Red VPN

Tienes dos posibilidades, te cuento...

La lenta... crea reglas re enrutamiento y activa filtros para que tu equipo
cliente navegue a través de Internet por el servidor 2003 y su misma conexión
a Internet.

La rápida... vete a la conexión del puesto cliente, botón derecho y
seleccionas "Propiedades". Una vez allí vete a la penúltima ficha, la que
pone "Funciones de red". Allí selecciona el protocolo que uses, casi seguro
"TCP/IP" y haz click sobre el botón "Propiedades". te aparecerá una nueva
pantalla, ahí no hace falta más que hagas click sobre "Opciones avanzadas".
Se te abrirá una nueva ventana en la cual tienes 3 fichas. Pues en la primera
de ellas desactiva la opción "Usar la puerta de enlace predeterminada en la
red remota". Aceptas todas las ventanas que abristes con anterioridad y
espero que tengas solucionado el problema.

¡¡¡Suerte!!!.

* descaro *

"Santi DK" escribió:

Hola y gracias por adelantado. Tengo un servidor Win2003 Server en el que
quiero activar el servidor de VPN, hasta ahi ningun problema. El problema
viene que cuando conecto la maquina cliente (win XP Pro) la conexión VPN me
la hace correctamente pero me corta el acceso a internet, necesitaría que la
maquina cliente ese pudiese conectar a internet y a la VPN, ¿me podéis decir
alguna solución?
Ya he montado dos tarjetas de red y nada, estoy un poco pez en este tema
agradecería una ayuda clara

Hola descaro,
La correcta es la primera opcion (entiendo que te refieres a salir a
internet a traves de la conexion VPN y en .). Con la segunda creas un
split tunnel y puenteas cualquier medida de seguridad de la red interna.
Esto es equivalente a dejar que un usuario de la red interna conecte un
modem en su equipo y se conecte a internet.
La primera opcion es viable aun usuando el NAT de RRAS.

Un saludo.
Ivan
MS MVP ISA Server



"descaro" escribió en el mensaje
news:

Tienes dos posibilidades, te cuento...

La lenta... crea reglas re enrutamiento y activa filtros para que tu
equipo
cliente navegue a través de Internet por el servidor 2003 y su misma
conexión
a Internet.

La rápida... vete a la conexión del puesto cliente, botón derecho y
seleccionas "Propiedades". Una vez allí vete a la penúltima ficha, la que
pone "Funciones de red". Allí selecciona el protocolo que uses, casi
seguro
"TCP/IP" y haz click sobre el botón "Propiedades". te aparecerá una nueva
pantalla, ahí no hace falta más que hagas click sobre "Opciones
avanzadas".
Se te abrirá una nueva ventana en la cual tienes 3 fichas. Pues en la
primera
de ellas desactiva la opción "Usar la puerta de enlace predeterminada en
la
red remota". Aceptas todas las ventanas que abristes con anterioridad y
espero que tengas solucionado el problema.

¡¡¡Suerte!!!.

* descaro *

"Santi DK" escribió:

Hola y gracias por adelantado. Tengo un servidor Win2003 Server en el que
quiero activar el servidor de VPN, hasta ahi ningun problema. El problema
viene que cuando conecto la maquina cliente (win XP Pro) la conexión VPN
me
la hace correctamente pero me corta el acceso a internet, necesitaría que
la
maquina cliente ese pudiese conectar a internet y a la VPN, ¿me podéis
decir
alguna solución?
Ya he montado dos tarjetas de red y nada, estoy un poco pez en este tema
agradecería una ayuda clara

Hola Iván.

La segunda opción se la proponía de cara a un usuario en su propio
domicilio. La idea es que no consuma recursos de ancho de banda de la empresa
para navegación o descargas de Internet, tan sólo para lo estrictamente
necesario.

Lo ideal puede ser la primera opción o bien la segunda, depende del criterio
empleado y el uso que se le vaya a dar a la VPN.

Un caso... otorgas a una empresa asociada la posibilidad de conectarse
mediante VPN a unos servicios que previamente has dispuesto para ello. ¿La
empresa asociada preferirá navegar a través tuya y que tú aplicas reglas de
firewall o mejor preferirán navegar por su conexión y aplicar ellos sus
propias reglas?.

