[Dr.WoW] [No.46] uso integrado de las cuatro funciones principales de VPN SSL

73 0 0 0

 

Después de terminar su revisión de la extensión de la red, la mayoría de los lectores estarán un poco confundidos, y preguntarse por qué, si la extensión de red es tan poderosa, no podemos simplemente usar el servicio de extensión de red para un usuario. ¿Porqué todavía utilizamos el proxy Web, el intercambio de archivos, etc.

¿Qué? Esta es una pregunta clave. La prestación de servicios de SSL VPNs en tantas capas diferentes y diferentes granularidades es para controlar los permisos de acceso de los usuarios remotos a los sistemas internos de red; al final esto se hace para un objetivo: La seguridad. Cuando se utiliza el servicio de extensión de red, esto significa que un usuario remoto puede acceder a todo tipo de recursos en la red interna de la empresa. Aunque esto es muy conveniente para el usuario, esto aumenta sin duda el riesgo de gestión y control para los recursos de red internos. Tanto para satisfacer las necesidades de los usuarios como para controlar correctamente los permisos, es necesario configurar diferentes servicios para el usuario de acuerdo con las necesidades del usuario, evitando así el problema mencionado.

 

La Figura 1-1 muestra un escenario de red hipotético en el que una determinada empresa ha desplegado equipos de firewall y ha proporcionado el servicio SSL VPN para empleados de viajes de empresas.

 

Figura 1-1 SSL VPN escenario integrado

https://forum.huawei.com/enterprise/en/data/attachment/forum/dm/ecommunity/uploads/2015/1103/10/5638195c89cf1.png

 

En la Tabla 1-1 se muestran las necesidades de los usuarios remotos de la empresa para acceder a la red interna y el plan en el firewall para la apertura de los servicios SSL VPN para los empleados itinerantes.

 

Tabla 1-1 SSL VPN plan de servicio

Identidad del empleado itinerante

Necesidad de acceso

Tipo de servicio

Autorización de roles

Empleados ordinarios

Acceder al sistema OA

Proxy web

Cree un recurso www.oa.com en el servicio de proxy Web y asocie este recurso a un empleado ordinario o al grupo al que pertenece el empleado ordinario.

Utilice el sistema de correo electrónico de la empresa para enviar y recibir correos electrónicos

Reenvío de puertos

Cree un recurso de servidor de correo electrónico en el servicio de reenvío de puertos y asocie este recurso a un empleado ordinario o al grupo al que pertenece el empleado ordinario.

Gerentes

Acceso al sistema OA y al sistema financiero

Proxy web

Crear dos recursos: "www.oa.com" (ya creado) y www. finance.com ― en el servicio proxy Web, y vincular estos recursos a un gestor o al grupo al que pertenece el gestor.

Acceder al servidor de intercambio de archivos

Compartir archivos

Cree un recurso de servidor de archivos en el servicio de intercambio de archivos y asocie este recurso a un gestor o al grupo al que pertenece el gestor.

Utilice el sistema de correo electrónico de la empresa para enviar y recibir correos electrónicos

Reenvío de puertos

Cree un recurso de servidor de archivos en el servicio de reenvío de puertos y bind el recurso del servidor de correo electrónico con un gestor o el grupo al que pertenece un gestor.

Convocar teleconferencias

Extensión de red

Habilitar la función de extensión de red y configurar la dirección del servidor de voz en "el segmento de red interna accesible", y luego vincular el servicio de extensión de red con un gestor o el grupo del gestor.

 

Una vez que la configuración del servicio de red está completa, cuando los usuarios con diferentes identidades se conectan al gateway virtual, los recursos de servicio que pueden ver también son diferentes.

 

Empleados ordinarios

Después de que los empleados de viajes ordinarios accedan al gateway virtual, pueden ver los enlaces de recursos a los que pueden acceder, como se muestra en la Figura 1-2, y luego acceder a ellos mediante un solo clic en el enlace.

