[uylug-varios] Firewalling y VPN

Gabriel Menini gabriel.menini at gmail.com
Mon Oct 22 10:15:56 PDT 2012


2012/10/22 Luis Pablo Pérez <kylroy at gmail.com>:
> 2012/10/22 Gabriel Menini <gabriel.menini at gmail.com>:
>> Buenas,
>>
>> Escribo en esta lista pues la consulta es de conceptos de redes y las
>> soluciones pueden ser implementadas en GNU/Linux, o no. :-)
>>
>> La empresa SolSRL dispone de un producto que brinda servicios de
>> firewall para su red corporativa. A su vez, esta empresa dispone de
>> otro producto (CISCO) que permite acceso vía VPN. Hasta acá, todo
>> bien.
>>
>> Ahora, la empresa LunaLTDA, que tiene contratos de trabajo con SolSRL,
>> necesita trabajar remotamente con servicios que residen en la red
>> local de SolSRL.
>> Se conectan por VPN para poder iniciar conexiones SSH, acceder a
>> puertos específicos del RDBMS y de la aplicación web (puertos no 80).
>> El problema surge cuando el encargado de seguridad IT en SolSRL
>> reclama que son demasiados los puertos que tiene que abrir para que
>> los técnicos de LunaLTDA puedan trabajar.... por VPN.
>> El esquema de conexión por VPN de SolSRL me resulta un tanto extraño a
>> mí, que he trabajado conectándome a VPNs orientadas a servicios
>> estándar de red y no tanto a plataformas/productos. Me explico:
>> mediante VPN SolSRL brinda una conexión vía RDP[1] a un Terminal
>> Server[2] de MS-Windows para que luego, desde allí, el usuario remoto
>> ejecute las aplicaciones o conexiones necesarias.
>>
>> Ahora bien, en mi opinión es totalmente válido el reclamo de LunaLTDA
>> para trabajar con N puertos de la red corporativa de SolSRL pues al
>> conectarse por VPN uno se conecta a la red como si fuera host más en
>> la LAN, ¿es así?
>
> Ponete en su lugar.
> El tiene la responsabilidad de la seguridad de la empresa, si algo
> pasa le van a preguntar a el y si lo que pasa es grave se  puede
> quedar sin trabajo.
> Al levantar una VPN este permitiendo que un host remoto, sobre el cual
> no tiene control, se conecte directo a su red interna.
> Cada puerto abierto es un flanco mas.
>
> Puesto de otra forma: incluso si se tratara de empleados de Sol, el
> acceso mediante VPN debe estar super controlado y debe ser realizado
> con equipos de los cuales el administrador de Sol tiene al menos la
> certeza que esta al dia con los parches, el usuario es responsable, no
> tiene virus, son por un tiempo determinado (idealmente utilizando
> certificados que vencen o pueden ser revocados).
>
> Es un dolor de cabeza y si yo fuese el administrador de Sol dejaría
> escrito en el contrato cuales son las condiciones de uso,  que es lo
> que se espera de Luna y cuales son las consecuencias (legales y
> económicas) si algo no sale bien.
>
>> Por ello no me termina de entrar el método de "tener que abrir
>> determinados puertos" a una conexión VPN entrante.
>
> Solo por hacer la pregunta ya me esta dando simpatía el amigo de Sol :) :)
>
> La VPN proteje el trafico entre Luna y Sol del resto de internet.
> Quien proteje a Sol de Luna o a Sol de los errores de Luna ?
> ... y no menos importante quien proteje a Luna de Sol o a Luna de los
> errores de Sol ?
> El trafico debe ser restringido al mínimo posible para lo
> estrictamente necesario para realizar el trabajo.
> Cuál es el mínimo ? depende de cada caso e idealmente debería ser
> escrito en un papel y firmado por ambas partes antes de comenzar a
> trabajar.
>
>>
>> Me gustaría saber qué opina la lista. O estoy equivocado o hay varias
>> maneras de hacer VPN. Por un lado no técnico, entiendo que se deben
>> fijar políticas para evitar el lleve y traiga de "abrime esto y
>> cerrame aquello"...
>
> Imaginate que fuese tu casa. Vos le das la llave al plomero para que
> pueda entrar por la puerta del fondo pero solo si hay alguien en la
> casa y exclusivamente a la cocina a arreglar lo que se rompió. No le
> vas a dar acceso completo a tu casa cuando quiera.
> Esto es parecido.
>
>>
>>

¡Excelentes conceptos!

Creo que tenía una visión errónea del tema... o al menos una visión parcial :-)
-- 
Gabriel Menini

"y no vayas a olvidarte que en lugar de tanto verso
cuantas veces el silencio es la voz de la verdad."

"Que el letrista no se olvide", Jaime Roos



More information about the Uylug-varios mailing list