Red VPN

"descaro" escribió en el mensaje
news:

Hola Iván efectivamente en esto es difícil ponerse de acuerdo, todo es
cuestión de la situación y las personas unidas a sus criterios.

Cierto es que la seguridad es requisito básico bajo cualquier
circunstancia.
Cada empresa y su correspondiente departamento dictaminarán las normativas
correspondientes para lo mismo. Ninguno, desafortunadamente, estamos a
salvo
de posibles ataques ni intentos de lo mismo, cualquier agujero tarde o
temprano será aprovechado sin lugar a dudas.

Pero vaya, que me digan a mí cualquiera de nuestros socios de negocio que
cuando establezcamos la VPN naveguemos a través de ellos. Por eso mismo,
por
seguridad, prefiero navegar a través de nuestras conexiones.

Tu conoces tu red, ellos posiblemte no, a ti te gustara navegar a traves de
tus firewall/proxys y a ellos no. Es mas, el requisito basico seria
establecer al conexionVPN sin permitir navegar, aunque claro esta que tu no
tienes control sobre el cliente a no ser que implementes medidas como la
cuarentena y dejes conectarse al cliente solo si cumple una seria de
requisitos, entre ellos no tener deshabilitado el gateway en red remota. No
solo se trata de navegar si no de lo que puede venir de una red "no
confiable". Por supuesto, solo se deberia permtir al cliente VPN acceder
a los servidores necesarios y usando ciertos protocolos, nada mas.

Ya
estableceremos nosotros el filtrado correspondiente en nuestros
cortafuegos y
para ello hemos efectuado el diseño de nuestra topología. Si alguien
consigue
penetrar en sus redes después ha de intentarlo en la nuestra. No te digo
que
sea imposible, ni mucho menos, seguro que les resultará hasta más fácil,
pero
me quedo más tranquilo si el mantenimiento de los cortafuegos lo llevamos
nosotros y no terceros ni ajenos. Del mismo modo pensarán ellos, y no les
puedo quitar razón a sus razonamientos. ¿Qué podemos hacer?, cerrar todo
al
máximo posible y únicamente dejar disponible justo lo estrictamente
necesario.

Esactamente, pero tambien seria necesario que el cliente que se conecta
cumpla unos requisitos basicos, lo cual solo se puede conseguir con una red
de cuarentena...

¿Le cuelan un troyano a uno de nuestros usuarios?, del mismo modo, si
quieren aprovechar la VPN que tiene creada en su equipo por mucho que no
permitamos que navegue de forma independiente a dicha VPN sabemos que esa
configuración puede ser modificada a gusto del "propietario" del troyano,
por
lo que basar la seguridad únicamente en ese criterio para las VPN es
dejarlo
un poco abierto a las manos de los demás.

En eso no estoy de acuerdo, sin split tunneles, y hablando de una conexion
VPN desde internet sin estar dentro de una red de empresa, al conectarse a
la VPN se pierde la conectividad con Internet. Otra cosa esque el intruso
haya manipulado esto tiempo atras, por supuesto que es posible, pero se
trata de minimizar riesgos y crear split tunneles, lo mires por donde lo
mires es una mala practica. De todas formas, no me tienes porque creer a mi,
busca en google, pasate por sans, security focus y sitios de seguridad,
busca articulos sobre ello o mira mensajes de los foros y listas de correo,
veras lo que dicen sobre ello. Te aseguro que nadie dira que es una buena
practica. Pero bueno, a veces hay que asumir riesgos, por el motivo que sea
y si se permiten split tunneles, cada directiva sabra porque se permiten

¿No le robaron a un ingeniero de

diseño de Intel el portátil y con él todos los diseños de micros de
Intel?.
Estamos hablando de Intel y de un usuario que muy torpe no ha de ser. Son
tantos los puntos a tener en cuenta a la hora de la seguridad que muchas
veces se desprecian los más básicos.

Hombre, y a otro le robaron el portatil antes de dar una conferencia y lo
tenia a 10 metros.
Por supuesto que la seguridad son muchas cosas y no solo los split tunneles
y por supuesto que el eslabon mas debil siempre son las personas

Hay que tomarse la seguridad con la misma importancia sea cual sea el
dispositivo, aunque sea un simple teléfono móvil, todo aquello que se
conecte
a nuestra red ha de estar lo más blindado posible.

¿Lo ideal qué sería?, que todos pudiéramos aplicar los mismos conceptos y
criterios, pero lamentablemente eso no suele suceder así y hay que
adaptarse
a las situaciones. Eso era lo que pretendía exponer en mi anterior post,
son
tantas las posibilidades que habría que analizar todas y cada una de ellas
de
modo independiente.

Por supuesto, cada red es un mundo, pero si hay criterios y normas basicas
de seguridad que se deben aplicar.No crear split tunneles es una de ellas,
siempre y cuando sea posible, eso si intento dejarlo claro. Tu dejarias que
un usuario en tu red se conecte un modem y salga a Intenet ? pues un split
tunnel es lo mismo...

Además de tratar con máquinas tratamos con personas, y
eso nunca lo debemos olvidar, tanto para lo bueno como para lo malo.

Puede ser una charla sin final, pero vaya, resulta interesante, ¿no?.

Lo es lo es ;-)

Pasad buen fin de semana y aquellos afortunados que puedan disfrutar del
puente... ¡¡¡sana envidia!!!.

Lo mismo para ti.

Un saludo.
Ivan
MS MVP ISA Server