Cerrar
InicioAzureAzure AD: reglas de acceso condicional (Ubicación + Azure AD Híbrido)

Azure AD: reglas de acceso condicional (Ubicación + Azure AD Híbrido)

Voy a darle algo de continuidad al Acceso Condicional, algo de lo que ya había publicado un par de artículos (https://www.santiagobuitragoreis.com/azure-mfa-acceso-condicional/ y Azure AD: Acceso Condicional + Teams + Office 365 Apps). Hoy me gustaría comentaros, como podemos utilizar las reglas de acceso condicional para permitir únicamente la conexión a las aplicaciones registradas en Azure desde una ubicación en concreto (filtrado por su IP Pública) y a su vez que las máquinas están registradas en AzureAD Híbrido.

Esto parece y es sencillo, pero ahora, quiero meter el componente de que queremos aplicar la misma medida de seguridad con los usuarios que se conectan desde  fuera de las oficinas utilizando un cliente VPN. Como sabéis, cada cliente VPN tendrá su propia dirección IP Pública (detrás o no de dispositivos que hacen NAT) , por lo que, sería imposible filtrar por IP en un entorno de clientes VPN “tradicional” porque nunca sabríamos desde que IP Pública se están conectando. Este artículo no os va a descubrir nada que no conozcáis, únicamente ver que ajustes se tienen que realizar para conseguir este objetivo.

Antes de nada, como casi siempre, aquí tenemos la topología para el artículo de hoy:

Como se observa en la topología, tenemos dos usuarios los cuales se quieren conectar a Office 365. Uno de ellos quiere conectarse utilizando su conexión a internet (con su IP Pública correspondiente) y las directivas de Acceso Condicional (las comentadas a continuación) lo bloquearán. El segundo usuario, se conecta utilizando una conexión VPN primero y luego se conectará a los servicios de Office 365 utilizando la IP Pública que tenemos asignadas en On-Premises y que la tenemos  definida como ubicación  en la directiva de Acceso Condicional, por lo que le dejará conectarse.

Pues bien, ahora veamos que configuraciones tenemos que llegar a realizar para conseguir el objetivo de que sólo permitir iniciar sesión en Office 365 desde una única IP Pública esté donde esté ubicado el usuario. Para los usuarios que están físicamente en las oficinas, esto es fácil, puesto que estarán detrás de un dispositivo (Firewall y/o Router) que tiene soporte de NAT y con una IP pública. Pues para los clientes VPN, tenemos que deshabilitar split-tunneling, de esta forma los usuarios conectados a la VPN utilizarán la salida a Internet del concentrador VPN  para salir a Internet. Con esto logramos, que todos los clientes VPN muestren como dirección IP Pública cuando utilizan servicios de Internet, la IP del concentrador VPN al cual están conectados. Claramente, esa dirección IP Pública será la que utilizaremos para filtrar las conexiones en Azure desde el Acceso Condicional.

Aquí os pongo sólo un parte de la configuración de un Firewall Fortinet, tenéis que deshabilitar la opción Enable Split Tunneling (entre otras cosas):

Como he puesto, hay que realizar más configuraciones para lograr que los clientes VPN se conecten a la VPN y luego salgan a internet por la oficina central, lo cual además, nos permite:

  • Controlar la navegación del usuario
  • Definir reglas de seguridad de acceso a diferentes reglas
  • Evitar que el usuario utilice conexiones locales (casa, hoteles, etc…), esto siempre suele ser un problema importante
  • Etc..

Como “contra”, es que en función de las líneas de Internet que tengamos en la sede central, podremos llegar a saturar los enlaces de Internet, puesto que todo el tráfico de los clientes VPN pasaría por dicha conexión. Con esto, el primero “escollo” salvado, fácil, no? Pues esto era lo difícil, que todos los usuarios saliesen a Internet por la misma IP Pública.

Una vez salvado lo de la IP Pública, veamos la configuración que tenemos que realizar para permitir que únicamente los usuarios puedan conectarse a las aplicaciones registradas en Azure desde una única IP Pública (opcional MFA, AzureAD Híbrido, etc..). Lo primero, tenemos que configurar  una ubicación en Azure AD, para ello accedemos al Portal de Azure, sección Seguridad:

Ahora pulsamos en Acceso Condicional

Accedemos a Ubicaciones con nombre

Pulsamos en Nueva ubicación

Escribimos el nombre de la ubicación y luego la(s) dirección(es) IP Pública(s) por las que queramos realizar luego los filtros

Ahora bien, antes de empezar con las directivas (si, directivas, necesitamos crear dos directivas), comentaros que para lograr el objetivo, necesitamos crear dos directivas:

  • Bloquear la conexión desde cualquier IP Pública
  • Permitir la conexión definiendo los controles que consideremos oportunas (MFA, Intune, Azure AD Híbrido, etc..)

