Está en la página 1de 7

Qu es y qu ofrecen las VPN?

VPN es una tecnologa de red que permite una extensin segura de la red local
(LAN) sobre una red pblica o no controlada como Internet, mediante un
proceso de encapsulacin y de encriptacin, de los paquetes de datos a
distintos puntos remotos mediante el uso de unas infraestructuras pblicas de
transporte. Permite que la computadora en la red enve y reciba datos sobre
redes compartidas o pblicas como si fuera una red privada.

VPN ofrece una solucin de bajo costo para implementar la red a larga
distancia al basarse sobre Internet, adems de ofrecer autenticacin de
usuarios o equipos a travs de cifrados, firmas digitales o claves de acceso
para una identificacin inequvoca; ofrece tambin integridad, garantizando
que los datos enviados por el emisor sean exactos a los que se reciben, y
confidencialidad, el cifrado hace posible que nada de lo transmitido sea
interceptado o interpretada por nadie ms que emisor y destino.

Qu constituye una VPN?


Acceso remoto: tambin conocida como red virtual de acceso telefnico
privada (VPDN). Es una conexin de usuario a LAN utilizada por una empresa
que tiene empleados que necesitan conectarse a la red privada desde varias
ubicaciones remotas. Normalmente, una empresa que desee configurar una gran
VPN de acceso remoto proporciona a sus usuarios algn tipo de cuenta de
acceso telefnico a Internet mediante un proveedor de servicios de Internet
(ISP). As, los trabajadores que estn de viaje pueden marcar un nmero 1-800
para entrar en Internet y usar su software cliente de VPN para acceder a la
red de la empresa. Este tipo de VPN es muy til, por ejemplo, para una gran
empresa con cientos de comerciales que necesite una VPN de acceso remoto.
Las VPN de acceso remoto permiten establecer conexiones seguras y cifradas
entre la red privada de una empresa y usuarios remotos a travs de un
proveedor de servicios.

Sitio a sitio: una empresa pueden conectar varios sitios fijos a travs de una
red pblica como Internet, utilizando un equipo exclusivo y un cifrado a gran
escala. Cada sitio necesita nicamente disponer de una conexin local a la
misma red pblica, lo que permite que la empresa ahorre dinero en largas lneas
alquiladas privadas. Las VPN de sitio a sitio pueden dividirse entre intranets y
extranets. Una VPN de sitio a sitio creada entre oficinas de la misma empresa
es una VPN intranet, mientras que una VPN creada para conectar la empresa
con su empresa asociada o un cliente es una VPN extranet.

VPN interna (over LAN): Funciona tal cual una red VPN normal, salvo que
dentro de la misma red local LAN en lugar de a travs de Internet. Sirve para
aislar zonas y servicios de la misma red interna. Sirve tambin para mejorar las
caractersticas de seguridad de una red inalmbrica WiFi.

Qu es Forefront TMG?

Microsoft Forefront Threat Management Gateway (TMG) es un completo gateway de


seguridad web desarrollado por Microsoft que ayuda a proteger a las empresas de las
amenazas que existen actualmente en Internet. Simple manejo e interfaz con la que
se puede habilitar una seguridad perimetral a prueba de ataques gracias
al firewall integrado, VPN, prevencin de accesos no autorizados, antivirus y antispam.

Caractersticas

Proteccin ante mltiples de ataques gracias a tener integrado un anti-


malware y un potente antivirus, protecciones contra ataques de nivel de red
y nivel de aplicacin y firewall multicapa.

Altamente seguro gracias a la proteccin contra ataques de usuarios


web, un sistema altamente fiable y seguro para la publicacin por parte de
usuarios remotos y un sistema avanzado para VPN.
Gestin simplificada gracias a asistentes que le ayudarn a configurarlo,
un servicio centralizado y un sistema de envo de correos electrnicos
integrado.

Inspeccin HTTPS. Inspecciones paquetes cifrados con SSL para


descubrir malware, limitar el acceso a ciertas webs a sus empleados e
incluso pudiendo crear exclusiones a webs sensibles, como las bancarias,
evitando la inspeccin por parte de Forefront TMG.

El control sobre el canal cifrado uso de inspeccin


de HTTPS
Se ha aconsejado a los usuarios desde hace muchos aos que para realizar una
transaccin segura en lnea, tienen que utilizar HTTP con SSL (HTTPS). Sin embargo,
este canal seguro tambin ha sido utilizado con fines maliciosos. Cuando los usuarios
inician una transaccin mediante HTTPS, este trfico es normalmente cifrado de
extremo a extremo (desde el usuario al servidor de destino), haciendo que el
contenido que se intercambia entre ellos ilegible para cualquier dispositivo en el
medio. Si bien este es un comportamiento deseable, ya que no quiere que nadie
mirando su transaccin de tarjeta de crdito en lnea, el inconveniente es que
cualquier operacin malicioso dentro de este canal no puede ser evaluada.
La Figura 4 pone de relieve las partes principales de esta operacin usando ISA
Server 2006 como el servidor de seguridad.

Figura 4 tradicional HTTPS Escenario


La Figura 4 ilustra un escenario de proxy completo en el que el cliente est
accediendo a un sitio HTTPS. Los pasos resumidos se dividen en dos fases principales,
tal como se indica aqu:
Fase 1 - tnel SSL

1. Cliente se conecta al servidor proxy Web.

2. Cliente emite una solicitud de tnel SSL: CONNECT HTTP


malicious.contoso.com:443 / 1.1.
3. proxy web resuelve malicious.contoso.com a la direccin IP 1.2.3.4.

