VPN per proteggere il traffico da un server a un sito remoto

Naviga le tue risposte
1

Devo installare un server sul sito di un cliente (sito A) che deve comunicare in modo sicuro a una rete in un altro sito (sito B). La comunicazione tra il sito A e il sito B è su Internet. Esistono numerosi protocolli non crittografati che devono essere protetti. Il piano, penso, è di inviare tutto attraverso un tunnel VPN tra il sito A e il sito B.

Suppongo che la VPN possa essere configurata per inviare solo pacchetti al sito B provenienti dall'indirizzo IP del nostro server nel sito A piuttosto che inviare tutto l'indirizzo IP di origine dal sito A?

Un design di alto livello che ho visto ha un sito per il sito VPN, ma nessun ulteriore dettaglio di quello.

Suppongo che ciò significhi che i dati fluiranno in chiaro fino a quando non colpiscono il firewall sul Sito A e saranno quindi diretti attraverso il tunnel VPN al Sito B.

La mia preoccupazione sono i dati che fluiscono in chiaro nella rete del sito A prima che entrino nel tunnel VPN dal sito A al sito B. Non sono preoccupato per i dati quando escono dal tunnel nel sito B poiché questo è una zona fidata.

Non sarebbe più sicuro avere la VPN in esecuzione dal server che installiamo nel Sito A al Sito B. Non è più sicuro di un sito per la VPN del sito? Qual è il modo tipico in cui questo tipo di problema è stato risolto?

Non ho molta familiarità con le VPN. Mi sto perdendo qualcosa? Quali sarebbero i vantaggi / svantaggi di entrambi gli approcci?

Il server eseguirà Windows 2012 R2. Che cos'è un buon client VPN che può essere utilizzato su quel server per inviare traffico su una VPN al sito B? IPSec è il protocollo utilizzato dalla maggior parte delle VPN per questo tipo di scenario?

    
posta SteveK 20.02.2016 - 11:21
fonte

2 risposte

1

L'idea di una VPN è che il traffico tra due endpoint è crittografato in modo sicuro e che gli endpoint sono configurati per conoscersi l'un l'altro, espandendo così la rete privata su Internet intrinsecamente non affidabile.

La crittografia sicura non è particolarmente speciale e non è richiesto alcun metodo particolare per creare una VPN. L'ipotesi è che i dati nell'Internet wild-west siano indistruttibili. Questo è vero con altri protocolli sicuri come SSL e SSH, ecc.

La VPN è speciale e comoda perché estende le risorse della tua rete privata e lo spazio degli indirizzi tramite una connessione Internet. Una VPN client-server (ad esempio, una connessione a una rete aziendale da un computer di casa) mette il client (computer di casa) sulla rete come se fosse collegato direttamente alla rete. Una VPN peer-to-peer, come quella che descrivi, rende la rete a un'estremità equamente accessibile a quelli dell'altra estremità.

In genere, un endpoint VPN è una funzionalità di o collegato al firewall e al router. Il traffico è efficiente perché a differenza delle connessioni una tantum, è persistente, quindi l'handshake di sicurezza e lo scambio di chiavi avvengono raramente. (Confrontalo con una connessione SSL tra un browser e un sito web).

Se la tua VPN è per un cliente (al contrario, per esempio in un altro ufficio della tua azienda) ciascuna parte deciderà quale traffico è consentito e quanto l'accesso A alle risorse di B, e B deve alle A. Queste diventano regole del firewall standard, le stesse che possono isolare una sottorete della rete da un'altra. La cosa bella della VPN è che una volta stabilito, chi ha accesso a ciò che può essere modificato indipendentemente dalla connessione VPN stessa.

Penso che il tuo scenario sia una configurazione VPN peer-to-peer. Esistono protocolli standard che consentono al marchio VPN A di parlare con il marchio B VPN, e ci sono alcuni buoni software VPN gratuiti là fuori (OpenVPN). Cisco, Checkpoint e altri realizzano dispositivi e software che funzionano nella maggior parte delle configurazioni e potrebbero essere più facili da gestire rispetto alla configurazione di un server per l'esecuzione di OpenVPN o di altre VPN basate su software.

    
risposta data 20.02.2016 - 22:01
fonte
0

Se il server che si distribuisce sul sito del cliente deve comunicare con i server aziendali in modo sicuro, una VPN da sito a sito è una buona soluzione. Di solito, le VPN site-to-site vengono stabilite tramite endpoint su ciascuna rete DMZ. Tuttavia, se sei un fornitore che implementa la tua soluzione presso una sede del cliente, potrebbe non piacerti l'idea di distribuire una scatola sulla loro DMZ per te. Inoltre, sembra che tu non stia assumendo che la rete interna dei clienti sia sicura, il che è comunque un buon presupposto.

Sulla base dei requisiti e delle considerazioni di cui sopra, consiglierei di installare un server VPN (OpenVPN su pfSense è una buona opzione) sul tuo sito e configurare i server che distribuisci con un client VPN che può connettersi e stabilire una VPN sicura per il tuo server VPN e la tua rete yoru.

Dovrai comunque chiedere al cliente di consentire al tuo server di stabilire una sessione VPN in uscita attraverso il firewall, ma questo non dovrebbe essere un problema enorme.

    
risposta data 17.11.2016 - 20:32
fonte

Leggi altre domande sui tag

CSRF nelle chiamate API da Javascript sul browser Come ottenere ulteriori informazioni su TermDD Security Layer Disconnects (Event 56)