[LACNIC/Seguridad] Transición de Hardware VPN hacia Software VPN bajo IaaS

Mar Mayo 29 01:07:59 BRT 2012

Ya he dado de baja mi correo de la lista, pero me siguen llegando estos correos.. que hay que hacer?

El 28/05/2012, a las 21:32, James Pichardo escribió:

> Hola Oscar,
> 
> Si buscas escalabilidad, robustez  y estabilidad debes probar Vyatta. Es una distribución Linux especializada en servicios de red y seguridad. En VPNs soporta IPSec, PPTP y SSLVPN (OpenVPN). Lo he probado en varios ambientes de producción y en VPNs con mas de 300Mbps de tráfico.
> 
> Esta pensado también para ambientes virtualizados y optimizado para VMware, XenServer y KVM.
> 
> Puedas bajar la versión "Community" (que tiene toda la funcionalidad de VPN) en su site: www.vyatta.org.
> 
> Espero esto te ayude.
> 
> Saludos,
> James.
> 
> On 5/28/12 6:48 PM, Oscar Quintero wrote:
>> 
>> Saludos,
>> 
>> Estamos evaluando opciones para migrar varias de nuestras plataformas a el cloud, y uno de los puntos que aún estamos estudiando es la migración de las VPNs con nuestros clientes a este nuevo esquema. Actualmente tenemos unas 40 VPNs IPsec (LAN to LAN, IKE/PSK/ESP la gran mayoría) configuradas en nuestros routers en nuestro datacenter, a través de las cuales hay un flujo de tráfico semi-constante de unos 4 Mbps, pero con picos de hasta 20Mbps en ciertas ocasiones. Estas VPNs conectan nuestro datacenter con varios clientes en otras ubicaciones.
>> 
>> Nuestra primera idea sobre este tema ha sido mantener las VPNs en nuestros datacenters y migrar los backends al cloud, pero esto nos agrega un punto de falla bastante delicado que no podemos escalar, aparte de que duplicamos y cuadriplicamos el tráfico innecesariamente. Por esta razón estamos estudiando muy seriamente posibles alternativas que nos permitan crear nuevas VPNs en el cloud, pero tendrían que ser por software (no conozco un proveedor de cloud que alquile routers Cisco/Juniper físicos, más allá de los VPC de Amazon, pero estos son para infraestructuras diferentes).
>> 
>> Hemos estado evaluando varias alternativas como OpenSWAN y StrongSWAN, pero no hemos llegado a realizar pruebas de alto tráfico y alta disponibilidad, por lo que me gustaría consultar con la comunidad si existen experiencias o comentarios sobre estas (u otras) alternativas. Son tan estables como sus contrapartes por hardware (Cisco, Juniper, etc)? Asumiendo que se les asigne suficiente recursos a las instancias en el cloud, el performance es aceptable para manejar los niveles de tráfico que comento? Conocen algún servicio de IaaS que ofrezca alguna alternativa? Ó conocen algún otro producto (distinto a los OpenSWAN y StringSWAN ya mencionados) que puedan ofrecernos esta funcionalidad de manera estable? Existe alguna experiencia que podamos usar como base?
>> 
>> Mucho sabré agradecer sus comentarios sobre este tema,
>> 
>> --
>> Oscar Quintero
>> 
>> 
>> _______________________________________________
>> Seguridad mailing list
>> Seguridad en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/seguridad
> 
> 
> -- 
> jp
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad

----------------------
Ingeniero en Tecnologías de la Información
ITI. Martin M. Ambros Vargas
martinambros en gmail.com

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20120528/6883c29d/attachment.html>