¿Qué es la tunelización inversa?

2025-05-12Última actualización

La tunelización inversa es un método para proteger la comunicación entre clientes y servidores que están detrás de un firewall. Esta técnica mejora la seguridad y simplifica la gestión del firewall. Cuando se utiliza una tunelización inversa, el servidor inicia una conexión con el cliente. Esta conexión de tunelización está protegida por un archivo de clave previamente compartido que contiene un certificado de identidad. Cuando se establece, el túnel inverso permite la comunicación bidireccional sin abrir puertos de firewall entrantes.

Contexto

En Security Center SaaS, la tunelización inversa se utiliza, por lo general, para conectar uno o más sistemas remotos de Security Center al host de Federation™ en la nube. El uso de un túnel inverso simplifica la administración y configuración del firewall de Security Center Federation. De forma predeterminada, el túnel utiliza TCP 5500 saliente para conectar el sitio remoto al host Federation.

NOTA:
Si es necesario, puede conectar Security Center SaaS a un host de Federation externo, como un sistema local, o a Security Center SaaS Edition (Classic). Este establecimiento no utiliza la tunelización inversa. Para obtener más información o para continuar con esta configuración, comuníquese con el Centro de Asistencia Técnica de Genetec™ (GTAC).

El siguiente diagrama muestra el flujo de comunicación de una Federación normal, en azul, y una Federación sobre túnel inverso, en morado.

En una Federación normal, el host de Federation es el cliente que inicia una conexión con el sitio federado, que actúa como servidor. Este flujo se invierte en una Federación a través de un túnel inverso.

Un diagrama de arquitectura de un host de Federation™ y un sitio federado que muestra cómo se conectan a través de la tunelización inversa.
Para utilizar la tunelización inversa, debe crear una Reverse Tunnel Server función en el host de Federation y una Reverse Tunnel función en el sitio remoto. La tunelización inversa funciona de la siguiente manera:
  1. La función de Servidor de Túnel Inverso genera un archivo de claves que incluye un certificado de identidad, información de conectividad de red y un token de un solo uso.
  2. La función de Túnel Inverso acepta el archivo de claves para abrir el túnel inverso.
  3. La función de Security Center Federation™ se conecta al sitio federado a través del túnel inverso.

Limitaciones y requisitos

El túnel inverso solo admite TCP
El segmento de red utilizado para la tunelización entre el sitio remoto y el servidor de Federation debe ser compatible con TCP de unidifusión. Una vez que el video llega a la nube, se puede utilizar el Mejor protocolo de transporte disponible.
Las transmisiones de video deben pasar por un redirector antes y después del túnel
El mecanismo de tunelización solo se implementa a nivel de redireccionadores de video y es transparente para la aplicación cliente.