Alguém aí no /r/sysadmin me aconselhou a postar minha dúvida aqui.
A empresa na qual estou trabalhando está pensando em fazer um acordo B2B com uma agência governamental. Me enviaram os documentos técnicos para esse acordo, e a forma como solicitamos e recebemos dados é feita via um túnel VPN de mágica negra e uma pilha de hardware (concentradores VPN?!?) que eu realmente não entendo.
O problema aqui é duplo: entender como essa coisa funciona e então aprender a integrar essa VPN ao AWS EC2 para que nosso ambiente de produção possa se conectar a ela e fazer requisições pelo túnel.
Disseram-me que esse PDF é confidencial, então peguei o esquema de como eles querem que funcione (veja aqui).
Ainda estou na esperança de não precisar terceirizar isso, mas VPNs realmente parecem magia negra, e esses requisitos ridículos de segurança não ajudam. Solicitei mais informações, mas a resposta foi algo como “Não gostamos de endossar provedores, mas usamos Cisco”.
Tentei extrair algumas informações desse guia:
Usa IKE, em algum momento
Quer usar IKE-3DES-SHA para criptografar algo (IUseRhetoric deduziu que é um dispositivo Cisco do lado deles)
“O endpoint da VPN deve suportar RFC 3947”
Pelo menos, se alguém puder explicar o que diabos é um concentrador de VPN, eu ficaria imensamente grato.
O grande detalhe desse PDF não é só que usa uma tecnologia de VPN misteriosa, mas que a API na ponta tem horário de funcionamento das 06h30 às 22h00 de segunda a sexta, das 07h00 às 17h00 no sábado, e fechada no Natal, Páscoa e domingos.
Vou ser direto e aconselho FUÇAR ao máximo para terceirizar isso. Você parece não ter o know-how para implementar, e um contrato bilateral com uma agência governamental não é o cenário em que você quer fazer besteira.
Concentrador VPN é só um dispositivo que termina múltiplas VPNs. Pode ser qualquer coisa: um dispositivo dedicado, um servidor, um roteador, o que for.
RFC 3937 é só NAT-T. Quase todo ponto de terminação VPN atual suporta isso.
Seu diagrama não é uma magia negra ou algo louco. Parece um ambiente padrão de VPN.
Se esse tipo de coisa te assusta, é hora de chamar um profissional. O valor que você gastará para a) implementar com sucesso, b) parecer que sabe o que está fazendo para seu cliente e c) aprender a cuidar/troubleshoot da VPN, vale o investimento.
Como alguém que já implementou mais de 500 VPNs B2B S2S usando exatamente o que você descreveu, não há nada pior do que ter alguém do outro lado que não sabe o que está fazendo e não sabe solucionar problemas.
Se alguém pudesse explicar o que diabos é um concentrador de VPN
É um dispositivo que termina VPNs (geralmente túneis IPSec).
Digamos que você queira uma comunicação segura entre a Rede A e a Rede B por um meio inseguro, como a internet. Você pode implementar concentradores VPN (qualquer dispositivo que suporte IPSec, como firewall moderno) em cada ponta para criar uma VPN. Os dados da Rede A chegam ao concentrador VPN local, que criptografa e envia ao concentrador da Rede B, que por sua vez descriptografa os dados e os entrega na Rede B. O mesmo acontece no sentido oposto.
Upvote para o termo “tecnologia de VPN mágica negra”. Downvote por não pesquisar o termo “concentrador de VPN” antes de postar.
Aconselho você a terceirizar esse projeto para alguém que já fez antes e continuar achando que VPN é mágica e que a internet funciona por “algum tipo de voodoo chinês”.
Alternativamente, você pode procurar no site da Cisco ou do OpenVPN e aprender como funciona.
É uma Caixa Negra Mágica que se conecta na sua internet e cria um túnel VPN com quem estiver do outro lado.
Eles enviarão um técnico do fornecedor e conectarão o aparelho. Provavelmente você precisará fornecer algumas informações de rede, mas a menos que tenham mudado recentemente, talvez não precise (ou possa) mexer no dispositivo.
como integrar essa VPN ao AWS EC2 para que nosso ambiente de produção possa se conectar a ela e fazer requisições através do túnel.
Provavelmente não. Você quase certamente precisará fazer requisições de algum lugar que você controle, não “Na Nuvem”. De qualquer forma, a agência tem pessoas técnicas com quem você deve falar, não Reddit.
Sim, estou apoiando a terceirização por motivos de negócio. Mas do meu lado, eu ainda não tenho conhecimento sobre VPNs, o que não é ideal quando a coisa dá ruim.
VPNs são algo novo pra mim, e quero aprender mais para não ser a pessoa que vocês descrevem ao final da linha, mas não sei por onde procurar sem fazer um curso de 12 semanas de redes.
Como alguém que já implementou mais de 500 VPNs B2B S2S usando exatamente o que você descreveu acima, não há nada pior do que ter alguém do outro lado que não sabe o que está fazendo e não sabe solucionar problemas.
Concordo. Especialmente quando o lado distante precisa NATar seu espaço de endereçamento e eles não fazem ideia.
Concordo com a maioria aqui, parece que você ainda não domina bem essa área para implementar.
A questão é: quão rápido precisa estar pronto? Você deve definitivamente aprender VPNs e investir bastante tempo pesquisando e praticando em um ambiente de teste real.
Se precisar implementar logo, talvez seja melhor terceirizar o projeto para alguém com experiência, e incluir uma documentação adequada no contrato. Assim, você aprende VPNs antes, durante e depois da implementação para apoiá-las.
Como todos disseram, você não quer encrencar com um contrato grande.
Procure um profissional forte e local. Recomendo um contratado independente que tenha habilidades para fazer o serviço e o espírito de um professor. Ele mostrará o que fez, documentará tudo e atenderá suas ligações quando ficar preso.
Se realmente quiser fazer por conta própria, consulte http://www.vpnc.org, que tem perfis de documentação bons para configurações básicas de VPN B2B em várias plataformas… Mas, como um administrador experiente de VPN, concordo com as recomendações do bltst2 (e outros) para contratar alguém que ajude… O que vai custar mais para sua empresa: algumas horas do tempo de um contratado ou vários (ou semanas) de esforço seu.
Na verdade, não é um contrato, a agência tem um banco de dados com dados pouco interessantes, e estamos pagando para acessá-lo.
Gostaria de fazer um “bootcamp” de VPN de dois dias ou algo assim, para que a nossa empresa possa se familiarizar com as tecnologias necessárias.
Não é uma coisa urgente, e não vai ter barriga se não conseguir fazer dentro de um prazo específico. Somos contratados como programadores, e isso é uma questão de sysadmin, coisa nova para nós.
Na verdade, poderia trocar tudo por “É possível aprender VPNs num nível suficientemente bom para implementar uma sem fazer um curso Cisco?”, ao invés da questão de implementação específica que esse acordo criou.
bltst2 apontou que isso é incrivelmente simples, e eu sou apenas muito novo na tecnologia e na área.
Nem temos certeza se queremos entrar nesse acordo como empresa, estamos analisando os documentos de implementação para ver a dificuldade, o tempo e o custo de fazer.
