Aplicaciones de Acceso Remoto.

[Victor E. Rodriguez M.]

Saludo cordial para todos los que leen este mensaje, sin lugar a dudas me parece muy interesante todos los aportes que hacen, en este sentido recurro a ustedes.

Con este asunto de la Pandemia no hay dudas de lo necesario que se han vuelto las aplicaciones de acceso remoto como Team Viewer, Anydesk entre otras. 

En mi caso particular llevo un poco más de dos años trabajando con Logmein para el acceso a los equipos y control remoto, no tengo quejas de la aplicación, salvo el costo económico que representa el control de 250 equipos con acceso remoto, pero me gustaría conocer sus opiniones en lo que se refiere a la seguridad y que alternativas tengo en caso de querer migrar a otra aplicación similar.

Gracias de antemano. 

[Francisco J. Serrador]

Hola,

   Utiliza una VPN (openvpn, wireguard, etc...) y VNC, a 0€ o 0$

Saludos,

--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
---
Has recibido este mensaje porque estás suscrito al grupo "ForoSI" de Grupos de Google.
Para cancelar la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a forosi+un...@googlegroups.com.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/forosi/CAL0VtbYvJyt_9iY%2BAvXD%2BqoaoGx_79iZGut%2BwhpnnRy6d5Yp5A%40mail.gmail.com.

[carlos Bordoni]

Hola victor. yo en la empresa instale fortinet hace unos años ya. podes armar vpn. y el costo no es tan elevado y tenes seguridad.

saludos.

carlos bordoni.

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/forosi/beb00fe9-2d19-c0e2-53e3-11be135c0721%40gmail.com.

--

Saludos / Regards
Carlos Anibal Bordoni
Cel: 11-71605630
E-mail: bordoni...@gmail.com                                              

[Maximiliano Beltritti]

Buenas a todos, NO es recomendable desde el punto de vista de seguridad que utilices herramientas que pasan tu tráfico vía un tercero (TeamViewer, Logmein, etc). Como comenta el compañero se recomienda implementar algún sistema de VPN, recomiendo implementar PfSense u OpnSense (ambos licenciamiento "Open") que los puedes implementar como router/firewall y dentro de sus servicio tienen la posibilidad de levantar el servicio VPN, o simplemente levantar un Linux en tu infra con un servicio OpenVPN.

Van los enlaces:

pfSense® - World's Most Trusted Open Source Firewall

OPNsense® a true open source security platform and more - OPNsense® is a true open source firewall and more

Community Downloads | OpenVPN

Abrazo!

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/forosi/CAFhz%3DEeuxpbcGvqagnkJwu0QVEY5obb97jenjZY%3DOu3FoGp7rA%40mail.gmail.com.

[Andrés Rusconi]

Hola Maximiliano,
Vos sabes que yo tengo mis reticencias con el tema de VPNs porque la
gente se ha puesto a implementar
esta modalidad sin, a veces, tener la consideración de que el equipo
donde se instala el cliente sea un equipo
gestionado por la empresa. O sea, instalan el cliente en el equipo de
casa y terminan exponiendo la red interna.
La verdad es que como solución equivalente me resultó muy bien Apache
Guacamole. Es versatil, gestionable,
y muy seguro.

Un saludo !

Andrés

El 3/6/21 a las 10:51, Maximiliano Beltritti escribió:

[Leandro Birri]

Buenas días.

Nosotros en nuestra organización implementamos VPN con la solución de Fortinet sin mayores inconvenientes. Si bien expone la red a un equipo no gestionado (PC de un particular), luego solo permitís el trafico "seguro" hacia dentro de la organización y termino el problema.

Por otro lado me intereso su experiencia con Guacamole,  mas que nada con respecto a la escalabilidad de esta solución.  Podrías comentar cuantos usuarios concurrentes tenes corriendo sobre esta producto y que infraestructura lo soporta?

Saludos!

[Johan Sebastian Osorio Maya]

Andres, gracias por tu aporte, me gustaría saber un poco sobre Guacamole, si lo has utilizado para escritorios remotos con windows Server. el hace uso del terminal server? requiere licenciamiento de cals de acceso?

muchas gracias!

--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
---
Has recibido este mensaje porque estás suscrito al grupo "ForoSI" de Grupos de Google.
Para cancelar la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a forosi+un...@googlegroups.com.

