Alguém do /r/sysadmin me aconselhou a postar minha dúvida aqui.
A empresa em que trabalho está considerando a decisão de fazer um acordo B2B com uma agência governamental. Me enviaram os documentos técnicos para esse arranjo, e a forma como solicitamos e recebemos dados é feita através de um túnel VPN de magia negra e um monte de hardware (concentradores VPN?!?) que eu realmente não entendo.
O problema aqui é duplo: primeiro, entender como essa coisa funciona, e depois, como integrar essa VPN ao AWS EC2 para que nosso ambiente de produção possa se conectar a ela e fazer solicitações pelo túnel.
Estou agarrado à esperança de não precisar terceirizar isso, mas VPNs realmente são magia negra, e esses requisitos ridículos de segurança não estão ajudando. Pedimos mais informações, mas a resposta foi algo como “Não gostamos de endossar provedores, mas usamos Cisco”.
Tentei extrair algumas informações sobre a VPN deste guia:
Usa IKE, em algum momento
Quer usar IKE-3DES-SHA para criptografar algo (IUseRhetoric deduziu que é um dispositivo Cisco do lado deles)
“O endpoint VPN deve suportar RFC 3947”
Pelo menos, se alguém puder explicar o que diabos é um concentrador VPN, ficarei imensamente grato.
A verdadeira questão deste PDF não é que ele usa uma VPN misteriosa, mas que a API no final tem horário de funcionamento das 06h30 às 22h00 de segunda a sexta, das 07h00 às 17h00 sábado, e fechado no Natal, Páscoa e domingos.
Vou ser inconveniente e aconselhar FORTEMENTE que você terceirize isso. Você parece não ter o conhecimento necessário para implementar isso, e um contrato bilateral com uma agência governamental não é o cenário onde você quer errar feio.
Concentrador VPN é simplesmente um dispositivo VPN que termina mais de 1 VPN. Pode ser qualquer coisa, um dispositivo dedicado de VPN, um servidor, um roteador, o que for.
RFC 3937 é apenas NAT-T. Quase qualquer ponto de terminação de VPN atual suporta.
Seu diagrama não é mágica negra nem algo louco. Parece um ambiente VPN padrão.
Sinceramente, se esse tipo de coisa está te assustando, é hora de chamar um profissional. O quanto você vai gastar para a) implementar com sucesso, b) parecer que você sabe o que está fazendo para o seu cliente, e c) te ensinar a cuidar/solucionar problemas na VPN vale o dinheiro.
Como alguém que já implementou mais de 500 VPNs B2B S2S usando exatamente o que você descreveu, não há nada pior do que ter alguém na outra ponta que não faz ideia do que está fazendo e como solucionar problemas.
se alguém pudesse explicar o que diabos é um concentrador VPN
É um dispositivo que termina VPNs (normalmente túneis IPSec).
Vamos supor que você queira uma comunicação segura entre a Rede A e a Rede B através de um meio inseguro, como a internet. Você poderia implementar concentradores VPN (de fato, qualquer dispositivo que possa falar IPSec, como qualquer firewall moderno) em cada ponta para criar uma VPN. Os dados da Rede A atingem o concentrador VPN local, que os criptografa e envia ao concentrador da Rede B, que por sua vez decripta os dados e os entrega na Rede B. A mesma coisa na outra direção.
Upvote pelo termo “tecnologia de VPN de magia negra”. Downvote por não ter pesquisado o termo “concentrador VPN” antes de postar.
Aconselho você a terceirizar esse projeto para alguém que já tenha feito isso antes e continue a acreditar que a VPN é magia e que a internet funciona por “algum tipo de voodoo chinês”.
Alternativamente, você pode procurar no site da Cisco ou do OpenVPN e aprender como funciona.
É uma caixa negra mágica que conecta na sua conexão de internet e cria um túnel VPN com quem quer que seja do outro lado.
Eles vão mandar um técnico do fornecedor para conectar. Você provavelmente terá que fornecer algumas informações de rede, mas a menos que tenham mudado recentemente, não precisará (ou poderá) mexer no dispositivo.
como integrar essa VPN ao AWS EC2 para que nosso ambiente de produção possa se conectar a ela e fazer solicitações pelo túnel.
Provavelmente, não vai. Você quase certamente precisará enviar solicitações de algum lugar que você controle, não “Na Nuvem”. De qualquer forma, a agência tem pessoas técnicas com quem você deve conversar, não o Reddit.
Sim, estou pensando em contratar isso pelo ponto de vista de negócios. Do meu lado, no entanto, ainda não terei conhecimento sobre VPNs, o que não é uma situação ideal quando a coisa explode.
Não está me assustando, eu simplesmente não sei nada sobre isso.
VPNs são uma coisa nova para mim, e quero aprender mais para não ser a pessoa com quem você está descrevendo no telefone, mas não sei por onde começar sem fazer um curso de 12 semanas de Redes.
Como alguém que implementou bem mais de 500 VPNs B2B S2S usando exatamente o que você descreveu, não há nada pior do que ter alguém na outra ponta que não faz ideia do que está fazendo e como solucionar problemas.
Concordo. Especialmente quando o outro lado precisa NATear seu espaço de endereçamento e não tem a menor ideia.
Concordo com a maioria dos comentários aqui, que parece que você ainda não é forte o suficiente nessa área para implementar isso.
A questão é: quão rápido precisa ser implementado? Você deve definitivamente aprender VPNs, gastar muito tempo pesquisando e praticando em um ambiente de teste real.
O problema é que, se precisar ser implementado logo, talvez seja melhor terceirizar o design e a implementação para alguém com muita experiência, e exigir documentação adequada no contrato. Assim, você pode aprender VPNs antes, durante e depois da implementação para apoiá-las.
Como todos os outros disseram, você não quer mexer em um grande contrato.
Contrate um profissional local confiável. Eu recomendaria um contratado independente que tenha as habilidades para fazer isso e a pegada de um professor. Ele mostrará o que fez, documentará tudo e estará à disposição quando você tiver dificuldades.
Se você realmente quer fazer acontecer, recomendo consultar documentações como http://www.vpnc.org, que são boas para configurações básicas de VPN B2B em várias plataformas… mas, como administrador de VPN experiente, concordo com as recomendações do bltst2 (e de outros) de contratar um profissional… o que vai custar mais para sua empresa: algumas horas do tempo de um contratado ou dias (até semanas) de esforço seu.
