¿Cómo puedo usar mi Duo con una instancia de Microsoft AD administrada por AWS para proporcionar autenticación multifactor a los usuarios finales que se conectan a un punto de conexión de Client VPN?

Descripción breve

Client VPN admite los siguientes tipos de autenticación de usuario final:

• Autenticación mutua
• Autenticación con Active Directory
• Autenticación doble (autenticación mutua y autenticación con Active Directory)

Las versiones más recientes de Duo utilizan las notificaciones push que se envían a los usuarios finales como medio de autenticación de dos factores. Las implementaciones heredadas de Duo requieren que los usuarios finales usen la aplicación móvil Duo para generar un código de autenticación multifactor (MFA). A continuación, use este código con Client VPN.

Debe activar el servicio MFA en Active Directory, pero no directamente en Client VPN.

Nota: Su tipo de Active Directory debe admitir MFA. Tanto las instancias nuevas como existentes de Client VPN admiten la funcionalidad MFA.

Solución

Crear y configurar una instancia de Microsoft AD administrada por AWS

1. Cree un directorio de Microsoft AD administrado por AWS.

2. Una la instancia Windows de Amazon Elastic Compute Cloud (Amazon EC2) al directorio de Microsoft AD administrado por AWS. Esta instancia instala servicios y administra los usuarios y grupos en Active Directory. La instancia debe estar asociada a Active Directory. Tiene que añadir un rol de AWS Identity and Access Management (IAM) con la política «AmazonEC2RoleForSSM» adjunta.

3. Ejecute el siguiente comando para iniciar sesión en la instancia de Amazon EC2.

   Username: Admin@ad_DNS_name
   Password: <Your Admin password>

   **Nota:**Sustituya su contraseña de administrador por la contraseña de administrador que haya creado para Active Directory.

4. En el modo de administrador, utilice PowerShell para instalar los servicios siguientes:

   install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

5. Cree usuarios de Active Directory y grupos de Active Directory y, a continuación, añada estos usuarios a su grupos de Active Directory correspondientes.
   Nota: Estos usuarios de Active Directory son los mismos usuarios finales que se conectarán al punto de conexión de Client VPN.

6. Ejecute el siguiente comando para recuperar el SID de los grupos de Active Directory. Sustituya Your-AD-group-name por el nombre de su grupo de Active Directory.

   Get-ADGroup -Identity <Your-AD-group-name>

Nota: Necesita el SID para autorizar a los usuarios de Active Directory de este grupo cuando configure las reglas de autorización de Client VPN.

Instalar y configurar Duo

1. Regístrese (sitio web de Duo) o inicie sesión en Duo.
2. Instale la aplicación Duo en el dispositivo móvil. Siga las instrucciones para autenticar su cuenta de Duo.
3. En la cuenta web de Duo, seleccione Aplicaciones del panel de navegación de la izquierda.
4. En el campo de búsqueda, escriba RADIUS y seleccione Proteger.
5. En el panel de navegación, elija Usuarios y, a continuación, elija Agregar usuario. En Nombre de usuario, escriba los nombres de los usuarios finales. Los nombres deben coincidir con los nombres de los usuarios de Active Directory. Los nombres también tienen que coincidir con el nombre de usuario con que los usuarios finales autentican su conexión al punto de conexión de Client VPN
6. Seleccione cada usuario individual y, a continuación, añada los números de teléfono. Los usuarios finales reciben los códigos de MFA a través del número que se introduzca aquí.
7. Para cada usuario, elija Activar Duo Mobile y, a continuación, elija Generar código de activación de Duo Mobile. Hay disponibles dos métodos para notificar a los usuarios su enlace de activación. Puede elegir Enviar instrucciones por SMS para enviar el enlace de activación por correo electrónico a cada usuario final. O bien, puede elegir Omitir este paso. A continuación, copie los enlaces de activación para cada usuario final y envíelos a cada usuario manualmente.
8. Inicie una instancia Windows de EC2. Utilice esta instancia para configurar y administrar la aplicación Duo Radius. La instancia tiene que estar asociada a Active Directory. La instancia también tiene que tener el rol IAM correcto y acceso a Internet. Compruebe los grupos de seguridad, la lista de control de acceso a redes y la tabla de enrutamiento de la instancia
9. Inicie sesión en la instancia de EC2 con que se administra la aplicación Duo Radius. A continuación, instale el proxy de autenticación para Windows (sitio web de Duo).
10. Navegue hasta el archivo de configuración "authproxy.cfg" en C:\Archivos de programa (x86)\Duo Security Authentication Proxy\conf\authproxy.cfg.
11. Edite el archivo de configuración. El siguiente es un ejemplo del aspecto que puede tener el archivo:

[duo_only_client]
[radius_server_auto]
ikey=XXX
skey=YYY
api_host=api-ZZZ.duosecurity.com
radius_ip_1=<AD-DNS-address#1>
radius_secret_1=<My-password>
radius_ip_2=<AD-DNS-address#2>
radius_secret_2=<My-password>
failmode=safe
client=duo_only_client
port=1812

Para encontrar los valores de ikey (clave de integración), skey (clave secreta) y api_host (su nombre de host API de Duo), siga estos pasos:

• Inicie sesión en la cuenta web de Duo en el sitio web de Duo.
• Elija Panel, Aplicaciones, Radius.
• Consulte los valores en Detalles.

