Acababa de salir Windows 2000 y los operadores empezaban a ofrecer líneas ADSL. Aquello nos permitía sustituir los accesos basados en módem y líneas RDSI y aprovechamos la situación para que el "Presidente" pudiera disponer de una conexión permanente desde su casa. Me puse manos a la obra y diseñé una estación a la que, mediante la aplicación de políticas de grupo y políticas IPSec, se podía considerar como un terminal más de la red, solo que estaba en su casa. Sólo se permitía tráfico saliente para establecer la VPN, se bloqueaba todo el tráfico entrante, se obligaba a hacer logon al dominio previo establecimiento de la VPN...en fin, una joyita de la que me sentía muy orgulloso.
Me fui a su casa y se la instalé. Con la mirada obtusa parecía asentir a todo. Cuando volví me llamó el director de informática para que volviera a casa del "Presidente" a "abrirle la estación" porque ¿qué era aquello de tener un ordenador último modelo y una línea ADSL y que su hijo no pudiera aprovechar para navegar por Internet?
Esta situación puso de manifiesto varias cosas que ahora con la perspectiva de siete años más adelante veo de otra manera. Cosas como que las políticas de seguridad las tiene que apoyar la dirección, como que la seguridad cubre no sólo tecnología sino también procesos y personas y que es una cadena que se rompe por el eslabón más débil (que normalmente son las personas). Sin embargo, ha cambiado mi perspectiva pero las situaciones -me temo- siguen siendo las mismas en muchos casos. Que las necesidades de movilidad y acceso remoto han ido variando y creciendo es un hecho y que las cargas administrativas y los riesgos de seguridad que conlleva el mantenimiento y la gestión de un acceso remoto basado en VPN han crecido al mismo ritmo también es un hecho.
Los administradores de sistemas se afanan por tener unos mecanismos de actualización lo más robustos posibles y de repente te encuentras que alguien que está navegando libremente por Internet tiene una autopista ADSL directa al corazón de tu red. Troyanos y gusanos, eso sí, perfectamente cifrados y confidenciales.
Afortunadamente la tecnología sigue avanzando y muchas de estas situaciones están resueltas a día de hoy con la tecnología SSL/VPN, un mecanismo de acceso a aplicaciones internas y recursos de información que mitiga tanto los riesgos de seguridad como los inconvenientes de administración y gestión que se han ido poniendo de manifiesto con las VPN tradicionales basadas en software cliente y con el foco puesto en la conectividad "a nivel tres".
Microsoft Intelligent Application Gateway 2007 (IAG) es una de estas soluciones de tipo SSL/VPN. Más información sobre el producto en http://www.microsoft.com/iag y próximamente en estás páginas
viernes 31 de agosto de 2007
jueves 23 de agosto de 2007
5....4....3....2....1....
Después de bastante tiempo dándole vueltas, por fin lo he hecho.
Y no, para los que estéis pensando en que acabo de alcanzar mi madurez sexual, pues no, esto no va de eso. Me gustaría aprovechar esta primera ventana al mundo para dar las gracias a todos los que últimamente han estado picándome para que hiciera este blog: Tomás, Víctor, Iván y especialmente hoy a JuanCar, ya que ver su estreno esta tarde (no, su estreno tampoco va de eso) ha sido el empujoncito definitivo.
Todavía no tengo demasiado claro qué va a pasar de aquí en adelante, pero supongo que el primer paso es hacer una declaración de objetivos, lo mismo lo mismo que en cualquier otro proyecto. Bien, pues el objetivo de este blog es compartir de alguna manera mis conocimientos y mis experiencias sobre dos productos de seguridad de Microsoft, concretamente ISA Server e Intelligent Application Gateway (y además de eso, pues podemos debatir de todo aquello que se os ocurra alrededor de la seguridad informática).
La verdad es que sobre ISA Server se pueden encontrar multitud de recursos para consultar, ya sea en las páginas de Technet de Microsoft, en foros, grupos de noticias, páginas como isaserver.org...En alguno de los próximos blogs pondré referencias a todos estos sitios. Sin embargo, no es sencillo encontrar referencias a IAG, posiblemente es una cuestión de tiempo ya que la inclusión del mismo dentro de la familia Microsoft Forefront es muy reciente, pero el hecho es que mientras tanto, pues me gustaría aportar algo de mi experiencia con el producto, y si es posible convertir este blog en un sitio de encuentro para todos aquellos que estéis intentando profundizar en estas tecnologías.
¡ Si es que no hay nada como ponerse ! Fíjate que después de un rato aquí divagando los objetivos del blog han salido solos: "convertirlo en un lugar de encuentro para todos aquellos que quieran profundizar en ISA Server e IAG".
Y si al final resulta que consigo los objetivos, pues tendré que terminar como he empezado, dando las gracias a todos aquellos que insisitieron en que escribiera este blog ;-)
Y no, para los que estéis pensando en que acabo de alcanzar mi madurez sexual, pues no, esto no va de eso. Me gustaría aprovechar esta primera ventana al mundo para dar las gracias a todos los que últimamente han estado picándome para que hiciera este blog: Tomás, Víctor, Iván y especialmente hoy a JuanCar, ya que ver su estreno esta tarde (no, su estreno tampoco va de eso) ha sido el empujoncito definitivo.
Todavía no tengo demasiado claro qué va a pasar de aquí en adelante, pero supongo que el primer paso es hacer una declaración de objetivos, lo mismo lo mismo que en cualquier otro proyecto. Bien, pues el objetivo de este blog es compartir de alguna manera mis conocimientos y mis experiencias sobre dos productos de seguridad de Microsoft, concretamente ISA Server e Intelligent Application Gateway (y además de eso, pues podemos debatir de todo aquello que se os ocurra alrededor de la seguridad informática).
La verdad es que sobre ISA Server se pueden encontrar multitud de recursos para consultar, ya sea en las páginas de Technet de Microsoft, en foros, grupos de noticias, páginas como isaserver.org...En alguno de los próximos blogs pondré referencias a todos estos sitios. Sin embargo, no es sencillo encontrar referencias a IAG, posiblemente es una cuestión de tiempo ya que la inclusión del mismo dentro de la familia Microsoft Forefront es muy reciente, pero el hecho es que mientras tanto, pues me gustaría aportar algo de mi experiencia con el producto, y si es posible convertir este blog en un sitio de encuentro para todos aquellos que estéis intentando profundizar en estas tecnologías.
¡ Si es que no hay nada como ponerse ! Fíjate que después de un rato aquí divagando los objetivos del blog han salido solos: "convertirlo en un lugar de encuentro para todos aquellos que quieran profundizar en ISA Server e IAG".
Y si al final resulta que consigo los objetivos, pues tendré que terminar como he empezado, dando las gracias a todos aquellos que insisitieron en que escribiera este blog ;-)
Suscribirse a:
Entradas (Atom)
