No se muy bien que estan haciendo, pero me suena que estan haciendo un reverse SSH tunnel para poder trabajar? <div><br></div><div>Si bien es de lo mas practico, estan salteando completamente al departamento de IT, y generando un (potencial) agujero de seguridad por el cual el equipo de IT no se puede hacer responsable.</div>
<div><br></div><div>En mi empresa se aplica una regla que los servidores que tienen acceso interno no pueden ser accesados desde el exterior y los equipos que pueden ser accedidos desde el exterior no tienen acceso interno.</div>
<div><br></div><div>Por ahi la situacion es la misma, pero te dieron un servidor con acceso interno y vos con el reverse ssh tunnel estas bypasseando toda la seguridad. Aca en donde trabajo, si haces eso te despiden.</div>
<div><br></div><div>Un abrazo!<br>Pedro<br><br><div class="gmail_quote">El 23 de octubre de 2012 06:15, Gabriel Menini <span dir="ltr"><<a href="mailto:gabriel.menini@gmail.com" target="_blank">gabriel.menini@gmail.com</a>></span> escribió:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">2012/10/22 Luis Pablo Pérez <<a href="mailto:kylroy@gmail.com">kylroy@gmail.com</a>>:<br>
<div><div class="h5">> 2012/10/22 Gabriel Menini <<a href="mailto:gabriel.menini@gmail.com">gabriel.menini@gmail.com</a>>:<br>
>> Buenas,<br>
>><br>
>> Escribo en esta lista pues la consulta es de conceptos de redes y las<br>
>> soluciones pueden ser implementadas en GNU/Linux, o no. :-)<br>
>><br>
>> La empresa SolSRL dispone de un producto que brinda servicios de<br>
>> firewall para su red corporativa. A su vez, esta empresa dispone de<br>
>> otro producto (CISCO) que permite acceso vía VPN. Hasta acá, todo<br>
>> bien.<br>
>><br>
>> Ahora, la empresa LunaLTDA, que tiene contratos de trabajo con SolSRL,<br>
>> necesita trabajar remotamente con servicios que residen en la red<br>
>> local de SolSRL.<br>
>> Se conectan por VPN para poder iniciar conexiones SSH, acceder a<br>
>> puertos específicos del RDBMS y de la aplicación web (puertos no 80).<br>
>> El problema surge cuando el encargado de seguridad IT en SolSRL<br>
>> reclama que son demasiados los puertos que tiene que abrir para que<br>
>> los técnicos de LunaLTDA puedan trabajar.... por VPN.<br>
>> El esquema de conexión por VPN de SolSRL me resulta un tanto extraño a<br>
>> mí, que he trabajado conectándome a VPNs orientadas a servicios<br>
>> estándar de red y no tanto a plataformas/productos. Me explico:<br>
>> mediante VPN SolSRL brinda una conexión vía RDP[1] a un Terminal<br>
>> Server[2] de MS-Windows para que luego, desde allí, el usuario remoto<br>
>> ejecute las aplicaciones o conexiones necesarias.<br>
>><br>
>> Ahora bien, en mi opinión es totalmente válido el reclamo de LunaLTDA<br>
>> para trabajar con N puertos de la red corporativa de SolSRL pues al<br>
>> conectarse por VPN uno se conecta a la red como si fuera host más en<br>
>> la LAN, ¿es así?<br>
><br>
> Ponete en su lugar.<br>
> El tiene la responsabilidad de la seguridad de la empresa, si algo<br>
> pasa le van a preguntar a el y si lo que pasa es grave se puede<br>
> quedar sin trabajo.<br>
> Al levantar una VPN este permitiendo que un host remoto, sobre el cual<br>
> no tiene control, se conecte directo a su red interna.<br>
> Cada puerto abierto es un flanco mas.<br>
><br>
> Puesto de otra forma: incluso si se tratara de empleados de Sol, el<br>
> acceso mediante VPN debe estar super controlado y debe ser realizado<br>
> con equipos de los cuales el administrador de Sol tiene al menos la<br>
> certeza que esta al dia con los parches, el usuario es responsable, no<br>
> tiene virus, son por un tiempo determinado (idealmente utilizando<br>
> certificados que vencen o pueden ser revocados).<br>
><br>
> Es un dolor de cabeza y si yo fuese el administrador de Sol dejaría<br>
> escrito en el contrato cuales son las condiciones de uso, que es lo<br>
> que se espera de Luna y cuales son las consecuencias (legales y<br>
> económicas) si algo no sale bien.<br>
><br>
>> Por ello no me termina de entrar el método de "tener que abrir<br>
>> determinados puertos" a una conexión VPN entrante.<br>
><br>
> Solo por hacer la pregunta ya me esta dando simpatía el amigo de Sol :) :)<br>
><br>
> La VPN proteje el trafico entre Luna y Sol del resto de internet.<br>
> Quien proteje a Sol de Luna o a Sol de los errores de Luna ?<br>
> ... y no menos importante quien proteje a Luna de Sol o a Luna de los<br>
> errores de Sol ?<br>
> El trafico debe ser restringido al mínimo posible para lo<br>
> estrictamente necesario para realizar el trabajo.<br>
> Cuál es el mínimo ? depende de cada caso e idealmente debería ser<br>
> escrito en un papel y firmado por ambas partes antes de comenzar a<br>
> trabajar.<br>
><br>
>><br>
>> Me gustaría saber qué opina la lista. O estoy equivocado o hay varias<br>
>> maneras de hacer VPN. Por un lado no técnico, entiendo que se deben<br>
>> fijar políticas para evitar el lleve y traiga de "abrime esto y<br>
>> cerrame aquello"...<br>
><br>
> Imaginate que fuese tu casa. Vos le das la llave al plomero para que<br>
> pueda entrar por la puerta del fondo pero solo si hay alguien en la<br>
> casa y exclusivamente a la cocina a arreglar lo que se rompió. No le<br>
> vas a dar acceso completo a tu casa cuando quiera.<br>
> Esto es parecido.<br>
><br>
>><br>
>><br>
<br>
</div></div>¡Excelentes conceptos!<br>
<br>
Creo que tenía una visión errónea del tema... o al menos una visión parcial :-)<br>
<div class="HOEnZb"><div class="h5">--<br>
Gabriel Menini<br>
<br>
"y no vayas a olvidarte que en lugar de tanto verso<br>
cuantas veces el silencio es la voz de la verdad."<br>
<br>
"Que el letrista no se olvide", Jaime Roos<br>
_______________________________________________<br>
Uylug-varios mailing list<br>
<a href="mailto:Uylug-varios@listas.uylug.org.uy">Uylug-varios@listas.uylug.org.uy</a><br>
<a href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy" target="_blank">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><a href="http://is.gd/signature_" target="_blank">http://is.gd/droope</a><br>
</div>