Configure la autenticación bifactorial del dúo para el Acceso de administración del centro de administración de FirePOWER

Introducción

Este documento describe los pasos requeridos configurar la autenticación bifactorial externa para el Acceso de administración en el centro de administración de FirePOWER (FMC). En este ejemplo, el administrador FMC autentica contra el servidor ISE y una autenticación adicional bajo la forma de notificación del empuje es enviada por el servidor proxy de la autenticación del dúo al dispositivo móvil del administrador.

Prerrequisitos 

Requisitos 

Cisco recomienda que tenga conocimiento sobre estos temas:

• Configuración del objeto del centro de administración de FirePOWER (FMC)
• La administración del Identity Services Engine (ISE)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Versión 6.3.0 corriente del centro de administración de Cisco FirePOWER (FMC)
• Versión 2.6.0.156 corriente del Cisco Identity Services Engine (ISE)
• Máquina de Windows (Windows que se ejecuta 7) con la Conectividad a FMC, al ISE, y a Internet a actuar como el servidor proxy de la autenticación del dúo
• Máquina de Windows para acceder FMC, el ISE y el portal de la administración del dúo
• Cuenta de la red del dúo

Nota: La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Flujo de la autenticación

Flujo de la autenticación explicado

1. Autenticación primaria iniciada a Cisco FMC
2. Cisco FMC envía un pedido de autenticación al Proxy de autenticación del dúo
3. La autenticación primaria debe utilizar el Active Directory o el RADIUS
4. La conexión del Proxy de autenticación del dúo estableció a la Seguridad del dúo sobre el puerto TCP 443
5. Autenticación secundaria vía el servicio de Seguridad del dúo
6. El Proxy de autenticación del dúo recibe la respuesta de autenticación
7. Se concede el acceso a GUI de Cisco FMC

Configurar

Para completar la configuración tome en la consideración estas secciones:

Pasos para la configuración en FMC

Paso 1. Navegue al sistema > Users > autenticación externa, cree un objeto de la autenticación externa y fije el método de autentificación como RADIUS. Asegúrese que seleccionen al administrador bajo papel de usuario predeterminado tal y como se muestra en de la imagen:

Nota: 10.106.44.177 es la dirección IP de la muestra del servidor proxy de la autenticación del dúo.

Haga clic la salvaguardia y aplique, ignore la advertencia tal y como se muestra en de la imagen:

Paso 2. Navegue al sistema > Users > Users, cree a un usuario, y marque el método de autentificación como externo tal y como se muestra en de la imagen:

     

Paso 1. Descargue y instale el servidor proxy de la autenticación del dúo.

Inicie sesión a la máquina de Windows y instale el servidor proxy de la autenticación del dúo: https://dl.duosecurity.com/duoauthproxy-latest.exe

Se recomienda para utilizar un sistema con por lo menos 1 espacio en disco CPU, del 200 MB, y el RAM 4 GB

Nota: Esta máquina debe tener acceso a FMC, al servidor de RADIUS (ISE en nuestro caso) y a la nube del dúo (Internet)

Paso 2. Configure el archivo authproxy.cfg.

Abra este archivo en un editor de textos tal como Notepad++ o WordPad.

Nota: La ubicación predeterminada se encuentra en C:\Program clasifía (Proxy de autenticación de la Seguridad x86)\Duo \ el conf \ authproxy.cfg

Edite el archivo authproxy.cfg y agregue esta configuración:

[radius_client]
host=10.197.223.23                 Sample IP Address of the ISE server
secret=cisco                       Password configured on the ISE server in order to register the network device 

La dirección IP del FMC se debe configurar junto con la clave secreta RADIUS.

[radius_server_auto]
ikey=xxxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=api-xxxxxxxx.duosecurity.com
radius_ip_1=10.197.223.76           IP of FMC
radius_secret_1=cisco               Radius secret key used on the FMC
failmode=safe
client=radius_client
port=1812
api_timeout=

Asegure para configurar el ikey, el skey, y los parámetros del api_host. Para obtener estos valores, inicie sesión a su cuenta del dúo (https://admin.duosecurity.com) y navega a las aplicaciones > protege una aplicación. Después, aplicación selecta de la autenticación de RADIUS tal y como se muestra en de la imagen:

Clave de integración = ikey

clave secreta = skey

Nombre de host = api_host API

Paso 3. Recomience el servicio del Proxy de autenticación de la Seguridad del dúo. Salve el archivo y recomience el servicio del dúo en la máquina de las ventanas.

