INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación

Transcripción

1 LABORATORIO INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL SonicWALL SRA 4200 Universidad de Alcalá Departamento de Ciencias de la Computación SonicWALL SRA 4200 SonicWALL SRA 4200 forma parte de los llamados servidores de aplicaciones con acceso remoto seguro. En concreto, este modelo, es el mas alto de la gama media, creado con carácter de propósito general, y capacidad para proporcionar un servicio de acceso a aplicaciones seguras basado en HTTPS. Está recomendado para su uso en organizaciones de aproximadamente 500 empleados, proporcionando un acceso concurrente de 500 usuarios. Tiene capacidad de suministrar este servicio a empleados ubicados en distintas partes del mundo, clientes y socios autorizados sin comprometer en ningún caso la seguridad mediante el empleo de controles granulados, creando perfiles de usuarios a cada uno de ellos y cada perfil con unas características independientes. IDENTIFICACIÓN DEL PRODUCTO La serie SRA de SonicWALL ofrece varios modelos con distintos perfiles, cada uno de ellos idóneo para un modelo con prestaciones mas o menos avanzadas y apto para servicios de aplicaciones distribuidas de diverso volumen. El producto evaluado en este laboratorio (SRA 4200), es el mas alto de la gama intermedia, para su uso en organizaciones de aproximadamente 500 empleados, proporcionando un acceso concurrente de 500 usuarios. Por debajo existe el modelo SRA1200, con capacidad para 50 usuarios máximo de forma concurrente, siendo este modelo mas adecuado para organizaciones de unos 50 empleados. Por encima de esta gama media disponen de la serie EClass, con los modelos E-Class SRA EX6000 y E-Class SRA EX7000, diseñada para el uso en grandes redes distribuidas como el utilizado en banca, grandes empresas y universidades con capacidad de hasta 5000 usuarios, para altos rendimientos y volúmenes de datos. El producto evaluado pretende cubrir las necesidades de las organizaciones que necesitan requerimientos remotos de control a través de PC s remotos y proporcionar a empleados con necesidad de movilidad, un acceso para entrar en un portal configurable para proveer acceso a , archivos, aplicaciones WEB y portales WEB internos a través de un cliente ligero. SonicWALL SRA 4200 viene pre-configurado en forma de appliance, lo que facilita la puesta en marcha inicial del equipo. En la figura I, se muestran características y visión frontal y trasera del equipo. 52

2 En cuanto a los requisitos hardware y software (tanto de Sistemas Operativos como de browser y sus recursos activos) no destaca por estar más cercana a unos intereses o a otros, siendo compatible con entornos tan diversos como Windows, MAC o Linux a nivel de sistema operativo, y para cualquier navegador que hoy día existe en el mercado. la seguridad, mediante el empleo de controles granulados (ver figura II), creando perfiles de usuarios a cada uno de ellos y cada perfil con unas características independientes. Fig II. Acceso granulado a múltiples usuarios Amplio acceso a recursos Proporciona a los usuarios, acceso a una amplia gama de recursos: - NetExtender permite el acceso nativo a las aplicaciones de red de la empresa. - El portal de la oficina virtual permite el acceso por Internet a la intranet (HTTP, HTTPS), archivos (FTP, CIFS), escritorio (Citrix, Terminal Server, VNC), y servicios de terminal (Telnet, SSH). Facilidad de Administración SonicWALL proporciona una función de política unificada y una intuitiva interfaz WEB con ayudas para el usuario. CARACTERISTICAS Y BENEFICIOS Control remoto para PC Acceso granulado a usuarios autorizados SRA 4200 proporciona servicios de acceso remoto seguro a pequeñas y medianas empresas con empleados, clientes y socios ubicados en distintas partes del mundo, que se encuentren autorizados sin comprometer en ningún caso En organizaciones con diversas sucursales o entornos distribuidos, en sitios alternativos de recuperación ante desastres, servicios de outsourcing de gestión o para teletrabajadores, un técnico de servicios autorizado podrá obtener el control total del PC requerido dentro de la LAN desde ubicaciones remotas. SonicWALL Virtual 53