Para encontrar los valores de radius_ip_1 y radius_ip_2, siga estos pasos:

• Inicie sesión en la Consola de administración de AWS.
• Elija Directory Service y, a continuación, Directorios.
• Seleccione su instancia de Active Directory.
• En Detalles, consulte address_ip#1 y address_ip#2 en la sección Dirección DNS.
  Nota: Si usa AWS AD_connector, entonces address_ip#1 y address_ip#2 son las direcciones IP de AD_connector.

De manera opcional, siga los pasos a continuación:

• Defina su radius_secret_key.
• Cambie el puerto.

Modificar la configuración del grupo de seguridad

1. Inicie sesión en la Consola de administración de AWS.
2. Elija Grupos de seguridad.
3. Seleccione el grupo de seguridad para los controladores de directorio.
4. Edite la regla de salida del grupo de seguridad de Active Directory. Haga que la regla permita UDP 1812 (o el puerto del servicio Radius) para la dirección IP de destino (IP privada) del servidor de Radius. O bien, permita todo el tráfico si su situación lo permite.

Confirme que el servicio de autenticación de Duo esté en ejecución

1. Inicie sesión en la instancia Windows de EC2 para Radius.
2. En Servicios, busque el Servicio proxy de autenticación de Duo Security. Si el servicio no está en estado Ejecución, seleccione Iniciar el servicio.

Activar MFA en su instancia de Microsoft AD administrada por AWS

1. Inicie sesión en la Consola de administración de AWS.
2. Elija Directory Service y, a continuación, Directorios.
3. Seleccione su instancia de Active Directory.
4. En Redes y seguridad, seleccione Autenticación multifactor. A continuación, elija Acciones y, a continuación, seleccione Habilitar.
5. Introduzca la información siguiente:
   En Nombre del DNS o direcciones IP del servidor RADIUS, introduzca la dirección IP privada de la instancia Windows de EC2.
   En Puerto, introduzca el puerto especificado en el archivo «authproxy.cfg».
   En Código secreto compartido, introduzca el valor de radius_secret_key del archivo «authproxy.cfg».
   En Protocolo, elija PAP.
   En Tiempo de espera del servidor, introduzca un valor.
   En Número máximo de reintentos de solicitud RADIUS, introduzca un valor.

Crear el punto de conexión de Client VPN

1. Una vez que se hayan configurado la instancia de Microsoft AD administrada por AWS y MFA, cree el punto de conexión de Client VPN. Utilice la instancia de Active Directory para la que se activó MFA.
2. Descargue el nuevo archivo de configuración del cliente y distribúyalo entre los usuarios finales.
   Nota: Puede descargar el archivo de configuración del cliente desde la Consola de administración de AWS, la interfaz de línea de comandos de AWS (AWS CLI) o el comando de la API.
3. Confirme que el archivo de configuración del cliente incluya los parámetros siguientes:

auth-user-pass
static-challenge "Enter MFA code " 1

**Nota:**Si utiliza la autenticación doble (por ejemplo, autenticación mutua + Active Directory), añada el cliente <cert> y <key> al archivo de configuración.

Configurar los dispositivos de los usuarios finales

1. En el dispositivo del usuario final, siga el enlace de activación para instalar la aplicación Duo en el dispositivo móvil.
2. Instale la herramienta Client VPN for Desktop.
   Nota: También puede utilizar cualquier herramienta de cliente estándar basada en OpenVPN para conectarse al punto de conexión de Client VPN.
3. Utilice el archivo de configuración del cliente para crear un perfil.
4. Conéctese al punto de conexión de Client VPN que sea correcto para la versión de Duo:

Versiones heredadas de Duo
Introduzca sus credenciales de usuario de Active Directory. A continuación, introduzca en Client VPN el código de MFA que genera la aplicación Duo. Duo valida este código de MFA.
Nota: Según la versión de Client VPN y el sistema operativo que utilice, este campo puede ser Respuesta, en lugar de Introducir el código de MFA.

Versiones modernas de Duo
Introduzca sus credenciales de usuario de Active Directory. Duo no tiene en cuenta el campo MFA de Client VPN para la autenticación del segundo factor. En este caso, Duo se basa en una notificación push móvil como segundo factor de autenticación. 
Nota: Rellene el campo MFA de Client VPN con caracteres aleatorios. Esto evita que la autenticación falle por tener un campo en blanco.