jueves, marzo 08, 2007

Intelligent Application Gateway: Una VPN en una página web (I de II)

Microsoft nos anunció en Julio que adquiría la empresa Whale Comunications, convirtiéndola así, como ya sucedió con Sybari o Giant Company en una Microsoft Subsidiary. ¿Qué tecnología aporta IAG a Microsoft? El producto nos oferta una forma más de montar soluciones seguras para clientes remotos sin ser un coste para la administración de la infraestructura, ya que vamos a utilizar túneles SSL (Secure Socket Layer) simplificando las tareas de administración. IAG es una solución montada sobre ISA Server (Internet Security & Acelerator) y que extiende tanto las funcionalidades para Redes Privadas Virtuales en cuanto a implantación, en cuanto a seguridad del cliente como de filtrado de las comunicaciones.

Imagen: A Microsoft Subsidiary

¿Y qué puertos tengo que abrir?

Esta es una de las preguntas que más veces nos realizamos, los puertos, puertos, puertos. Sobre todo en las conexiones VPN (Virtual Private Networks) donde los puertos dependen de los protocolos que utilicemos. Así si usamos una infraestructura de PPTP (Point to Point Tuneling Protocol) tendremos que abrir unos puertos determinados, pero si decidimos usar L2TP (Layer 2 Tuneling Protocol) sobre IPSec para autenticar las conexiones a nivel de máquina necesitaremos abrir otros, además de permitir el tráfico de los protocolos AH (Authentication Header) y/o ESP (Encapsulated Security Payload) sobre los routers y/ firewalls y sin olvidarnos tampoco de permitir la negociación de las SA (Security Associations – Asociaciones de Seguridad) que se negocian con el protocolo IKE (Internet Key Exchange) que trabaja por el puerto UDP 500.

Sí, así es montar una VPN, bueno, no solo así, aún tiene más gracia todo esto, pero la idea de este artículo no es realizar un estudio detallado de todas las soluciones que tenemos para montar una infraestructura de conexiones VPN sino hablar de una que no tiene que configurar muchos puertos. De hecho solo debemos configurar uno. ¿Cuál? Sigue leyendo.

Tipos de VPN

Sin pretender hacer un análisis exhaustivo de los tipos de VPN si que quería centrarme en dos características. La primera de ella es sobre la arquitectura de la VPN donde tendremos dos tipos distintos:

- Conexión entre sedes (Site to Site): En este tipo de VPNs se establece una conexión entre dos cabezas de puente y es totalmente transparente para todos los clientes de ambos sites.

- Conexión para acceso remoto de clientes: Se crea una extensión VPN de la red para permitir que clientes remotos accedan a los recursos de la red.

En segundo lugar podemos clasificar las soluciones VPN en función del nivel, dentro de la torre de protocolos de comunicaciones, trabajan. Así tendremos VPNs que funcionan a nivel de conexión, de red o nivel de transporte.
ISA Server en sus versiones 2004 y 2006 nos ofrece la posibilidad de crear redes VPN tanto Site to Site como para clientes de acceso remoto utilizando PPTP y/o L2TP sobre IPSec. En el caso de IAG tenemos una solución de VPNs pensada para dar conexiones seguras a clientes remotos utilizando una implementación a nivel de transporte basada en SSL.

Una VPN que funciona como una página web

Para realizar este proceso de gestión de la VPN, el cliente no necesita tener instalado ningún cliente en el equipo y su forma de conectarse a la red va a ser a través del navegador. No, no es una aplicación html, es una aplicación que utiliza un frontal web para realizar conexiones de datos usando http-s.

Voy a intentar explicarlo de forma sencilla, para que hasta yo lo entienda. Imaginemos un cliente remoto que quiere acceder a un sistema de ficheros remoto situado en un servidor de la red. En el caso de una VPN “clásica” basada en PPTP o L2TP la petición de listado de ficheros se cifraría con PPP en ambos casos, se cifraría también con ESP en el caso de usar L2TP/IPSec y se enviaría desde el cliente hasta el servidor utilizando para enlutar por Internet los protocolos GRE o IP. El mensajito cifrado (y autenticado en el caso de IPSec) llega al servidor VPN que desencapsula el mensaje de petición de listado de ficheros y lo reenvia por la red interna para que le llegue al destinatario.

Con IAG el cliente no establece una conexión VPN, con lo cual el servidor no tiene que estar manteniendo todas las conexiones de los clientes simultáneamente, sino que simplemente se conecta a un portal web donde es autenticado. Una página web. Esta conexión funciona con HTTPs con lo que va cifrada y autenticada. El cliente, tras autenticarse abre una de las aplicaciones que se le sirven en el portal, por ejemplo un acceso a ficheros. Esta aplicación se carga sobre un ActiveX que corre sobre el navegador Web. Cada vez que el usuario realiza una petición sobre el ActiveX se va a genera un mensaje que va a ir sobre http-s que va a llegar a IAG. Una vez allí, se va a desencapsular hasta el nivel de aplicación, es decir, hasta el http y se va a reenviar hacia el servidor de ficheros destino.

