Preciso de sugestões sobre quais tipos de soluções VPN são recomendados. A necessidade é fornecer VPN para cerca de 20 usuários simultâneos, tanto funcionários quanto parceiros.
A solução ideal teria (não-exaustivamente):
VPN baseada em SSL (navegador e cliente completo)
IPSec é um bônus
suporte a AD e AAA interno
definir recursos acessíveis um a um → dispositivo cria túneis apenas para esse recurso
capacidade de agrupar recursos para facilitar o acesso
com cliente completo, possibilidade de acessar toda a rede interna ao invés de recursos específicos
compatível com Windows + Mac. Linux é um bônus
licenças baseadas em sessões simultâneas, não em usuários totais
gestão fácil, bom atendimento ao cliente
appliance, possivelmente em cluster
Quanto menos tiver que instalar no lado do cliente de uma VPN SSL, melhor, pois não controlamos todos os usuários.
Atualmente usamos um Watchguard SSL100, mas que está obsoleto e desatualizado tanto tecnicamente quanto em recursos. Isso demonstra que não estou procurando por algo de nível Cisco. Estou na Europa, então isso pode limitar alguns provedores menores no exterior.
Obrigado. Muitas boas ideias. Gostei especialmente da ideia da Sophos, pois estamos começando a avaliar a gestão de ameaças/antivírus deles para VMware. Talvez haja alguma sinergia.
Sou um pouco tendencioso pois somos parceiros da Sophos, mas eu recomendaria fortemente seus UTMs. Eles têm uma VPN SSL baseada em OpenVPN, além de um VPN sem cliente HTML5. Alternativamente, PFsense tem uma implementação bonita de OpenVPN e é gratuito. Virtualize uma caixa Pfsense, configure a VPN e pronto.
Firewall Paloalto - começamos a usar isto ao invés do SonicWall
Qual seu orçamento?
Qual firewall você já possui?
EDIT: Acabei de ver seu orçamento e que você procura um appliance. Recomendo muito o Paloalto. Você não ficará desapontado. Eles são mais caros, mas muito melhores do que tudo que usamos. Nossos engenheiros estavam hesitantes, mas agora confiam nele.
Verifique o big-ip da F5. O módulo APM atende todos os seus requisitos e mais alguns. Existe também um appliance virtual que pode ser em cluster. A maior desvantagem seria o custo.
A funcionalidade do gateway SSL da WatchGuard está incluída em toda a linha UTM deles. Se você já conhece os equipamentos da WatchGuard, talvez seja hora de olhar para um M200 ou M300.
Verifique o FortiGate e FortiClient. IPSec, SSL, e também portal web SSL para acesso VPN. Você consegue o FortiClient gratuitamente (na verdade, qualquer um pode usá-lo como cliente VPN/AV) www.forticlient.com
Você pode pagar pelo FortiClient por dispositivo se desejar permitir gerenciamento remoto dos seus dispositivos finais, possibilitando varreduras antivírus customizadas, exclusões, filtragem web remota, etc, tudo gerenciado centralmente pelo FortiGate.
Políticas/regras altamente granulares e sem necessidade de licenciamento por usuário para VPN (limite do que o aparelho consegue suportar).
Servidor Linux com OpenVPN, e l2tpServer. Os certificados que você usará para soluções VPN SSL/TLS devem ser implantados usando AD/GPO nesses PCs remotos. Não há necessidade de gastar uma fortuna em infraestrutura que você já deve estar usando…
Um ASA5506 pequeno, configurado para 25 licenças, vai te atender bem. Sim, você disse que não quer Cisco de nível, mas isso deve custar cerca de 500€ e funcionará.
Se não, um série SRX100 ou 200 com o cliente Pulse pode funcionar, e estará na mesma faixa de preço, mas na minha opinião, Pulse é mais robusto e ruim que o AnyConnect, além de não ter certeza se oferece VPN sem cliente.