[LACNIC/Seguridad] Transición de Hardware VPN hacia Software VPN bajo IaaS

José Miguel Parrella Romero joseparrella en gmail.com
Mie Mayo 30 12:09:05 BRT 2012 

Oscar,

No, por eso comentaba que era una opción si tenías acceso a cambiar
tus clientes. Normalmente, el path de migración para VPNs IPSec con
Cisco es hacia OpenSWAN. Y también compartir que a pesar de que haya
que cambiar los clientes (nosotros teníamos unos buenos cientos)
terminó siendo una alternativa para evitarnos dolores de cabeza con el
cisne.

Jose

2012/5/30 Oscar Quintero <qoscarst en gmail.com>:
> Saludos,
>
> Nosotros utilizamos OpenVPN en algún momento, pero solo cuando necesitábamos
> conectividad entre dos nodos que eran administrados por nosotros mismos, ya
> que los dos deben correr OpenVPN. En el caso actual se trata de VPNs
> IPSec/IKE/PSK/ESP que ya están configuradas entre routers Cisco en nuestro
> datacenter y routers Cisco/Juniper en los datacenters de los clientes, y
> queremos migrarlas al cloud, pero solo nuestro lado.
>
> Por esta razón hemos evaluado OpenSWAN y StrongSWAN, pero estamos abiertos a
> probar otras alternativas. A menos que OpenVPN también permita este tipo de
> conectividad y no lo hayamos visto?
>
> Muchas gracias por los comentarios
>
>
> 2012/5/28 José Miguel Parrella Romero <joseparrella en gmail.com>
>>
>> Back in the days :) en 2007 evaluamos el tema de VPN en EDELCA, hoy
>> CORPOELEC en Venezuela (creo que hay un par de compañeros en esta
>> lista) durante la migración a software libre, y nos decantamos por
>> OpenVPN, primero en los equipos remotos con Linux provistos por la
>> empresa y luego en los Windows particulares de los empleados que
>> hacían teletrabajo.
>>
>> Sí considero que requiere un poco más de cooperación del usuario que
>> OpenSWAN, pero funciona igual de bien en Windows y en Linux y es
>> straightforward en el backend.
>>
>> En la oficina usamos (claro...) DirectAccess. Pero solo admite
>> clientes Windows, y no estoy seguro cómo funcionaría en un escenario
>> para clientes.
>>
>> 2E-2,
>> Jose
>>
>> 2012/5/28 Oscar Quintero <qoscarst en gmail.com>:
>> > Saludos,
>> >
>> > Estamos evaluando opciones para migrar varias de nuestras plataformas a
>> > el
>> > cloud, y uno de los puntos que aún estamos estudiando es la migración de
>> > las
>> > VPNs con nuestros clientes a este nuevo esquema. Actualmente tenemos
>> > unas 40
>> > VPNs IPsec (LAN to LAN, IKE/PSK/ESP la gran mayoría) configuradas en
>> > nuestros routers en nuestro datacenter, a través de las cuales hay un
>> > flujo
>> > de tráfico semi-constante de unos 4 Mbps, pero con picos de hasta 20Mbps
>> > en
>> > ciertas ocasiones. Estas VPNs conectan nuestro datacenter con varios
>> > clientes en otras ubicaciones.
>> >
>> > Nuestra primera idea sobre este tema ha sido mantener las VPNs en
>> > nuestros
>> > datacenters y migrar los backends al cloud, pero esto nos agrega un
>> > punto de
>> > falla bastante delicado que no podemos escalar, aparte de que duplicamos
>> > y
>> > cuadriplicamos el tráfico innecesariamente. Por esta razón estamos
>> > estudiando muy seriamente posibles alternativas que nos permitan crear
>> > nuevas VPNs en el cloud, pero tendrían que ser por software (no conozco
>> > un
>> > proveedor de cloud que alquile routers Cisco/Juniper físicos, más allá
>> > de
>> > los VPC de Amazon, pero estos son para infraestructuras diferentes).
>> >
>> > Hemos estado evaluando varias alternativas como OpenSWAN y StrongSWAN,
>> > pero
>> > no hemos llegado a realizar pruebas de alto tráfico y alta
>> > disponibilidad,
>> > por lo que me gustaría consultar con la comunidad si existen
>> > experiencias o
>> > comentarios sobre estas (u otras) alternativas. Son tan estables como
>> > sus
>> > contrapartes por hardware (Cisco, Juniper, etc)? Asumiendo que se les
>> > asigne
>> > suficiente recursos a las instancias en el cloud, el performance es
>> > aceptable para manejar los niveles de tráfico que comento? Conocen algún
>> > servicio de IaaS que ofrezca alguna alternativa? Ó conocen algún otro
>> > producto (distinto a los OpenSWAN y StringSWAN ya mencionados) que
>> > puedan
>> > ofrecernos esta funcionalidad de manera estable? Existe alguna
>> > experiencia
>> > que podamos usar como base?
>> >
>> > Mucho sabré agradecer sus comentarios sobre este tema,
>> >
>> > --
>> > Oscar Quintero
>> >
>> > _______________________________________________
>> > Seguridad mailing list
>> > Seguridad en lacnic.net
>> > https://mail.lacnic.net/mailman/listinfo/seguridad
>> >
>> _______________________________________________
>> Seguridad mailing list
>> Seguridad en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/seguridad
>
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>

Más información sobre la lista de distribución Seguridad