[LACNIC/Seguridad] Transición de Hardware VPN hacia Software VPN bajo IaaS

[Oscar Quintero]

Saludos,

Estamos evaluando opciones para migrar varias de nuestras plataformas a el
cloud, y uno de los puntos que aún estamos estudiando es la migración de
las VPNs con nuestros clientes a este nuevo esquema. Actualmente tenemos
unas 40 VPNs IPsec (LAN to LAN, IKE/PSK/ESP la gran mayoría) configuradas
en nuestros routers en nuestro datacenter, a través de las cuales hay un
flujo de tráfico semi-constante de unos 4 Mbps, pero con picos de hasta
20Mbps en ciertas ocasiones. Estas VPNs conectan nuestro datacenter con
varios clientes en otras ubicaciones.

Nuestra primera idea sobre este tema ha sido mantener las VPNs en nuestros
datacenters y migrar los backends al cloud, pero esto nos agrega un punto
de falla bastante delicado que no podemos escalar, aparte de que duplicamos
y cuadriplicamos el tráfico innecesariamente. Por esta razón estamos
estudiando muy seriamente posibles alternativas que nos permitan crear
nuevas VPNs en el cloud, pero tendrían que ser por software (no conozco un
proveedor de cloud que alquile routers Cisco/Juniper físicos, más allá de
los VPC de Amazon, pero estos son para infraestructuras diferentes).

Hemos estado evaluando varias alternativas como OpenSWAN y StrongSWAN, pero
no hemos llegado a realizar pruebas de alto tráfico y alta disponibilidad,
por lo que me gustaría consultar con la comunidad si existen experiencias o
comentarios sobre estas (u otras) alternativas. Son tan estables como sus
contrapartes por hardware (Cisco, Juniper, etc)? Asumiendo que se les
asigne suficiente recursos a las instancias en el cloud, el performance es
aceptable para manejar los niveles de tráfico que comento? Conocen algún
servicio de IaaS que ofrezca alguna alternativa? Ó conocen algún otro
producto (distinto a los OpenSWAN y StringSWAN ya mencionados) que puedan
ofrecernos esta funcionalidad de manera estable? Existe alguna experiencia
que podamos usar como base?

Mucho sabré agradecer sus comentarios sobre este tema,

--
Oscar Quintero
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20120528/6354fd05/attachment.html>