LABORATORIO

INFORME DE ACCESO REMOTO SEGURO CON

PROTECCIN WAF WEB APPLICATION FIREWALL

SonicWALL SRA 4200

Universidad de Alcal Departamento de Ciencias de la Computacin

SonicWALL SRA 4200

SonicWALL SRA 4200 forma parte de los llamados servidores de aplicaciones con acceso remoto seguro. En concreto,
este modelo, es el mas alto de la gama media, creado con carcter de propsito general, y capacidad para proporcionar
un servicio de acceso a aplicaciones seguras basado en HTTPS. Est recomendado para su uso en organizaciones de aproximadamente 500 empleados, proporcionando un acceso concurrente de 500 usuarios. Tiene capacidad de suministrar
este servicio a empleados ubicados en distintas partes del mundo, clientes y socios autorizados sin comprometer en ningn caso la seguridad mediante el empleo de controles granulados, creando perfiles de usuarios a cada uno de ellos y cada
perfil con unas caractersticas independientes.

IDENTIFICACIN DEL PRODUCTO

La serie SRA de SonicWALL ofrece varios modelos con
distintos perfiles, cada uno de ellos idneo para un modelo con prestaciones mas o menos avanzadas y apto para
servicios de aplicaciones distribuidas de diverso volumen.
El producto evaluado en este laboratorio (SRA 4200), es
el mas alto de la gama intermedia, para su uso en organizaciones de aproximadamente 500 empleados, proporcionando un acceso concurrente de 500 usuarios. Por debajo
existe el modelo SRA1200, con capacidad para 50 usuarios mximo de forma concurrente, siendo este modelo
mas adecuado para organizaciones de unos 50 empleados.
Por encima de esta gama media disponen de la serie
EClass, con los modelos E-Class SRA EX6000 y E-Class
SRA EX7000 , diseada para el uso en grandes redes distribuidas como el utilizado en banca, grandes empresas y
universidades con capacidad de hasta 5000 usuarios, para
altos rendimientos y volmenes de datos.

El producto evaluado pretende cubrir las necesidades de

las organizaciones que necesitan requerimientos remotos
de control a travs de PCs remotos y proporcionar a
empleados con necesidad de movilidad, un acceso para
entrar en un portal configurable para proveer acceso a
email, archivos, aplicaciones WEB y portales WEB internos a travs de un cliente ligero.
SonicWALL SRA 4200 viene pre-configurado en forma
de appliance, lo que facilita la puesta en marcha inicial del
equipo. En la figura I, se muestran caractersticas y visin
frontal y trasera del equipo.

52
2010 n 30 e.Security

En cuanto a los requisitos hardware y software (tanto de

Sistemas Operativos como de browser y sus recursos activos) no destaca por estar ms cercana a unos intereses o a
otros, siendo compatible con entornos tan diversos como
Windows, MAC o Linux a nivel de sistema operativo, y
para cualquier navegador que hoy da existe en el mercado.

la seguridad, mediante el empleo de controles granulados

(ver figura II), creando perfiles de usuarios a cada uno de
ellos y cada perfil con unas caractersticas independientes.

Fig II. Acceso granulado a mltiples usuarios

Amplio acceso a recursos

Proporciona a los usuarios, acceso a una amplia gama de
recursos:
- NetExtender permite el acceso nativo a las aplicaciones de red de la empresa.
- El portal de la oficina virtual permite el acceso por
Internet a la intranet (HTTP, HTTPS), archivos (FTP,
CIFS), escritorio (Citrix , Terminal Server, VNC), y servicios de terminal (Telnet, SSH).

Facilidad de Administracin
SonicWALL proporciona una funcin de poltica unificada y una intuitiva interfaz WEB con ayudas para el
usuario.

CARACTERISTICAS Y

BENEFICIOS

Acceso granulado a usuarios autorizados

SRA 4200 proporciona servicios de acceso remoto seguro a pequeas y medianas empresas con empleados, clientes y socios ubicados en distintas partes del mundo, que se
encuentren autorizados sin comprometer en ningn caso

Control remoto para PC

En organizaciones con diversas sucursales o entornos
distribuidos, en sitios alternativos de recuperacin ante
desastres, servicios de outsourcing de gestin o para teletrabajadores, un tcnico de servicios autorizado podr
obtener el control total del PC requerido dentro de la
LAN desde ubicaciones remotas. SonicWALL Virtual

53
2010 n 30 e.Security

LABORATORIO
Assist, mejora la productividad al permitir un control
remoto seguro sin supervisin de equipos basado en PC.

