De acuerdo

Usar VPN para trabajo remoto

Última respuesta Sep 27, 2020 09:31:15 192 1 0 0 0

Hola a todos.


Durante esta epidemia de COVID-19, tenemos que expandir enormemente el número de trabajadores remotos en nuestra organización. Usamos el firewall de Huawei USG y la función SSL VPN para hacerlo posible. En este tema me gustaría describir los problemas que enfrentamos y cómo los combatimos.


Hablemos de los riesgos de seguridad de una VPN masiva. Muchos usuarios con muchas computadoras se están conectando a la red empresarial. Usan su propio equipo para hacer eso. Y no podemos controlar la política de seguridad e incluso el software antivirus en sus PC. La VPN les da la posibilidad de conectar sus PC a la LAN empresarial. Cuando el usuario conecta el cliente VPN al servidor VPN, la PC del usuario se “coloca en la LAN empresarial”. Si no hemos limitado las posibilidades de las conexiones, entonces cada virus (o pequeño hacker) tendrá la capacidad de hacer que nuestras TIC no funcionen correctamente. Ahora describiré el diagrama de red de esta conexión para proporcionar una visión más clara de esto.



sec_admin_ssl_0001_fig01.png


El usuario remoto conecta su propio dispositivo a Internet. Luego inicia el cliente VPN (SecoClient). El cliente VPN establece la conexión con el servidor VPN (firewall USG) y crea un "túnel VPN SSL". Cuando termina, el cliente VPN obtiene la dirección IP del servidor VPN y crea un adaptador LAN en el host de los usuarios con los parámetros IP del servidor VPN. Después, ese usuario puede enviar paquetes al servidor VPN. Y el servidor VPN sabe que el usuario tiene una dirección IP del grupo de direcciones IP de los clientes VPN. Es importante comprender que el usuario no puede enviar paquetes a la red empresarial de ninguna otra forma que no sea a través del servidor VPN.


Para tener la capacidad de enviar y recibir paquetes de red, necesitamos configurar algún enrutamiento. El usuario debe saber qué segmentos de red se pueden enrutar con el servidor VPN y los enrutadores LAN deben saber que las direcciones IP de los clientes VPN se enrutan con el servidor VPN. Deben existir ambas rutas para iniciar el funcionamiento de la VPN.


Ahora hablaremos sobre las posibilidades de VPN SSL de Huawei y su implementación.


Proxy web


Utilizado por usuarios remotos para acceder a los recursos web de la intranet.


Compartir de archivos


Usado por usuarios remotos para acceder a un servidor de archivos de intranet que ejecuta el sistema operativo Windows con capacidad para Server Message Block (SMB) y aquellos que ejecutan el sistema operativo Linux con capacidad para Network File System (NFS).


Los usuarios pueden utilizar navegadores web para realizar algunas operaciones en un sistema de archivos de intranet tan fácilmente como lo hacen en un sistema de archivos local. Las operaciones incluyen la creación y exploración de un directorio y la descarga, carga, cambio de nombre y eliminación de un archivo.


Reenvío de puertos


Utilizado por servicios remotos para acceder a los recursos TCP de la intranet. El reenvío de puertos se aplica a los servicios de aplicaciones TCP, como Telnet, escritorio remoto, FTP y correo electrónico. El reenvío de puertos permite el acceso seguro a nivel de puerto a los recursos de la intranet.


Extensión de red


Utilizado por servicios remotos para acceder a los recursos IP de la intranet.

Los recursos web, los recursos de archivos y los recursos TCP son recursos IP. El servicio de extensión de red se habilita cuando no es necesario distinguir los tipos de recursos a los que los usuarios desean acceder.




No explicaré todas las variantes de servicios, solo las que usamos. Usamos el primero y el último.


Usando proxy web

Cuando el usuario necesita configurar su computadora en casa, necesita algunas instrucciones y software. La mayoría de nuestros usuarios remotos comienzan a trabajar de forma remota después del cierre de la oficina. En este caso, necesitamos darles instrucciones y software para instalar clientes VPN. Para hacer eso, cargamos el software VPN y los archivos con instrucciones al servidor web local. Después de eso, publicamos estos archivos con la función de proxy web de SSL VPN. Ahora el usuario puede usar el navegador para conectarse a nuestro "portal de VPN SSL de firewall" y descargar el software desde él. Pero solo podrá hacerlo después de la autenticación y autorización. En esta fase, no necesita un cliente VPN. Lo descarga desde el "portal de VPN SSL de firewall".


Cuando el usuario utiliza un proxy web, no obtiene acceso completo a la red empresarial. Solo tiene la capacidad de acceder a algunos servidores web. Si desea utilizarlo para comprobar sus sitios, algunas funciones no funcionan (tuvimos problemas con los enlaces externos y quizás con las cookies o las sesiones). Pero es una buena forma de publicar las instrucciones y el software.


Usando extensión de red


Esta es la forma principal para nuestros trabajadores remotos. Obtuvieron acceso a cierto software interno basado en web e infraestructura de escritorio virtual (VDI). Limitamos la lista de los recursos accesibles para conseguir la máxima protección de las TIC. Después de limitar las direcciones IP accesibles, limitamos los servicios con políticas de seguridad. Después de esto a las limitaciones, podemos permitir solo 80 puertos para el servidor web y denegarlo para el servidor FTP. El uso de los sistemas web en esta configuración es mejor que con el proxy web porque no obtiene la reescritura de la URL y el navegador puede funcionar directamente con el servidor web y utilizar todas sus funciones.


Algunas personas necesitan más sistemas basados en la web. Necesitan acceder a los archivos del NAS u otro software. Si permitimos el acceso remoto a archivos, permitiremos el acceso remoto al NAS desde la PC del hogar del usuario y todos sus virus. No quiero hacer eso. Y para que la gente trabaje usamos VDI. ¿Por qué VDI es más seguro? Debido a que no enviamos archivos desde la PC del usuario, solo enviamos acciones del mouse y del teclado y recibimos la imagen de la pantalla (sí, negamos el uso compartido de archivos locales con VDI). Cuando el usuario se conecta a la VDI, obtiene su propia computadora virtual dentro de la LAN empresarial. Puede trabajar con todos los recursos empresariales. Para permitir el uso de VDI, debemos permitir que un número limitado de protocolos pase a través de VPN. Para encontrar la lista de puertos y protocolos que deben estar permitidos, puede buscar con “firewall FusionAccess” o algo similar.


VDI no solo da ventajas. Tiene algunos inconvenientes. En primer lugar, necesita servidores, almacenamientos, software, administradores. En segundo lugar, "a los usuarios no les gusta trabajar en VDI". Se congela en videos, necesita software adicional, no parece "la propia PC". En el caso de VPN, tenemos algunos problemas adicionales con el ancho de banda de Internet. VDI lo consume. Más conexiones VDI con VPN: utilizan más ancho de banda de Internet. Para protegernos de este problema, hacemos algunas preferencias para que los clientes VDI remotos reduzcan el ancho de banda de Internet: reduzca los fotogramas por segundo y algunos parámetros de calidad de imagen. También podemos limitar el ancho de banda máximo del cliente VDI (y lo hicimos). Se utiliza más ancho de banda cuando se cambia la imagen en la pantalla. Y en "condiciones normales" no es muy grande.


Documentación de Huawei: https://support.huawei.com/hedex/hdx.do?docid=EDOC1100013380&lang=en&idPath=24030814|9856724|21430823|21100508|8661805



Saludos!

  • x
  • convención:

anyelisfee
Publicado 2020-9-27 09:31:15
Excelente!! de verdad muy util en estos tiempos!
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.