Detalles
Barracuda SSL VPN™ es una solución integrada de hardware y software que permite el acceso remoto seguro, sin clientes, a los recursos de una red interna desde cualquier navegador web y, junto a ESET Secure Authentication (ESA), es fácilmente provisto de mayor seguridad con un segundo factor de autenticación.
Solución
Introducción
Este artículo describe cómo configurar Barracuda SSL VPN™ para autenticar usuarios frente a un servidor de ESA. Antes de proceder, verifique que haya sido instalado el componente de RADIUS Server de ESET Secure Authentication y que pueda acceder al servicio de RADIUS que permite a los sistemas externos autenticar usuarios.
Antes de que su Barracuda SSL VPN™ pueda usar ESA Server para autenticar usuarios vía RADIUS, debe configurarse un cliente de RADIUS sobre ESA Server. A continuación, el servidor que ejecuta el servicio ESA RADIUS debe configurarse como RADIUS Server sobre el dispositivo Barracuda SSL VPN™. Una vez que estas configuraciones hayan sido especificadas, podrá iniciar sesión en su Barracuda SSL VPN™ mediante las OTP de ESA.
Paso I - Configuración del cliente RADIUS
El protocolo RADIUS requiere el acceso a las solicitudes de los servidores RADIUS, incluyendo la dirección IP para el cliente RADIUS (por ejemplo, el dispositivo Barracuda SSL VPN™).
Para permitir al dispositivo Barracuda SSL VPN™ comunicarse con su ESA Server, deberá configurar Barracuda SSL VPN™ como un cliente de RADIUS sobre su ESA Server:
- Inicie ESA Management Console (se encuentra dentro de las Herramientas administrativas)
- Diríjase hacia RADIUS Servers y localice el hostname del servidor que ejecuta el servicio de ESA RADIUS.
- Haga clic derecho sobre el hostname y seleccione Agregar cliente dentro del menú contextual.
- Configure un cliente de RADIUS (ver Figura 1-1)
Figura 1-1
ESA ya ha sido configurado para comunicarse con el dispositivo Barracuda SSL VPN™. Ahora debe configurar el dispositivo Barracuda SSL VPN™ para comunicarse con ESA Server. Primero, cree un nuevo esquema de autenticación, luego configure los ajustes para su servidor RADIUS.
Paso II - Crear un nuevo esquema de autenticación
Para crear el nuevo esquema de autenticación mediante shared secret, realice los siguientes pasos:
- Inicie sesión en la interfaz de administración de Barracuda.
- Haga clic en Access Control → Authentication Schemes
- Cree un nuevo esquema, utilizando los siguientes valores:
Name: "ESA RADIUS"
Selected Modules: Agregue "RADIUS" desde la lista "Available Modules"
Selected Policies: Agregue sus políticas aplicables desde la lista "Available Policies"
- Haga clic en Add.
Pasos III - Configure los ajustes para su servidor RADIUS
Mientras se encuentra en la interfaz de administración, realice los siguientes pasos:
- Haga clic en Access Control → Configuration
- En la sección RADIUS, ajuste los parámetros indicados debajo para los siguientes valores:
RADIUS Server: La dirección IP de su servidor ESA RADIUS
Authentication Port: 1812
Backup RADIUS servers: Agregue cualquier servidor ESA RADIUS redundante que haya configurado, o déjelo en blanco de otro modo
Shared Secret: El mismo shared secret definido en la Parte I
Authentication Method: PAP
Time out: 30
Authentication Retries: 2
Reject challenge: No
- Haga clic en Save Changes
- Pruebe la configuración navegando hacia la URL que normalmente utiliza para los inicios de sesión SSL VPN. Ingrese las credenciales para su usuario de prueba:
- Asegúrese de encontrarse usando una cuenta la aplicación móvil de doble factor de autenticación utilizando ESA habilitado.
- En el campo de contraseña, anexe la OTP generada por la aplicación móvil a su contraseña de AD. Por ejemplo, si el usuario posee una contraseña de AD como "Blink182" y una OTP of 999111, usted deberá ingresar Blink182999111
Resolución de problemas
Si se encuentra imposibilitado de autenticar a través del servidor de ESA RADIUS, asegúrese de haber realizado estos pasos:
- Ejecute una prueba preliminar contra su servidor RADIUS, de acuerdo al documento “Verifying ESA RADIUS Functionality”.
- Si ninguna falla fue arreglada y aún se ve imposibilitado para conectarse, regrese a una configuración de inicio de sesión existente (aquella que no use doble factor de autenticación) y verifique si logra conectar.
- Si aún no logra conectarse utilizando la configuración antigua, restaure los nuevos ajustes y compruebe que no exista ningún firewall bloqueando el puerto UDP 1812 entre su dispositivo VPN y su servidor RADIUS.
- Si no puede conectarse, contacte al Equipo de soporte de ESET.