accesso vpn rete aziendale

[coteaz]

Salve a tutti, devo apportare delle modifiche alla rete aziendale di un mio amico, e vorrei trovare una soluzione sicura e semplice per accedere da remoto in VPN

per semplice intendo che l'accesso venga garantito tramite la VPN di microsoft (quindi creazione di una nuova connessione aziendale ecc)

il mio amico deve acquistare anche un firewall quindi vorrei qualche consiglio da voi.

lo scenario più facile sembrerebbe quello di accedere tramite client vpn proprietario del firewall, questo implica che sulla macchina remota debba essere installato il sw, e implica l'acquisto dei nodi vpn sul fw.
per il mio amico questa soluzione è troppo complessa perchè spesso si trova ad accedere (attualemtne tramite sbs) da macchine diverse e non necessariamente da un portatile già configurato e quindi nn può ogni volta installare il sw vpn.

in alternativa stavo pensado al vpn server di microsoft, che se non erro è anche disponibile su 2003

penso a due strade
1) un firewall hardware che dia la possibilità di autenticarsi alla vpn tramite le credenziali di dominio e quindi senza il clnet vpn

2) un server in dmz che funga da server vpn che con le dovute configurazioni dia la possibilità di accedere in rete.

sono confuso... come farebbe un server in dmz ad effettuare chiamate ldap sul DC? dovrei creare una connessione ipsec tra la macchina esterna e quella interna?

mi date un consiglio su come fare, magari c'è qualche firewall che permette di percorrere la strada n 1.

grazie!

[nuovoUtente86]

Sarebbe meglio se schematizzassi l' attuale infrastruttura di rete.
Inoltre ti alletterebbe creare il tutto utilizzando qualche vecchio muletto che sicuramente in azienda sarà presente su cui far girare un firewall linux?

[coteaz]

non ho competenze di linux per tirare su un firewall con iptable

[coteaz]

pernsavo ad una terza soluzione

e se metto il server vpn su una macchina interna, tipo controller di dominio o simile e poi natto le dovute porte su un firewall hardware?

è una falla di sicurezza molto grave?

[nuovoUtente86]

Come ti avevo detto nel post prcedente, è meglio se posti maggiori informazioni sulla rete già esistente.

[paolo764]

se vuoi un consiglio.....
lascia stare firewall software e muletti vari.
compra un firewall hardware con processori dedicati e che facciano quello di lavoro.
ti dico questo perche vuoi metterlo davanti ad una rete usata per lavoro. se fosse stato x cazzeggio ti avrei consigliato quello che costa meno e via.
ricorda che un server firewall messo in lan è una stupidata ( a mio modesto parere ) per il semplice fatto che il firewall ( architetturalmente parlando ) va messo DAVANTI alla rete e non IN RETE!
tu i " ladri "cerchi di fermarli prima che entrino in casa e non una volta che sono entrati.....altrimenti sarebbe andato bene il personal firewall di xp.

poi si sa che è tutta una questione di budget....ma questa è un altra storia

ad ogni modo...i firewall professionali per eccellenza sono i cisco ( pix/asa ), juniper, whatchguard e altro ancora ma costano tanti dindini.

per il problema della vpn , devi buttarti su un firewall che gestisca SSL ( clientless ) e tra questi puoi scegliere tra i cisco e i juniper poiche x l'ipsec devi avere il cient installato mentre l'ssl te lo fa scaricare al volo tramite plugin al momento della connessione.

questi i miei punti di vista.
ovviamente marche e apparati ce ne sono diverse di tutti i prezzi quindi orientati verso quello che più ti aggrada e soddisfa le tue esigenze.

se poi hai bisogno...nella sezione mercatino vendo un pix.
ciao.