Todo depende de la casuística, de ahí el comentar las dos posibilidades.

* descaro *

"Ivan [MS MVP]" escribió:

Hola descaro,
La correcta es la primera opcion (entiendo que te refieres a salir a
internet a traves de la conexion VPN y en .). Con la segunda creas un
split tunnel y puenteas cualquier medida de seguridad de la red interna.
Esto es equivalente a dejar que un usuario de la red interna conecte un
modem en su equipo y se conecte a internet.
La primera opcion es viable aun usuando el NAT de RRAS.

Un saludo.
Ivan
MS MVP ISA Server



"descaro" escribió en el mensaje
news:
> Tienes dos posibilidades, te cuento...
>
> La lenta... crea reglas re enrutamiento y activa filtros para que tu
> equipo
> cliente navegue a través de Internet por el servidor 2003 y su misma
> conexión
> a Internet.
>
> La rápida... vete a la conexión del puesto cliente, botón derecho y
> seleccionas "Propiedades". Una vez allí vete a la penúltima ficha, la que
> pone "Funciones de red". Allí selecciona el protocolo que uses, casi
> seguro
> "TCP/IP" y haz click sobre el botón "Propiedades". te aparecerá una nueva
> pantalla, ahí no hace falta más que hagas click sobre "Opciones
> avanzadas".
> Se te abrirá una nueva ventana en la cual tienes 3 fichas. Pues en la
> primera
> de ellas desactiva la opción "Usar la puerta de enlace predeterminada en
> la
> red remota". Aceptas todas las ventanas que abristes con anterioridad y
> espero que tengas solucionado el problema.
>
> ¡¡¡Suerte!!!.
>
> * descaro *
>
> "Santi DK" escribió:
>
>> Hola y gracias por adelantado. Tengo un servidor Win2003 Server en el que
>> quiero activar el servidor de VPN, hasta ahi ningun problema. El problema
>> viene que cuando conecto la maquina cliente (win XP Pro) la conexión VPN
>> me
>> la hace correctamente pero me corta el acceso a internet, necesitaría que
>> la
>> maquina cliente ese pudiese conectar a internet y a la VPN, ¿me podéis
>> decir
>> alguna solución?
>> Ya he montado dos tarjetas de red y nada, estoy un poco pez en este tema
>> agradecería una ayuda clara
>>

Hola descaro,

"descaro" escribió en el mensaje
news:

Hola Iván.

La segunda opción se la proponía de cara a un usuario en su propio
domicilio. La idea es que no consuma recursos de ancho de banda de la
empresa
para navegación o descargas de Internet, tan sólo para lo estrictamente
necesario.

En esto nos nos vamos a poner de acuerdo ;-). Para mi la seguidad no
distinge entre grandes coporaciones o pymes, es necesaria en ambas, con la
unica diferencia (la mas importante): el empleo de recursos que pueden
destinar una y otra. Pero de todas formas, no por tener pocos recursos, voy
a dejar de implementar medidas basicas que no suponen ningun gasto. No hay
que asumir nada, el peligro esta ahi, el problema es que se tiende a pensar
que solo les ocurre a los demas. Aunque use un simple servidor Windows
2000/2003 con NAT, puedo perfectamente habilitar el acceso a Internet por la
conexion VPN.
Vamos a suponer una empresa pequeña que dispone de un servidor que realiza
muchas funciones: ficheros, DC, VPN, NAT, aplicaciones de nominas,
contabilidad, bases de datos de clientes, ect. Un comercial se conecta a la
VPN y su PC no cumple las medidas de seguridad basicas, le cuelan un troyano
o se aprovechan de una vulnerabilidad y toman control de su PC. El intruso
examina la tabla de rutas y sorpresa... si hay una conexion RAS/VPN, para
dentro y ahora que por casualidad pueda acceder a las nominas o
contabilidad y cepillarse la aplicacion, los datos o falsear informacion.
Esto es un problema muy gordo para la empresa, no crees ?
Con una medida basica como evitar los split tunneles, no habria pasado nada
ya que en el momento de conectarse a la VPN, se pierde la conectividad con
Internet y el intruso no puede hacer absolutamente nada.