Soluciones de Soporte Remoto

SonicWALL Virtual Assist sobre un appliance SRA permite acceder instantneamente a travs de un dispositivo
remoto a travs de WEB, para poder diagnosticar y resolver cualquier problema sin la necesidad de tener cargada
en la mquina remota ningn tipo de cliente preinstalado.
Va encaminado a ofrecer a empleados y clientes remotos
desde mquinas con ubicaciones muy diversas.
Mejora de soluciones
Como se ha mencionado anteriormente, SRA 4200
puede trabajar de una manera conjunta y fcil junto a
prcticamente cualquier firewall. Complementndolo con
un SonicWALL firewall corriendo como pasarela antivirus, anti-Spyware y servicio activo de prevencin de
intrusos mejora bastante las prestaciones de seguridad.

Solucin de acceso remoto

Implementado SonicWall SRA en modo sngle-arm
junto a un firewall permite a los usuarios remotos el acceso de forma segura. Este firewall enva el trfico HTTPS
entrante al SRA, el cual, descifra y autentica el trfico en
la red. Esta autenticacin se hace a travs de base de datos
o a travs de terceros como RSA, VASCO, RADIUS,
LDAP, Directorio Activo de Microsoft o Windows NT
Domain, Un portal WEB personalizado proporciona
acceso slo a aquellos recursos para los que el usuario est
autorizado, segn las polticas de la empresa.
Para crear un entorno VPN, el trfico se pase a travs de
este firewall, donde se previene de intrusiones, inspeccionando cuidadosamente en busca de virus, troyanos,
spyware y otras amenazas, tal y como indica la figura IV.

Firewall de aplicaciones Web

Web Application Firewall, est disponible a travs de un
servicio de licencia, y permite a los clientes proteger sus
aplicaciones contra una multitud de ataques. Tambin
proporciona actualizaciones automticas de firmas para la
proteccin contra el malware y prevencin de posibles
intrusiones en el sistema. Se puede utilizar con autenticacin fuerte que proporciona SSL VPN para controlar el
acceso a sitios Web.

54
2010 n 30 e.Security

externa y Web Application Firewall proporcionando anlisis del trfico de la capa de aplicacin. Ambas vienen
integradas en el appliance del servidor de aplicaciones y
merecen un anlisis ms exhaustivo de sus funcionalidades
en este apartado.

SonicWALL Virtual Assist/Virtual Access

Soluciones de acceso remoto a VPN

Debido al aumento de redes inalmbricas SonicWALL
SSL VPN integra acceso inalmbrico a travs de control
de acceso seguro y centralizado ayudado de un servidor de
seguridad de SonicWALL (gateway Anti-Virus, AntiSpywareetc). Los usuarios disponen de acceso desde
cualquier lugar de la red local, a travs de conexiones
inalmbricas encriptadas a travs del protocolo SSL.

ARQUITECTURA Y COMPONENTES
La mejora del rendimiento del servidor de aplicaciones
SRA 4200, tiene su base en dos componentes principales:
Virtual Assist como herramienta de autentificacin local y

Aporta a SonicWALL SRA 4200 la capacidad de ofrecer

una herramienta de fcil manejo para el soporte remoto y
el control remoto de PCs. Virtual Assist y Virtual Access,
mejoran el servicio al cliente, reduciendo el tiempo de
resolucin de problemas.
El primero como herramienta de soporte remoto que
permite al tcnico de una organizacin tomar el control
del PC o porttil de un cliente. Accediendo este al ordenador del cliente a travs de un navegador Web, hacer un
anlisis detallado para resolver el problema. El segundo
como herramienta de control remoto de PCs para usuarios finales autorizados que les permite acceder desde cualquier lugar de forma remota y segura a sus ordenadores.
Los usuarios solo tienen que instalar un agente Virtual
Access en un PC con acceso a Internet y conexin a
SonicWALL SSL VPN.

