[KB3472] ¿Cómo configuro mis dispositivo Barracuda SSL VPN™ para usarlo con ESET Secure Authentication

Detalles

Barracuda SSL VPN™ es una solución integrada de hardware y software que permite el acceso remoto seguro, sin clientes, a los recursos de una red interna desde cualquier navegador web y, junto a ESET Secure Authentication (ESA), es fácilmente provisto de mayor seguridad con un segundo factor de autenticación.

Solución

Introducción

Este artículo describe cómo configurar Barracuda SSL VPN™ para autenticar usuarios frente a un servidor de ESA. Antes de proceder, verifique que haya sido instalado el componente de RADIUS Server de ESET Secure Authentication y que pueda acceder al servicio de RADIUS que permite a los sistemas externos autenticar usuarios.

Antes de que su Barracuda SSL VPN™ pueda usar ESA Server para autenticar usuarios vía RADIUS, debe configurarse un cliente de RADIUS sobre ESA Server. A continuación, el servidor que ejecuta el servicio ESA RADIUS debe configurarse como RADIUS Server sobre el dispositivo Barracuda SSL VPN™. Una vez que estas configuraciones hayan sido especificadas, podrá iniciar sesión en su Barracuda SSL VPN™ mediante las OTP de ESA.
 

Paso I - Configuración del cliente RADIUS


El protocolo RADIUS requiere el acceso a las solicitudes de los servidores RADIUS, incluyendo la dirección IP para el cliente RADIUS (por ejemplo, el dispositivo Barracuda SSL VPN™).

Para permitir al dispositivo Barracuda SSL VPN™ comunicarse con su ESA Server, deberá configurar  Barracuda SSL VPN™ como un cliente de RADIUS sobre su ESA Server:

  1. Inicie ESA Management Console (se encuentra dentro de las Herramientas administrativas)
     
  2. Diríjase hacia RADIUS Servers y localice el hostname del servidor que ejecuta el servicio de ESA RADIUS.
     
  3. Haga clic derecho sobre el hostname y seleccione Agregar cliente dentro del menú contextual.
     
  4. Configure un cliente de RADIUS (ver Figura 1-1)

Configurando su cliente de RADIUS

  • Para evitar cualquier usuario de Active Directory, sin doble factor de autenticación habilitado fuera de la VPN, recomendamos que permita contraseñas de Active Directory sin OTPs durante la fase de transición. También es recomendable que limite el acceso al grupo de seguridad de la VPN (por ejemplo VPNusers).
     
  • Asegúrese de que el casillero correspondiente a Mobile Application se encuentre seleccionado.

Figura 1-1

ESA ya ha sido configurado para comunicarse con el dispositivo Barracuda SSL VPN™. Ahora debe configurar el dispositivo Barracuda SSL VPN™ para comunicarse con ESA Server. Primero, cree un nuevo esquema de autenticación, luego configure los ajustes para su servidor RADIUS.


 

Paso II - Crear un nuevo esquema de autenticación

Para crear el nuevo esquema de autenticación mediante shared secret, realice los siguientes pasos: 

  1. Inicie sesión en la interfaz de administración de Barracuda.
     
  2. Haga clic en Access Control Authentication Schemes
     
  3. Cree un nuevo esquema, utilizando los siguientes valores:
     
      Name: "ESA RADIUS"
      Selected Modules: Agregue "RADIUS" desde la lista "Available Modules"
      Selected Policies: Agregue sus políticas aplicables desde la lista  "Available Policies"
     
  4. Haga clic en Add.

 

Pasos III - Configure los ajustes para su servidor RADIUS

Mientras se encuentra en la interfaz de administración, realice los siguientes pasos: 

  1. Haga clic en Access Control Configuration
     
  2. En la sección RADIUS, ajuste los parámetros indicados debajo para los siguientes valores:
       
      RADIUS Server: La dirección IP de su servidor ESA RADIUS
      Authentication Port: 1812
      Backup RADIUS servers: Agregue cualquier servidor ESA RADIUS redundante que haya configurado, o déjelo en blanco de otro modo
      Shared Secret: El mismo shared secret definido en la Parte I
      Authentication Method: PAP
      Time out: 30
      Authentication Retries: 2
      Reject challenge: No
     
  3. Haga clic en Save Changes
     
  4. Pruebe la configuración navegando hacia la URL que normalmente utiliza para los inicios de sesión SSL VPN. Ingrese las credenciales para su usuario de prueba:
     
      - Asegúrese de encontrarse usando una cuenta la aplicación móvil de doble factor de autenticación utilizando ESA habilitado.
      - En el campo de contraseña, anexe la OTP generada por la aplicación móvil a su contraseña de AD. Por ejemplo, si el usuario posee una contraseña de AD como "Blink182" y una OTP of 999111, usted deberá ingresar Blink182999111

 

Resolución de problemas

Si se encuentra imposibilitado de autenticar a través del servidor de ESA RADIUS, asegúrese de haber realizado estos pasos:

  1. Ejecute una prueba preliminar  contra su servidor RADIUS, de acuerdo al documento “Verifying ESA RADIUS Functionality”.
     
  2. Si ninguna falla fue arreglada y aún se ve imposibilitado para conectarse, regrese a una configuración de inicio de sesión existente (aquella que no use doble factor de autenticación) y verifique si logra conectar.
     
  3. Si aún no logra conectarse utilizando la configuración antigua, restaure los nuevos ajustes y compruebe que no exista ningún firewall bloqueando el puerto UDP 1812 entre su dispositivo VPN y su servidor RADIUS.
     
  4. Si no puede conectarse, contacte al Equipo de soporte de ESET.