[GTER] RES: Estruturação de VPN
GIULIANO (UOL)
giulianocm at uol.com.br
Wed Feb 18 15:45:13 -03 2009
Para usuarios moveis, a sugestao e utilizar SSL VPN.
E bem mais flexivel, com alto nivel de seguranca tambem.
Vc faz tudo via BROWSER, com alto nivel de integracao com a questao de
autorizacao por grupos de usuarios (LDAP, MS AD, RADIUS, TACACS, etc).
Varios players tem solucoes dedicadas de SSL VPN:
- JUNIPER
- F5
- CITRIX
- FORTINET (mais simples, mas ja vem dentro do proprio firewall).
Algumas perguntas para dimensionar:
- Qual o numero de usuarios remotos ?
- Qual a banda de internet ?
- Vc tera links ponto a ponto na topologia ?
- Que tipos de servico o usuario precisar acessar ?
- Vc fara bloqueios UTM no trafego dos usuarios: filtro URL, Anti-Spam,
Anti-Virus, IPS ?
- Vc autenticara os usuarios ?
- Precisa de integracao com AD para autenticar ? Precisa de Single Sign
On com ingra Microsoft ?
- Precisa de que niveis de seguranca no micro do usuario remoto ?
- Precisa de ambientes virtuais separados, quando o usuario por exemplo,
estiver utilizando uma maquina do MAC Donalds pra acessar a sua intranet ?
..
Acredito que tenhamos mais algumas questoes sobre roteamento, NAT, QoS,
uso ou nao de sistema de VoIP.
Tudo isso ajudara a definir melhor a tecnologia que vc podera utilizar.
Qualquer duvida, me comunique.
Obrigado,
Giuliano
> Para aplicacoes ponto a ponto, nos utilizamos os dispositivos da JUNIPER.
>
> A Juniper ja implementa SHA-2 e DH14 no fechamento do tunnel com IKEv1.
>
> Tambem poderemos utiliza IKEv2.
>
> E muito estavel e robusto e nao apresenta nenhum tipo de problema com
> protocolos de roteamento.
>
> Acho que 2 players no seu caso, poderao atende-lo bem (CUSTO X BENEFICIO):
>
> - JUNIPER (familia SSG - melhor implementacao de IPSEC que conheco)
> - FORTINET (se precisar adicionamente de UTM por perfil de grupos de
> usuarios do AD da microsoft ...)
>
>
> Att,
>
> Giuliano
>
>
>
>
>
>> Ja tive problemas sérios com o IPSec. certa vez deu problema com um
>> dos link
>> da Operadora e as VPN que usava IPsec não funcionava.. a sorte que
>> mudei para
>> o OpenVPN e até lá então no tive problemas..
>>
>> 2009/2/18 Alexandre Franco de Moraes <afmoraes at fujitsu.com.br>:
>>> IPSEC recomendo para site-to-site. Já tive problemas com usuários
>>> moveis e
>>> NAT ...
>>> Hoje eu uso OpenVPN.
>>>
>>> Alexandre
>>>
>>> -----Mensagem original-----
>>> De: gter-bounces at eng.registro.br
>>> [mailto:gter-bounces at eng.registro.br] Em
>>> nome de Luiz Neto
>>> Enviada em: quarta-feira, 18 de fevereiro de 2009 13:15
>>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>>> Assunto: Re: [GTER] Estruturação de VPN
>>>
>>> IPSEC é um lixo? Caro? Só vai dar dor de cabeça?
>>>
>>> 1. Tenho funcionando em vários clientes sem problema algum.
>>> 2. Existem dezenas de projetos opensource de IPSEC ou seja "de grátis"
>>> 3. Praticamente 100% de appliances, roteadores e etc são compatíveis
>>> com IPSEC, nunca vi nenhum compatível com OpenVPN. (Isso sim pode dar
>>> uma grande dor de cabeça)
>>>
>>>
>>> Itamar, acho que você está equivocado.
>>>
>>> Att,
>>>
>>> Luiz Neto.
>>>
>>>
>>>
>>>
>>> 2009/2/18 Kurt Kraut <listas at kurtkraut.net>:
>>>> 2009/2/18 Itamar Reis Peixoto <itamar at ispbrasil.com.br>:
>>>>> eu recomendo utilizar o openvpn, posso te garantir que ira` funcionar
>>> 1000%
>>>>> fuja do ipsec
>>>>>
>>>>> ipsec `e lixo, custa caro e so vai te dar dor de cabeca
>>>>>
>>>>>
>>>>> 2009/2/18 Marconi Pereira <marconipp at hotmail.com>:
>>>>>> Bom dia pessoal,
>>>>>>
>>>>>> um amigo me pediu uma indicação de alguma empresa que faça o seguinte
>>> trabalho no Rio de Janeiro, durante o mês de abril, com as seguintes
>>> características:
>>>>>> 1- Dimensionar, instalar, configurar e administrar uma estrutura de
>>> conexão remota VPN padrão IPSec e SSL nas dependências de um
>>> escritório no
>>> Rio de Janeiro;
>>>>>> 2- Permitir um mínimo de 30 acessos simultâneos de usuário remotos
>>> utilizando software cliente (client-based);
>>>>>> 3- Permitir um mínimo de 45 acessos simultâneos de usuários
>>>>>> remotos sem
>>> a utilização de software cliente através de SSL (clientless)
>>>>>> 4- Permitir a conexão de pelos menos duas redes remotas (site to
>>>>>> site).
>>>>>>
>>>>>> (ps.: incluir todo o hardware necessário).
>>>>>>
>>>>>> Contatos em PVT.
>>>>>> Obrigado,
>>>>>> Marconi
>>>>>>
>>>>>>
>>>>>> _________________________________________________________________
>>>>>> Stay up to date on your PC, the Web, and your mobile phone with
>>>>>> Windows
>>> Live.
>>>>>> http://clk.atdmt.com/MRT/go/msnnkwxp1020093185mrt/direct/01/
>>>>>> --
>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> ------------
>>>>>
>>>>> Itamar Reis Peixoto
>>>>>
>>>>> e-mail/msn: itamar at ispbrasil.com.br
>>>>> sip: itamar at ispbrasil.com.br
>>>>> skype: itamarjp
>>>>> icq: 81053601
>>>>> +55 11 4063 5033
>>>>> +55 34 3221 8599
>>>>> --
>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>> Aloha,
>>>>
>>>>
>>>> Também referendo o uso do OpenVPN. Tem clientes para quase todos os
>>>> sistemas operacionais. Com uma conf de menos de 10 linhas dá para
>>>> fazer uma VPN ponto a ponto. É fácil modificar nele MTU e até
>>>> adicionar compressão lzo.
>>>>
>>>>
>>>> Atenciosamente,
>>>>
>>>>
>>>> Kurt Kraut (listas at kurtkraut.net)
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>>
>>
>>
>>
>> ------------------------------------------------------------------------
>>
>>
>> Nenhum vírus encontrado nessa mensagem recebida.
>> Verificado por AVG - www.avgbrasil.com.br Versão: 8.0.237 / Banco de
>> dados de vírus: 270.10.25/1958 - Data de Lançamento: 02/18/09 08:57:00
>>
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
> ------------------------------------------------------------------------
>
>
> Nenhum vírus encontrado nessa mensagem recebida.
> Verificado por AVG - www.avgbrasil.com.br
> Versão: 8.0.237 / Banco de dados de vírus: 270.10.25/1958 - Data de Lançamento: 02/18/09 08:57:00
>
More information about the gter
mailing list