Configurar la MFA para un Firebox

Puede agregar AuthPoint como servidor de autenticación a los Fireboxes que ejecutan Fireware v12.7 o superior. Esto facilita la configuración de la AuthPoint MFA para:

  • Mobile VPN with SSL
  • Mobile VPN with IKEv2
  • Firebox Web UI
  • Portal de Autenticación de Firebox

Para habilitar AuthPoint como servidor de autenticación en un Firebox, debe agregar un recurso Firebox en AuthPoint. Después de configurar un recurso Firebox en AuthPoint, se habilita el servidor de autenticación AuthPoint en su Firebox.

Cuando configura un recurso Firebox para agregar la MFA a un Firebox, AuthPoint recibe la dirección IP del usuario final, por lo que los objetos de política de ubicación de red se aplican cuando un usuario se autentica con un cliente VPN.

No es necesario que agregue un recurso Firebox a la configuración de su Gateway, incluso si el recurso Firebox tiene MS-CHAPv2 habilitado. En esta situación, el Firebox valida la contraseña del usuario con NPS, y AuthPoint autentica al usuario con la MFA.

Su Firebox debe ejecutar Fireware v12.7.1 o superior para autenticar a los usuarios de Azure Active Directory con el servidor de autenticación AuthPoint.

Antes de Empezar

Antes de agregar AuthPoint como servidor de autenticación en su Firebox, asegúrese de haber registrado y conectado el dispositivo a WatchGuard Cloud como un Firebox administrado localmente. La integración de AuthPoint no está admitida con los Fireboxes administrados en la nube.

Para obtener instrucciones detalladas sobre cómo registrar y conectar su Firebox a WatchGuard Cloud, consulte Agregar un Firebox Administrado Localmente a WatchGuard Cloud.

Flujo de Trabajo de Autenticación

Cuando configura AuthPoint como un servidor de autenticación para usuarios de Mobile VPN with SSL, Mobile VPN with IKEv2, el Portal de Autenticación de Firebox o Fireware Web UI:

  1. El Firebox reenvía las solicitudes de autenticación de usuario directamente a AuthPoint.
  2. AuthPoint coordina la autenticación multifactor (MFA):
    • Usuarios locales —AuthPoint valida el primer factor (contraseña) y el segundo factor (push o contraseña de un solo uso)
    • Usuarios LDAP — AuthPoint indica al Firebox que se ponga en contacto con Active Directory para validar el primer factor (contraseña). AuthPoint valida el segundo factor (push o contraseña de un solo uso).
    • Usuarios de Azure Active Directory — AuthPoint se pone en contacto con Azure Active Directory para validar el primer factor (contraseña). AuthPoint valida el segundo factor (push o contraseña de un solo uso).
  3. El Firebox pide al usuario que seleccione una opción de autenticación:
    • Si el usuario selecciona la opción push, AuthPoint envía una solicitud push al teléfono del usuario.
    • Si el usuario selecciona la opción de contraseña de un solo uso, el Firebox pide al usuario que especifique una contraseña de un solo uso (OTP).

El flujo de trabajo de autenticación depende de la función de Fireware:

