Arquitectura de aXes

aXes es instalado usualmente en entornos corporativos y empresariales o de proveedores de servicios. Los niveles de seguridad en estos ambientes pueden variar ampliamente, desde no tener firewalls hasta firewalls instalados entre y cada posible capa de la infraestructura.

La meta de aXes es ser lo suficientemente flexible para operar dentro de cualquier ambiente de Seguridad en el cual sea instalado, con mínimos a ningún tipo de cambios en la infraestructura existente. En algunos casos, los dispositivos del cliente residen en sitios remotos que no son administrados por la organización que controla aXes. Los dispositivos de cliente pueden ser enrutados a través de firewalls y/o servidores proxy cuando se acceden servidores sobre el internet. Las políticas de seguridad corporativa en el sitio del cliente pueden solamente permitir tráfico desde y hacia un puerto específico. El reto para los usuarios es el lograr acceder a sus aplicaciones de negocio sobre el internet, sin vulnerabilizar la seguridad corporativa. Cualquier software o hardware operando en un entorno de una empresa o proveedor de servicios con acceso a internet debe enfrentar ese reto. aXes supera este reto sin afectar al usuario final, sin comprometer las políticas de seguridad, y sin alterar la infraestructura actual o sin requerir alternativas costosas, tales como una Red Privada Virtual (VPN).

aXes incluye un veloz Servidor de Aplicaciones integrado propio, Servidor HTTP seguro para el IBM iSeries (AS/400) con tecnología de aceleración de sitios web, Al utilizar el Servidor de Aplicaciones aXes, la carga puede ser reducida. La respuesta Web puede ser mejorada, y la calidad de servicio del sitio puede ser más fácilmente predecible y administrada.

Firewalls, servidores proxy y de cache

Los firewall son implementados en entornos corporativos y de proveedores como una medida de Seguridad para controlar el acceso a los servidores dentro de una red. Si el dispositivo del cliente y el Servidor de Aplicaciones de aXes están detrás del mismo firewall, el cliente podrá conectarse directamente al Servidor de Aplicaciones de aXes. Este será el caso si el cliente está sobre la misma Intranet que el Servidor de Aplicaciones aXes, utiliza un método de acceso a internet (tal como una VPN) o utiliza un discado para comunicarse – estos métodos se asemejan a una conexión local. Alternativamente, el dispositivo del cliente se conecta directamente sobre el internet a través del firewall al Servidor de Aplicaciones de aXes o es enrutado a través de un firewall a su respectivo sitio antes de alcanzar a conectarse al internet al conectar al Servidor de Aplicaciones de aXes.

El Servidor de Aplicaciones de aXes provee encabezados explícitos HTTP instruyendo a un servidor proxy HTTP 1.1 a no almacenar transacciones. Los servidores proxy no almacenarán transacciones de aXes, mientras que cada transacción es una URL distinta. Otras transacciones del Servidor de Aplicaciones de aXes serán almacenadas a través de un servidor proxy.

Para más información sobre firewall y servidores proxy, por favor visita:

Puertos de aXes

El Servidor de Aplicaciones aXes utilizar protocolos HTTP o HTTPS. Cada uno de este tipo de conexiones es servido por un proceso de escucha sobre un puerto sobre el Servidor de Aplicaciones aXes. Los puertos utilizados por omisión son:

  • Port 80 HTTP
  • Port 443 HTTPS

Los protocolos pueden ser encriptados o no encriptados, dependiendo de la configuración de seguridad definidas para el usuario

Los usuarios típicamente acceden aplicaciones a través del Servidor de Aplicaciones aXes al escribir una URL para el servidor en su navegador, por ejemplo https://www.axeslive.com/. La conexión inicial al Servidor de Aplicaciones aXes es siempre hecha a través de ya sea HTTP o HTTPS. El Servidor de Aplicaciones aXes responde a las solicitudes HTTP o HTTPS y presentan una pantalla de inicio de sesión para el usuario. Tráfico de internet es generado según el usuario inicia la sesión, lanza las a aplicaciones y responde a las aplicaciones.

Para funcionar en un ambiente seguro, es deseable encriptar el tráfico de internet. Por lo tanto, es como si HTTPS estuviera en uso. Si el Servidor de Aplicaciones de aXes (HTTPS) escucha en puerto 443, entonces este puerto debe estar disponible para el tráfico entrante. Eso es, el puerto debe estar accesible a través del firewall o servidor proxy, el tráfico debe estar permitido a través del puerto 443.

