FAQ VPN ARU (VPN con cliente Pulse Secure/Ivanti Secure Access Client y doble factor de autenticación)
Recordamos que para fichar en teletrabajo, NO se necesita conexión VPN. Acceda a la URL directamente (puede teclearla a mano en el navegador, o mejor, tenerla en un marcador/favorito y hacer clic en ella para acceder).
LISTA DE PREGUNTAS Y RESPUESTAS:
Alta y configuración inicial:
1) ¿Qué significa ARU?
2) ¿Qué necesito para poder utilizar la VPN ARU?
3) Aspectos importantes a tener en cuenta en el proceso de alta de cuenta para utilizar el doble factor de autenticación
4) ¿Qué autenticador (generador de códigos TOTP para el 2º factor) debo utilizar?
5) ¿Desde dónde puedo descargar el cliente VPN?
Cuestiones sobre el 2º factor de autenticación (2FA), cambio o pérdida de móvil, etc.:
6) ¿Puedo tener configurados autenticadores en varios dispositivos móviles a la vez, por ejemplo uno en el móvil y otro en la tablet?
7) ¿Qué pasa si cambio de dispositivo o lo restablezco a ajustes de fábrica? ¿Y si lo pierdo o me lo han robado?
8) ¿Cómo exporto las cuentas desde Google Authenticator?
9) ¿Cómo exporto las cuentas desde Microsoft Authenticator?
Problemas (cuenta bloqueada -Error 1333-, "La seguridad de su PC no es satisfactoria", etc.):
10) Pulse Secure me dice que se me ha bloqueado la cuenta (Error:1333). No puedo conectar por VPN. ¿Qué hago?
11) ¿Cuándo y por qué se bloquea la cuenta 2FA?
12) Me aparece el mensaje "La seguridad de su PC no es satisfactoria" y no puedo conectar por VPN. Sistemas operativos y antivirus permitidos.
Aspectos avanzados (códigos de copia de seguridad, ver mi última conexión VPN, etc.):
13) ¿Qué pasa si al conectar por VPN no tengo a mano mi móvil? ¿Para qué sirven los códigos OTP de un solo uso/copia de seguridad que se me dieron al darme de alta?
14) He gastado los 10 códigos OTP (tokens) para el 2º factor de autenticación, ¿me pueden dar más?
15) ¿Puedo saber cuándo fue mi última conexión VPN con ARU y desde qué IP pública?
1) ¿Qué significa ARU?
ARU es el acrónimo de Acceso Remoto Unificado, una VPN con doble factor de autenticación (2FA).
El cliente VPN que utiliza es Pulse Secure, que en últimas versiones pasa a llamarse Ivanti Secure Access Client por adquisición por parte de Ivanti.
Actualmente se ofrece para empleados públicos de JCCM.
2) ¿Qué necesito para poder utilizar la VPN ARU?
En primer lugar, sus informáticos de CAU deben habilitarle "ELMO" (Entorno Laboral de MOvilidad), que es como llamamos a la VPN para empleados públicos de JCCM.
Hay diferentes tipos de perfiles. El personal TIC que realiza tareas de desarrollo, sistemas, etc. puede requerir un perfil específico para acceder a recursos necesarios para el desempeño de su trabajo desde casa u otra ubicación fuera de la red corporativa.
También se necesita el cliente VPN Pulse Secure / Ivanti Secure Access Client; y una aplicación para generar los códigos del 2º factor de autenticación, que se instala en un dispositivo móvil.
3) Aspectos importantes a tener en cuenta en el proceso de alta de cuenta para utilizar el doble factor de autenticación:
Aunque es un proceso sencillo, si lo necesita, sus informáticos de CAU (Centro de Atención a Usuarios) le pueden facilitar un manual con las instrucciones detalladas paso a paso para darse de alta en ARU, e incluso le puede ayudar en el proceso.
La primera vez (o también si nos han eliminado/reseteado la cuenta de ARU) debe acceder a https://vpn.castillalamancha.es/ siguiendo las instrucciones del manual para configurar el autenticador para el 2º factor en el móvil.
Tenga en cuenta que si no tenía acceso VPN y se lo acaban de habilitar sus informáticos, la página anterior no le permitirá logarse hasta generalmente pasadas unas horas. Es algo normal aunque introduzca las credenciales correctas, pues también se chequea que el usuario tenga ELMO habilitado, y esto es algo que tarda un tiempo variable en replicarse en los servidores. En todo caso, a la mañana siguiente ya debe poder acceder para continuar con el alta.