  1. El usuario inicia una conexión VPN desde un cliente de Mobile VPN with SSL al Firebox.
  2. El Firebox reenvía la solicitud a AuthPoint.
  3. AuthPoint determina si el usuario es local y tiene una política de MFA válida.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se comunica con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
  1. El usuario inicia una conexión VPN desde un cliente de Mobile VPN with SSL al Firebox.
  2. El Firebox reenvía la solicitud a AuthPoint.
  3. AuthPoint determina si el usuario es un usuario de Active Directory.
  4. AuthPoint informa al Firebox que el Active Directory Server debe validar al usuario.
  5. El Firebox envía los datos del usuario al Active Directory Server (solicitud de vinculación LDAP).
  6. Active Directory valida los datos del usuario y responde al Firebox.
  7. El Firebox envía una solicitud de MFA a AuthPoint.
  8. AuthPoint verifica que el usuario tenga una política de MFA válida.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push
      3. AuthPoint recibe la aprobación push y se comunica con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
  1. El usuario inicia una conexión VPN desde un cliente de Mobile VPN with SSL al Firebox.
  2. El Firebox reenvía la solicitud a AuthPoint.
  3. AuthPoint determina si el usuario es un usuario de Azure Active Directory.
  4. AuthPoint se pone en contacto con Azure Active Directory para validar el primer factor (contraseña).
  5. AuthPoint verifica que el usuario tenga una política de MFA válida y autentica al usuario.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se comunica con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
  1. El usuario inicia una conexión VPN desde un cliente de Mobile VPN with IKEv2 al Firebox.
  2. El Firebox reenvía la solicitud a AuthPoint.
  3. AuthPoint determina si el usuario es local y tiene una política de MFA válida.
  4. AuthPoint autentica al usuario.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se comunica con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
  1. El usuario inicia una conexión VPN desde un cliente de Mobile VPN with IKEv2 al Firebox.
  2. El Firebox reenvía la solicitud a AuthPoint.
  3. AuthPoint determina si el usuario es un usuario de Active Directory.
  4. AuthPoint informa al Firebox que el servidor NPS debe validar al usuario.
  5. El Firebox envía los datos del usuario al servidor NPS para su validación (protocolo RADIUS). El NPS es necesario para los usuarios de Active Directory que inician sesión desde un cliente IKEv2.
  6. El servidor NPS responde al Firebox.
  7. El Firebox envía una solicitud de MFA a AuthPoint.
  8. AuthPoint verifica que el usuario tenga una política de MFA válida.
  9. AuthPoint envía una notificación push al teléfono móvil del usuario.
  10. El usuario recibe y aprueba la notificación push.
  11. AuthPoint recibe la aprobación push y se comunica con el Firebox.
  12. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
  1. El usuario inicia una conexión VPN desde un cliente de Mobile VPN with IKEv2 al Firebox.
  2. El Firebox reenvía la solicitud a AuthPoint.
  3. AuthPoint determina si el usuario es un usuario de Azure Active Directory.
  4. AuthPoint informa al Firebox que el servidor NPS debe validar al usuario.
  5. El Firebox envía los datos del usuario al servidor NPS para su validación (protocolo RADIUS). El NPS es necesario para los usuarios de Azure Active Directory que inician sesión desde un cliente IKEv2.
  6. El servidor NPS responde al Firebox.
  7. El Firebox envía una solicitud de MFA a AuthPoint.
  8. AuthPoint verifica que el usuario tenga una política de MFA válida.
  9. AuthPoint envía una notificación push al teléfono móvil del usuario.
  10. El usuario recibe y aprueba la notificación push.
  11. AuthPoint recibe la aprobación push y se comunica con el Firebox.
  12. El Firebox recibe la aprobación y permite al usuario conectarse a la VPN.
  1. El usuario se conecta al Portal de Autenticación de Firebox en el puerto 4100.
