[uylug-varios] Firewalling y VPN

[Gabriel Menini]

2012/10/22 Pedro Worcel <pedro at worcel.com>:
> No se muy bien que estan haciendo, pero me suena que estan haciendo un
> reverse SSH tunnel para poder trabajar?
>
> Si bien es de lo mas practico, estan salteando completamente al departamento
> de IT, y generando un (potencial) agujero de seguridad por el cual el equipo
> de IT no se puede hacer responsable.
>
> En mi empresa se aplica una regla que los servidores que tienen acceso
> interno no pueden ser accesados desde el exterior y los equipos que pueden
> ser accedidos desde el exterior no tienen acceso interno.
>
> Por ahi la situacion es la misma, pero te dieron un servidor con acceso
> interno y vos con el reverse ssh tunnel estas bypasseando toda la seguridad.
> Aca en donde trabajo, si haces eso te despiden.

Para que conste en actas: si bien di pie a la imaginación de los
co-listeros, yo no participo en ninguna de las instancias que puse
como ejemplo y, por ende, no estoy haciendo tunneling :-)

>
> Un abrazo!
> Pedro
>
> El 23 de octubre de 2012 06:15, Gabriel Menini <gabriel.menini at gmail.com>
> escribió:
>>
>> 2012/10/22 Luis Pablo Pérez <kylroy at gmail.com>:
>> > 2012/10/22 Gabriel Menini <gabriel.menini at gmail.com>:
>> >> Buenas,
>> >>
>> >> Escribo en esta lista pues la consulta es de conceptos de redes y las
>> >> soluciones pueden ser implementadas en GNU/Linux, o no. :-)
>> >>
>> >> La empresa SolSRL dispone de un producto que brinda servicios de
>> >> firewall para su red corporativa. A su vez, esta empresa dispone de
>> >> otro producto (CISCO) que permite acceso vía VPN. Hasta acá, todo
>> >> bien.
>> >>
>> >> Ahora, la empresa LunaLTDA, que tiene contratos de trabajo con SolSRL,
>> >> necesita trabajar remotamente con servicios que residen en la red
>> >> local de SolSRL.
>> >> Se conectan por VPN para poder iniciar conexiones SSH, acceder a
>> >> puertos específicos del RDBMS y de la aplicación web (puertos no 80).
>> >> El problema surge cuando el encargado de seguridad IT en SolSRL
>> >> reclama que son demasiados los puertos que tiene que abrir para que
>> >> los técnicos de LunaLTDA puedan trabajar.... por VPN.
>> >> El esquema de conexión por VPN de SolSRL me resulta un tanto extraño a
>> >> mí, que he trabajado conectándome a VPNs orientadas a servicios
>> >> estándar de red y no tanto a plataformas/productos. Me explico:
>> >> mediante VPN SolSRL brinda una conexión vía RDP[1] a un Terminal
>> >> Server[2] de MS-Windows para que luego, desde allí, el usuario remoto
>> >> ejecute las aplicaciones o conexiones necesarias.
>> >>
>> >> Ahora bien, en mi opinión es totalmente válido el reclamo de LunaLTDA
>> >> para trabajar con N puertos de la red corporativa de SolSRL pues al
>> >> conectarse por VPN uno se conecta a la red como si fuera host más en
>> >> la LAN, ¿es así?
>> >
>> > Ponete en su lugar.
>> > El tiene la responsabilidad de la seguridad de la empresa, si algo
>> > pasa le van a preguntar a el y si lo que pasa es grave se  puede
>> > quedar sin trabajo.
>> > Al levantar una VPN este permitiendo que un host remoto, sobre el cual
>> > no tiene control, se conecte directo a su red interna.
>> > Cada puerto abierto es un flanco mas.
>> >
>> > Puesto de otra forma: incluso si se tratara de empleados de Sol, el
>> > acceso mediante VPN debe estar super controlado y debe ser realizado
>> > con equipos de los cuales el administrador de Sol tiene al menos la
>> > certeza que esta al dia con los parches, el usuario es responsable, no
>> > tiene virus, son por un tiempo determinado (idealmente utilizando
>> > certificados que vencen o pueden ser revocados).
>> >
>> > Es un dolor de cabeza y si yo fuese el administrador de Sol dejaría
>> > escrito en el contrato cuales son las condiciones de uso,  que es lo
>> > que se espera de Luna y cuales son las consecuencias (legales y
>> > económicas) si algo no sale bien.
>> >
>> >> Por ello no me termina de entrar el método de "tener que abrir
>> >> determinados puertos" a una conexión VPN entrante.
>> >
>> > Solo por hacer la pregunta ya me esta dando simpatía el amigo de Sol :)
>> > :)
>> >
>> > La VPN proteje el trafico entre Luna y Sol del resto de internet.
>> > Quien proteje a Sol de Luna o a Sol de los errores de Luna ?
>> > ... y no menos importante quien proteje a Luna de Sol o a Luna de los
>> > errores de Sol ?
>> > El trafico debe ser restringido al mínimo posible para lo
>> > estrictamente necesario para realizar el trabajo.
>> > Cuál es el mínimo ? depende de cada caso e idealmente debería ser
>> > escrito en un papel y firmado por ambas partes antes de comenzar a
>> > trabajar.
>> >
>> >>
>> >> Me gustaría saber qué opina la lista. O estoy equivocado o hay varias
>> >> maneras de hacer VPN. Por un lado no técnico, entiendo que se deben
>> >> fijar políticas para evitar el lleve y traiga de "abrime esto y
>> >> cerrame aquello"...
>> >
>> > Imaginate que fuese tu casa. Vos le das la llave al plomero para que
>> > pueda entrar por la puerta del fondo pero solo si hay alguien en la
>> > casa y exclusivamente a la cocina a arreglar lo que se rompió. No le
>> > vas a dar acceso completo a tu casa cuando quiera.
>> > Esto es parecido.
>> >
>> >>
>> >>
>>
>> ¡Excelentes conceptos!
>>
>> Creo que tenía una visión errónea del tema... o al menos una visión
>> parcial :-)
>> --
>> Gabriel Menini
>>
>> "y no vayas a olvidarte que en lugar de tanto verso
>> cuantas veces el silencio es la voz de la verdad."
>>
>> "Que el letrista no se olvide", Jaime Roos
>> _______________________________________________
>> Uylug-varios mailing list
>> Uylug-varios at listas.uylug.org.uy
>> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
>
>
>
> --
> http://is.gd/droope
>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>



-- 
Gabriel Menini

"y no vayas a olvidarte que en lugar de tanto verso
cuantas veces el silencio es la voz de la verdad."

"Que el letrista no se olvide", Jaime Roos