Es muy recomendable que al darse de alta guarde la página con el código QR (puede imprimirla como PDF pulsando "Control+P" y eligiendo "Guardar como PDF" o algo similar; también puede imprimirla en papel) y la almacene en un lugar seguro, ya que le servirá en un futuro para dar de alta un autenticador en otro dispositivo móvil, o incluso en el mismo si lo restablece a ajustes de fábrica o desinstala la aplicación sin haber hecho antes una copia de seguridad/exportación.
La página también nos muestra un código alfanumérico o clave, que va embebida en el código QR, que también podemos utilizar para configurar el autenticador en el móvil y que podemos almacenar en lugar del (o además del) código QR.
Tanto el código QR como la clave de texto alternativa deben mantenerse en secreto, pues es la que permite generar los códigos TOTP de doble factor para su usuario.
Finalmente, esta página de alta también incluye 10 códigos de copia de seguridad (OTP = One-Time Password), de un solo uso, que tal y como indica sirven para autenticarse con Pulse Secure alguna vez que no tenga el móvil a mano. Se utiliza uno por vez, y una vez utilizados no pueden volver a usarse.
Más adelante se explica cómo podemos generar más códigos OTP para nuestra cuenta.
Importante: La cuenta no se activa totalmente hasta que se nos pide e introducimos en la web https://vpn.castillalamancha.es el primer código OTP (token) una vez configurada la app de autenticación de 2º factor en el móvil. Si la cuenta no está activada, no podremos conectar con Pulse Secure:
Tras esto, se inicia un proceso de instalación automatizada del cliente VPN (Pulse Secure o Ivanti Secure Access Client) que, en ciertos casos, dependiendo de la configuración del navegador y del PC, y de lo que se responda a las solicitudes de permisos, podría quedarse atascada o fallar. En cualquier caso, esta parte final de instalación del cliente VPN puede sustituirse por realizar una instalación manual del mismo, que se puede bajar de https://ficheroscomunes.castillalamancha.es/comunicaciones/clientes_vpn/ARU%20Pulse%20Secure/
En los PCs corporativos el cliente VPN ya debería estar instalado.
4) ¿Qué autenticador (generador de códigos TOTP para el 2º factor) debo utilizar?
Hemos verificado que funcionan correctamente con ARU los siguientes generadores de códigos TOTP (Time-based One-Time Password) de uso más habitual: Google Authenticator y Microsoft Authenticator. Por seguridad, se deben descargar de las tiendas oficiales: Google Play Store o Apple Store.
Si decidimos utilizar Microsoft Authenticator, al agregar la cuenta elegir el tipo "Otra cuenta". Si no queremos escanear el código QR, o disponemos en su lugar de la clave alfanumérica, pulsar en "Enter code manually".
Pero hay otros muchos generadores de códigos TOTP que deben funcionar sin problema, aunque aconsejamos evitar los que no inspiren confianza (pocas descargas, solicita permisos excesivos,...), y nunca descargarlos desde orígenes no fiables. Hay apps de pago o que incluyen compras integradas que no por ello tienen que ser sospechosas, pero no es necesario en absoluto decantarse por una aplicación de pago.
Algunos autenticadores de software libre para Android (y también de código abierto) que hemos comprobado que funcionan bien y, además, se pueden descargar tanto desde la tienda oficial de Google como desde F-Droid (para móviles Huawei sin Play Store, por ejemplo) son:
- Aegis Authenticator (de Beem Development)
- FreeOTP (de Red Hat; también disponible para iOS en Apple Store)
- FreeOTP+ (de Liberty/Haowen Ning; basado en el anterior, con más funcionalidades)
No se necesita acceso a Internet en el dispositivo móvil para generar los códigos, pues solamente están basados en la clave personal que contiene el código QR y en la fecha y hora actuales (de ahí que sea muy importante que la fecha y hora del móvil sean correctos).
5) ¿Desde dónde puedo descargar el cliente VPN?
Utilice siempre la versión de Pulse Secure / Ivanti Secure Access Client que ofrecemos aquí. Se actualizará regularmente:
https://ficheroscomunes.castillalamancha.es/comunicaciones/clientes_vpn/ARU%20Pulse%20Secure/
Se ofrecen versiones para Windows 64 bits, MAC y Linux (deb, rpm).
Para dispositivos móviles, la aplicación oficial es: Ivanti Secure Access Client (descargar siempre de la tienda oficial de Android/Apple).
