Procedimiento VPN CAF: Conexión con Doble Factor Autenticación

Código
Versión
<XXXXX>
<XX.YY>
Procedimiento de Conexión a la VPN
con Doble Factor de Autenticación
Departamento IT
Elaborado
Revisado
Jorge Ruiz de Garibay
Asier Santesteban
Aprobado
Cargo/Rol
Cargo/Rol
Cargo/Rol
Fecha
Fecha
Fecha
La versión oficial y actualizada de este documento se encuentra en el servidor de CAF Power & Automation en formato
electrónico; cualquier copia impresa es una Copia NO CONTROLADA
© CAF Power & Automation, S.L.U.
Este documento contiene información de carácter confidencial propiedad de CAF Power & Automation, S.L.U., por lo que no puede ser utilizado para otros propósitos a
los acordados previamente. La reproducción, transmisión o uso por terceras personas de este documento o de parte de su contenido no está permitido sin expresa
autorización escrita de CAF Power & Automation, S.L.U
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
Contenido
1.
Instalación del Cliente VPN GlobalProtect ......................................................................................................... 3
2.
Doble Factor de Autenticación........................................................................................................................... 6
2.1.
3.
Registro en un Servidor Autenticador ........................................................................................................ 6
2.1.1.
Método por Correo Electrónico ......................................................................................................... 8
2.1.2.
Por Aplicación de Autenticador ....................................................................................................... 12
Configuración y Conexión de la VPN ................................................................................................................ 22
SGC0004 v14
Página 2 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
1. Instalación del Cliente VPN GlobalProtect
a. Abrimos
un
navegador
WEB
y
accedemos
a
la
siguiente
url:
https://vpn.cafpower.com. Se nos solicitará un usuario y una contraseña.
Debemos introducir nuestras credenciales de dominio (código de chapa y
contraseña del TIM), o en el caso de que el usuario sea local, las facilitadas
por el departamento de IT.
b. Una vez que hayamos iniciado la sesión, descargaríamos el paquete para
“Windows 64 bit GlobalProtect agent”.
SGC0004 v14
Página 3 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
c. Ejecutar el instalador recién descargado.
d. Le daríamos a “Next” para seguir la instalación.
SGC0004 v14
Página 4 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
e. Por defecto, la ruta donde se va a instalar la aplicación es “C:\Program
Files\Palo Alto Networks\GlobalProtect\”. Lo dejamos así y le damos a
“Next” para comenzar la instalación.
SGC0004 v14
Página 5 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
2. Doble Factor de Autenticación
Este elemento nos permite añadir una capa extra de seguridad.
2.1.
Registro en un Servidor Autenticador
a. Abrimos un navegador WEB y accedemos a la url: https://vpn.cafpower.com y
hacemos login con nuestras credenciales (código de chapa y contraseña).
SGC0004 v14
Página 6 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
b. Nada más acceder, nos aparecerá una página informativa donde se nos
explicará brevemente en qué consiste el doble factor de autenticación.
Le daríamos a “Empezar a trabajar” para comenzar con el registro.
c. Se nos abrirá una ventana donde podremos configurar tanto el método
de “Correo electrónico” como a través de “Aplicación de autenticador”.
SGC0004 v14
Página 7 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
2.1.1.
Método por Correo Electrónico
a. Regresaríamos a la página web desde donde estábamos realizando el registro
(https://caf.verify.ibm.com/usc/settings/security) y en la parte “Correo electrónico”
clickaríamos sobre “Nuevo correo electrónico”.
b. Escribir la dirección de correo en la que deseamos recibir la segunda clave de
autenticación. Si cabe la posibilidad, recomendaríamos que la dirección de correo elegida
no fuera la misma con la que tenemos asociada el código de chapa dado que si un hacker
se hiciera con nuestra contraseña del dominio, también podría tener acceso al correo
corporativo. Una vez introducida nuestra dirección de correo le daríamos a la opción
“Enviar código de acceso”.
SGC0004 v14
Página 8 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
c. Aparecerá el comienzo de un código. Para verificar que la cuenta de correo es la correcta
deberemos completar el código con la clave recibida en el buzón de correo indicado
anteriormente.
SGC0004 v14
Página 9 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
d. En nuestro buzón de correo habremos recibido algo parecido a lo siguiente. Si no se ha
recibido nada, revisar la bandeja de correo no deseado por si acaso. Desde la recepción
del correo, tendríamos diez minutos como máximo para verificar la acción anterior en la
pantalla anterior. Nos copiaríamos el código del correo recibido, en este caso “297421”.
e. En la página WEB donde estamos añadiendo el método de correo para la autenticación,
deberemos pegar en el campo “Código de acceso” la clave anteriormente citada. En este
caso “297421”. Luego le daríamos a la opción “Verificar”.
SGC0004 v14
Página 10 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
f.
SGC0004 v14
Nos aparecerá un mensaje donde se nos informará que el método de doble autenticación
por correo ha resultado satisfactorio. Le daríamos a la opción “Listo” para cerrar la
ventana.
Página 11 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
2.1.2.
Por Aplicación de Autenticador
a. Seleccionamos el método “Aplicación de autenticador”.
b. Nos aparecerá la siguiente pantalla.
SGC0004 v14
Página 12 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
c. Nos aparecerá otra ventana donde se nos explicará los pasos a seguir en nuestros
dispositivos móvil en el que vayamos a configurar el método. Nos pasamos al móvil y no
le damos a ninguna opción de la pantalla.
d. Desde nuestro dispositivo móvil, nos instalaríamos en nuestro Smartphone alguna de
estas APP´s de la manera tradicional. Si lo que tenemos es un iPhone lo realizaríamos
desde el APP Store y si lo que tenemos es un Android, desde el Play Store.
SGC0004 v14
Página 13 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
e. Una vez instalada la aplicación en el Smartphone, regresaríamos a la página web desde
donde estábamos realizando el registro y le daríamos a la opción “Siguiente: Conecte el
autenticador”.
f.
SGC0004 v14
Aparecerá una ventana en la pantalla con un código QR que deberemos escanear con el
móvil.
Página 14 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
g. Desde nuestro móvil abriremos la aplicación que hayamos elegido para realizar la
autenticación.
CON GOOGLE AUTENTICATOR
Le daríamos a “Comenzar”
SGC0004 v14
Página 15 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
Le daríamos a “Escanear un código QR”
Escaneamos desde el móvil el código QR de la pantalla del ordenador.
SGC0004 v14
Página 16 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
Se nos generará un código que caducará en pocos segundos.
Veremos además, que el código lo genera el servidor “Autenticadores CAF Verify”
Cuando concluya ese tiempo se generará un código nuevo.
SGC0004 v14
Página 17 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
CON MICROSOFT AUTENTICATOR
Le daríamos a “Agregar cuenta”
Le daríamos a “Cuenta profesional o educativa”
SGC0004 v14
Página 18 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
Le daríamos a “Escanear código QR”
Escaneamos desde el móvil el código QR de la pantalla del ordenador.
SGC0004 v14
Página 19 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
Se nos generará un código que caducará en pocos segundos.
Cuando concluya ese tiempo se generará un código nuevo.
h. En la página WEB del ordenador nos aparecerá un mensaje donde se nos solicitará la vlave
generada en el móvil (la que caduca y se regenera en pocos segundos) para terminar de
realizar el registro del método.
SGC0004 v14
Página 20 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
i.
SGC0004 v14
En ese momento, ya tendríamos configurado en nuestra cuenta el método “Aplicación
de autenticador”. Le daríamos a “Listo” para cerrar la ventana.
Página 21 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
3. Configuración y Conexión de la VPN
a. Después de finalizar la instalación del cliente de VPN GlobalProtect (punto 1) y
de haber configurado nuestros métodos de doble autenticación (punto 2),
abrimos en nuestro equipo la aplicación del GlobalProtect. Si es la primera vez
que lo utilizamos, nos pediría que ingresemos la “dirección del portal” a la
que nos queremos conectar. Si ya hemos utilizado con anterioridad la
aplicación, no nos lo volverá a pedir.
b. Introduciríamos la dirección “vpn.cafpower.com” y le daríamos a “Conectar”.
SGC0004 v14
Página 22 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
c. Una vez validado el portal el sistema pedirá credenciales de usuario. Introduciríamos el
usuario y la contraseña y le daríamos a “Iniciar sesión”.
d. Introducimos credenciales.
e. Se nos abrirá una ventana del Navegador WEB. La primera vez se nos solicitará si
queremos “Permitir contenido bloqueado”. Clickamos sobre la opción.
SGC0004 v14
Página 23 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
f.
Se nos abrirá una pantalla donde le tendremos que indicar nuestras credenciales.
g. El navegador WEB nos preguntará si deseamos guardar la contraseña del primer login.
Desde IT se recomienda contestar “No para este sitio”. En la misma página nos dará la
opción de realizar la segunda autentificación con el método o métodos creados en el
punto 2 de este documento. Bien con la “Aplicación de autenticador”, bien con el
“Correo electrónico”.
SGC0004 v14
Página 24 de 25
Procedimiento de Conexión a la VPN con Doble
Factor de Autenticación
Código
Versión
<XXXXX>
<XX.YY>
Departamento IT
h. Elijamos uno u otro método, si es la primera vez que realizamos la conexión es posible
que nos aparezcan ventanas del navegador WEB de este tipo. Si no queremos que nos
vuelva a preguntar la próxima vez, deberíamos desclickar la opción “Preguntar siempre
antes de abrir este tipo de dirección”, y después le daríamos a “Permitir”.
SGC0004 v14
i.
En el navegador nos aparecerá que hemos iniciado sesión correctamente.
j.
Si abriésemos la aplicación de GlobalProtect nos aparecería que estamos conectados.
Página 25 de 25