[uylug-varios] Firewalling y VPN

Luis Pablo Pérez kylroy at gmail.com
Mon Oct 22 09:32:33 PDT 2012 

2012/10/22 Gabriel Menini <gabriel.menini at gmail.com>:
> Buenas,
>
> Escribo en esta lista pues la consulta es de conceptos de redes y las
> soluciones pueden ser implementadas en GNU/Linux, o no. :-)
>
> La empresa SolSRL dispone de un producto que brinda servicios de
> firewall para su red corporativa. A su vez, esta empresa dispone de
> otro producto (CISCO) que permite acceso vía VPN. Hasta acá, todo
> bien.
>
> Ahora, la empresa LunaLTDA, que tiene contratos de trabajo con SolSRL,
> necesita trabajar remotamente con servicios que residen en la red
> local de SolSRL.
> Se conectan por VPN para poder iniciar conexiones SSH, acceder a
> puertos específicos del RDBMS y de la aplicación web (puertos no 80).
> El problema surge cuando el encargado de seguridad IT en SolSRL
> reclama que son demasiados los puertos que tiene que abrir para que
> los técnicos de LunaLTDA puedan trabajar.... por VPN.
> El esquema de conexión por VPN de SolSRL me resulta un tanto extraño a
> mí, que he trabajado conectándome a VPNs orientadas a servicios
> estándar de red y no tanto a plataformas/productos. Me explico:
> mediante VPN SolSRL brinda una conexión vía RDP[1] a un Terminal
> Server[2] de MS-Windows para que luego, desde allí, el usuario remoto
> ejecute las aplicaciones o conexiones necesarias.
>
> Ahora bien, en mi opinión es totalmente válido el reclamo de LunaLTDA
> para trabajar con N puertos de la red corporativa de SolSRL pues al
> conectarse por VPN uno se conecta a la red como si fuera host más en
> la LAN, ¿es así?

Ponete en su lugar.
El tiene la responsabilidad de la seguridad de la empresa, si algo
pasa le van a preguntar a el y si lo que pasa es grave se  puede
quedar sin trabajo.
Al levantar una VPN este permitiendo que un host remoto, sobre el cual
no tiene control, se conecte directo a su red interna.
Cada puerto abierto es un flanco mas.

Puesto de otra forma: incluso si se tratara de empleados de Sol, el
acceso mediante VPN debe estar super controlado y debe ser realizado
con equipos de los cuales el administrador de Sol tiene al menos la
certeza que esta al dia con los parches, el usuario es responsable, no
tiene virus, son por un tiempo determinado (idealmente utilizando
certificados que vencen o pueden ser revocados).

Es un dolor de cabeza y si yo fuese el administrador de Sol dejaría
escrito en el contrato cuales son las condiciones de uso,  que es lo
que se espera de Luna y cuales son las consecuencias (legales y
económicas) si algo no sale bien.

> Por ello no me termina de entrar el método de "tener que abrir
> determinados puertos" a una conexión VPN entrante.

Solo por hacer la pregunta ya me esta dando simpatía el amigo de Sol :) :)

La VPN proteje el trafico entre Luna y Sol del resto de internet.
Quien proteje a Sol de Luna o a Sol de los errores de Luna ?
... y no menos importante quien proteje a Luna de Sol o a Luna de los
errores de Sol ?
El trafico debe ser restringido al mínimo posible para lo
estrictamente necesario para realizar el trabajo.
Cuál es el mínimo ? depende de cada caso e idealmente debería ser
escrito en un papel y firmado por ambas partes antes de comenzar a
trabajar.

>
> Me gustaría saber qué opina la lista. O estoy equivocado o hay varias
> maneras de hacer VPN. Por un lado no técnico, entiendo que se deben
> fijar políticas para evitar el lleve y traiga de "abrime esto y
> cerrame aquello"...

Imaginate que fuese tu casa. Vos le das la llave al plomero para que
pueda entrar por la puerta del fondo pero solo si hay alguien en la
casa y exclusivamente a la cocina a arreglar lo que se rompió. No le
vas a dar acceso completo a tu casa cuando quiera.
Esto es parecido.

>
>
> Saludos,
>
>
>
> [1] Remote Desktop Protocol
> <https://es.wikipedia.org/wiki/Remote_Desktop_Protocol>
> [2] <https://es.wikipedia.org/wiki/Terminal_Server>
>
> --
> Gabriel Menini
>
> "y no vayas a olvidarte que en lugar de tanto verso
> cuantas veces el silencio es la voz de la verdad."
>
> "Que el letrista no se olvide", Jaime Roos
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy

More information about the Uylug-varios mailing list