Si experimenta problemas con la aplicación móvil, habilite desde el menú el modo de interfaz clásico.
6) ¿Puedo tener configurados autenticadores en varios dispositivos móviles a la vez, por ejemplo uno en el móvil y otro en la tablet?
Sí. Solo tiene que instalar la aplicación para generar los códigos del 2º factor de autenticación en todos ellos y dar de alta en ella la cuenta, escaneando el código QR (o introduzca, si lo prefiere y la guardó, la clave alfanumérica embebida en el QR) que obtuvo al darse de alta en https://vpn.castillalamancha.es. Podrá comprobar que generan exactamente los mismos códigos cada 30 segundos.
También puede utilizar las opciones de importación/exportación que permita la aplicación de autenticador. Algunas permiten exportar a/importar desde distintos formatos, otras solo al suyo propio,...
7) ¿Qué pasa si cambio de dispositivo o lo restablezco a ajustes de fábrica? ¿Y si lo pierdo o me lo han robado?
Si no es por pérdida o robo del dispositivo móvil en el que tenía el autenticador, y guardó el código QR (o la clave que va embebida en el mismo), ningún problema. Instale el autenticador y:
- Añada la cuenta utilizando el código QR o la clave alfanumérica.
- O, si previamente había realizado con el autenticador una exportación de cuenta, impórtela en la misma aplicación.
Pero si ha perdido su dispositivo o se lo han robado, por seguridad solicite por SIGUE al Servicio de Comunicaciones que le eliminen su cuenta de 2º factor de autenticación y una vez se lo indiquen, vuelva a darse de alta nuevamente siguiendo el procedimiento de alta inicial.
Si no guardó los datos del alta de la cuenta (QR o código alfanumérico alternativo): debe contactar con el Servicio de Comunicaciones, abriendo un SIGUE, para que elimine su cuenta de 2º factor (no confundir con su usuario corporativo de dominio o de LDAP). Una vez lo hayan realizado, puede volver a realizar el proceso de alta en https://vpn.castillalamancha.es/, igual que hizo la primera vez.
En este caso, tenga en cuenta que cualquier cuenta de autenticador de doble factor que tuviera configurado para su usuario deja de ser válido, por lo que aconsejamos eliminarla para evitar confusiones y bloqueos de cuenta.
8) ¿Cómo exporto las cuentas desde Google Authenticator?
Pulse en el botón de menú (3 puntos en vertical en la parte superior derecha de la aplicación, o 3 barras en la parte superior izquierda, según versión de sistema operativo y de la aplicación) y elija "Transferir cuentas".
Permite tanto exportar (generando un código QR), como importar.
Tenga cuidado, las copias de seguridad deben almacenarse en un lugar seguro. Si mantiene los datos del alta de la cuenta de doble factor en https://vpn.castillalamancha.es no sería necesario exportar esa cuenta.
Nota: Desde mediados de 2023, Google Authenticator permite almacenar una copia de las cuentas en la cuenta de Google. Aparece un icono de una nube verde en la parte superior derecha de la aplicación cuando está configurado. Si no encuentra esta funcionalidad y desea utilizarla, trate de actualizar la aplicación si la tienda de aplicaciones de su móvil se lo permite.
9) ¿Cómo exporto las cuentas desde Microsoft Authenticator?
Pulse en el botón de menú (3 puntos en vertical, en la parte superior derecha de la aplicación) y elija "Configuración".
Esta aplicación permite dos opciones:
- Exportar id. comprobados / Importar id. comprobados.
- Almacenar una "copia de seguridad" en la nube si disponemos de una cuenta de Microsoft (Hotmail, Outlook,...).
Tenga cuidado, las copias de seguridad deben almacenarse en un lugar seguro. Si mantiene los datos del alta de la cuenta de doble factor en https://vpn.castillalamancha.es no sería necesario exportar esa cuenta.
10) Pulse Secure me dice que se me ha bloqueado la cuenta (Error:1333). No puedo conectar por VPN. ¿Qué hago?
Si obtiene el mensaje anterior en el cliente VPN, su cuenta de 2º factor de autenticación (2FA) de ARU está bloqueada. No confundir con la cuenta usuario corporativo (de dominio o LDAP), que es con la que se realiza el primer paso de la autenticación.
Pulse Secure no va a ser capaz de decirnos si una cuenta de dominio está bloqueada, puede rechazar la autenticación por este motivo, pero no podrá precisárnoslo, simplemente daría un error de autenticación en el primer factor.
