Presentando los servicios de SSL VPN ofrecidos en los firewall de Huawei primera parte Destacado

Última respuesta jul. 17, 2019 16:02:02 107 3 3 0

Bienvenidos de nueva cuenta al foro, continuamos con la presentación de la tecnología de seguridad SSL VPN en esta publicación platicaremos sobre los servicios disponibles bajo esta tecnología. En esta publicación platicaremos sobre web proxy. Pasemos a la información.


Web Proxy

El servicio de web proxy es utilizado por usuarios remotos para acceder a los recursos web de la intranet. A continuación explicaremos como se lleva a cabo esta función y que mecanismos utiliza SSL VPN para encapsular los paquetes de datos.


Procedimiento de interacción de servicio

En la figura 1 muestra el procedimiento para que un usuario remoto acceda al servidor web en la red de la empresa mediante la función de proxy web.


1. El usuario remoto accede al FW usando su nombre de dominio (https: // svn).


2. Después del inicio de sesión, el usuario remoto ve una lista de los recursos web accesibles y hace clic en el enlace del recurso web deseado. El FW vuelve a escribir las URL de los recursos web, incluida la (http: //website/resource.html) solicitada por el usuario remoto, cuando se enumera el recurso web accesible para el usuario remoto. Después de que el usuario remoto haga clic en la URL del recurso web deseado, se envía una solicitud HTTPS a la URL reescrita, que es la combinación de la URL del FW (https: // svn) y la del recurso web solicitado (http: //website/resource.html).


3. Después de recibir la solicitud HTTPS de la URL reescrita, el FW inicia una nueva solicitud HTTP a la URL real del recurso web deseado (http: //website/resource.html).


4. El servidor web devuelve la página de recursos solicitados al FW mediante HTTP.


5. El FW devuelve la página de recursos del servidor web al usuario remoto utilizando HTTPS.


Figura 1. Procedimiento de interacción del servicio

153609k5e2wq00zqcwnqw2.png?image.png


Según el procedimiento, la implementación de la función de proxy web consta de dos fases. En la primera fase, se establece una sesión HTTPS entre el usuario remoto y el FW. En la segunda fase, se establece una sesión HTTP entre el FW y el servidor web en la red de la empresa. El FW reescribe y reenvía las solicitudes de los usuarios remotos al servidor web en la red de la empresa.


La implementación de la función de proxy web se clasifica en las funciones de reescritura y enlace web.


Reescritura web

La reescritura en el término reescritura web tiene los siguientes dos significados: El primer significado es cifrado, es decir, el FW cifra la URL real del recurso web solicitado por un usuario remoto cuando el usuario remoto hace clic en la URL del recurso web solicitado. Como se muestra en el segundo paso en la Figura 1, la URL real del recurso web deseado es http: //website/resource.html. El FW encripta la URL reescribiéndola en http: //website/D%3A/0-2+resource.html. La URL reescrita se muestra en lugar de la URL real para que la dirección del servidor web en la red de la empresa esté oculta a los forasteros. En la reescritura web, el FW vuelve a escribir no solo la URL del recurso web solicitado, sino también las URL de los objetos, como el contenido de Flash, los archivos PDF o los applets de Java, a los que hacen referencia los recursos web.

El otro significado es la adaptación. Como el desarrollo de las tecnologías de red, los terminales, como los teléfonos inteligentes, tabletas y portátiles, se popularizan entre los usuarios remotos. Varios tipos de terminales utilizan diferentes tipos de sistemas operativos y navegadores y, por lo tanto, admiten diferentes tipos de recursos web. Para eliminar los impactos provocados por tales diferencias, el FW no solo debe cifrar las solicitudes de los usuarios remotos, sino también adaptar los recursos web solicitados a los terminales utilizados por los usuarios remotos. De hecho, el FW adapta automáticamente los recursos web solicitados a los terminales solicitantes una vez que la función de proxy web está habilitada. Si las anomalías persisten para ciertos objetos HTML o controles ActiveX después de habilitar el proxy web, configure manualmente las reglas de reescritura para ellos.


