[LACNIC/Seguridad] Transición de Hardware VPN hacia Software VPN bajo IaaS

Rigierte Ricardo ricardo en is.com.ar
Mar Mayo 29 10:11:26 BRT 2012 

RouterOS, solución de Mikrotik.

http://www.mikrotik.com/pdf/what_is_routeros.pdf

Saludos.

Rigierte Ricardo Ruben          
Internet Services S.A.
011.4781.7604 int 210

-----Original Message-----
From: seguridad-bounces en lacnic.net [mailto:seguridad-bounces en lacnic.net] On
Behalf Of José Miguel Parrella Romero
Sent: lunes, 28 de mayo de 2012 11:59 p.m.
To: Lista para discusion de seguridad en redes y sistemas informaticos de la
region
Subject: Re: [LACNIC/Seguridad] Transición de Hardware VPN hacia Software
VPN bajo IaaS

Back in the days :) en 2007 evaluamos el tema de VPN en EDELCA, hoy
CORPOELEC en Venezuela (creo que hay un par de compañeros en esta
lista) durante la migración a software libre, y nos decantamos por
OpenVPN, primero en los equipos remotos con Linux provistos por la
empresa y luego en los Windows particulares de los empleados que
hacían teletrabajo.

Sí considero que requiere un poco más de cooperación del usuario que
OpenSWAN, pero funciona igual de bien en Windows y en Linux y es
straightforward en el backend.

En la oficina usamos (claro...) DirectAccess. Pero solo admite
clientes Windows, y no estoy seguro cómo funcionaría en un escenario
para clientes.

2E-2,
Jose

2012/5/28 Oscar Quintero <qoscarst en gmail.com>:
> Saludos,
>
> Estamos evaluando opciones para migrar varias de nuestras plataformas a el
> cloud, y uno de los puntos que aún estamos estudiando es la migración de
las
> VPNs con nuestros clientes a este nuevo esquema. Actualmente tenemos unas
40
> VPNs IPsec (LAN to LAN, IKE/PSK/ESP la gran mayoría) configuradas en
> nuestros routers en nuestro datacenter, a través de las cuales hay un
flujo
> de tráfico semi-constante de unos 4 Mbps, pero con picos de hasta 20Mbps
en
> ciertas ocasiones. Estas VPNs conectan nuestro datacenter con varios
> clientes en otras ubicaciones.
>
> Nuestra primera idea sobre este tema ha sido mantener las VPNs en nuestros
> datacenters y migrar los backends al cloud, pero esto nos agrega un punto
de
> falla bastante delicado que no podemos escalar, aparte de que duplicamos y
> cuadriplicamos el tráfico innecesariamente. Por esta razón estamos
> estudiando muy seriamente posibles alternativas que nos permitan crear
> nuevas VPNs en el cloud, pero tendrían que ser por software (no conozco un
> proveedor de cloud que alquile routers Cisco/Juniper físicos, más allá de
> los VPC de Amazon, pero estos son para infraestructuras diferentes).
>
> Hemos estado evaluando varias alternativas como OpenSWAN y StrongSWAN,
pero
> no hemos llegado a realizar pruebas de alto tráfico y alta disponibilidad,
> por lo que me gustaría consultar con la comunidad si existen experiencias
o
> comentarios sobre estas (u otras) alternativas. Son tan estables como sus
> contrapartes por hardware (Cisco, Juniper, etc)? Asumiendo que se les
asigne
> suficiente recursos a las instancias en el cloud, el performance es
> aceptable para manejar los niveles de tráfico que comento? Conocen algún
> servicio de IaaS que ofrezca alguna alternativa? Ó conocen algún otro
> producto (distinto a los OpenSWAN y StringSWAN ya mencionados) que puedan
> ofrecernos esta funcionalidad de manera estable? Existe alguna experiencia
> que podamos usar como base?
>
> Mucho sabré agradecer sus comentarios sobre este tema,
>
> --
> Oscar Quintero
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
_______________________________________________
Seguridad mailing list
Seguridad en lacnic.net
https://mail.lacnic.net/mailman/listinfo/seguridad

Más información sobre la lista de distribución Seguridad