| Artículos | 01 FEB 2007

Microsoft Intelligent Application Gateway 2007

Tags: Histórico
VPN en una página web
Chema Alonso.
Microsoft anunció en julio la adquisición de la empresa Whale Comunications, convirtiéndola así, como ya sucedió con Sybari o Giant Company, en una subsidiaria de Microsoft.

El producto estrella de Whale era Intelligent Application Gateway (IAG), una solución que ofrece una forma más de montar conexiones seguras para clientes remotos sin repercutir en costes para la administración de la infraestructura, ya que utiliza túneles SSL (Secure Socket Layer), lo que simplifica las tareas de administración. Hemos querido que conozcan todos los detalles de esta propuesta.
IAG es una solución montada sobre ISA Server (Internet Security & Accelerator), que extiende tanto las funcionalidades para Redes Privadas Virtuales en cuanto a implantación, como la seguridad del cliente (filtrando las comunicaciones).

¿Y qué puertos tengo que abrir?
Ésta es una de las preguntas que más veces nos realizamos los administradores de sistemas, sobre todo en las conexiones VPN (Virtual Private Networks), donde los puertos dependen de los protocolos que utilicemos. Así, si contamos con una infraestructura de PPTP (Point to Point Tuneling Protocol), tendremos que abrir unos puertos determinados, pero si tenemos L2TP (Layer 2 Tuneling Protocol) sobre IPSec para autenticar las conexiones a nivel de máquina, necesitaremos abrir otros, además de permitir el tráfico de los protocolos AH (Authentication Header) y/o ESP (Encapsulated Security Payload) sobre los routers y/o cortafuegos, sin olvidarnos de permitir la negociación de las SA (Security Associations – Asociaciones de Seguridad), que se efectúa mediante el protocolo IKE (Internet Key Exchange), a través del puerto UDP 500.
Para realizar este proceso de gestión de la VPN, el cliente no necesita tener instalado ningún cliente en el equipo, y su forma de conectarse a la red será a través del navegador. No, no se trata de una aplicación HTML, es una aplicación que utiliza un frontal web para realizar conexiones de datos usando HTTPs.
Para explicarlo de forma sencilla, imaginemos un cliente remoto que quiere acceder a un sistema de ficheros remoto, situado en un servidor de la red. En el caso de una VPN clásica, basada en PPTP o L2TP, la petición de listado de ficheros se cifraría con PPP en ambos casos (también con ESP en el caso de usar L2TP/IPSec), y se enviaría desde el cliente hasta el servidor, utilizando para enrutar por Internet los protocolos GRE o IP. El mensaje cifrado (y autenticado en el caso de IPSec) llega al servidor VPN, que desencapsula el comando de petición de listado de ficheros y lo reenvía por la red interna para que le llegue al destinatario.
Con Intelligent Application Gategay 2007, el cliente no establece una conexión VPN, con lo cual, el servidor no tiene que estar manteniendo todas las conexiones de los clientes simultáneamente, sino que, simplemente se conecta a un portal Web, donde es autenticado (una página Web). Esta conexión se establece mediante HTTPs, con lo que va cifrada y autenticada. El cliente, tras autenticarse, abre una de las aplicaciones que le propone el portal, por ejemplo un acceso a ficheros. Esta aplicación se carga sobre un ActiveX, que corre sobre el navegador web. Cada vez que el usuario realiza una petición sobre el ActiveX, se genera un mensaje sobre HTTPS que va a llegar a IAG. Una vez allí, se va a desencapsular hasta el nivel de aplicación, es decir, hasta el HTTP, y se reenvía hacia el servidor de ficheros de destino.

Implantación y arquitectura
Nada más correr el asistente de instalación de IAG sobre nuestra máquina se crea un portal web al que vamos a poder entrar a ver nuestras aplicaciones.
Durante el proceso de instalación debemos dar las opciones de configuración del portal y el repositorio de autenticación de los usuarios a los que queremos permitirles el acceso.
Una vez instalado el portal, habremos de configurar las aplicaciones disponibles. Estas aplicaciones pueden ser de cuatro tipos:
- Web applications: en este tipo de aplicaciones se incluye una lista de soluciones basadas en arquitectura web que han sido probadas, testadas e integradas, como, por ejemplo, Outlook Web Access, PeopleSoft, SharePoint Portal Server 2003, WepSphere o SAP Enterprise Portal, entre otras. La publicación de una aplicación de este tipo está integrada completamente en IAG. Además, para este tipo de aplicaciones, existen ciertos optimizadores que realizan opciones de caché y empaquetado de peticiones para reducir la carga de tráfico. Todas las aplicaciones que se publiquen con esta plantilla pueden también ser publicadas a través de las plantillas genéricas de aplicaciones embebidas en el navegador, pero todas las que están reconocidas aquí permiten aprovecharse de opciones de Single Sign-on, ya que IAG conoce perfectamente la forma de autenticar a los usuarios en las aplicaciones u optimizar el acceso.
- Aplicaciones empaquetadas: en este tipo de aplicaciones existen componentes integrados dentro de IAG para acceso a los servicios, y que vienen dentro del propio cliente IAG. Dentro de esta categoría se encuentra, entre otros, el acceso a los sistemas de ficheros que nos va a permitir, entre otras cosas, que cada usuario tenga mapeado su directorio personal en el acceso al portal.
- Aplicaciones Cliente/Servidor: cualquier tipo de aplicaciones Cliente/Servidor puede ser integrada dentro del IAG. Para ello se debe configurar la conexión de IAG al servidor, estableciendo cuáles son las configuraciones de acceso al servidor. En este caso, IAG desempaqueta el tráfico que recibe del cliente y se lo envía al servidor (y viceversa). El sistema utiliza un cliente genérico que funciona como una pantalla. Así, es posible integrar una aplicación telnet, una Oracle Developer, o similares.
- Aplicaciones embebidas en el navegador: aquí incluimos el resto de aplicaciones basadas en web. Está pensado para desarrollos propietarios de cada compañía que haya que proteger.
Hasta el momento hemos visto cómo tenemos una solución que permite a clientes remotos acceder a aplicaciones internas utilizando como sistema de securización una VPN basada en SSL a través de un gateway, ahora, ¿qué más podemos hacer?

Asegurando el EndPoint
El EndPoint, o extremo de la VPN, es el cliente remoto. En la mayoría de los casos, el hecho de que el cliente que se conecte a la red no se convierta en una amenaza es una de las grandes preocupaciones. Debido a ello nacieron las redes de cuarentena VPN, que hoy en día evolucionan hacia el Network Access Protección (NAP), según Microsoft, o Network Admission Control (NAC), según Cisco. La idea es la misma, no permitir una conexión a la red que no cumpla determinados requisitos.
Para realizar esto, IAG utiliza políticas de seguridad. Éstas le permiten al administrador de la red realizar ciertas tareas, como evitar que alguien suba un archivo adjunto en OWA o SharePoint Portal Server 2003 (si no tiene el antivirus instalado y actualizado a la última versión de firmas).
IAG viene con un conjunto de políticas para empezar a administrarlo, pero se pueden configurar múltiples y diversas de forma sencilla. En las imágenes 8 y 9 se ve cómo se configura una política para comprobación del antivirus, y cómo el producto permite realizar comprobaciones sobre el navegador, el antispyware, el sistema operativo, o el cortafuegos, entre otros.

Filtrado a nivel de URL
Además de securizar la red mediante comprob

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información