[LACNIC/Seguridad] Transición de Hardware VPN hacia Software VPN bajo IaaS

[Oscar Quintero]

Saludos,

Nosotros utilizamos OpenVPN en algún momento, pero solo cuando
necesitábamos conectividad entre dos nodos que eran administrados por
nosotros mismos, ya que los dos deben correr OpenVPN. En el caso actual se
trata de VPNs IPSec/IKE/PSK/ESP que ya están configuradas entre routers
Cisco en nuestro datacenter y routers Cisco/Juniper en los datacenters de
los clientes, y queremos migrarlas al cloud, pero solo nuestro lado.

Por esta razón hemos evaluado OpenSWAN y StrongSWAN, pero estamos abiertos
a probar otras alternativas. A menos que OpenVPN también permita este tipo
de conectividad y no lo hayamos visto?

Muchas gracias por los comentarios

2012/5/28 José Miguel Parrella Romero <joseparrella en gmail.com>

> Back in the days :) en 2007 evaluamos el tema de VPN en EDELCA, hoy
> CORPOELEC en Venezuela (creo que hay un par de compañeros en esta
> lista) durante la migración a software libre, y nos decantamos por
> OpenVPN, primero en los equipos remotos con Linux provistos por la
> empresa y luego en los Windows particulares de los empleados que
> hacían teletrabajo.
>
> Sí considero que requiere un poco más de cooperación del usuario que
> OpenSWAN, pero funciona igual de bien en Windows y en Linux y es
> straightforward en el backend.
>
> En la oficina usamos (claro...) DirectAccess. Pero solo admite
> clientes Windows, y no estoy seguro cómo funcionaría en un escenario
> para clientes.
>
> 2E-2,
> Jose
>
> 2012/5/28 Oscar Quintero <qoscarst en gmail.com>:
> > Saludos,
> >
> > Estamos evaluando opciones para migrar varias de nuestras plataformas a
> el
> > cloud, y uno de los puntos que aún estamos estudiando es la migración de
> las
> > VPNs con nuestros clientes a este nuevo esquema. Actualmente tenemos
> unas 40
> > VPNs IPsec (LAN to LAN, IKE/PSK/ESP la gran mayoría) configuradas en
> > nuestros routers en nuestro datacenter, a través de las cuales hay un
> flujo
> > de tráfico semi-constante de unos 4 Mbps, pero con picos de hasta 20Mbps
> en
> > ciertas ocasiones. Estas VPNs conectan nuestro datacenter con varios
> > clientes en otras ubicaciones.
> >
> > Nuestra primera idea sobre este tema ha sido mantener las VPNs en
> nuestros
> > datacenters y migrar los backends al cloud, pero esto nos agrega un
> punto de
> > falla bastante delicado que no podemos escalar, aparte de que duplicamos
> y
> > cuadriplicamos el tráfico innecesariamente. Por esta razón estamos
> > estudiando muy seriamente posibles alternativas que nos permitan crear
> > nuevas VPNs en el cloud, pero tendrían que ser por software (no conozco
> un
> > proveedor de cloud que alquile routers Cisco/Juniper físicos, más allá de
> > los VPC de Amazon, pero estos son para infraestructuras diferentes).
> >
> > Hemos estado evaluando varias alternativas como OpenSWAN y StrongSWAN,
> pero
> > no hemos llegado a realizar pruebas de alto tráfico y alta
> disponibilidad,
> > por lo que me gustaría consultar con la comunidad si existen
> experiencias o
> > comentarios sobre estas (u otras) alternativas. Son tan estables como sus
> > contrapartes por hardware (Cisco, Juniper, etc)? Asumiendo que se les
> asigne
> > suficiente recursos a las instancias en el cloud, el performance es
> > aceptable para manejar los niveles de tráfico que comento? Conocen algún
> > servicio de IaaS que ofrezca alguna alternativa? Ó conocen algún otro
> > producto (distinto a los OpenSWAN y StringSWAN ya mencionados) que puedan
> > ofrecernos esta funcionalidad de manera estable? Existe alguna
> experiencia
> > que podamos usar como base?
> >
> > Mucho sabré agradecer sus comentarios sobre este tema,
> >
> > --
> > Oscar Quintero
> >
> > _______________________________________________
> > Seguridad mailing list
> > Seguridad en lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/seguridad
> >
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20120530/71942926/attachment.html>