Protocolos de autenticación soportados por Ironchip
OIDC
Requisitos previos
Crear compañía
Direcciones de correo electrónico y nombres de los usuarios que se agregarán. La persona que se agregará se registrará primero. Esto se hará en una reunión.
Aplicación
Añadir Aplicación a la Compañía
En la sección “Applications” se pueden observar todos los servicios protegidos que se han añadido a Ironchip y sus características. Para añadir un servicio se pulsará en “New Application”, lo cual abrirá una nueva ventana.
En la nueva ventana habrá que elegir el nuevo servicio, podrá ser uno de los que aparecen en la lista o un servicio personalizado, para lo cual se pulsará en “Custom Application”. Se abrirá una nueva ventana.
En esta habrá que introducir los datos del nuevo servicio, si se ha elegido uno de la lista el nombre vendrá predeterminado sino tendrá que introducirlo. Además, el tipo de integración es OIDC y los requerimientos de seguridad. Este último puede ser de dos tipos los cuales serán utilizados para acceder al servicio seleccionado:
- Dispositivo personal
- Dispositivo personal + zona segura
Al elegir OIDC se requerirá una Redirect URI. Para obtenerla debemos buscar el path de esta en el servicio que queramos integrar.
Cuando todos los campos estén rellenados se pulsará “Add Service” y el servicio se podrá ver en la sección correspondiente.
Importante: Guardar los campos que se devuelven al crear un servicio, en este caso, “Client ID” y “Client Secret”. Estos solo aparecerán esta vez y habrá que introducirlos en la configuración del servicio a integrar.
Acceso a la aplicación
Agregar usuario al servicio creado
Para añadir un usuario a un servicio se comenzará desde la sección Applications, aquí se seleccionará el servicio en el que se quiera añadir uno o varios usuarios. Una vez en la página informativa de la aplicación en donde podrás ver datos como el recuento de autenticaciones correctas e incorrectas para acceder a la aplicación.También podremos ver un listado con todos los grupos a los que ya se les ha generado el acceso.
Para dar un nuevo acceso, disponemos de un botón de Agregar Accesos, al pulsarlo se desplegará una nueva ventana con los 5 pasos que conlleva el proceso, el primer paso será el de seleccionar el grupo de usuarios al que queremos dar acceso a la aplicación, para ello contamos con un listado de todos los grupos que se encuentran creados hasta el momento en la compañía. Para seleccionar el grupo o grupos deseados simplemente debemos elegir la casilla que se encuentra a la izquierda del nombre de cada grupo.
Nota: Es importante especificar que esta sección solo se podrán agregar grupos de usuarios, de esta forma los usuarios individualmente son tratamos como un usuario dentro de su propio grupo personal, grupo que llevará su propio nombre.
Pulsamos el botón Continuar para acceder al siguiente paso del proceso.
En la siguiente pestaña se procederá a elegir el formato de nombre de usuario (External Username) que tendrán todos los usuarios que estamos agregando a la aplicación. Por defecto estará seleccionado el Email, sin embargo existe una serie de etiquetas (name, surname, domain, etc) que te permitirán construir el formato que mejor se ajuste a sus requerimientos, para acceder a ellas tendrás que hacer clic en la zona donde indica Ingresar Etiqueta.
Nota: En caso de dudas, dispones de un bloque de ayuda ubicado en la parte posterior del ejemplo, pulsa en Necesitas Ayuda para acceder.
Luego de elegir el formato deseado, pulsamos el botón Continuar.
El siguiente paso, será seleccionar las Key tags que le asignaremos al grupo elegido, tendremos la opción de elegir combinaciones de key tags seleccionando en la misma linea más de una key tag y luego pulsamos el botón Continuar.
Para distinguir entre una u otra opción de key tags pulsamos el botón de “+” y eligiendo en el siguiente campo la key tag deseada. Si en el proceso dudas de tu elección, puedes con el botón del signo “-” ubicado a la derecha del campo eliminar esa linea de key tags.
Una vez seleccionada la key tag o las combinaciones deseadas, pulsamos el botón Continuar.