  2. El usuario proporciona sus datos de inicio de sesión y selecciona el dominio de autenticación de AuthPoint.
  3. El Firebox reenvía la solicitud a AuthPoint.
  4. AuthPoint determina si el usuario es local y tiene una política de autenticación multifactor (MFA) válida.
  5. El usuario ve una página de autenticación que muestra los métodos de autenticación disponibles.
  6. El usuario selecciona un método de autenticación.
  7. El Firebox envía una solicitud de MFA a AuthPoint.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se comunica con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
  1. El usuario se conecta al Portal de Autenticación de Firebox en el puerto 4100.
  2. El usuario proporciona sus datos de inicio de sesión y selecciona el dominio de autenticación de AuthPoint.
  3. El Firebox reenvía la solicitud a AuthPoint.
  4. AuthPoint determina si el usuario es un usuario de Active Directory y si tiene una política de MFA válida.
  5. AuthPoint comunica al Firebox que el Active Directory Server debe validar al usuario.
  6. El Firebox envía los datos del usuario al Active Directory Server (solicitud de vinculación LDAP).
  7. Active Directory valida los datos del usuario y responde al Firebox.
  8. El usuario ve una página de autenticación que muestra los métodos de autenticación disponibles.
  9. El usuario selecciona un método de autenticación.
  10. El Firebox envía una solicitud de MFA a AuthPoint.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se comunica con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
  1. El usuario se conecta al Portal de Autenticación de Firebox en el puerto 4100.
  2. El usuario proporciona sus datos de inicio de sesión y selecciona el dominio de autenticación de AuthPoint.
  3. El Firebox reenvía la solicitud a AuthPoint.
  4. AuthPoint determina si el usuario es un usuario de Azure Active Directory.
  5. AuthPoint se pone en contacto con Azure Active Directory para validar el primer factor (contraseña).
  6. El usuario ve una página de autenticación que muestra los métodos de autenticación disponibles.
  7. El usuario selecciona un método de autenticación.
  8. El Firebox envía una solicitud de MFA a AuthPoint.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se comunica con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
  1. El usuario se conecta a la Firebox Web UI.
  2. El usuario proporciona sus datos de inicio de sesión y selecciona el dominio de autenticación de AuthPoint.
  3. El Firebox reenvía la solicitud a AuthPoint.
  4. AuthPoint determina si el usuario es local y tiene una política de autenticación multifactor (MFA) válida.
  5. El usuario ve una página de autenticación que muestra los métodos de autenticación disponibles.
  6. El usuario selecciona un método de autenticación.
  7. El Firebox envía una solicitud de MFA a AuthPoint.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se comunica con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
  1. El usuario se conecta a la Firebox Web UI.
  2. El usuario proporciona sus datos de inicio de sesión y selecciona el dominio de autenticación de AuthPoint.
  3. El Firebox reenvía la solicitud a AuthPoint.
  4. AuthPoint determina si el usuario es un usuario de Active Directory y si tiene una política de MFA válida.
  5. AuthPoint comunica al Firebox que el Active Directory Server debe validar al usuario.
  6. El Firebox envía los datos del usuario al Active Directory Server (solicitud de vinculación LDAP).
  7. Active Directory valida los datos del usuario y responde al Firebox.
  8. El usuario ve una página de autenticación que muestra los métodos de autenticación disponibles.
  9. El usuario selecciona un método de autenticación.
  10. El Firebox envía una solicitud de MFA a AuthPoint.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se comunica con el Firebox.
      4. El Firebox recibe la aprobación y permite al usuario iniciar sesión.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El Firebox recibe la aprobación y permite al usuario iniciar sesión.

