[uylug-varios] Firewalling y VPN
Pedro Worcel
pedro at worcel.com
Mon Oct 22 13:22:17 PDT 2012
No se muy bien que estan haciendo, pero me suena que estan haciendo un
reverse SSH tunnel para poder trabajar?
Si bien es de lo mas practico, estan salteando completamente al
departamento de IT, y generando un (potencial) agujero de seguridad por el
cual el equipo de IT no se puede hacer responsable.
En mi empresa se aplica una regla que los servidores que tienen acceso
interno no pueden ser accesados desde el exterior y los equipos que pueden
ser accedidos desde el exterior no tienen acceso interno.
Por ahi la situacion es la misma, pero te dieron un servidor con acceso
interno y vos con el reverse ssh tunnel estas bypasseando toda la
seguridad. Aca en donde trabajo, si haces eso te despiden.
Un abrazo!
Pedro
El 23 de octubre de 2012 06:15, Gabriel Menini
<gabriel.menini at gmail.com>escribió:
> 2012/10/22 Luis Pablo Pérez <kylroy at gmail.com>:
> > 2012/10/22 Gabriel Menini <gabriel.menini at gmail.com>:
> >> Buenas,
> >>
> >> Escribo en esta lista pues la consulta es de conceptos de redes y las
> >> soluciones pueden ser implementadas en GNU/Linux, o no. :-)
> >>
> >> La empresa SolSRL dispone de un producto que brinda servicios de
> >> firewall para su red corporativa. A su vez, esta empresa dispone de
> >> otro producto (CISCO) que permite acceso vía VPN. Hasta acá, todo
> >> bien.
> >>
> >> Ahora, la empresa LunaLTDA, que tiene contratos de trabajo con SolSRL,
> >> necesita trabajar remotamente con servicios que residen en la red
> >> local de SolSRL.
> >> Se conectan por VPN para poder iniciar conexiones SSH, acceder a
> >> puertos específicos del RDBMS y de la aplicación web (puertos no 80).
> >> El problema surge cuando el encargado de seguridad IT en SolSRL
> >> reclama que son demasiados los puertos que tiene que abrir para que
> >> los técnicos de LunaLTDA puedan trabajar.... por VPN.
> >> El esquema de conexión por VPN de SolSRL me resulta un tanto extraño a
> >> mí, que he trabajado conectándome a VPNs orientadas a servicios
> >> estándar de red y no tanto a plataformas/productos. Me explico:
> >> mediante VPN SolSRL brinda una conexión vía RDP[1] a un Terminal
> >> Server[2] de MS-Windows para que luego, desde allí, el usuario remoto
> >> ejecute las aplicaciones o conexiones necesarias.
> >>
> >> Ahora bien, en mi opinión es totalmente válido el reclamo de LunaLTDA
> >> para trabajar con N puertos de la red corporativa de SolSRL pues al
> >> conectarse por VPN uno se conecta a la red como si fuera host más en
> >> la LAN, ¿es así?
> >
> > Ponete en su lugar.
> > El tiene la responsabilidad de la seguridad de la empresa, si algo
> > pasa le van a preguntar a el y si lo que pasa es grave se puede
> > quedar sin trabajo.
> > Al levantar una VPN este permitiendo que un host remoto, sobre el cual
> > no tiene control, se conecte directo a su red interna.
> > Cada puerto abierto es un flanco mas.
> >
> > Puesto de otra forma: incluso si se tratara de empleados de Sol, el
> > acceso mediante VPN debe estar super controlado y debe ser realizado
> > con equipos de los cuales el administrador de Sol tiene al menos la
> > certeza que esta al dia con los parches, el usuario es responsable, no
> > tiene virus, son por un tiempo determinado (idealmente utilizando
> > certificados que vencen o pueden ser revocados).
> >
> > Es un dolor de cabeza y si yo fuese el administrador de Sol dejaría
> > escrito en el contrato cuales son las condiciones de uso, que es lo
> > que se espera de Luna y cuales son las consecuencias (legales y
> > económicas) si algo no sale bien.
> >
> >> Por ello no me termina de entrar el método de "tener que abrir
> >> determinados puertos" a una conexión VPN entrante.
> >
> > Solo por hacer la pregunta ya me esta dando simpatía el amigo de Sol :)
> :)
> >
> > La VPN proteje el trafico entre Luna y Sol del resto de internet.
> > Quien proteje a Sol de Luna o a Sol de los errores de Luna ?
> > ... y no menos importante quien proteje a Luna de Sol o a Luna de los
> > errores de Sol ?
> > El trafico debe ser restringido al mínimo posible para lo
> > estrictamente necesario para realizar el trabajo.
> > Cuál es el mínimo ? depende de cada caso e idealmente debería ser
> > escrito en un papel y firmado por ambas partes antes de comenzar a
> > trabajar.
> >
> >>
> >> Me gustaría saber qué opina la lista. O estoy equivocado o hay varias
> >> maneras de hacer VPN. Por un lado no técnico, entiendo que se deben
> >> fijar políticas para evitar el lleve y traiga de "abrime esto y
> >> cerrame aquello"...
> >
> > Imaginate que fuese tu casa. Vos le das la llave al plomero para que
> > pueda entrar por la puerta del fondo pero solo si hay alguien en la
> > casa y exclusivamente a la cocina a arreglar lo que se rompió. No le
> > vas a dar acceso completo a tu casa cuando quiera.
> > Esto es parecido.
> >
> >>
> >>
>
> ¡Excelentes conceptos!
>
> Creo que tenía una visión errónea del tema... o al menos una visión
> parcial :-)
> --
> Gabriel Menini
>
> "y no vayas a olvidarte que en lugar de tanto verso
> cuantas veces el silencio es la voz de la verdad."
>
> "Que el letrista no se olvide", Jaime Roos
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
--
http://is.gd/droope <http://is.gd/signature_>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20121023/433ed6fa/attachment-0002.htm>
More information about the Uylug-varios
mailing list