Si tiene el error indicado en la captura (Cuenta bloqueada - Error: 1333), debe contactar con el Servicio de Comunicaciones, abriendo un SIGUE, para que le desbloqueen la cuenta.
11) ¿Cuándo y por qué se bloquea la cuenta 2FA?
La cuenta de 2º factor de autenticación en ARU se bloquea por seguridad tras introducir 5 códigos o tokens erróneos seguidos del autenticador instalado en el dispositivo móvil.
Al introducir mal el código OTP (One-Time Password), se le avisa de cuántos intentos le quedan.
No se desbloquea automáticamente tras un tiempo; debe contactar mediante SIGUE con el Servicio de Comunicaciones para que se la desbloqueen. Recuerde que el SIGUE está abierto a Internet, no es necesario tener VPN para poder utilizarlo.
Cosas a tener en cuenta:
- Si tiene varias cuentas configuradas en la aplicación de autenticador, asegúrese de que utiliza códigos de la correcta.
- Si ha cambiado de dispositivo, la cuenta de 2º factor de autenticación se debe configurar tal y como se indica en puntos anteriores en el nuevo dispositivo, o el autenticador puede no ser válido para su cuenta.
- Asegúrese que la hora de su dispositivo móvil es correcta y no tiene un desfase considerable (se permite una tolerancia de +/- 3 minutos). Se aconseja tener habilitada en el móvil la opción de "Establecer hora automáticamente" o similar, lo que hará que la sincronice con la hora del operador regularmente.
- No confunda la contraseña de su usuario corporativo (de dominio o LDAP) con el código OTP del 2º factor de autenticación.
El primero se solicita inicialmente en una ventana que solicita "Nombre de usuario:" y "Contraseña:".
Si lo anterior se introduce correctamente, en una segunda ventana su nombre de usuario sale sombreado (no se puede editar) y debajo se solicita en otro campo "Introduzca el TOKEN numérico obtenido de la app (sin espacios):" el código del segundo factor; ahí es donde debe introducir el código que está viendo en el móvil en Google Authenticator, Microsoft Authenticator,...
- La primera vez tras dar de alta una conexión en Pulse Secure (o siempre a partir de cierta versión del cliente VPN), se puede hacer que memorice el usuario y la contraseña al introducirlos para conectar y no los vuelva a preguntar. En ese caso, al intentar conectar por VPN con JCCM siempre va directamente a la ventana que solicita el token de 2º factor.
¡Pero cuidado!, si ha cambiado su contraseña corporativa recientemente, por motivos obvios el primer paso no le autenticará correctamente y se le solicitará usuario y password antes de pasar a solicitarle el token del 2º factor. Si usted está acostumbrado a tener que introducir directamente el token que le muestra el autenticador del móvil, y no se fija en la diferencia de lo que solicita la ventana, podría introducir mal la contraseña, incluso bloquear la cuenta de 2º factor de autenticación (2FA) de ARU si en la ventana que solicita el token (código TOTP de 2º factor) introduce la contraseña del usuario corporativo.
Puede hacer que Pulse Secure olvide las credenciales memorizadas haciendo clic con el botón derecho en la entrada con la conexión, en la ventana principal del cliente VPN, y eligiendo la opción "Olvidar configuraciones guardadas".
12) Me aparece el mensaje "La seguridad de su PC no es satisfactoria" y no puedo conectar por VPN. Sistemas operativos y antivirus permitidos.
El "host checker" verifica que el sistema operativo del ordenador o dispositivo móvil desde el que nos conectamos no sea demasiado antiguo (un S.O. sin soporte está más expuesto a vulnerabilidades que pueden afectar a las redes y equipos a los que nos conectamos), que tenemos una versión del cliente VPN adecuada y que tenemos un antivirus reconocido y con la protección en tiempo real habilitada (en Windows). Si algo requerido no se cumple, no se permitirá la conexión VPN y se indicará el motivo.
De esto se encarga el módulo ESAP de la plataforma (Endpoint Security Assessment Plug-in), y el chequeo se ejecuta al conectar por VPN y cada varios minutos.
Los antivirus soportados se pueden consultar en este enlace del fabricante que actualizaremos cada cierto tiempo (puede buscar el nombre y versión de su antivirus en el índice).
- El antivirus corporativo que está instalado en todos los ordenadores de JCCM está soportado.
- También Windows Defender / Microsoft Defender, que viene incluido con Windows (ojo: el antivirus, no sirve tener habilitado el firewall).