Para ver este debate en la Web, visita https://groups.google.com/d/msgid/forosi/ecd1afc5-7229-e80f-2934-f857114a178b%40gmail.com.

[jso...@gmail.com]

Andres, gracias por tu aporte, me gustaría saber un poco sobre Guacamole, si lo has utilizado para escritorios remotos con Windows Server. el hace uso del terminal server? requiere licenciamiento de cals de acceso?

muchas gracias!

[Jorge Gallardo]

Leandro, 

Respecto a conectar una VPN a Equipos Personales, por más cifrado que otorgue, no te exime de exponer la Red Interna a otros CiberRiesgos (Malware, Ransomware, etc.) 

En nuestra compañia hemos deshabilitado esa opción. Hay un par de excepciones que fueron autorizados, por el Comité de Seguridad de la Información (Gerencia General y Gte de Auditoría). Esa excepción se respalda con una Nota: "Donde se asume el Riesgo". 

Saludos

Jorge Gallardo

 

--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
---
Has recibido este mensaje porque estás suscrito al grupo "ForoSI" de Grupos de Google.
Para cancelar la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a forosi+un...@googlegroups.com.

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/forosi/671680b2-45ee-4d56-9dfa-875bf1cafffdn%40googlegroups.com.

[Andrés Rusconi]

Hola Leandro,
La verdad es que lo tengo de producción en una instalación no muy grande
( debe manejar una concurrencia a lo sumo, de 10 usuarios )
Está sobre un enlace de F.O. con IP dedicada. El servicio está corriendo
dockerizado en una VM con PhotonOS ( VMware ) y el consumo de recursos
es mínimo.
Otros colegas aquí en Tucumán lo tienen de producción en entidades de
gobierno con mas usuarios y están muy conformes también.
Particularmente me gusta que pueda validar contra un AD, que incorpore
2FA y la granularidad y versatilidad con la que se pueden gestionar los
accesos
y los registros de los mismos.

Saludos !

Andrés

El 10/6/21 a las 07:40, Leandro Birri escribió:

[Andrés Rusconi]

Hola Johan

El 10/6/21 a las 09:39, Johan Sebastian Osorio Maya escribió:

> si lo has utilizado para escritorios remotos con windows Server. el
> hace uso del terminal server?

Hace uso del protocolo RDP y tambíen puede usar VNC. Pero lo implementás
"puertas adentro", porque
el servidor de Guacamole se conecta via RDP/VNC a los clientes.
Abrir estos protocolos a Internet directamente a través de un port
forwarding es lisa y llanamente una
invitación a te termines con los datos cifrados por un ataque dirigido o
un ransomware.

> requiere licenciamiento de cals de acceso?

No estoy seguro legalmente. En la práctica no.

Saludos !

[Herman]

Jorge, en tiempos de pandemia el uso de VPNs se incrementó exponencialmente, y no estoy tan de acuerdo con "exponer la red interna", ello sólo va a ocurrir si aplicás una regla any-any desde el segmento de red de VPN hacia toda tu red interna, pero si armás una buena segmentación con perfiles de usuarios, o aplicás control de postura en el borde , ejemplo: si el SO del equipo personal es Windows 10 + Tiene AV actualizado + Tiene parches de seguridad aplicado --> lo dejo conectar, caso contrario no te dejo conectar, y luego esa conexión de acuerdo a tu perfil accedés sólo adonde te dejo entrar, sea aplicación o servidor. Me costaría imaginar como una empresa de miles de empleados con aplicaciones onPrem puede trabajar sin una VPN, obviamente hay tecnologías superadoradoras como las del tipo SASE donde ese control de acceso lo hacés primero en Cloud...

Saludos

[Andrés Rusconi]

Hola Herman,
Quizá no haya sido la generalidad, pero si pude ver un número importante
de accesos entregados via VPN
sin tener todas las consideraciones que vos nombraste. Por eso mis
reservas.
Y por eso, en empresas donde no hay un appliance y/o gente entrenada en
condiciones de hacer ese trabajo
que hiciste, nombré como alternativa que me parece válida lo de Apache
Guacamole.

Saludos !

Andrés

El 14/6/21 a las 17:05, Herman escribió: