De acuerdo

Segunda parte sobre la teoría de los mecanismos de la tecnología SSL VPN

Última respuesta oct. 05, 2021 13:18:35 419 1 0 0 1

4 Autenticación de identidad de usuario

Para garantizar la legitimidad de los usuarios remotos de SSL VPN y para mejorar la seguridad del sistema, el servidor SSL VPN normalmente admite varios métodos de autenticación. Anteriormente, usamos la configuración y el almacenamiento de un nombre de usuario/contraseña en el firewall como ejemplo. Este es el método de autenticación más básico y simple. Los firewalls de Huawei son compatibles con los siguientes métodos de autenticación:

·         Autenticación local del nombre de usuario/contraseña: se refiere a la configuración y almacenamiento de un nombre de usuario/contraseña en el firewall. El usuario puede iniciar sesión correctamente simplemente ingresando el nombre de usuario/contraseña correspondiente.

·         Autenticación del servidor del nombre de usuario/contraseña: se refiere al almacenamiento del nombre de usuario/contraseña en un servidor especial de autenticación de terceros. Una vez que el usuario ingresa el nombre de usuario/contraseña, el firewall lo reenvía al servidor de autenticación para su autenticación. Los tipos de servidores de autenticación actualmente admitidos incluyen RADIUS, HWTACACS, SecurID, AD y LDAP.

·         Autenticación de certificado anónimo: se refiere al cliente del usuario que configura un certificado de cliente. El firewall verifica el certificado del cliente para autenticar la identidad del usuario.

·         Autenticación de certificado de desafío: se refiere al servidor que usa autenticación de dos factores (nombre de usuario/contraseña + certificado de cliente) para autenticar la identidad de un usuario. Este tipo de método es claramente el más seguro.

● Si solo se usa la autenticación de certificado de cliente, es imposible garantizar la seguridad si el cliente se pierde o se usa ilegalmente;

● Si solo se usa el nombre/contraseña del cliente para la autenticación, si se usa un cliente diferente, el cliente puede presentar un riesgo de seguridad.


El método de autenticación de dos factores garantiza que un usuario designado use un cliente designado para iniciar sesión en el servidor VPN SSL, por lo que accede legítimamente a los recursos de la red interna.


La autenticación local y la autenticación del nombre de usuario/contraseña del servidor de terceros son los métodos de autenticación de usuario más comunes, y no se describirán más aquí. A continuación, voy a introducir la autenticación de certificado.


La autenticación de certificados de desafío tiene una autenticación más del nombre de usuario/contraseña que la autenticación de certificados anónimos, pero los principios siguen siendo los mismos y, por lo tanto, pueden describirse juntos.


El firewall (el servidor VPN SSL) utiliza la verificación del certificado del cliente para autenticar la identidad del usuario. El proceso se muestra en la Figura 1-4.


Figura 1-4 Proceso de autenticación del certificado


035533aguns0sem381upp3.png


El firewall autentica la identidad del usuario a través de la verificación del certificado del cliente. El proceso es el siguiente:

1. El usuario y el firewall importan respectivamente un certificado de cliente (usuario) y un certificado de CA del cliente (firewall) emitidos por la misma autoridad de CA.

2. El usuario (cliente) envía su propio certificado al firewall, y el firewall realiza la autenticación de este certificado. La autenticación será exitosa si se cumplen las siguientes condiciones.

● El certificado del cliente y el certificado de la CA del cliente importados al firewall han sido emitidos por la misma CA.

● El certificado de cliente está dentro de su período de validez.

● El campo de filtrado de usuarios en el certificado del cliente es el nombre de usuario que ya se ha configurado y almacenado en el firewall. Por ejemplo, si el campo de filtrado de usuarios del certificado del cliente lee CN = user000019, y el nombre de usuario correspondiente user000019 ya se ha configurado en el firewall, esto demuestra que este es el certificado de cliente emitido para user000019.

