[LUG.ro] Permitir accesos desde internet a determinadas mac's

Sebastián D. Criado lugro@lugro.org.ar
Wed, 28 Nov 2007 19:26:33 -0300 

--=-hC2P4IUhEaCBxq3RjR+P
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable


El mi=C3=A9, 28-11-2007 a las 17:08 -0300, Mario Oroz escribi=C3=B3:
[...]
>=20
> Si podria, pero no me vale de nada ya que el server dentro
> de la lan no puede validar ese certificado, la aplicaci=C3=B3n
> que conecto no chequear=C3=ADa este certificado, me explico.
>=20
> Tal ves estoy equivocando el rumbo y lo que necesite es montar
> una vpn usando certificados en ambos extremos... no?

Es lo que te estoy recomendando, pero m=C3=A1s facil.
Tunel SSH con certificados RSA y listo, te ahorras la VPN.

>=20
> Use ssh para facilitar el acceso al server interno (tunel) pero
> la duda se me genero cuando me di cuenta que si alguien usa la
> clave privada que tiene el cliente y sabe la passphrase puede acceder
> desde otra ubicacion que no se la que corresponda, incluso sabiendo la
> contrase=C3=B1a que usa la aplicaci=C3=B3n estaria consultando info criti=
ca.

Podes hacer un tunel de la siguiente manera


Cliente <=3D=3D=3D=3D=3D=3D> Nube <=3D=3D=3D=3D=3D=3D> Server ----> Aplicac=
i=C3=B3n

Donde =3D=3D=3D=3D=3D es el tunel encriptado y ----- sin encriptar.

Mira por ssh -L
no se que tendr=C3=A1 el cliente, pero lo podes hacer con putty y automatic=
o
si no tenes GNU/Linux en la m=C3=A1quina del cliente.



>=20
> A lo que apunto es forzar al cliente a acceder desde el lugar en el que
> se configuro el acceso y no desde otro lado.
> Me dejo entender?
>=20

Solo va a poder acceder desde la m=C3=A1quina que tenga el certificado

> Esta bueno el concepto de Port Knocking pero no veo que me solucione el=20
> interrogante que trato de aclarar.

Eso sirve solo para abrir un puerto a qui=C3=A9n sepa como golpear la
puerta :D


>=20
> Mario.

Saludos.-
--=20
Sebasti=C3=A1n D. Criado - scriado{en}ciudad.com.ar
NO A LA MATRICULACI=C3=93N OBLIGATORIA -
http://noalamatricula.wordpress.com/about/
L.U.G.Ro - http://www.lugro.org.ar
GNU/Linux Registered User # 146768
-------------------------------------------------------------------
"Si el Universo fuera un programa estar=C3=ADa hecho en C, y correr=C3=ADa =
sobre
un sistema UNIX"

--=-hC2P4IUhEaCBxq3RjR+P
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada
	digitalmente

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQBHTesZ8hmHQ8ZCg0IRAnJrAKCcp2rZ8M+ArA58nz7S5fpD+zatngCgvXNu
Yf8mF/G8uRM2sf68wUy7ZkI=
=p8Dm
-----END PGP SIGNATURE-----

--=-hC2P4IUhEaCBxq3RjR+P--