la casilla de selección Redirigir usuarios automáticamente a la página de autenticación para solicitar a sus usuarios que se autentiquen antes de obtener acceso a Internet, el portal de autenticación aparece automáticamente cuando un usuario abre un explorador web. Si desea que el explorador vaya a una página diferente después que los usuarios inician la sesión con éxito, puede definir un redireccionamiento.
Para especificar una redirección:
- Marque la casilla de selección Enviar una redirección al explorador después de la autenticación exitosa.
- En el cuadro de texto, ingrese la URL del sitio web a dónde se redirigen los usuarios.
Definir Tiempos de Espera de Sesión de Administración
Use estas opciones para configurar el período de tiempo en que se mantiene autenticado un usuario que inicia sesión con privilegios de lectura/escritura antes de que Firebox termine la sesión.
Tiempo de Espera de la Sesión
El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si selecciona cero (0) segundos, minutos, horas o días, la sesión no caduca y el usuario puede permanecer conectado cualquier período de tiempo.
Tiempo de Espera Inactivo
El tiempo máximo durante el que un usuario puede permanecer autenticado cuando esté inactivo (sin transmitir tráfico a la red externa). Si selecciona cero (0) segundos, minutos, horas o días, la sesión no caduca cuando el usuario permanece inactivo, y el usuario puede permanecer inactivo cualquier período de tiempo.
Configurar los Ajustes de Bloqueo de Cuentas de Administración del Dispositivo
Puede habilitar el Bloqueo de Cuentas para evitar intentos de uso de la fuerza bruta para adivinar las contraseñas de cuentas de usuario. Cuando se habilita el Bloqueo de Cuentas, el Firebox bloquea temporalmente una cuenta de usuario después de un número específico de intentos de inicio de sesión consecutivos e infructuosos, y bloquea permanentemente una cuenta de usuario después de un número específico de bloqueos de cuenta temporales. Una cuenta de usuario permanentemente bloqueada solo puede ser desbloqueada por un usuario con credenciales de Administrador del Dispositivo.
La cuenta de usuario admin predeterminada puede bloquearse temporalmente pero no puede bloquearse permanentemente.
- Seleccione Sistema > Usuarios y Roles.
Se abre la página Usuarios y Roles. - Seleccione la pestaña Bloqueo de Cuentas.
- Seleccione la casilla de selección Habilitar bloqueo de cuentas.
- En el cuadro de texto Intentos de inicio de sesión fallidos, ingrese el número de intentos de inicio de sesión fallidos consecutivos que pueden ocurrir antes de que una cuenta de usuario sea bloqueada temporalmente.
- En el cuadro de texto Usuarios bloqueados durante, ingrese el número de minutos en que una cuenta permanece temporalmente bloqueada.
- En el cuadro de texto Bloqueos temporales, ingrese el número de bloqueos temporales que pueden ocurrir antes de que una cuenta sea permanentemente bloqueada. ¡Consejo!
- Haga clic en Guardar.
- Seleccione Configuración > Autenticación > Ajustes de Autenticación.
- En la sección Sesión de Administración, haga clic en Bloqueo de Cuenta.
Se abre el cuadro de diálogo Bloqueo de Cuenta.
- Seleccione la casilla de selección Habilitar bloqueo de cuentas.
- En el cuadro de texto Intentos de inicio de sesión fallidos, ingrese el número de intentos de inicio de sesión fallidos consecutivos que pueden ocurrir antes de que una cuenta de usuario sea bloqueada temporalmente.
- En el cuadro de texto Usuarios bloqueados durante, ingrese el número de minutos en que una cuenta permanece temporalmente bloqueada.
- En el cuadro de texto Bloqueos temporales, ingrese el número de bloqueos temporales que pueden ocurrir antes de que una cuenta sea permanentemente bloqueada. ¡Consejo!
- Haga clic en Aceptar.
Para obtener información acerca de cómo desbloquear una cuenta de usuario de Administración del Dispositivo, vea Administrar Usuarios y Roles en Su Firebox.
Ver También
Acerca de la Autenticación de Usuario
Configurar el Firebox como un Servidor de Autenticación
Cómo Funciona el SSO de Active Directory
Instalar el Agente de Inicio de Sesión Único (SSO) WatchGuard y el Event Log Monitor