viernes, marzo 09, 2007

Intelligent Application Gateway: Una VPN en una página web (II de II)

Asegurando el EndPoint

El EndPoint, o extremo de la VPN, es el cliente remoto. En la mayoría de los casos el que el cliente que se conecte a la red no se convierta en una amenaza es una de las grandes preocupaciones debido a ello nacieron las Redes de Cuarentena VPN y hoy en día evolucionan hacia el Network Access Protección (NAP) según Microsoft o Network Admission Control (NAC) según CISCO. La idea es la misma, no permitir una conexión a la red que no cumpla unos determinados requisitos.

Para realizar esto IAG utiliza Políticas de Seguridad. Estas le permiten al administrador de la red realizar cosas como evitar que alguien suba un archivo adjunto a través de OWA en un correo electrónico o un en SharePoint Portal Server 2003, si no tiene el antivirus instalado y actualizado a la última versión de firmas, o directamente si no tiene antispyware que no se pueda conectar.

Imagen: Políticas de Seguridad por defecto

IAG viene con un conjunto de políticas para empezar a administrarlo, pero se pueden configurar múltiples y de diversas configuraciones políticas de forma sencilla. En las imágenes 8 y 9 se ve como se configura una política para comprobación del antivirus y se puede observar como el producto permite realizar comprobaciones sobre el navegador, el antispyware, el sistema operativo, o el firewall entre otros.


Imágenes: Configuración de una Política de Acceso.

Seguridad. Filtrado a nivel de URLs

Además de securizar la red mediante comprobación de restricciones en el cliente, al ser una VPN que funciona sobre http, extiende la funcionalidad del filtro HTPP-Screener de ISA Server para permitir detectar ataques de SQL Injection, Buffer-Overflow o Cross-Site Scripting. Además, la sesión está mantenida entre el cliente y el portal, siendo el propio IAG el que abre las sesiones con cada una de las aplicaciones. Esto permite que el robo si alguna aplicación es susceptible a un ataque de robo de sesión mediante cookies este no pueda realizarse ya que el cliente no recibe ninguna información de la sesión con la aplicación, únicamente de la sesión con el IAG. Al realizar este proceso la superficie expuesta es reducida a su mínima expresión.

Monitorización e Informes

Los sistemas de monitorización y los informes que nos ofrece la solución son quizás un punto a mejorar, pero la integración del producto dentro de la “familia Microsoft” ha hecho que se haya anunciado para el año que viene un Mom pack para el producto que se integrará con Microsoft Operations Manager 2005 y System Center Operation Manager 2007 con lo cual toda la potencia de estos productos estará al servicio de Intelligent Application Gateway.

No obstante el producto viene con opciones para realizar una monitorización de todas las conexiones al portal y las aplicaciones que se encuentran en ejecución permitiendo realizar una gestión centralizada de las sesiones.

Imagen: Actividad del Portal

Consideraciones Finales

Intelligent Application Gateway es una opción más para securizar el acceso remoto de clientes a las aplicaciones de la compañía. Tiene una serie de ventajas que creo que se deben resaltar:

- Acceso controlado: Solo se permite acceder a aquellas aplicaciones que son publicadas.

- Pocos cambios en la infraestructura: No hay que abrir nuevos puertos ni hacer despliegue de software entre los clientes.

- Integración de aplicaciones: No solo como producto de seguridad sino como integrador de aplicaciones permite construir un portal corporativo de fácil acceso para los usuarios remotos.

- Integrado con las principales aplicaciones del mercado. Lo que nos va a permitir realizar un despliegue sencillo, probado y eficiente que va a optimizar el acceso.

- Filtrado a nivel de aplicación e inspección de todas las conexiones.

- Establecimiento de políticas de seguridad de fácil comprobación: Para decidir la política de seguridad se utiliza el mismo cliente que para acceder a la aplicación y su despliegue es automático porque está integrado en el navegador de Internet con que se accede.

Disponibilidad del producto

A pesar de que para muchos el producto pueda sonar a nuevo, la compañía desde hace más de 8 años, está focalizada en soluciones SSL VPN. A día de hoy el producto se adquiere en appliances. Estos van a ser fabricados por la compañía Network Engines que actualmente tiene una de las mejores soluciones de ISA Server en Appliance. Aprovechando la experiencia de la compañía se va a poder adquirir W2003+ISA Server+IAG integrado en un hardware robusto con soporte.

Imagen: IAG en 2U

Referencias:

- Intelligent Application Gateway: Una VPN en una página web (I de II)
- http://www.whalecommunications.com/
- http://www.microsoft.com/isaserver/whale/faq.mspx

6 comentarios:

Anónimo dijo...

Que estemos delante del ordenador a estas horas no es sano tio.

El Elegido dijo...

Yo creo q sí es sano, pq nosotros nos alimentamos de bits, no lo olvides...

Yo al menos estoy hecho de bits. Soy El Elegido...

Si lo piensas fríamente, todo en la vida son bits, con valores booleanos de 0 ó 1. HE AQUÍ ALGUNOS EJEMPLOS:

1.- Entro a esa tía (1), o no la entro (0).


2.- Me voy de fiesta (1), no me voy de fiesta (0).



LOS 7 PECADOS CAPITALES DEL CÓDIGO BINARIO:

1.- Vicio.
2.- Ojos hinchaós.
3.- Sueño.
4.- Más vicio.
5.- Adicción.
6.- SIDA (Sindrome de Internet Destructivo y Adictivo)
7.- Máximo vicio.

LOS 10 MANDAMIENTOS DEL CÓDIGO BINARIO:

1.- Instalarás y probarás todas las betas de todos los productos.

2.- Instalarás el software con licencia legal.

3.- No usarás e-mule.

4.- No usarás torrent.

5.- Usarás firewalls en tu red.

6.- Usarás un antivirus actualizado en tu red.

7.- No usarás Linux, si sistemas similares marginales y minoritarios.

8.- No entrarás en blogs de Técnicos-Less.

9.- Harás de tu ordenador tu mejor aliado.

10.- Nunca dormirás más de 5 horas al día.



;)


I'm a freak person, and you?

http://elmundodejavi.blogspot.com

Iván dijo...

Pos yo porque he madrugao, pero lo vuestro es duro, realmente...

Anónimo dijo...

Bueno eso que sea sano o insano...
Me levanto a las 8 , a las 9 ya estoy picando codigo... llego a casa a las 20 y sigo picando codigo en casa hasta que caigo de sueño delante del pc.
Que tu trabajo se base en lo mismo que uno de tus hobbys ... Menos mal que dentro de poco voy a empezar ha hacer freeride, para desconectar...

@El Elegido, eso de uno usar emule ni linux, ejem ejem... Dormir menos de 5 horas puede matarte xD (Adicto al redbull???)

Chema Alonso dijo...

jeje. ya sabéis, yo empiezo a las 6 in the morning!!!

wictor dijo...

El elegido: Si son "Los 10 mandamientos del código binario" ¿No deberían de ser sólo dos? Me has defraudado. Lo siento no he podido aguantarme XD

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares