VPN para proteger el tráfico de un servidor a un sitio remoto

2

Necesito instalar un servidor en el sitio de un cliente (Sitio A) que necesite comunicarse de manera segura a una red en otro sitio (Sitio B). La comunicación entre el sitio A y el sitio B se realiza a través de Internet. Hay una serie de protocolos sin cifrar que necesitan ser protegidos. El plan, creo, es enviar todo a través de un túnel VPN entre el Sitio A y el Sitio B.

¿Supongo que la VPN podría configurarse para enviar solo paquetes al sitio B que proviene de la dirección IP de nuestro servidor en el sitio A en lugar de enviar todas las direcciones IP de origen desde el sitio A?

Un diseño de alto nivel que he visto tiene un sitio a sitio VPN, pero no hay más detalles que eso.

Supongo que esto significa que los datos fluirán hasta que llegue al servidor de seguridad en el Sitio A y luego serán dirigidos a través del túnel VPN al Sitio B.

Mi preocupación es que los datos fluyan en claro en la red del sitio A antes de ingresar al túnel VPN desde el sitio A al sitio B. No me preocupan los datos cuando salen del túnel en el sitio B, ya que esto es una zona de confianza.

¿No sería más seguro tener la VPN funcionando desde el servidor que instalamos en el Sitio A hasta el Sitio B. ¿No es esto más seguro que tener una VPN de sitio a sitio? ¿Cuál es la forma típica en que se resuelve este tipo de problema?

No estoy muy familiarizado con las VPN. ¿Me estoy perdiendo de algo? ¿Cuáles serían las ventajas / desventajas de cualquiera de los enfoques?

El servidor ejecutará Windows 2012 R2. ¿Qué es un buen cliente VPN que podría usarse en ese servidor para enviar tráfico a través de una VPN al sitio B? ¿Es IPSec el protocolo que utiliza la mayoría de las VPN para este tipo de escenario?

    
pregunta SteveK 20.02.2016 - 11:21
fuente

2 respuestas

1

La idea de una VPN es que el tráfico entre dos puntos finales esté encriptado de manera segura y que los puntos finales estén configurados para conocerse entre sí, expandiendo así la red privada a través de Internet intrínsecamente no confiable.

El cifrado seguro no es particularmente especial y no se requiere ningún método en particular para hacer una VPN. El supuesto es que los datos en Internet salvaje oeste son irrompibles. Esto es cierto con otros protocolos seguros como SSL y SSH, etc.

La VPN es especial y conveniente porque extiende sus recursos de red privada y el espacio de direcciones a través de una conexión a Internet. Una VPN cliente-servidor (por ejemplo, la conexión a una red de la empresa desde una computadora doméstica) pone al cliente (computadora doméstica) en la red como si estuviera conectado directamente a la red. Una VPN peer-to-peer como la que usted describe hace que la red en un extremo sea igualmente accesible para aquellos en el otro extremo.

Normalmente, un punto final de VPN es una característica del enrutador y enrutador, o está vinculado a este. El tráfico es eficiente porque, a diferencia de las conexiones de una sola vez, es persistente, por lo que el intercambio de claves y la seguridad se producen con poca frecuencia. (Compare esto con una conexión SSL entre un navegador y un sitio web).

Si su VPN es para un cliente (a diferencia de, por ejemplo, para otra oficina de su empresa), cada parte decidirá qué tráfico está permitido y cuánto acceso tiene A a los recursos de B, y B tiene a A. Estas se convierten en reglas de firewall estándar, las mismas que pueden aislar una subred de su red de otra. Lo bueno de la VPN es que una vez establecido, quien tiene acceso a lo que se puede cambiar independientemente de la conexión VPN en sí.

Creo que su escenario es una configuración VPN de igual a igual. Hay protocolos estándar que permiten que VPN Brand A hable con VPN Brand B, y hay un buen software VPN gratuito (OpenVPN). Cisco, Checkpoint y otros crean dispositivos y software que funcionarán en la mayoría de las configuraciones y pueden ser más fáciles de administrar que configurar un servidor para ejecutar OpenVPN u otra VPN basada en software.

    
respondido por el Tom Harrison Jr 20.02.2016 - 22:01
fuente
0

Si el servidor que implementa en el sitio del cliente necesita comunicarse con los servidores de sus compañías de forma segura, una VPN de sitio a sitio es una buena solución. Normalmente, las VPN de sitio a sitio se establecen a través de puntos finales en cada DMZ de redes. Pero, si usted es un proveedor que implementa su solución en las instalaciones de un cliente, es posible que no le guste la idea de implementar una caja en su DMZ para usted. Además, parece que no está asumiendo que la red interna de los clientes es segura, lo que, por cierto, es una buena suposición.

Según los requisitos y las ideas anteriores, recomendaría implementar un servidor VPN (OpenVPN en pfSense es una buena opción) en su sitio y configurar los servidores que implementa con el cliente VPN que pueden conectarse y establecer una VPN segura para Tu servidor VPN y tu red yoru.

Aún deberá pedirle al cliente que le permita a su servidor establecer una sesión VPN saliente a través de su firewall, pero eso no debería ser un gran problema.

    
respondido por el Thomas Carlisle 17.11.2016 - 20:32
fuente

Lea otras preguntas en las etiquetas