Si el dispositivo del cliente reside en un ambiente seguro, del lado del cliente del firewall y/o servidor proxy deberá permitir el tráfico saliente por el puerto 443 solamente para el servidor de destino. In estas situaciones, el tráfico web debe comunicarse con el puerto 443.

aXes y Telnet

aXes no utiliza Telnet. Ninguno de los protocolos Telnet o el Servidor Telnet del IBM i son necesarios cuando aXes está funcionando.

La mayoría de soluciones basadas en Telnet (clientes enriquecidos o delgados) abren 2 puertos (puerto 23 y puerto 992) sin embargo el Servidor de Aplicaciones de aXes estará escuchando en el puerto por omisión de aplicaciones HTTP (puerto 80) o en un puerto especificado por el usuario.

Una pregunta frecuentemente hecha es: “¿El uso de soluciones de Telnet o puerta de enlace de Telnet utilizadas para servir a aplicaciones IBM i sobre la web abren brechas de seguridad en el servidor?” Esto es especialmente relevante cuando algunos productos abren una combinación de puertos para proveer sesión de acceso, la conectividad ODBC, acceso con clientes Java y/o acceso por sockets directamente a las aplicaciones y datos.

La respuesta es no, porque aun si un hacker o intruso podría exitosamente conectarse y abrir una sesión de Telnet (y sea presentada una pantalla verde de inicio de sesión), ellos aún necesitaría saber el usuario y contraseña antes de tener el acceso al servidor. Los procedimientos correctos de seguridad en el IBM i deberían tomar su lugar para restringir en número de intentos fallidos de sesión y registrar los intentos de intrusión.

Las aproximaciones de acceso al servidor basado en Telnet permiten al hacker determinar el tipo de sistema y si ellos pueden conectarse a una sesión. Esto es porque la sesión desplegará una pantalla de inicio de sesión.

Un enfoque de Seguridad estándar reduce el monto de información disponible para un hacker potencial. aXes mejora el enfoque basado en Telnet al:

  • No utilizar Telnet (de hecho el Servidor Telnet puede estar deshabilitado sin afectar aXes)
  • Siempre encriptar el ID de Usuario y contraseña (aún si SSL no es utilizado)
  • Nunca desplegar una pantalla de servidor para inicio de sesión
  • Utilizar los puertos HTTPS en lugar de los puertos Telnet

aXes provee medidas de seguridad

La Seguridad es parte integral de la Suite de aXes y fue diseñada para proteger tu información y aplicaciones mientras haces esas aplicaciones disponibles para usuarios remotos a través del internet utilizando un navegador. aXes soporta un número de implementaciones físicas cada una definida para proveer diferentes niveles de escalabilidad y rendimiento y sin comprometer la seguridad. Algunos de los elementos importantes de seguridad enfocados por aXes son los siguientes:

  • aXes soporta la Seguridad y mecanismos de autenticación de IBM i inclusive en los niveles más altos de seguridad (nivel 50)
  • Identificación de usuarios y contraseñas son encriptadas antes de la transmisión y no pueden ser almacenadas en el cache en el navegador
  • aXes soporta inicio de sesión desde direcciones IP específicas
  • aXes soporta inicio de sesión desde nombres de dispositivos específicos
  • aXes provee visualización de sesiones de usuario en el servidor – un servicio utilizado por los administradores para examinar la actividad de los usuarios utilizando aXes en tiempo real
  • El Servidor de Aplicaciones de aXes soportan ambos protocolos de Secure Sockets Layer (SSL) and Transport Layer Security (TLS) los cuales permiten autenticación segura, encripción, tecnología de no-repudiación y VPN. Ambos SSL y VPNs preveen que los fisgones escuchen o intercepten tráfico entre el navegador y el servidor

El tráfico de comunicaciones entre el navegado y el Servidor de Aplicaciones de aXes es compreso con GZIP lo cual ofrece mayores beneficios:

  • El tráfico es más difícil de monitorear con dispositivos de captación y
  • Cuando usas tecnologías SSL o VPN, el monto de data transmitida entre el servidor y el navegador es reducida antes que el procesamiento en encripción o desencripción sea ejecutado por el SSL o VPN

Comprimir el tráfico resulta en ahorros considerables en ancho de banda y ciclos de CPU cuando utilizamos tecnologías de SSN o VPN.

El Servidor de Aplicaciones asegura las páginas Web al requerir autoridad específica para Lectura (*R) y ejecución (*X) para el acceso de archivos base. Asegura el acceso a directorio de servidores al utilizar Listas de Control de Acceso.

Volver Arriba