Acerca de la Autenticación de Usuario
Cuando configura el Firebox como servidor de autenticación, este almacena las cuentas de usuario que usted crea para otorgarles a los usuarios acceso a su red.
A menudo las organizaciones que no tienen un servidor de autenticación de terceros y no necesitan administrar cuentas de usuario de manera centralizada para múltiples aplicaciones utilizan la autenticación del Firebox. Esta funciona con políticas, todos los tipos de VPN, accesos de administración y todas las demás funciones del Firebox que autentican usuarios.
Cómo Funciona la Autenticación de Usuario
La autenticación de usuario es un proceso que busca si un usuario es quien dice ser y verifica los privilegios asignados a ese usuario. En el Firebox, la cuenta de usuario tiene dos partes: un nombre de usuario y una contraseña. Cada usuario autenticado está asociado a una dirección IP. Esa combinación de nombre de usuario, contraseña y dirección IP ayuda al administrador del dispositivo a monitorizar las conexiones a través del dispositivo. Con la autenticación, los usuarios pueden iniciar sesión en la red desde cualquier equipo, pero acceder sólo a los protocolos y puertos de red a los cuales estén autorizados. El Firebox puede también mapear las conexiones que se inician desde una dirección IP específica y también transmitir el nombre de la sesión mientras el usuario está autenticado.
Utilizar la Autenticación con Políticas de Firewall y Usuarios/Grupos
Puede crear políticas de firewall para dar acceso a recursos específicos de red a usuarios y grupos. Eso es útil en los ambientes de red donde varios usuarios comparten un único equipo o dirección IP.
Para preparar su Firebox como servidor de autenticación debe hacer lo siguiente:
- Divida su empresa en grupos según las tareas que las personas hacen y la información que necesitan
- Cree usuarios para los grupos
- Asigne grupos y usuarios a las políticas
Acerca de Servidores de Autenticación
Puede usar el Firebox como un servidor de autenticación local o puede usar su servidor de autenticación de Active Directory, LDAP o un servidor de autenticación RADIUS existente. Si su Firebox ejecuta Fireware v12.7 o superior, también puede habilitar y usar el servidor de autenticación AuthPoint para requerir autenticación multifactor (MFA) cuando los usuarios se autentican.
Cuando usa la autenticación de Firebox por el puerto 4100, los privilegios de cuenta pueden estar basados en el nombre de usuario. Cuando usa una autenticación de terceros, los privilegios de cuenta para los usuarios que autentican a servidores de autenticación de terceros se basan en la participación en el grupo de seguridad del usuario.
Acerca de la Autenticación de Usuario con la AuthPoint MFA
Los Fireboxes que ejecutan Fireware v12.7 o superior incluyen un servidor de autenticación AuthPoint. Si usa AuthPoint, puede habilitar y usar el servidor de autenticación AuthPoint para requerir la autenticación multifactor (MFA) cuando los usuarios se autentican.
Esto facilita la configuración de AuthPoint MFA para:
- Mobile VPN with SSL
- Mobile VPN with IKEv2
- Firebox Web UI
- Portal de Autenticación del Firebox
De forma predeterminada, el servidor de autenticación AuthPoint en el Firebox está deshabilitado. Para habilitar el servidor de autenticación AuthPoint en su Firebox, debe agregar su Firebox como un recurso Firebox en AuthPoint. Para conocer los pasos detallados a fin de agregar un recurso Firebox en AuthPoint, consulte Configurar la MFA para un Firebox.
Para habilitar el servidor de autenticación AuthPoint en su Firebox, debe registrar y conectar su Firebox a WatchGuard Cloud como un Firebox administrado localmente. Para obtener instrucciones detalladas a fin de registrar y conectar su Firebox a WatchGuard Cloud, consulte Agregar un Firebox Administrado Localmente a WatchGuard Cloud.
Después de agregar el recurso Firebox en AuthPoint, se habilita el servidor de autenticación de AuthPoint en su Firebox. Para agregar la MFA, debe configurar el Firebox para usar el servidor de autenticación AuthPoint.