- En el caso de ordenadores particulares, debe tener uno de los antivirus (y versión del mismo) incluidos en el listado anterior, con la protección en tiempo real habilitada. Si su antivirus no está soportado, es posible que en un futuro se permita en una nueva versión de ESAP.
Mensaje que indica que no se cumple con el chequeo de antivirus:
Importante: Si un antivirus no es reconocido por el "host checker", su nombre NO se mostrará en el mensaje de rechazo de conexión. En su lugar se indica cualquier antivirus reconocido que encuentre instalado pero que NO tenga la protección en tiempo real habilitada.
El mensaje de la captura anterior lo obtendremos cuando tengamos un antivirus no reconocido con la protección en tiempo real habilitada, ya que Windows/Microsoft Defender (presente en cualquier Windows reciente) desactiva su protección en tiempo real cuando otro antivirus se ocupa de ello en nuestro equipo. Si para trabajar deshabilitamos la protección en tiempo real de nuestro antivirus no soportado por el host checker (lo que provoca que se habilite automáticamente la de Windows Defender) podremos conectar por VPN.
13) ¿Qué pasa si al conectar por VPN no tengo a mano mi móvil? ¿Para qué sirven los códigos OTP de un solo uso/copia de seguridad que se me dieron al darme de alta?
Al darse de alta en https://vpn.castillalamancha.es se le dieron 10 códigos de copia de seguridad o tokens de un solo uso, que sirven para autenticarse con Pulse Secure en la parte del 2º factor de autenticación (cuando se le solicita: "Ingrese su información de token secundaria:") alguna vez que no tenga el móvil a mano. Se utiliza uno por vez, y una vez utilizado uno no puede volver a usarse. Deben guardarse en un lugar seguro, de forma que nadie más tenga acceso a ellos.
También sirven si ha perdido su móvil, lo ha restablecido a ajustes de fábrica o lo ha cambiado y ya no tiene acceso al antiguo. En este caso, debe solicitar al Servicio de Comunicaciones (mediante SIGUE) que le eliminen su cuenta de 2º factor de autenticación, pero mientras tanto puede utilizar alguno de estos tokens para seguir pudiendo conectar por VPN.
14) He gastado los 10 códigos OTP (tokens) para el 2º factor de autenticación, ¿me pueden dar más?
Usted mismo puede generar más códigos de un solo uso (OTP) accediendo desde un navegador a https://vpn.castillalamancha.es, conectando con sus credenciales corporativas, a continuación introduciendo el 2º factor de autenticación (al igual que se hace con el cliente VPN) y desde Preferencias (parte superior derecha de la página) > General:
Tras logarse en el portal anterior, si se le pide ejecutar Pulse Secure Application Launcher, Host Checker, etc. en su navegador, acepte hasta que sea llevado al portal. Puede llevar un tiempo.
Aquí también puede ver los últimos que generó (o que se generaron al darse de alta) y que por tanto, están en vigor.
No olvide cerrar sesión para salir del portal.
Si genera unos códigos (tokens) nuevos, los anteriores dejan de ser válidos.
Si la confidencialidad de los códigos actuales se ve comprometida, debería generar unos nuevos lo antes posible, o pedir al Servicio de Comunicaciones (mediante SIGUE) que le eliminen/reseteen su cuenta de doble factor de ARU.
15) ¿Puedo saber cuándo fue mi última conexión VPN con ARU y desde qué IP pública?
Sí, pero esta información actualmente solo se puede consultar conectando desde un navegador al portal https://vpn.castillalamancha.es.
Se solicitarán, al igual que para conectar con Pulse Secure, las credenciales corporativas y un token de 2º factor de autenticación.
Tras logarse en el portal anterior, si se le pide ejecutar Pulse Secure Application Launcher, Host Checker, etc. en su navegador, acepte hasta que sea llevado al portal. Puede si lo desea hacer que no se le pregunte más si desea ejecutar este tipo de cosas.
En la página inicial de este portal se muestra esta información (un acceso a esta web también contaría como conexión):
Además, si pulsa en el botón "Inicio" marcado en la captura anterior, se le abriría automáticamente en el cliente Pulse Secure la conexión VPN con JCCM, sin solicitar credenciales ni token, ya que estamos logados en el portal web de ARU.
Si puede categorizarlo, elija: Servicios Comunicaciones > Seguridad Perimetral > Gestión de accesos externos o remotos (VPN) para agilizar el tratamiento de la solicitud.