Lo ideal puede ser la primera opción o bien la segunda, depende del
criterio
empleado y el uso que se le vaya a dar a la VPN.

Un caso... otorgas a una empresa asociada la posibilidad de conectarse
mediante VPN a unos servicios que previamente has dispuesto para ello. ¿La
empresa asociada preferirá navegar a través tuya y que tú aplicas reglas
de
firewall o mejor preferirán navegar por su conexión y aplicar ellos sus
propias reglas?.

Aqui estas asumiendo un riesgo y eso lo dedicen las directivas de la
empresa, si lo permiten perfecto, pero puede ser un mala practica de
seguridad si la empresa desde la que se realiza la conexion VPN no tiene
implementadas ciertas medidas de seguidad. Cuando se asumen riesgos (puede
ser por varios motivos...), al menos hay que tener planes de contingencia,
valorar riesgos y posibles daños y ser muy conscientes de lo que podria
llegar a pasar
Es un terreno con muchos matices, desde luego que si, pero los split
tunneles desde el puntode vista de la seguidad, son malas practicas.

Todo depende de la casuística, de ahí el comentar las dos posibilidades.

En eso estamos de acuerdo, se comentan las posibilidades y que luego cada
cual tome su decision, si bien, a mi me gusta matizar que crear split
tunneles supone acceptar un riesgo. Muchas veces, los administradores,
cuando no hay una directiva de empresa, tendemos a tomar el camino mas
sencillo y en algunos casos, lo sencillo no es lo correcto.
No pueden colar un gol a todos, no hay red 100% segura, pero al menos hay
que intentar evitarlo ;-)

Un saludo.
Ivan
MS MVP ISA Server

Hola Iván efectivamente en esto es difícil ponerse de acuerdo, todo es
cuestión de la situación y las personas unidas a sus criterios.

Cierto es que la seguridad es requisito básico bajo cualquier circunstancia.
Cada empresa y su correspondiente departamento dictaminarán las normativas
correspondientes para lo mismo. Ninguno, desafortunadamente, estamos a salvo
de posibles ataques ni intentos de lo mismo, cualquier agujero tarde o
temprano será aprovechado sin lugar a dudas.

Pero vaya, que me digan a mí cualquiera de nuestros socios de negocio que
cuando establezcamos la VPN naveguemos a través de ellos. Por eso mismo, por
seguridad, prefiero navegar a través de nuestras conexiones. Ya
estableceremos nosotros el filtrado correspondiente en nuestros cortafuegos y
para ello hemos efectuado el diseño de nuestra topología. Si alguien consigue
penetrar en sus redes después ha de intentarlo en la nuestra. No te digo que
sea imposible, ni mucho menos, seguro que les resultará hasta más fácil, pero
me quedo más tranquilo si el mantenimiento de los cortafuegos lo llevamos
nosotros y no terceros ni ajenos. Del mismo modo pensarán ellos, y no les
puedo quitar razón a sus razonamientos. ¿Qué podemos hacer?, cerrar todo al
máximo posible y únicamente dejar disponible justo lo estrictamente necesario.

¿Le cuelan un troyano a uno de nuestros usuarios?, del mismo modo, si
quieren aprovechar la VPN que tiene creada en su equipo por mucho que no
permitamos que navegue de forma independiente a dicha VPN sabemos que esa
configuración puede ser modificada a gusto del "propietario" del troyano, por
lo que basar la seguridad únicamente en ese criterio para las VPN es dejarlo
un poco abierto a las manos de los demás. ¿No le robaron a un ingeniero de
diseño de Intel el portátil y con él todos los diseños de micros de Intel?.
Estamos hablando de Intel y de un usuario que muy torpe no ha de ser. Son
tantos los puntos a tener en cuenta a la hora de la seguridad que muchas
veces se desprecian los más básicos.

Hay que tomarse la seguridad con la misma importancia sea cual sea el
dispositivo, aunque sea un simple teléfono móvil, todo aquello que se conecte
a nuestra red ha de estar lo más blindado posible.