Convertir Configuraciones de Fireware 12.6.x o Inferior

Esta sección solo se aplica a las configuraciones que utilizan un servidor de autenticación RADIUS AuthPoint creado manualmente. Si ya configuró la AuthPoint MFA para su Firebox con un recurso del cliente RADIUS y un servidor RADIUS en el Firebox, siga los pasos en esta sección para convertir su configuración a fin de usar el servidor de autenticación AuthPoint.

Las configuraciones creadas antes de Fireware v12.7 que usan un servidor de autenticación RADIUS para la AuthPoint Gateway continuarán funcionando después de la actualización a Fireware v12.7.

Si tiene un servidor de autenticación existente llamado AuthPoint, ese servidor de autenticación se renombrará automáticamente a AuthPoint.1 cuando suceda lo siguiente:

  • Actualice su Firebox a Fireware v12.7.
  • Use WSM o Policy Manager v12.7 o superior para administrar un Firebox que ejecuta Fireware 12.6.x o inferior.

Si se cambia el nombre de su servidor de autenticación AuthPoint existente, y no es el servidor de autenticación predeterminado, los usuarios deben escribir el nuevo nombre del servidor de autenticación (AuthPoint.1) cuando inician sesión y usan ese servidor de autenticación.

Para convertir su configuración a fin de usar el servidor de autenticación AuthPoint:

  1. Actualice su Firebox a Fireware v12.7 o superior.
  2. En AuthPoint:
    1. Agregue un recurso Firebox para su Firebox.
    2. Configure una política de autenticación para el nuevo recurso Firebox o agregue el recurso Firebox a una de sus políticas de autenticación existentes.
  3. En Fireware:
    • Para configurar la AuthPoint MFA para una VPN, agregue AuthPoint como el servidor de autenticación principal para la configuración de Mobile VPN with SSL o Mobile VPN with IKEv2.
    • Para configurar la AuthPoint MFA para el Portal de Autenticación de Firebox, especifique AuthPoint como el servidor de autenticación para usuarios y grupos.
  4. Pruebe la MFA con la nueva configuración.
  5. Elimine su configuración anterior:
    1. En AuthPoint, elimine el recurso del cliente RADIUS existente y elimine el recurso del cliente RADIUS de su Gateway.
    2. En Fireware, elimine el servidor RADIUS que configuró para la AuthPoint Gateway.

Configurar un Recurso Firebox

Para agregar un recurso Firebox:

  1. En el menú de navegación, seleccione Recursos.
    Se abre la página Recursos.

  1. En la lista desplegable Seleccionar un Tipo de Recurso, seleccione Firebox. Haga clic en Agregar Recurso.
    Se abre la página del recurso Firebox.

Screenshot of the Firebox resource page.

  1. En el cuadro de texto Nombre, ingrese un nombre descriptivo para el recurso.
  2. En la lista desplegable del Firebox, seleccione el Firebox o FireCluster que desea conectar a AuthPoint. Esta lista solo muestra los Fireboxes y FireClusters administrados localmente que agregó a WatchGuard Cloud.

Screenshot of the Firebox resource page.

  1. Para configurar el recurso Firebox para que acepte solicitudes de autenticación MS-CHAPv2, haga clic en el interruptor Habilitar MS-CHAPv2.
    Aparecen cuadros de texto adicionales.

    No es necesario habilitar MS-CHAPv2 si solo los usuarios de AuthPoint locales utilizan el cliente VPN IKEv2.

Screenshot of the Firebox resource page.

  1. En el cuadro de texto IP o FQDN De Confianza del Servidor RADIUS NPS, escriba la dirección IP o el nombre de dominio completamente calificado (FQDN) del servidor RADIUS NPS.
  2. En el cuadro de texto Puerto, escriba el puerto que NPS utiliza para la comunicación. El puerto predeterminado es el 1812.
  3. En el cuadro de texto Tiempo de Espera En Segundos, ingrese un valor en segundos. El valor de tiempo de espera es la cantidad de tiempo antes de que expire una autenticación push.
  4. En el cuadro de texto Secreto Compartido, ingrese la clave secreta compartida que NPS y el Firebox usarán para comunicarse.

Screenshot of the Firebox resource page.

  1. Haga clic en Guardar.

Después de agregar el recurso Firebox en AuthPoint, se habilita el servidor de autenticación AuthPoint en su Firebox. Para agregar la MFA, debe configurar el Firebox a fin de utilizar el servidor de autenticación AuthPoint.

Ver También

Acerca de las Políticas de Autenticación de AuthPoint

Integración de Firebox Mobile VPN with SSL con AuthPoint

Integración de Mobile VPN with IKEv2 del Firebox con AuthPoint para los Usuarios de Active Directory

Integración de Mobile VPN with IKEv2 del Firebox con AuthPoint para los Usuarios de Azure Active Directory

Integración de Mobile VPN with IKEv2 del Firebox Cloud con AuthPoint para los Usuarios de Azure Active Directory

Administrar Usuarios y Roles en Su Firebox