3 LABORATORIO Assist, mejora la productividad al permitir un control remoto seguro sin supervisión de equipos basado en PC. Soluciones de Soporte Remoto Mejora de soluciones SonicWALL Virtual Assist sobre un appliance SRA permite acceder instantáneamente a través de un dispositivo remoto a través de WEB, para poder diagnosticar y resolver cualquier problema sin la necesidad de tener cargada en la máquina remota ningún tipo de cliente preinstalado. Va encaminado a ofrecer a empleados y clientes remotos desde máquinas con ubicaciones muy diversas. Como se ha mencionado anteriormente, SRA 4200 puede trabajar de una manera conjunta y fácil junto a prácticamente cualquier firewall. Complementándolo con un SonicWALL firewall corriendo como pasarela antivirus, anti-spyware y servicio activo de prevención de intrusos mejora bastante las prestaciones de seguridad. Solución de acceso remoto Implementado SonicWall SRA en modo sngle-arm junto a un firewall permite a los usuarios remotos el acceso de forma segura. Este firewall envía el tráfico HTTPS entrante al SRA, el cual, descifra y autentica el tráfico en la red. Esta autenticación se hace a través de base de datos o a través de terceros como RSA, VASCO, RADIUS, LDAP, Directorio Activo de Microsoft o Windows NT Domain, Un portal WEB personalizado proporciona acceso sólo a aquellos recursos para los que el usuario está autorizado, según las políticas de la empresa. Para crear un entorno VPN, el tráfico se pase a través de este firewall, donde se previene de intrusiones, inspeccionando cuidadosamente en busca de virus, troyanos, spyware y otras amenazas, tal y como indica la figura IV. Firewall de aplicaciones Web Web Application Firewall, está disponible a través de un servicio de licencia, y permite a los clientes proteger sus aplicaciones contra una multitud de ataques. También proporciona actualizaciones automáticas de firmas para la protección contra el malware y prevención de posibles intrusiones en el sistema. Se puede utilizar con autenticación fuerte que proporciona SSL VPN para controlar el acceso a sitios Web. 54

4 externa y Web Application Firewall proporcionando análisis del tráfico de la capa de aplicación. Ambas vienen integradas en el appliance del servidor de aplicaciones y merecen un análisis más exhaustivo de sus funcionalidades en este apartado. SonicWALL Virtual Assist/Virtual Access Soluciones de acceso remoto a VPN Debido al aumento de redes inalámbricas SonicWALL SSL VPN integra acceso inalámbrico a través de control de acceso seguro y centralizado ayudado de un servidor de seguridad de SonicWALL (gateway Anti-Virus, Anti- Spyware etc). Los usuarios disponen de acceso desde cualquier lugar de la red local, a través de conexiones inalámbricas encriptadas a través del protocolo SSL. ARQUITECTURA Y COMPONENTES La mejora del rendimiento del servidor de aplicaciones SRA 4200, tiene su base en dos componentes principales: Virtual Assist como herramienta de autentificación local y Aporta a SonicWALL SRA 4200 la capacidad de ofrecer una herramienta de fácil manejo para el soporte remoto y el control remoto de PC s. Virtual Assist y Virtual Access, mejoran el servicio al cliente, reduciendo el tiempo de resolución de problemas. El primero como herramienta de soporte remoto que permite al técnico de una organización tomar el control del PC o portátil de un cliente. Accediendo este al ordenador del cliente a través de un navegador Web, hacer un análisis detallado para resolver el problema. El segundo como herramienta de control remoto de PC s para usuarios finales autorizados que les permite acceder desde cualquier lugar de forma remota y segura a sus ordenadores. Los usuarios solo tienen que instalar un agente Virtual Access en un PC con acceso a Internet y conexión a SonicWALL SSL VPN. 55