- Mobile VPN with SSL — En Fireware, configure AuthPoint como servidor de autenticación principal para su configuración de Mobile VPN with SSL
Si agrega el servidor de autenticación AuthPoint a su configuración de Mobile VPN with SSL, los usuarios deben descargar y usar el cliente WatchGuard Mobile VPN with SSL v12.7 o superior o el cliente OpenVPN SSL.
- Mobile VPN with IKEv2— En Fireware, configure AuthPoint como servidor de autenticación principal para su configuración de Mobile VPN with IKEv2
- Portal de Autenticación del Firebox — En Fireware, especifique AuthPoint como servidor de autenticación para usuarios y grupos.
- Fireware Web UI — In Fireware, vaya a Sistema > Usuarios y Roles y agregue usuarios de Administración del Dispositivo con AuthPoint como servidor de autenticación
Si tiene un servidor de autenticación existente llamado AuthPoint, ese servidor de autenticación será automáticamente renombrado AuthPoint.1 cuando haga lo siguiente:
- Actualizar su Firebox a Fireware v12.7.
- Use WSM o Policy Manager v12.7 o superior para administrar un Firebox que ejecute Fireware 12.6.x o inferior.
Si se cambia el nombre de su servidor de autenticación RADIUS de AuthPoint existente y no es el servidor de autenticación predeterminado, los usuarios deben escribir el nuevo nombre del servidor de autenticación (AuthPoint.1) cuando inician sesión y usan ese servidor de autenticación.
Cómo se Realiza el Seguimiento de los Usuarios Autenticados
La función de autenticación de usuario de WatchGuard permite que un nombre de usuario esté asociado a una dirección IP específica para ayudarlo a autenticarse y rastrear conexiones de usuarios a través del dispositivo. Con el dispositivo, la pregunta fundamental que se responde con cada conexión es: ¿debo permitir que el tráfico de la fuente X vaya al destino Y? Para que la función de autenticación de WatchGuard funcione correctamente, la dirección IP del equipo del usuario no debe cambiar mientras el usuario esté autenticado en el dispositivo.
Autenticación, Cuentas y Control de Acceso (AAA, Authentication, Accounting y Access control) es compatible con su Firebox, en base a una asociación estable entre la dirección IP y el usuario. En gran parte de los ambientes, la relación entre una dirección IP y el equipo de usuario es bastante estable como para ser usada para la autenticación. Para ambientes en los cuales la asociación entre el usuario y una dirección IP no es constante, como kioscos o redes donde las aplicaciones se ejecutan desde un servidor de terminal, recomendamos que use el Agente de Terminal Services para asegurar la autenticación. Para más información, consulte Instalar y Configurar el Agente de Terminal Services.
Acerca del Inicio de Sesión Único (SSO)
La función de autenticación de usuario de WatchGuard también soporta la autenticación a un dominio de Active Directory con Inicio de Sesión Único (SSO), así como otros servidores comunes de autenticación. Asimismo, soporta configuraciones de inactividad y límites de duración de sesión. Esos controles restringen el tiempo que una dirección IP puede transmitir tráfico a través del dispositivo antes de que los usuarios deban proporcionar sus contraseñas nuevamente (reautenticarse).
Si controla el acceso de SSO con una lista de permitidos y administra tiempos de espera de inactividad, tiempos de espera de sesión y quiénes están autorizados a autenticarse, puede mejorar su control de autenticación, cuentas y control de acceso. Para asegurarse de que un usuario se autentique, debe desactivar la cuenta para ese usuario en el servidor de autenticación.
Autenticación y Compatibilidad con IPv6
Si su dispositivo está configurado con una dirección IPv6, puede utilizar la dirección IPv6 para la autenticación Firebox mediante el puerto 4100. También puede utilizar su dispositivo para realizar conexiones IPv6 a clientes con direcciones IPv6 cuando utiliza un servidor de autenticación de terceros con una dirección IPv4, tal como el servidor RADIUS.
Para resolver problemas de autenticación de usuario, le recomendamos que cree una política de prueba. A continuación, intente autenticarse en el Firebox como un usuario que es un miembro del grupo especificado en la política de prueba.
Ver También
Pasos de Autenticación de Usuario
Administrar Usuarios Autenticados
Tipos de Servidores de Autenticación
Configurar el Firebox como un Servidor de Autenticación