4. proxy web se conecta a 1.2.3.4 en el puerto TCP 443.

5. proxy web enva 200 OK para el cliente.

Fase 2 - encriptado conversacin

1. mensajes de cliente y servidor Web de intercambio SSL, claves de cifrado y


certificados.

2. El cliente tiene ahora un extremo a extremo-tnel cifrado con el servidor de


destino y comenzar a enviar y recibir trfico a travs de este tnel.

3. El servidor ISA mantener ese tnel abierto entre el cliente y el servidor pero
no va a inspeccionar el trfico, ya que no tiene esta capacidad.

El riesgo potencial en este escenario es que a partir de la fase 2, el firewall


perimetral no tiene conocimiento de lo que realmente se est transmitiendo en ese
canal. En un escenario en el que se secuestr el servidor de destino y cdigo malicioso
insertado, hay un riesgo potencial de que el servidor de destino enviar el malware a
travs de este canal cifrado que el cliente recibir sin dudar, ya que viene a travs de
una conexin supuestamente de confianza.
Forefront TMG HTTPS Inspeccin reduce esta amenaza mediante la inspeccin del
trfico y mantener canales cifrados por separado con el usuario y el servidor. La
Figura 5 muestra cmo Forefront TMG logra que.

Inspeccin HTTPS en Accin


Los pasos resumidos todava se dividen en dos fases principales; Sin embargo, el
proceso ahora incluye la inspeccin:

Fase 1 - Solicitud del Cliente

1. Cliente se conecta a la escucha de proxy Web TMG.

2. Cliente emite una solicitud de tnel SSL: CONNECT HTTP


malicious.contoso.com:443 / 1.1.
3. TMG resuelve malicious.contoso.com a la direccin IP 1.2.3.4.

4. TMG se conecta a 1.2.3.4 en el puerto TCP 443.

5. TMG negocia una conexin SSL con el servidor y evala el certificado.

6. Si el certificado es vlido y confiable, TMG responde 200 OK para el cliente.

Fase 2 - encriptado conversacin con la Inspeccin


Cliente ahora tiene un tnel cifrado con Forefront TMG y Forefront TMG tiene un
tnel cifrado con el servidor de destino. Forefront TMG ser capaz de inspeccionar
todo el trfico enviado entre el cliente y el servidor siguiendo esta secuencia: El
cliente recibir, descifrar y procesar el trfico.

El uso de filtrado de URL para una experiencia ms


segura Navegacin
Filtrado de URL se puede ver como el Forefront TMG primera lnea de defensa para
ayudar a asegurar el acceso de Internet de su organizacin. Mediante el uso de
filtrado de URL para bloquear las solicitudes de sitios Web no deseados, Forefront
TMG puede gastar menos de escaneo tiempo para el tiempo de malware y ms la
entrega de contenido til.

Filtrado de URL consta de dos partes principales: la de filtro Web proxy que evala
las solicitudes Web, y MRS, que proporciona las definiciones de categora de la que el
filtro determina cmo una solicitud es para ser categorizado. He aqu una forma
simplificada del proceso que se produce por una solicitud Web:

1. La aplicacin Web enva una solicitud de


http://malware.contoso.com/nefarious a travs de TMG.

2. El filtro proxy web pasa la peticin a travs de filtrado de URL.

3. filtrado de URL divide toda la solicitud en diferentes partes. Para nuestro


ejemplo, las partes seran algo as como:

o com

o Contoso.com

o Malware.contoso.com

o Malware.contoso.com/nefarious
4. Filtrado de URL para cada parte se ve en la categora de URL cach local.

Nota: si la solicitud no puede ser igualada a una categora de URL dentro de la


memoria cach local, filtrado de URL consulta MRS. Si MRS devuelve
desconocido, o si no se puede contactar MRS, filtrado de URL devuelve una
respuesta desconocido para el filtro proxy web.

5. Una vez que el filtrado de URL conoce la categora asociada con cada parte de
URL, que determina la categora que se aplicar a toda la URL. Para ello, TMG
utiliza una lista de prioridades predefinidas de MRS que permite TMG s a qu
categoras tienen prioridad sobre los dems. Por ejemplo:

o Com = Desconocido

o Contoso.com = General de Negocios

o Malware.contoso.com = malicioso

o Malware.contoso.com/nefarious=Desconocido

En este ejemplo, se identifican dos categoras: General de Negocios y


malicioso. Sobre la base de la lista de prioridad predefinido, malicioso tiene
prioridad sobre negocios generales; Como resultado, toda la URL ser
designado como malicioso.

Contenido

Qu es y qu ofrecen las VPN?...........................................1


Qu constituye una VPN?..................................................1
Qu es Forefront TMG?...................................................2
Caractersticas.............................................................2
El control sobre el canal cifrado uso de inspeccin de HTTPS..........2

Fase 1 - tnel SSL........................................................3


Fase 2 - encriptado conversacin........................................3
Fase 1 - Solicitud del Cliente............................................4
Fase 2 - encriptado conversacin con la Inspeccin....................4
El uso de filtrado de URL para una experiencia ms segura Navegacin 4