Abra la consola de servicio de Windows (services.msc), localice el servicio del Proxy de autenticación de DuoSecurity en la lista de servicios, y haga clic a Restartas mostrado en la imagen:

Pasos para la configuración en el ISE

Paso 1. Navegue a la administración > a los dispositivos de red, tecleo agregan para configurar el dispositivo de red tal y como se muestra en de la imagen:

Nota: 10.106.44.177 es la dirección IP de la muestra del servidor proxy de la autenticación del dúo.

Configure el secreto compartido como se menciona en el authproxy.cfg en los secretas mostrados en la imagen:

Paso 2. Navegue a la administración > a las identidades, tecleo agregan para configurar al usuario de la identidad tal y como se muestra en de la imagen:

Pasos para la configuración en el portal de la administración del dúo

Paso 1. Cree un nombre de usuario y active el móvil del dúo en el dispositivo extremo

Agregue al usuario en la página web de la administración de la nube del dúo. Navegue a los usuarios de los usuarios > Add tal y como se muestra en de la imagen:

   

Nota: Asegúrese que el usuario final haga el app del dúo instalar encendido.

Instalación manual de la aplicación del dúo para los dispositivos IOS

Instalación manual de la aplicación del dúo para los dispositivos androides

Paso 2. Generación automática de código:

Agregue el número de teléfono del usuario tal y como se muestra en de la imagen:

Selecto active el móvil del dúo tal y como se muestra en de la imagen: 

Selecto genere el código de activación móvil del dúo tal y como se muestra en de la imagen: 

Selecto envíe las instrucciones por SMS tal y como se muestra en de la imagen: 

Haga clic el link en SMS, y el app del dúo consigue conectado a la cuenta de usuario en la sección de información del dispositivo, tal y como se muestra en de la imagen:

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Inicie sesión al FMC usando sus credenciales de usuario que fueron agregados en la página de la Identificación del usuario ISE. Usted debe conseguir una notificación del EMPUJE del dúo en su punto final para la autenticación bifactorial (2FA), la aprueba y FMC iniciaría sesión tal y como se muestra en de la imagen: 

En el servidor ISE navegue a las operaciones > al RADIUS > los registros vivos, encuentre el nombre de usuario utilizado para la autenticación en FMC y seleccione el informe de la autenticación del detalle bajo la columna del detalle. En aquí usted debe verificar si la autenticación se tiene éxito tal y como se muestra en de la imagen: 

Troubleshooting

Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración.

• Marque los debugs en el servidor proxy de la autenticación del dúo. Los registros están situados bajo siguiente ubicación:

     C:\Program clasifía (Proxy de autenticación \ registro de la Seguridad x86)\Duo

     Abra el archivo authproxy.log en un editor de textos tal como Notepad++ o WordPad.

Registre el snippets cuando se ingresan las credenciales incorrectas y la autenticación es rechazada por el servidor ISE.

2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto        10.197.223.76 is the IP of the FMC
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Received new request id 4 from ('10.197.223.76', 34524)
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34524), 4): login attempt for username u'cpiplani'
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 199
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] Got response for id 199 from ('10.197.223.23', 1812); code 3         10.197.223.23 is the IP of the ISE Server.
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Primary credentials rejected - No reply message in packet
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Returning response code 3: AccessReject
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Sending response

• En el ISE, navegue a las operaciones > al RADIUS > los registros vivos para verificar los detalles de la autenticación.

Registre el snippets de la autenticación satisfactoria con el ISE y el dúo:

2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Received new request id 5 from ('10.197.223.76', 34095)
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34095), 5): login attempt for username u'cpiplani'
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 137
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] Got response for id 137 from ('10.197.223.23', 1812); code 2                         <<<< At this point we have got successful authentication from ISE Server.
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/preauth
2019-08-04T18:56:16+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Got preauth result for: u'auth'
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] Invalid ip. Ip was None
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/auth
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Duo authentication returned 'allow': 'Success. Logging you in...'
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Returning response code 2: AccessAccept             <<<< At this point, user has hit the approve button and the authentication is successful.
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Sending response
2019-08-04T18:56:30+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>

Información Relacionada

• Autenticación RA VPN usando el dúo
• Soporte Técnico y Documentación - Cisco Systems