5 LABORATORIO Ambos ofrecen: - Conectividad al cliente ligero. Evita descargar y preinstalar un cliente pesado, reduciendo las tareas de instalación adicionales. - Función de protocolización e informes de la empresa supervisando actividades remotas de soporte para auditoría. - Cifrado AES SSL de 256 bits. SSL VPN cifra los datos proporcionando un entorno seguro. - Amplia protocolización para auditorias. - Gestión de sesiones. - Medidas antievasión. - Inspección http. - Funciones de aceleración. - Encubrimiento de sitios web. - Cadenas de reglas personalizadas FACILIDAD DE USO Y ADMINISTRACIÓN SonicWALL Web Application Firewall Los distintos escenarios que pueden crearse con SRA 4200 están basados en las recomendaciones del fabricante en cuanto a la experiencia que ha ido obteniendo de sus propios clientes y son los tres que muestran a continuación. Se puede observar que en dos de los casos, se implementa junto al servidor seguro de aplicaciones una seguri- Viene como módulo adicional licenciable para SonicWALL SRA 4200 y utiliza una base de datos dinámicamente actualizada para detectar ataques sofisticados basados en la Web y proteger las aplicaciones Web. Somete el tráfico de nivel 7 a un análisis de Proxy reverso utilizando definiciones conocidas, deniega el acceso en caso de encontrar malware de aplicaciones Web y redirecciona a los usuarios a una página de error. Prestaciones y ventajas -Protección contra las vulnerabilidades Top 10 de la fundación OWASP (Proyecto de seguridad de aplicaciones Web abiertas). - Protección contra ataques de falsificación de petición en sitios cruzados. - Actualizaciones automáticas en definiciones de malware. - Autenticación y autorización sólidas - Protección contra fugas de información. - Interfaz de usuario robusta. - Configuración flexible de políticas 56

6 dad adicional de filtrado de contenidos, anti-virus y antispyware, y servicios de prevención de intrusos que proporciona en estos casos un SonicWALL UTM appliance, Este último escenario fue utilizado en primer lugar para la evaluación del producto. La administración se realiza a través de un interfaz gráfico basado en Web. Para ello es necesario tener el equipo conectado directamente al appliance a través de la red cableada y acceder mediante un navegador Web por HTTP. Todas las actividades de administración se pueden realizar a través de la consola de gestión vía menú jerárquico. El producto viene preinstalado por lo que su puesta en marcha es realmente sencilla, se conecta el equipo según la topología de red que se haya decidido implantar y tras conectar la consola de gestión ya puede accederse al equipo. Nada mas acceder a la consola de gestión se visualiza la información del sistema, así como una serie de pantallas de configuraciones de seguridad que hay que realizar como el cambio de contraseña, configuración de la red, tipos de usuario, y configuraciones horarias. A continuación y a través de NetExtender se puede definir los accesos que tendrán los clientes a las distintas aplicaciones, habilitando o deshabilitando el modo Tunel All mode, así como el rango de direcciones IP que dispondrán los distintos usuarios en las sesiones de NetExtender. Siguiendo este asistente llegamos a la que nos permite realizar paso a paso las tareas comunes de configuración llegamos a la parte de configuración SSL-VPN con la LAN. La configuración del acceso al servidor público se carga, en este caso se utilizó sobre SonicOS estándar, accediendo a las pantallas de del asistente de reglas de acceso a red y a las reglas del servidor público a través de HTTPS Por último se comprobó la conexión a través de HTTPS, configurando dos clientes con acceso a distintas carpetas de un disco ubicado en una máquina con Ubuntu a través de un portal personalizado. Cada uno de ellos podía acceder igualmente a un servidor FTP FileZilla_Server-0_9_3 donde podía descargarse los ficheros correspondientes de su carpeta. ANEXO A Principales características del SRA