¿Lo ideal qué sería?, que todos pudiéramos aplicar los mismos conceptos y
criterios, pero lamentablemente eso no suele suceder así y hay que adaptarse
a las situaciones. Eso era lo que pretendía exponer en mi anterior post, son
tantas las posibilidades que habría que analizar todas y cada una de ellas de
modo independiente. Además de tratar con máquinas tratamos con personas, y
eso nunca lo debemos olvidar, tanto para lo bueno como para lo malo.

Puede ser una charla sin final, pero vaya, resulta interesante, ¿no?.

Pasad buen fin de semana y aquellos afortunados que puedan disfrutar del
puente... ¡¡¡sana envidia!!!.

* descaro *

"Ivan [MS MVP]" escribió:

Hola descaro,

"descaro" escribió en el mensaje
news:
> Hola Iván.
>
> La segunda opción se la proponía de cara a un usuario en su propio
> domicilio. La idea es que no consuma recursos de ancho de banda de la
> empresa
> para navegación o descargas de Internet, tan sólo para lo estrictamente
> necesario.

En esto nos nos vamos a poner de acuerdo ;-). Para mi la seguidad no
distinge entre grandes coporaciones o pymes, es necesaria en ambas, con la
unica diferencia (la mas importante): el empleo de recursos que pueden
destinar una y otra. Pero de todas formas, no por tener pocos recursos, voy
a dejar de implementar medidas basicas que no suponen ningun gasto. No hay
que asumir nada, el peligro esta ahi, el problema es que se tiende a pensar
que solo les ocurre a los demas. Aunque use un simple servidor Windows
2000/2003 con NAT, puedo perfectamente habilitar el acceso a Internet por la
conexion VPN.
Vamos a suponer una empresa pequeña que dispone de un servidor que realiza
muchas funciones: ficheros, DC, VPN, NAT, aplicaciones de nominas,
contabilidad, bases de datos de clientes, ect. Un comercial se conecta a la
VPN y su PC no cumple las medidas de seguridad basicas, le cuelan un troyano
o se aprovechan de una vulnerabilidad y toman control de su PC. El intruso
examina la tabla de rutas y sorpresa... si hay una conexion RAS/VPN, para
dentro y ahora que por casualidad pueda acceder a las nominas o
contabilidad y cepillarse la aplicacion, los datos o falsear informacion.
Esto es un problema muy gordo para la empresa, no crees ?
Con una medida basica como evitar los split tunneles, no habria pasado nada
ya que en el momento de conectarse a la VPN, se pierde la conectividad con
Internet y el intruso no puede hacer absolutamente nada.

> Lo ideal puede ser la primera opción o bien la segunda, depende del
> criterio
> empleado y el uso que se le vaya a dar a la VPN.
>
> Un caso... otorgas a una empresa asociada la posibilidad de conectarse
> mediante VPN a unos servicios que previamente has dispuesto para ello. ¿La
> empresa asociada preferirá navegar a través tuya y que tú aplicas reglas
> de
> firewall o mejor preferirán navegar por su conexión y aplicar ellos sus
> propias reglas?.

Aqui estas asumiendo un riesgo y eso lo dedicen las directivas de la
empresa, si lo permiten perfecto, pero puede ser un mala practica de
seguridad si la empresa desde la que se realiza la conexion VPN no tiene
implementadas ciertas medidas de seguidad. Cuando se asumen riesgos (puede
ser por varios motivos...), al menos hay que tener planes de contingencia,
valorar riesgos y posibles daños y ser muy conscientes de lo que podria
llegar a pasar
Es un terreno con muchos matices, desde luego que si, pero los split
tunneles desde el puntode vista de la seguidad, son malas practicas.

> Todo depende de la casuística, de ahí el comentar las dos posibilidades.

En eso estamos de acuerdo, se comentan las posibilidades y que luego cada
cual tome su decision, si bien, a mi me gusta matizar que crear split
tunneles supone acceptar un riesgo. Muchas veces, los administradores,
cuando no hay una directiva de empresa, tendemos a tomar el camino mas
sencillo y en algunos casos, lo sencillo no es lo correcto.
No pueden colar un gol a todos, no hay red 100% segura, pero al menos hay
que intentar evitarlo ;-)

Un saludo.
Ivan
MS MVP ISA Server