Estamos pensando en usar VPN para conectar nuestra oficina remota y la oficina principal y también para ayudar a los desarrolladores que trabajan desde casa. Para hacer esto, planeamos comprar 2 enrutadores CISCO (o similares) para conectarse a través de IPsec. Nuestro director general está muy preocupado por esta configuración. Él siente que habilitar VPN en enrutadores pone a toda nuestra red en riesgo de estar expuesto a la red externa.
Entonces, mi pregunta es:
- ¿Es menos seguro usar VPN (IPsec) en el enrutador CISCO que nuestra configuración actual de VPN? Así es como se configura nuestra VPN ahora:
Gracias.
Actualización: Gracias por tus comentarios. Por favor, vea abajo para mis respuestas:
¿Tiene o no tiene actualmente una configuración de VPN? - raz 11 de junio a las 11:50
Tenemos la configuración de OpenVPN como se describe en el diagrama de arriba. El problema es que primero debemos crear el túnel SSH en el servidor intermediario y hacer la conexión OpenVPN a través del túnel SSH. Esto está bien, pero es bastante molesto ya que necesitamos usar 2 programas diferentes.
Su pregunta es muy poco clara de lo que puedo deducir: ¿su CEO espera que se conecte a un vpn que empuje las rutas de enrutamiento no válidas que bloquearán el acceso a la red interna?
No. Mi CEO no desea reenviar un puerto a nuestro servidor VPN (que se encuentra dentro de nuestro NAT) desde nuestro enrutador. Él piensa que esto puede ser un riesgo de seguridad.
o es que su CEO tiene un vpn actual donde se enruta su conexión a Internet y actualmente puede acceder a PC en la red.
Nuestra VPN está configurada como lo describí anteriormente y ahora funciona bien. Pero, quiero encontrar una mejor manera de implementar VPN. Con nuestra configuración actual, los usuarios de VPN deben, primero, crear el túnel SSH al servidor intermediario y luego realizar la conexión VPN a través del túnel SSH. Esto funciona pero requiere 2 programas separados para usar VPN y es bastante molesto. Lo que quiero saber es que si decidimos utilizar un enrutador CISCO que admita VPN, ¿es menos seguro que nuestra configuración actual?
Su CEO desea excluir las PC's en la oficina de la VPN.
No. Él simplemente no quiere agregar una regla de reenvío de puerto a nuestro enrutador. Cree que agregar una regla de reenvío de puerto a nuestro enrutador aumenta el riesgo de que nuestra red se exponga a la red externa (WAN).
¿Entonces las personas que se conectan desde una red externa no pueden acceder a las PC internas?
No. Nuestros usuarios de VPN pueden conectarse a nuestras PC internas. Esto no es un problema. Solo quiero saber si el uso de un enrutador CISCO con soporte VPN integrado es menos seguro que nuestra configuración actual.
- Tim Williams el 11 de junio a las 13:18
Gracias, Tim.