En este artículo, abordamos un problema común en ambientes fuera de línea que afecta la autenticación de usuarios mediante FortiToken. Es esencial contar con un sistema que mantenga la generación de códigos de manera segura, incluso sin conexión a internet. Aquí, explicaremos cómo utilizar FortiToken en estos escenarios y las mejores prácticas a seguir para garantizar la seguridad en el acceso remoto.
Descripción del problema
La dificultad principal radica en asegurar la autenticación de dos factores en entornos donde la conexión a internet no está disponible. Esto plantea riesgos de seguridad si no se mantiene la validez de los códigos generados por FortiToken, que son esenciales para el acceso seguro a los sistemas de FortiGate y FortiAuthenticator.
Alcance
Este artículo aplica a dispositivos que operan bajo FortiOS, que es la plataforma de sistema operativo para los dispositivos de seguridad de Fortinet.
Diagnóstico paso a paso
Los FortiTokens (exceptuando el modelo FortiToken-200CD) sincronizan automáticamente sus archivos semilla de cifrado con el FortiGate o FortiAuthenticator asignado. Esto asegura que la generación de códigos de tokens se mantenga segura y continua.
En contraste, los modelos FortiToken-200CD incluyen un CD de activación que contiene los archivos semilla del token, que se instalan en el FortiGate o FortiAuthenticator. Este método facilita la importación de múltiples FortiTokens simultáneamente.
Los tokens de la serie FortiToken-211 presentan una diferencia, ya que los archivos semilla no son almacenados por Fortinet, sino que se proporcionan en un CD que se incluye con los tokens de hardware. Para transferir estos tokens a una nueva unidad, es necesario usar el CD que contiene los archivos semilla.
Cuando no hay conexión a internet, los dispositivos FortiGate y FortiAuthenticator pueden autenticar usuarios localmente, utilizando las semillas de cifrado almacenadas para validar los códigos de token generados. Este almacenamiento local de semillas de cifrado permite que las unidades FortiGate y FortiAuthenticator mantengan su capacidad de autenticación de dos factores incluso durante interrupciones de red, garantizando así un acceso seguro ininterrumpido.
Solución recomendada
La mejor práctica es asegurar que los archivos semilla del token estén protegidos, sobre todo para modelos como FortiToken-211 y FortiToken-200CD. El acceso no autorizado a estos archivos podría comprometer la seguridad del sistema de autenticación de dos factores. Es fundamental almacenar CDs y archivos semilla en un lugar seguro y restringir el acceso únicamente al personal autorizado.
Comandos CLI utilizados
Los siguientes comandos CLI pueden ser útiles durante la configuración y diagnóstico:
config user local
edit
set two-factor enable
next
end Este comando habilita la autenticación de dos factores para un usuario específico.
Buenas prácticas y recomendaciones
1. Asegúrese de mantener copias de seguridad de las configuraciones y archivos semilla.
2. Realice auditorías periódicas de seguridad para detectar accesos no autorizados.
3. Proporcione capacitación a los usuarios sobre la importancia de mantener la confidencialidad de los códigos de token.
Notas adicionales
- FortiToken Mobile requiere conexión a FortiGuard para ejecutar tareas de gestión, como asignar tokens a usuarios o realizar cambios en la configuración. Una vez que un token ha sido asignado, funcionará incluso si el dispositivo FortiGate o FortiAuthenticator pierde el acceso a internet. En cambio, los dispositivos FortiToken-200 pueden ser asignados a usuarios sin necesidad de acceso a internet, lo que permite una gestión de usuarios fuera de línea. Esta flexibilidad asegura que la autenticación basada en tokens pueda seguir operativa incluso en entornos donde el acceso a internet no está disponible.
- Es crucial proteger los archivos semilla del token, especialmente para modelos como FortiToken-211 y FortiToken-200CD. El acceso no autorizado a estos archivos podría comprometer la seguridad del sistema de autenticación de dos factores. Siempre almacene CDs y archivos semilla en un lugar seguro y limite el acceso solo al personal autorizado.
Para consultas adicionales, es recomendable abrir un ticket con el Equipo de Soporte al Cliente para su revisión y verificación.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!