[uylug-varios] Firewalling y VPN

Gabriel Menini gabriel.menini at gmail.com
Mon Oct 22 09:03:20 PDT 2012 

2012/10/22 Carlos M. Martinez <carlosmarcelomartinez at gmail.com>:
> VPN a lo unico que refiere es a la tunelización, y eventual encriptado,
> de una conexión de red para parecer como que uno tiene un 'cable' con un
> terminador remoto. El tema es, despues, que politicas de filtrado se
> aplican, es una decisión totalmente local al administrador del terminador.

Resulta que el terminador tiene una DMZ, donde hay un segundo firewall
que conecta con las redes internas.
Este firewall sólo permite acceder a los clientes remotos de VPN a un
Terminal Server de MS-Windows y nada más.

>
> Y efectivamente, en nombre de la 'seguridad', se aplican muchas veces
> políticas un poco incomprensibles que hacen difícil el trabajar
> remotamente. Pero no te queda otra que ir a pelear y discutir con el
> administrador.
>

Más allá de discutir o no, mi duda está orientada a cuál es la
configuración más "sana".
En este caso, el Terminal Server es el single-poing-of-failure. Desde
allí, el cliente remoto se conecta a cualquier servidor y a cualquier
puerto de la red local. Pero tiene que "pivotear" en esa máquina.


> s2
>
> ~Carlos
>
> On 10/22/12 1:30 PM, Cristian Menghi wrote:
>> Deben de natear a las VPN !?
>>
>>
>> El 22/10/2012, a las 12:45, Gabriel Menini escribió:
>>
>>> Buenas,
>>>
>>> Escribo en esta lista pues la consulta es de conceptos de redes y las
>>> soluciones pueden ser implementadas en GNU/Linux, o no. :-)
>>>
>>> La empresa SolSRL dispone de un producto que brinda servicios de
>>> firewall para su red corporativa. A su vez, esta empresa dispone de
>>> otro producto (CISCO) que permite acceso vía VPN. Hasta acá, todo
>>> bien.
>>>
>>> Ahora, la empresa LunaLTDA, que tiene contratos de trabajo con SolSRL,
>>> necesita trabajar remotamente con servicios que residen en la red
>>> local de SolSRL.
>>> Se conectan por VPN para poder iniciar conexiones SSH, acceder a
>>> puertos específicos del RDBMS y de la aplicación web (puertos no 80).
>>> El problema surge cuando el encargado de seguridad IT en SolSRL
>>> reclama que son demasiados los puertos que tiene que abrir para que
>>> los técnicos de LunaLTDA puedan trabajar.... por VPN.
>>> El esquema de conexión por VPN de SolSRL me resulta un tanto extraño a
>>> mí, que he trabajado conectándome a VPNs orientadas a servicios
>>> estándar de red y no tanto a plataformas/productos. Me explico:
>>> mediante VPN SolSRL brinda una conexión vía RDP[1] a un Terminal
>>> Server[2] de MS-Windows para que luego, desde allí, el usuario remoto
>>> ejecute las aplicaciones o conexiones necesarias.
>>>
>>> Ahora bien, en mi opinión es totalmente válido el reclamo de LunaLTDA
>>> para trabajar con N puertos de la red corporativa de SolSRL pues al
>>> conectarse por VPN uno se conecta a la red como si fuera host más en
>>> la LAN, ¿es así?
>>> Por ello no me termina de entrar el método de "tener que abrir
>>> determinados puertos" a una conexión VPN entrante.
>>>
>>> Me gustaría saber qué opina la lista. O estoy equivocado o hay varias
>>> maneras de hacer VPN. Por un lado no técnico, entiendo que se deben
>>> fijar políticas para evitar el lleve y traiga de "abrime esto y
>>> cerrame aquello"...
>>>
>>>
>>> Saludos,
>>>
>>>
>>>
>>> [1] Remote Desktop Protocol
>>> <https://es.wikipedia.org/wiki/Remote_Desktop_Protocol>
>>> [2] <https://es.wikipedia.org/wiki/Terminal_Server>
>>>
>>> --
>>> Gabriel Menini
>>>
>>> "y no vayas a olvidarte que en lugar de tanto verso
>>> cuantas veces el silencio es la voz de la verdad."
>>>
>>> "Que el letrista no se olvide", Jaime Roos
>>> _______________________________________________
>>> Uylug-varios mailing list
>>> Uylug-varios at listas.uylug.org.uy
>>> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>> ----
>> .: Cristian Menghi :.
>>
>> _______________________________________________
>> Uylug-varios mailing list
>> Uylug-varios at listas.uylug.org.uy
>> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy



-- 
Gabriel Menini

"y no vayas a olvidarte que en lugar de tanto verso
cuantas veces el silencio es la voz de la verdad."

"Que el letrista no se olvide", Jaime Roos

More information about the Uylug-varios mailing list