Access Point es un dispositivo de seguridad de capa 7 que normalmente se instala en una zona desmilitarizada (DMZ). Access Point se utiliza para garantizar que el único tráfico que entra al centro de datos corporativo lo hace en nombre de usuarios con autenticación sólida.
Una de las opciones de configuración de Access Point es el número de tarjetas de interfaz de red virtual (NIC) que se van a utilizar. Al implementar Access Point, se selecciona la configuración de implementación para la red. Puede especificar una configuración de una, dos o tres NIC, que se especifica como onenic, twonic o threenic.
Si se reduce el número de puertos abiertos en cada LAN virtual y se separan los distintos tipos de tráfico de red, la seguridad puede mejorar significativamente. Las ventajas se traducen principalmente en términos de separación y aislamiento de los distintos tipos de tráfico de red como parte de una estrategia de diseño de seguridad extrema de la DMZ. Para conseguirlo, debe implementar distintos conmutadores físicos dentro de la DMZ con varias LAN virtuales dentro de la AMZ o como parte de una DMZ completamente administrada por VMware NSX.
Implementación típica de DMZ con una sola NIC
La implementación más sencilla de Access Point es la que tiene una sola NIC en la que todo el tráfico de la red se junta en una sola red. El tráfico del firewall orientado a Internet se dirige a uno de los dispositivos disponibles de Access Point. A continuación, Access Point redirige el tráfico autorizado a través del firewall interno hacia los recursos de la red interna. Access Point desecha el tráfico no autorizado.
Separar el tráfico del usuario sin autenticar del tráfico de administración y back-end
Una mejora sobre la implementación de una sola NIC es especificar dos NIC. La primera se sigue utilizando para acceso sin autenticar orientado a Internet, pero el tráfico autenticado back-end y el tráfico de administración se derivan a otra red.
En una implementación de dos NIC, el tráfico que se dirige a la red interna a través de un firewall interno debe tener autorización de Access Point. El tráfico no autorizado no se encuentra en esta red back-end. El tráfico de administración como la API de REST para Access Point solo se encuentra en esta segunda red
Si un dispositivo de una red front-end sin autenticar se pone en peligro, por ejemplo, el equilibrador de carga, en esta implementación de dos NIC no será posible volver a configurar dicho dispositivo para desviar Access Point. Combina reglas de firewall de capa 4 con seguridad de Access Point de capa 7. De forma similar, si el firewall orientado a Internet se configuró erróneamente para admitir el puerto TCP 9443, la API de REST de administración de Access Point seguiría sin exponerse a los usuarios de Internet. Un principio de seguridad máxima utiliza varios niveles de protección, entre ellos, saber que un solo error de configuración o un ataque al sistema no crea necesariamente una vulnerabilidad general
En una implementación de dos NIC, es habitual poner sistemas de infraestructura adicionales tales como servidores DNS, servidores del administrador de autenticación RSA SecurID en la red back-end dentro de la DMZ para que estos servidores no puedan estar visibles en la red orientada a Internet. Al poner sistemas de infraestructura dentro de la DMZ, se crea una protección contra los ataques de capa 2 procedentes de la LAN orientada a Internet desde un sistema front-end y se reduce de forma eficaz la superficie general de ataque.
La mayor parte del tráfico de red de Access Point se compone de los protocolos de visualización para Blast y PCoIP. Con un solo NIC, el tráfico del protocolo de visualización hacia y desde Internet se combina con el tráfico hacia y desde los sistemas back-end. Si se utilizan dos o más NIC, el tráfico se distribuye entre las redes y las NIC front-end y back-end. De esta forma se reduce el cuello de botella de una sola NIC y se generan ventajas de rendimiento.
Access Point admite una separación mayor al permitir también la separación del tráfico de administración en una LAN de administración específica. El tráfico de administración HTTPS dirigido al puerto 9443 será entonces solo posible si procede de la LAN de administración.