En la siguiente ventana veremos un resumen de todos los datos que en los pasos previos han sido seleccionados, luego de leerlos detenidamente pulsamos el botón Close y se iniciará el proceso de creación del acceso.
Unos segundos después si todo va de forma correcta veremos en la pantalla principal el acceso que hemos agregado. Este acceso puede ser gestionado en cualquier momento pulsando el botón Opciones.
SAML
Requisitos previos
Crear compañia
Direcciones de correo electrónico y nombres de los usuarios que se agregarán. La persona que se agregará se registrará primero. Esto se hará en una reunión.
Atributos SAML Soportados
Descripción Friendly Name SAML Name User Name uid urn:oid:0.9.2342.19200300.100.1.1 User Email urn:oid:0.9.2342.19200300.100.1.3 User given Name givenName urn:oid:2.5.4.42 User common Name cn urn:oid:2.5.4.3 Aplicación
Añadir Aplicación a la Compañía
En la sección “Applications” se pueden observar todos los servicios protegidos que se han añadido a Ironchip y sus características. Para añadir un servicio se pulsará en “New Application”, lo cual abrirá una nueva ventana.
En la nueva ventana habrá que elegir el nuevo servicio, podrá ser uno de los que aparecen en la lista o un servicio personalizado, para lo cual se pulsará en “Custom Application”. Se abrirá una nueva ventana.
En esta habrá que introducir los datos del nuevo servicio, si se ha elegido uno de la lista el nombre vendrá predeterminado sino tendrá que introducirlo. Además, el tipo de integración es SAML y los requerimientos de seguridad. Este último puede ser de dos tipos los cuales serán utilizados para acceder al servicio seleccionado:
- Dispositivo personal
- Dispositivo personal + zona segura
Al elegir SAML se requerirá un documento metadata del servicio a proteger o la URL pública de ese documento metadata, este está en la configuración de la plataforma de simulación; más concretamente es el campo “Metadata public URL”.
Cuando todos los campos estén rellenados se pulsará “Add Service”y el servicio se podrá ver en la sección correspondiente.
Importante: Guardar los campos que se devuelven al crear un servicio, en este caso, “Client ID” y “Client Secret”. Estos solo aparecerán esta vez y habrá que introducirlos en la configuración de la plataforma de simulación.
Acceso a la aplicación
Agregar usuario al servicio creado
Para agregar un usuario a un servicio, comience desde la sección “Aplicaciones”, seleccione el servicio al que desea agregar uno o más usuarios. Una vez en la página de información de un servicio, haga clic en Agregar Usuario en la tarjeta “Usuarios con acceso a…”.
En la ventana abierta, seleccione los usuarios que desea agregar y haga clic en Continuar.
El siguiente paso es configurar el acceso al servicio. Para ello, se seguirán los siguientes pasos:
El nombre de usuario debe ser el mismo que el creado en la cuenta en el apartado anterior.
- Verifica el nombre de usuario y los requisitos de seguridad, el primero se modifica haciendo clic en el icono del lápiz. Haga clic en Continuar.
- Seleccione el dispositivo personal que se utilizará para el proceso de autenticación. Haga clic en Continuar.
- Seleccione las zonas seguras tanto personales como compartidas que se utilizarán para acceder al servicio seleccionado. Haz clic en Continuar.
- Verifique toda la configuración previamente seleccionada y haga clic en Agregar Acceso.
El usuario habrá sido añadido al servicio con la configuración seleccionada. Esto se puede cambiar en cualquier momento.
HTTP-APIKEY
Requisitos previos
Crear compañia
Direcciones de correo electrónico y nombres de los usuarios que se agregarán. La persona que se agregará se registrará primero. Esto se hará en una reunión.
Aplicación MFA
Añadir Aplicación a la Compañía
En la sección “Security” encontraras una subcategoria llamada "MFA integrations" en la cual se pueden observar todas las integracions HTTP-MFA que se han añadido a Ironchip . Para añadir un servicio se pulsará en “New Integration”, lo cual abrirá una nueva ventana.
En la nueva ventana introduzca el nombre que le quieras asignar a esta nueva integracion MFA. A continuacion, pulse el boton verde "Add integration".
Aparecera una nueva ventana, en ella aparecera una clave tipo "API Key". Guardala ya que esta se utilizara para configurar servicios con Ironchip.
