Acceso Remoto: Topología y Servicios
En esta ocasión os quiero mostrar una serie de configuraciones de acceso remoto y seguridad de red, las cuales que dentro de una topología de red de nivel medio tiene mucho sentido desplegar.
Básicamente lo que haré será explicar la siguiente topología (pesa 5mb, descargarla mejor), además de dejaros los enlaces a diferentes artículos de este blog para que sepáis como configurar el 90% de los servicios:
La topología que os he mostrando tiene la siguiente estructura que os voy a ir comentado y poniendo algunos artículos de referencia, algunos directamente relacionados con la estructura y otros con el servicio:
- VLAN para cada tipo/rol de servidores, lo que nos permitirá posteriormente realizar filtrados a nivel de puertos para el acceso in/out de nuestra VLAN. Muy útil para definir que servidores deben tener conexión entre y cual, por ejemplo en la topología toda las VLAN que tiene en la parte superior un triángulo tendría que tener acceso a la VLAN 15 que es donde están los controladores de dominio.
- VPN: vital a día de hoy la no exposición de servidores/servicios sin VPN, tanto para los usuarios remotos como para la interconexión entre sedes. En la topología he puesto una configuración estándar entre las oficinas centrales y Azure, una configuración vía VPN Site-to-Site con IPSec.
- Clientes VPN: todos los usuarios remotos los cuales tengan que acceder a algún servicios corporativo, deberían previamente conectarse mediante VPN y así establecer un comunicación segura entre el equipo del usuario y los servicios de la oficina. Una vez dentro de la VPN, si bien es cierto que también debería tener ciertos límites de acceso. En la topología que he puesto, los usuario no tienen acceso directo a los servidores de ficheros, para ello tienen que conectarse a los servidores de Escritorio Remoto pasando por un servidor de Puerta de Enlace el cual está publicando mediante un Reverse-Proxy. De esta forma, el usuario sólo necesita conectividad hasta el reverse-proxy al puerto 443 que es donde estamos publicando el servicio y, luego a partir de ahí ya es el Reverse-Proxy quien realiza la conexión con el servidor de puerta de enlace el cual luego os conectará a los servidores de Escritorio Remoto desde los cuales si están accesibles los servidores de ficheros. Además, como en la instalación el cliente tiene Skype for Business tenemos que hacer que los usuarios conectados a la VPN se conecten al Skype utilizando el servidor de Edge y para esto tenemos que jugar con los DNS, se tendrán que configurar políticas de DNS.
- Directivas DNS en Windows Server 2016
- Windows Server 2012, Configuración VPN con SSTP (es igual en Windows 2016)
- Windows Server 2012, Instalación de una PKI (necesaria para una configuración SSTP con certificados privados, sino lo suyo, es utilizar una CA Pública)
- Configurar Windows Server 2012 Web Application Proxy como Reverse-Proxy para Lync Server
- Lync Server: Reverse-Proxy requisito indispensable
- ¿Qué debemos tener en cuenta si tenemos un Proxy en nuestra red cuando implementamos Lync Server?
- Cómo podemos publicar nuestros servicios de Lync (Exchange, WAC, …) vía reverse-proxy (IIS ARR)
- Publicar los servicios Web de Lync Server 2013 mediante TMG 2010
- Lync 2013: Publicar los Servicios de Lync Mobile
- Cómo publicar todos los servicios de Lync, Exchange y WAC únicamente con una IP Pública
- Publicar y Balancear Servicios Web via KEMP LoadMaster
- Integrate your VPN infrastructure with Azure MFA by using the Network Policy Server extension for Azure
- Autenticación O365: Si además disponemos de servicios de O365, vamos a necesitar fortalecer la seguridad de acceso a estos servicios, para ello recomendable:
- Autenticación MultiFactor (MFA)
- Acceso Condicional
- Intune
- Azure AD: reglas de acceso condicional (Ubicación + Azure AD Híbrido)
- Azure AD: Acceso Condicional + Teams + Office 365 Apps
- Azure AD: Gobernanza de Office 365 y Recursos de Azure (Parte 2)Azure AD: Gobernanza de Office 365 y Recursos de Azure (Parte 2)
- Bloquear OneDrive y SharePoint vía Acceso Condicional desde Azure
Además, os dejo el último artículo que había publicado con un resumen de varios servicios que son muy interesantes que tengamos desplegados: https://www.santiagobuitragoreis.com/microsoft-azure-y-o365-primeros-pasos-gobernanza-migracion-seguridad/.
La idea es que veáis que todo se pueden integrar, que debemos proteger los recursos de ataques mal intencionados o mal uso de los servicios. Cada día estamos más expuestos y más fácilmente a ser víctimas de un ciber ataque, no dejemos nada para mañana porque mañana puede ser tarde.
Como resumen en base a la topología:
- Definir VLAN por servicio
- Crear definicios de reglas de permisos entre servicios/servidores
- Publicar los servicios utilizando sistemas de cifrado actuales
- Actualizar vuestro hardware en base a las recomendaciones de los fabricantes
- Aplicar hardening a todo lo que implementéis (aunque os lleve más tiempo que un simple despliegue)
- Automatizar todo lo posible
- Estandarizar las configuraciones
- Los servidores o servicios que no tienen relación o interacción, denegar las conexiones por defecto
- Si tenemos que publicar servicios, un reverse-proxy (con WAF a poder ser) es y será siempre vuestro amigo
- Definir directivas que permitan identificar el estado del equipo el cual intenta conectarse a nuestros servicios (estados de salud)
- Autenticación doble factor por lo menos para las cuentas críticas (aunque hoy .. para casi todos los usuarios)
- Retirar sistemas operativos sin soporte de vuestras instalaciones (siempre son un riesgo)
- Actualizar y parchear vuestros servidores y dispositivos
- Etc…
Como os comentaba, yo creo que la topología tiene valía en muchas empresas, así que espero que le podáis sacar partido como lo hago yo.
Si tenéis algún comentario, duda o simplemente realizar un comentario, por favor, adelante!!! Estaré encantado de responderos!!