Pues vamos a ello, desde la parte de SeguridadAcceso CondicionalDirectivas, pulsamos en Nueva Directiva

Podemos filtrar a que esta directiva se aplique a determinados usuarios y/o grupos (recomendado)

A que aplicaciones queremos se aplique, en mi caso a todas las aplicaciones

Y aquí viene la primera de las dos partes importantes a tener en cuenta,  en las condiciones  elegimos Ubicaciones:

  • Incluir: Cualquier ubicación

  • Excluir: elegimos las ubicaciones con nombre que hemos creado anteriormente, donde tenemos las direcciones IP Públicas a las que queremos dejar que los usuarios se puedan conectar

Y por último, en la sección de Conceder, elegimos Bloquear acceso. De esta forma, los usuarios afectados por esta directiva, no se podrán conectar sino lo hacen desde la IP Pública (excluida) permitida para ello.

Ahora debemos crear la siguiente directiva, la que nos permite definir que controles vamos a exigir para que los usuarios y/o grupos (recomendado) para que se puedan conectar. Para esta prueba, únicamente solicito que los usuarios se conecten desde equipos unidos al dominio de AzureAD Híbrido (How To: Plan your hybrid Azure Active Directory join implementation). El resto de opciones son las comunes:

  • Usuarios y grupos: elegir a los usuarios a los cuales quieres aplicar las directivas
  • Aplicaciones: las aplicaciones afectadas

Nota: Ahora tenemos una opción muy interesante, que en vez de establecer a Activado la directiva, la podemos poner en Solo informe, lo cual nos permite que la directiva se aplique pero sólo tenga efecto informativo y no se fuerza su ejecución. Vamos, que simplemente vemos como se comportará la directiva en los usuarios afectados y vemos si se cumplen no, pero no los dejaremos bloqueados ni nada parecido.

Siguiendo con el artículo, podemos “simular” que directivas se aplicarán en función de diferentes condiciones, para ello, pulsamos en What If

La primera simulación es la siguiente:

  • Usuario
  • Dirección IP
  • País

Si ahora pulsamos en What If vemos la directiva que quedaría por cumplir para poder tener acceso, como he puesto la IP Pública “buena” y el usuario también, eso lo cumplimos. Como vemos, si nos conectamos desde la IP Pública “buena” y con un usuario al cual se le aplique la directiva, la regla de bloqueo del resto de IPs Públicas no nos aplica.

Si ahora probamos sólo a escribir el usuario que tendría acceso, nos mostrará las directivas que se tienen que cumplir para que se tenga acceso por parte del usuario en cuestión.

Pues ahora toca probarlo, he creado una máquina virtual unida al dominio (previamente había configurado el Azure AD Híbrido) y estoy con una conexión fuera de las oficinas centrales. Si acceso a www.cualesmiip.com os muestro los dos primeros octetos de la IP Pública

Si ahora mismo pruebo a iniciar sesión en el Portal de Office 365, vemos que no deja acceder, esto es porque nos estamos conectado a Office 365 con una IP Pública no permitida

Recordemos que, para conseguir navegar mediante la IP Pública de las oficinas centrales (o la que hayamos definido), habíamos configurado que los clientes VPN no tengan Split-Tunneling. Una vez recordado esto, lo primero que tenemos que hacer es conectar la VPN y volver a www.cualesmiip.com y ver que dirección IP Pública tenemos ahora. Como podemos apreciar ha cambiado, ahora los dos primeros octetos ya son diferentes a los anteriores antes de conectarnos a la VPN. Esta dirección IP si es la que tenemos como “buena”

Si ahora volvemos a intentar conectarnos al Portal de Office 365, veremos que ya tenemos acceso!!!

Como vemos funciona perfectamente, si te conectas desde una IP no confiable no se permite la conexión y si lo hacemos mediante las IP Públicas permitidas se aplicará la segunda directiva de acceso condicional y nos permitirá el acceso. Con esto, si tenemos 100 usuarios que utilizan clientes VPN para conectarse a las oficinas centrales, ya los tenemos controlados.

Por último, aquí os muestro los inicios de sesión que hemos realizado para este artículo. Se ve claramente cuando nos hemos podido conectar (conectado a la VPN y en la ubicación Madrid, ES) y cuando no (Ubición: A Coruña, ES)

Como vemos hay que hacer algunos ajuste, pero es sencillo. Otra cosa bien diferente será que, tengáis el hardware necesario para realizar los ajustes de los clientes VPN y luego el resto ya es cosa de Azure.

Espero que os sea de utilidad, ahora os toca probarlo a vosotros!!

Microsoft Teams: Can
NO HAY COMENTARIOS

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This