55
2010 n 30 e.Security

LABORATORIO
Ambos ofrecen:
- Conectividad al cliente ligero. Evita descargar y
preinstalar un cliente pesado, reduciendo las tareas de instalacin adicionales.
- Funcin de protocolizacin e informes de la empresa
supervisando actividades remotas de soporte para auditora.
- Cifrado AES SSL de 256 bits. SSL VPN cifra los datos
proporcionando un entorno seguro.

- Amplia protocolizacin para auditorias.

- Gestin de sesiones.
- Medidas antievasin.
- Inspeccin http.
- Funciones de aceleracin.
- Encubrimiento de sitios web.
- Cadenas de reglas personalizadas

FACILIDAD DE USO Y ADMINISTRACIN

SonicWALL Web Application Firewall

Los distintos escenarios que pueden crearse con SRA

4200 estn basados en las recomendaciones del fabricante
en cuanto a la experiencia que ha ido obteniendo de sus
propios clientes y son los tres que muestran a continuacin. Se puede observar que en dos de los casos, se implementa junto al servidor seguro de aplicaciones una seguri-

Viene como mdulo adicional licenciable para

SonicWALL SRA 4200 y utiliza una base de datos dinmicamente actualizada para detectar ataques sofisticados
basados en la Web y proteger las aplicaciones Web.
Somete el trfico de nivel 7 a un anlisis de Proxy reverso
utilizando definiciones conocidas, deniega el acceso en
caso de encontrar malware de aplicaciones Web y redirecciona a los usuarios a una pgina de error.
Prestaciones y ventajas
-Proteccin contra las vulnerabilidades Top 10 de la
fundacin OWASP (Proyecto de seguridad de aplicaciones
Web abiertas).
- Proteccin contra ataques de falsificacin de peticin
en sitios cruzados.
- Actualizaciones automticas en definiciones de malware.
- Autenticacin y autorizacin slidas
- Proteccin contra fugas de informacin.
- Interfaz de usuario robusta.
- Configuracin flexible de polticas

56
2010 n 30 e.Security

dad adicional de filtrado de contenidos, anti-virus y antispyware, y servicios de prevencin de intrusos que proporciona en estos casos un SonicWALL UTM appliance,
Este ltimo escenario fue utilizado en primer lugar para
la evaluacin del producto. La administracin se realiza a
travs de un interfaz grfico basado en Web. Para ello es
necesario tener el equipo conectado directamente al
appliance a travs de la red cableada y acceder mediante un
navegador Web por HTTP. Todas las actividades de administracin se pueden realizar a travs de la consola de gestin va men jerrquico.
El producto viene preinstalado por lo que su puesta en
marcha es realmente sencilla, se conecta el equipo segn la
topologa de red que se haya decidido implantar y tras
conectar la consola de gestin ya puede accederse al equipo. Nada mas acceder a la consola de gestin se visualiza
la informacin del sistema, as como una serie de pantallas
de configuraciones de seguridad que hay que realizar
como el cambio de contrasea, configuracin de la red,
tipos de usuario, y configuraciones horarias.
A continuacin y a travs de NetExtender se puede definir los accesos que tendrn los clientes a las distintas aplicaciones, habilitando o deshabilitando el modo Tunel All
mode, as como el rango de direcciones IP que dispondrn
los distintos usuarios en las sesiones de NetExtender.
Siguiendo este asistente llegamos a la que nos permite realizar paso a paso las tareas comunes de configuracin llegamos a la parte de configuracin SSL-VPN con la LAN.
La configuracin del acceso al servidor pblico se carga,
en este caso se utiliz sobre SonicOS estndar, accediendo
a las pantallas de del asistente de reglas de acceso a red y a
las reglas del servidor pblico a travs de HTTPS

Por ltimo se comprob la conexin a travs de

HTTPS, configurando dos clientes con acceso a distintas
carpetas de un disco ubicado en una mquina con Ubuntu
a travs de un portal personalizado. Cada uno de ellos
poda acceder igualmente a un servidor FTP
FileZilla_Server-0_9_3 donde poda descargarse los ficheros correspondientes de su carpeta.

ANEXO A Principales caractersticas del SRA 4200

57
2010 n 30 e.Security