El siguinete paso es ir a la sección “Applications”. En ella, se pueden observar todos los servicios protegidos que se han añadido a Ironchip y sus características. Para añadir un servicio se pulsará en “New Application”, lo cual abrirá una nueva ventana.
En la nueva ventana habrá que elegir el nuevo servicio, podrá ser uno de los que aparecen en la lista o un servicio personalizado, para lo cual se pulsará en “Custom Application”. Se abrirá una nueva ventana.
En esta habrá que introducir los datos del nuevo servicio, si se ha elegido uno de la lista el nombre vendrá predeterminado sino tendrá que introducirlo. El tipo de integracion sera igual al nombre introducido en el anterior punto.
Acceso a la aplicación
Agregar usuario al servicio creado
Para agregar un usuario a un servicio, comience desde la sección “Aplicaciones”, seleccione el servicio al que desea agregar uno o más usuarios. Una vez en la página de información de un servicio, haga clic en Agregar Usuario en la tarjeta “Usuarios con acceso a…”.
En la ventana abierta, seleccione los usuarios que desea agregar y haga clic en Continuar.
El siguiente paso es configurar el acceso al servicio. Para ello, se seguirán los siguientes pasos:
El nombre de usuario debe ser el mismo que el creado en la cuenta en el apartado anterior.
- Verifica el nombre de usuario y los requisitos de seguridad, el primero se modifica haciendo clic en el icono del lápiz. Haga clic en Continuar.
- Seleccione el dispositivo personal que se utilizará para el proceso de autenticación. Haga clic en Continuar.
- Seleccione las zonas seguras tanto personales como compartidas que se utilizarán para acceder al servicio seleccionado. Haz clic en Continuar.
- Verifique toda la configuración previamente seleccionada y haga clic en Agregar Acceso.
El usuario habrá sido añadido al servicio con la configuración seleccionada. Esto se puede cambiar en cualquier momento.
RADIUS
Crear la aplicación en Ironchip
El primer paso es crear una aplicación API Key en el panel de Ironchip:
Para ello ve a Applications, y pulsa en New Application.
En el primer cuadro con título Custom application pulsa en Create application.
Ponle un nombre identificativo y selecciona tipo API KEY. Pulsa Add service.
Por último, descarga el archivo que contiene la API KEY.
Instalación y configuración
Debes descargar el archivo de instalación, descargarlo desde este enlace, seleccionando el sistema operativo correspondiente:
https://github.com/Ironchip-Security/Ironchip-Radius-Server/releases/latest
Una vez descargado, mueve el instalador a una ubicación apropiada, y crea un archivo con el nombre “ironchip-radius-server” y extensión “. JSON”.
Dentro de este archivo, pega el siguiente texto:
{
"radius_address":"0.0.0.0:1812",
"radius_key":"secret",
"ironchip_api_host":"<https://api.ironchip.com>",
"ironchip_api_secret":"",
"log_level": "info"
}Modifica los siguientes campos:
Radius_key: El secreto compartido entre el servicio e Ironchip. Este secreto es uno a tu elección, pero debe de ser el mismo tanto en el archivo como en el servicio.
Ironchip_api_secret: La API Key obtenida al crear la aplicación en el panel de ironchip.
Una vez ayas modificado y guardado el archivo en la misma ubicación que el instalador, abre una terminal PowerShell y sigue estos pasos:
Ve a la ubicación donde se encuentran los dos archivos mediante el siguiente comando:
cd <ruta de el archivo>
Ejemplo:
Una vez en esta ubicación ejecuta el instalador mediante el siguiente comando:
./ironchip-radius-server s install
E inicia el servicio:
./ironchip-radius-server s start
Ejemplo:
El último paso es configurar el servicio que quieres asegurar mediante Ironchip.
Ejemplo de autenticación
En el siguiente video se muestra como accedo a una VPN de Watchguard con el plug-in Radius Server de Ironchip en funcionamiento.
Destacar que en el video se escribe una contraseña, ya que en este caso Watchguard no permite campos vacíos, pero el texto de este campo puede ser aleatorio como en los dos ejemplos del video.