Imagen: Acceso a Servidor de ficheros a través de IAG.

Implantación y Arquitectura

Nada más correr el asistente de instalación de IAG sobre nuestra máquina se nos va a crear un portal web al que vamos a poder entrar a ver nuestras aplicaciones.
Durante el proceso de instalación debemos dar las opciones de configuración del portal y el repositorio de autenticación de los usuarios a los que queremos permitirles el acceso.



Imágenes: Instalación del portal troncal de acceso a IAG y configuración de autenticación de usuarios

Una vez instalado el portal el siguiente paso es configurar las aplicaciones disponibles. Estas aplicaciones pueden ser de cuatro tipos:

- Web Applications: En este tipo de aplicaciones se incluye una lista de aplicaciones basadas en arquitectura Web que han sido probadas, testadas e integradas, como por ejemplo, Outlook Web Access, PeopleSoft, SharePoint Portal Server 2003, WepSphere, SAP Enterprise Portal, etc… La publicación de una aplicación de este tipo está integrada 100 % con IAG. Además, para este tipo de aplicaciones existen ciertos optimizadores que realizan opciones de caché y empaquetado de peticiones para reducir la carga de tráfico. Todas las aplicaciones que se publiquen con esta plantilla pueden también ser publicadas a través de las plantillas genéricas de Aplicaciones embebidas en el Navegador, pero todas las aplicaciones que están reconocidas aquí permiten aprovecharse de opciones de Single Sign-on, ya que IAG conoce perfectamente la forma de autenticar a los usuarios en las aplicaciones, optimiza el acceso, etc…

Imagen: Configuración de propiedades de Autenticación en una aplicación Web. En este caso NFuse de Citrix

- Aplicaciones Empaquetadas: En este tipo de aplicaciones existen componentes integrados dentro de IAG para acceso a los servicios y que vienen dentro del propio cliente IAG. Dentro de esta categoría se encuentra entre otros el acceso a los sistemas de ficheros que nos va a permitir, entre otras cosas, que cada usuario tenga mapeado su directorio personal en el acceso al portal.

- Aplicaciones Cliente/Servidor: Cualquier tipo de aplicaciones Cliente/Servidor puede ser integrada dentro del IAG, para ello se debe configurar la conexión de IAG al servidor, estableciendo cuales son las configuraciones de acceso al servidor. En este caso IAG desempaqueta el tráfico que le venga del cliente y se lo envía al servidor y viceversa. Utiliza un cliente genérico que funciona como una pantalla. Así, es posible integrar una aplicación telnet, una aplicación Oracle Developer, etc…

- Aplicaciones embebidas en el navegador: El resto de aplicaciones basadas en web. Está pensado para desarrollos propietarios de cada compañía que haya que securizar.

Imagen: Añadiendo aplicaciones al portal

En la imagen siguiente se puede observar un entorno en el que se han añadido múltiples aplicaciones que son accesibles todas desde IAG.

Imagen: Portal de Acceso a las aplicaciones

Hasta el momento hemos visto como tenemos una solución que permite a clientes remotos acceder a aplicaciones internas utilizando como sistema de securización una VPN basada en SSL a través de un Gateway, ahora, ¿qué más podemos hacer?

Intelligent Application Gateway: Una VPN en una página web (II de II)

5 comentarios:

  1. Vaya cagada...

    Existen productos mejores integrados en Active Directory

    ResponderEliminar
  2. Hola anónimo!

    este también está integrado en Active Directory. ¿Mejores? ¿Cuanto de mejor y en que medida? Conozco otras soluciones y tienen cosas mejores y cosas peores. Este tiene ISA por debajo, mejor precio y cuando salga el MOM Pack mejor reporting. ¿Cual te gusta a ti y por qué?

    Saludos!

    ResponderEliminar
  3. hola amigo, sabes si el IAG2007 lo puedo instalar en mi servidor o viene pre instalado en appliance de partners de microsoft, te agradeceria si tuvieras un video de la instalacion del IAG2007 o los pasos para su instalacion, adicionalmente te puedo decir q de la web de un partners me baje el IAGv37sp1 y cuando lo intente instalar me salio el sgt error http://support.microsoft.com/kb/955269
    mi msn es italo_hg@pianetami.ch

    ResponderEliminar
  4. y si tuvieras el software para descargalo porfavor te lo agradeceria...

    ResponderEliminar
  5. @Italo-hg.tk, hasta dónde yo sé el IAG se vende solo en appliance, y no hay binarios. Al principio, nada más producirse la adquisición de Whale Communications, existía una versión que dejaban de prueba, pero creo que no se puede instalar si no compras el appliance.

    Saludos!

    ResponderEliminar