3. Después de que el usuario pase la autenticación de identidad del firewall, el usuario iniciará sesión exitosamente en la interfaz de recursos y podrá acceder a los recursos designados de la red interna.


Arriba, yo, el Dr. WoW, ya he mostrado una captura de paquetes de la etapa de intercambio de SSL al usar el nombre de usuario/contraseña para iniciar sesión en la puerta de enlace virtual del firewall, y a continuación cambiaremos el método de autenticación a certificado anónimo para llevar a cabo un vistazo a cómo el servidor autentica un certificado de cliente durante la transferencia de datos cifrados.


En la interfaz de la puerta de enlace virtual del servidor de seguridad, y después de la configuración del certificado que el cliente necesita utilizar, la información de captura de paquetes es la que se muestra a continuación. Es imposible discernir qué paquete es este de la información, por lo que importamos la clave privada del servidor de seguridad (el servidor SSL) y usamos la herramienta de captura de paquetes para decodificar el paquete capturado.


035547a6pxz9o760rmxe0v.png


Para comparar brevemente las columnas de la izquierda y la derecha, podemos ver que en el número 895, el primer mensaje que aparece como 'Encrypted Handshake Message' es en realidad una Solicitud de saludo enviada desde el Servidor 10.174.64.61 al Cliente 10.108.84.93. El cliente responde, luego de lo cual el servidor envía un servidor Hola. Después de este mensaje, el servidor envía una solicitud para autenticar el certificado del cliente al cliente. A partir de la captura de paquetes, parece que esta negociación no tuvo éxito por algún motivo, y la negociación entre el cliente y el servidor continuará.


A partir del número 1045, el servidor vuelve a descubrir una solicitud de saludo y luego continúa con las operaciones. En el número 1085, el servidor solicita que el cliente proporcione un certificado. En el No. 1088, el cliente envía su certificado al servidor, y en el No. 1097 el servidor autentica el certificado del cliente, con la captura de paquetes que muestra que el certificado es ilegítimo y no puede pasar la autenticación. Aunque la autenticación no fue exitosa, la información mencionada refleja de hecho todo el proceso de autenticación del servidor del certificado del cliente; por favor compare los lados izquierdo y derecho para ayudar a su comprensión.


Anteriormente, he terminado mi introducción completa del proceso de establecer una conexión entre un usuario remoto y el servidor VPN SSL e iniciar sesión correctamente en el servidor VPN SSL. En las siguientes secciones, usaré la familia de firewalls USG6000 como ejemplo, y presentaré primero el acceso a los archivos y el acceso a la web (de correos electrónicos, etc.; el acceso a los archivos y el acceso a la web son usos muy comunes en un escenario de oficina), y luego introduzca el reenvío de puertos y la extensión de la red, organizando nuestra discusión desde una granularidad de control de acceso más refinada hasta una granularidad de control de acceso más basta.


NOTA:

Estamos utilizando la familia de firewalls USG6000 en nuestra introducción porque, en comparación con la serie de firewalls USG2000/5000, la funcionalidad SSL VPN en el USG6000 tiene un método de autenticación de usuario mejorado, utilizando el método de autenticación universal provisto por el Firewall (esto fue presentado en "8.1.4 autenticación de identidad del usuario) para hacer que la lógica de configuración y el proceso sean más claros y fáciles de entender. A continuación, cambiaremos nuestro enfoque a la configuración operativa VPN SSL, la autorización de recursos y el control de acceso para introducir la funcionalidad VPN SSL, y no lo haremos. Dar una introducción más detallada sobre la autenticación del usuario.


Te invito a visitar el siguiente enlace en donde encontraras la primera parte de esta publicación:


Conoce los mecanismos SSL VPN - primera parte


Saludos.


FIN

 

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei

  • x
  • convención:

Gustavo.HdezF
Admin Publicado 2021-10-5 13:18:35

 

También te puede interesar:

Conoce como operar y mantener la solución NIP6000 de Huawei

Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei

Una introducción a las zonas de seguridad en un firewall de Huawei

 

 

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

                                                                    

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

 

Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.