Enlace web

Mediante la función de enlace web, el FW solo reenvía las solicitudes de los usuarios remotos.

Debido a que faltan el cifrado y la adaptación en la función de enlace web, la eficiencia de procesamiento del servicio es mayor que la de la función proxy web. Debido al cifrado y la adaptación, la seguridad y adaptabilidad de la función de reescritura de la web es mayor que la de la función de enlace web.


153707oykxy8z7xtpnyf88.png?image.png


Encapsulación de paquetes en proxy web

La Figura 2 muestra el procedimiento de encapsulación de paquetes cuando un usuario remoto accede a los recursos web en la red de la empresa. Dicho acceso comprende dos sesiones: una es la sesión HTTPS y la otra es la sesión HTTP. En la sesión HTTPS, el puerto de origen es 6293, que es un puerto aleatorio, y el puerto de destino es 443. En la sesión HTTP, el puerto de origen es 10091, que también es un puerto aleatorio, y el puerto de destino es 80.


Figura 2. Encapsulación de paquetes en proxy web

153813bzi2ezfvineljhvh.png?image.png


Como se observó en la explicación el servicio de web proxy es muy útil para proteger el tráfico de los usuarios móviles de forma eficiente.


FIN


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Publicado 2019-7-2 11:40:59 Útil(1) Útil(1)
Excelente contenido, gracias por el aporte!
  • x
  • convención:

Maynez
GNOC Engineer at Huawei Technologies Co. Ltd
Moderador Publicado 2019-7-17 16:01:47 Útil(0) Útil(0)
Gustavo.HdezF, buen día.

Excelente la publicación, pero me surgieron algunas preguntas de esta publicación, que serian las siguientes:

1.- Si un cliente final, no cuenta ningún recurso web en su intranet para sus usuarios remotos, ¿entonces no es necesario configurar SSL VPN en nuestros appliance USG6000? en caso que el ciente final si tenga recursos web en su intranet, pero no desee que sus usuarios remotos accedan a estos recursos web desde la WAN, ¿tampoco seria necesario configurar SSL VPN en nuestros appliance USG6000?

2.- En la publicación en el párrafo Encapsulación de paquetes en proxy web, los puertos de origen es aleatorio y quiero pensar que el puerto destino es fijo ¿Es posible configurar estos puertos de forma fija, es decir, que no sean aleatorios y así mismo especificar el numero de puerto de forma fija?

Adicionalmente, comparto con nuestra comunidad Huawei Enterprise el siguiente link (vídeo de youtube) donde podrán aprender a configurar SSL VPN en nuestros appliance USG6000: https://youtu.be/WItH81d3oHQ

Saludos!
  • x
  • convención:

Senior Cybersecurity Engineer
Moderador Publicado 2019-7-17 16:02:02 Útil(0) Útil(0)
Gustavo.HdezF, buen día.

Excelente la publicación, pero me surgieron algunas preguntas de esta publicación, que serian las siguientes:

1.- Si un cliente final, no cuenta ningún recurso web en su intranet para sus usuarios remotos, ¿entonces no es necesario configurar SSL VPN en nuestros appliance USG6000? en caso que el ciente final si tenga recursos web en su intranet, pero no desee que sus usuarios remotos accedan a estos recursos web desde la WAN, ¿tampoco seria necesario configurar SSL VPN en nuestros appliance USG6000?

2.- En la publicación en el párrafo Encapsulación de paquetes en proxy web, los puertos de origen es aleatorio y quiero pensar que el puerto destino es fijo ¿Es posible configurar estos puertos de forma fija, es decir, que no sean aleatorios y así mismo especificar el numero de puerto de forma fija?

Adicionalmente, comparto con nuestra comunidad Huawei Enterprise el siguiente link (vídeo de youtube) donde podrán aprender a configurar SSL VPN en nuestros appliance USG6000: https://youtu.be/WItH81d3oHQ

Saludos!
  • x
  • convención:

Senior Cybersecurity Engineer

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba