Acerca de las Políticas de Mobile VPN with SSL
Cuando configura una VPN móvil, el Firebox crea automáticamente dos tipos de políticas:
Política de conexión
La política de conexión permite que se establezca la VPN. Para Mobile VPN with SSL, la política de conexión se denomina WatchGuard SSLVPN. Recomendamos que no cambie esta política.
Política de acceso
La política de acceso permite que los grupos y usuarios de Mobile VPN with SSL tengan acceso a los recursos de su red. Para Mobile VPN with SSL, la política de acceso se denomina Allow SSLVPN-Users.
De forma predeterminada, la política Allow SSLVPN-Users permite a los usuarios acceder a todos los recursos de la red. Esto ocurre porque la lista Hacia en la política Allow SSLVPN-Users incluye solo el alias Cualquiera.
Solo el grupo SSLVPN-Users aparece en la lista Desde de la política Allow SSLVPN-Users. El grupo SSLVPN-Users incluye cualquier usuario y grupo que usted agregue a la configuración de Mobile VPN with SSL. Los usuarios y grupos que usted agregue a la configuración de Mobile VPN with SSL no aparecen en la lista Desde de la política Allow SSLVPN-Users. Sin embargo, la política aún se aplica a esos usuarios y grupos.
Grupos de Autenticación y Políticas SSL
Es importante comprender que las políticas de Firebox controlan a qué recursos pueden acceder los usuarios de VPN móvil. Las VPN no se consideran parte de las zonas de confianza u opcionales. Cuando los usuarios se conectan a la VPN, no se los considera usuarios de confianza en la red local.
Esto significa que las políticas del Firebox con los alias De confianza u Opcional en la lista Desde no se aplican al tráfico de usuarios de la VPN móvil a menos que usted agregue grupos o usuarios de VPN móvil a esas políticas. O bien puede crear nuevas políticas para el tráfico de grupos y usuarios de VPN móvil.
Por ejemplo, esta política no se aplica al tráfico de los usuarios de Mobile VPN with SSL porque a lista Desde incluye solo el alias Cualquiera-De Confianza:
Esta política se aplica al tráfico de usuarios de Mobile VPN with SSL porque la lista Desde incluye un grupo de usuarios de Mobile VPN with SSL:
Esta política también se aplica al tráfico de usuarios de Mobile VPN with SSL porque el grupo de usuarios de RADIUS llamado TestGroup1 se especifica en la configuración de Mobile VPN with SSL:
Considere atentamente qué grupos de usuarios agrega a las políticas de Firebox. Por ejemplo, si agrega grupos de usuarios RADIUS a la configuración de autenticación en su Firebox, y agrega los mismos grupos a su configuración de Mobile VPN with SSL, considere agregar los grupos de RADIUS a las políticas del Firebox, en lugar del grupo predeterminado. SSLVPN-Users. El grupo SSLVPN-Users incluye todos los grupos y usuarios que usted agregue a la configuración de Mobile VPN with SSL. Si agrega el grupo SSLVPN-Users a una política de Firebox, todos los usuarios móviles tienen acceso a los recursos especificados en esa política, lo que podría no ser su intención.
Los grupos de direcciones IP virtuales no afectan si los usuarios de VPN se consideran usuarios de confianza o no en la red local. Por ejemplo, si especifica un grupo de direcciones IP para Mobile VPN with SSL que se superponga con el rango de direcciones IP de su red local, los usuarios de VPN móvil todavía no se consideran usuarios de confianza en la red local.
Prácticas Recomendadas para las Políticas de SSL
Recomendamos que limite los recursos de red a los que los usuarios de Mobile VPN with SSL pueden acceder a través de la VPN. Para ello, puede reemplazar la política Allow SSLVPN-Users.
Para reemplazar la política Allow SSLVPN-Users:
- Determine los puertos y protocolos que sus usuarios necesitan. Para determinar esto, evalúe su red con pruebas de valores de referencia y vea los registros.
- Agregue grupos y usuarios de Mobile VPN with SSL a las políticas existentes del Firebox que especifican esos puertos y protocolos. Por ejemplo, puede agregar grupos y usuarios de Mobile VPN with SSL a las políticas para el tráfico web.
- Si es necesario, agregue políticas nuevas:
- Cuando selecciona un tipo de política para la nueva política, puede especificar un protocolo y un puerto.
- En la lista de la política Desde, especifique usuarios o grupos. Debe especificar grupos o usuarios incluidos en la configuración de Mobile VPN with SSL. Por ejemplo, puede especificar el grupo predeterminado SSLVPN-Users. O bien especifique los grupos y usuarios que agregó a la configuración de Mobile VPN with SSL.
- En la lista Hasta de la política, elimine el alias Cualquiera y agregue otros destinos.
- Antes de deshabilitar la política Allow SSLVPN-Users, asegúrese de que sus políticas permitan que los usuarios de Mobile VPN with SSL accedan a todos los recursos de red necesarios.
- Deshabilite la política Allow SSLVPN-Users.