 

Figura 1-2 Interfaz de inicio de sesión del empleado ordinario

https://forum.huawei.com/enterprise/en/data/attachment/forum/dm/ecommunity/uploads/2015/1103/10/5638197fd6cc8.png

 

l  Gerentes

La Figura 1-3 muestra los controladores de viaje de la interfaz ver después de iniciar sesión en el gateway virtual.

 

Figura 1-3 Interfaz de inicio de sesión del Administrador

https://forum.huawei.com/enterprise/en/data/attachment/forum/dm/ecommunity/uploads/2015/1103/10/563819937b2d7.png

 

De ellos, el proxy Web y los recursos de intercambio de archivos están todos provistos para la selección por el usuario usando enlaces. El reenvío de puertos y la extensión de red sólo pueden utilizarse después de hacer clic en Enable. Pero, ¿cómo puede un usuario remoto saber cuál de los recursos de red interna de la empresa podrán acceder después de hacer clic en habilitar? Esto requiere que el administrador de la red utilice otros canales, por ejemplo un boletín, para informar al usuario remoto del nombre de dominio y la dirección del servidor de recursos de red interna de la empresa. En este sentido, el proxy Web y el intercambio de archivos son ambos ventajosos, porque cuando el usuario remoto utiliza estos dos servicios, puede ver qué recursos puede acceder desde la lista de recursos después de iniciar sesión en el gateway virtual.

 

La relación entre la necesidad de un usuario remoto de acceder a la red interna de la empresa y qué tipo de servicio SSL VPN debe habilitarse en el firewall se puede dividir en dos puntos.

 

l  El tipo de recurso (recurso Web, recurso de archivos, TCP, IP) que el usuario remoto accede a la red interna de la empresa determina qué tipo de servicio SSL VPN debe seleccionar el administrador de red.

Por ejemplo, para un empleado viajero que sólo necesita acceder a recursos Web y recursos de correo electrónico, sólo se pueden habilitar dos servicios, proxy Web y reenvío de puertos. Sin embargo, si un gestor necesita acceder a cuatro tipos de recursos, entonces esto requiere que se inicien cuatro tipos de servicios para este usuario.

Es necesario indicar que como la extensión de red está equipada con la funcionalidad de los tres anteriores servicios, para hacer la configuración más conveniente, también podemos habilitar sólo el servicio de extensión de red para el gestor, permitiendo al gestor acceder a todos los recursos IP de la red interna.

 

l  Si el usuario remoto posee permisos de acceso a un determinado recurso se determina mediante la configuración de autorización de roles.

Con el fin de evitar tener que configurar la autorización de servicios para todos y cada uno de los empleados, podemos establecer dos grupos (empleados y gerentes ordinarios), añadir estos dos tipos de empleados en el grupo apropiado, y luego simplemente llevar a cabo la autorización de servicio para estos dos grupos de rol.

 

Por ejemplo, si un empleado viajero y un gestor permiten el servicio de proxy Web, el empleado viajero sólo podrá acceder al sistema OA (www.oa.com) mientras que el gestor puede disfrutar de permisos de acceso tanto al sistema OA como al sistema financiero (www.finance.com) en the mismo tiempo.

Preguntas del doctor WoW:

1. Durante el protocolo SSL handshake, con el fin de resolver los problemas del algoritmo de cifrado de clave pública es demasiado complicado y la carga de cálculo de cifrado/descifrado es demasiado grande, ¿qué tipos de métodos pueden ser adoptados para aumentar la eficiencia?

2. ¿La función de intercambio de archivos soporta la creación de nuevos archivos?

3. Después de que un empleado viajero ingresa a un SSL VPN descubre que la lista de recursos está vacía, pero de repente recuerda que su administrador le dio una solución secreta. ¿Alguien puede adivinar cuál es el contenido de esta solución secreta?

4. Cuál es la relación entre Web-Link y el puerto de direccionamiento.

5. En las VPN SSL, si el cliente y el servidor utilizan un certificado (s) para verificar la identidad de cada uno, ¿qué certificados (s) hacen el cliente y el servidor para adquirir respectivamente?

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje