:strip_exif()/u/8402/Untitled-2.gif?f=community)
VPN/Firewall oplossing advies gevraagd
Mede-PNS'ers, ik zit een beetje vast met een architectuur-design-kwestie, waar ik zonder nieuwe ideeën denk ik niet echt mee opschiet.
Vooraf: visio 2003 file met alle diagrammetjes.
Zal de huidige situatie even toelichten met een plaatje:
Wat zien we hier? Links een simplistische weergave van ons datacenter, althans een nieuw rack dat op een nieuwe locatie is opgezet. Staan nu nog 2/3 doosjes, komen nog servers bij.
Heel simpel, een webserver, en een DB server.
Alle servers die we gebruiken (zowel bij ons als bij klanten) draaien WinSrv2003 std, we zijn een toko gespecialiseerd in ASP.NET webapps. Die machines draaien ook allemaal een ipsec filter die alleen die poorten open zet die nodig zijn.
We hebben bij een aantal klanten servers staan (en er komen steeds nieuwe klanten en dus servers bij), dit zijn ook dezelfde dozen met MSSQL server, of MSDE, afhankelijk van de hoeveelheid data, etc. De netwerkarchitectuur bij de klant varieert sterk, van simpele bedrijfjes die 1 broadband routertje hebben (zoals bijv klant2 hier), of bedrijven die onze server in hun DMZ zetten, zoals bijv klant1 hier.
Die server leest data in van hun backoffice-systeem, converteert dit naar ons eigen dataformaat, en repliceert dit via SQL-replicatie of via zelf geschreven DTS packages naar een DB-server in ons datacenter.
Af en toe moeten we ook data terugschrijven van ons datacenter naar de klant, dit gaat dan over HTTPS naar een webservice die op die remote machine staat.
Dus samenvattend de communicatie over het internet: MSSQL traffic van de klant naar ons DC, en HTTPS van het DC naar de klant.
Dit werkt al jaren prima, maar we worden toch ook steeds professioneler, en willen niet meer dat het MSSQL traffic unencrypted over het netwerk gaat. We hebben nu ook een nieuwe grote enterprise klant, die ook geen unencrypted verkeer over het internet toestaat. Op zich logisch. Daarnaast moeten we bij nieuwe klanten altijd nog verantwoorden waarom er precies MSSQL out moet, en SSL in, etc.. Misschien hebben ze zelf al een SSL site draaien, en geeft dit conflicten, etc.
De makkelijkste manier (in mijn ogen) om de bovenstaande problemen op te lossen, is te werken met een VPN. Als we een machine bij een klant neerzetten die zelf zijn VPN naar het datacenter opzet, dan hoeft de sysadmin van de klant geen inbound poorten open te zetten, alleen maar outbound VPN, en al het verkeer is encrypted.
Nou simpel toch, je hangt een vpn endpoint in het datacenter, en klaar is kees. Klopt wel, maar HOE dat te doen? Daar zijn ook weer verschillende opties:
Sowieso zijn alle machines in het DC DELL PE 1850's of 2850's, met 2 NICs.
Lijkt me de simpelste optie. Ik hang een firewall/vpn server ernaast, en ik maak een private netwerk ernaast waar dan de VPN clients uitkomen. We gebruiken de firewall dan niet als firewall, maar alleen als VPN endpoint..
Ook een optie, elke server krijgt een private ip, in welke range de VPN clients ook uitkomen, en op de firewall redirect ik traffic naar een publiek ip naar een private ip. Voordeel is misschien dat het ook lekker simpel is, je gebruikt op iedere server 1 NIC met 1 IP. Nieuwe server in het rack is secure by default.
Optie 3, een tri-homed firewall/VPN doos, is dit uberhaupt mogelijk? dus layer 2 filtering op 1 uitgang en layer 3 filtering op de andere uitgang? Voordeel hiervan zou zijn dat naast de voordelen van optie 1 we ook een extra security kunnen zetten op de 'publieke' kant van de server.
Zijn er onder jullie ook mensen die dit soort afwegingen hebben gemaakt? Laat je licht hier eens over schijnen.. Wat zou jij kiezen (of hebt gekozen), en waarom? Zijn er nog dingen die ik over het hoofd zie?
Dan de firewall/VPN, wat zouden jullie kiezen, een MS ISA doos, een Cisco Pix 506e, 515e, Netscreen-25? En waarom?
En dan ook een leuk issue, ik wil dus dat de remote servers automatisch zodra ze aan staan, altijd hun connectie behouden met het datacenter. Na stroomstoringen, connectieproblemen, etc. moet ie dus weer opnieuw de VPN connectie openen, dit allemaal zonder dat er een user is ingelogd. Als service dus. Ik heb zelf alleen maar ervaring met de MS VPN client, en je kunt in routing and remote access aangeven dat je altijd een connectie open wilt hebben, maar ik heb er niet heeeel veel ervaring mee. Hoe werkt dat met Cisco VPN Clients, kan dit dan ook? En iemand ervaring met Netscreen VPN clients?
En dan nog iets.. de keuze tussen PPTP en L2TP(+IpSec?).. Ik heb zelf alleen ervaring met PPTP VPN's, wordt dit als 'veilig' beschouwd, of is PPTP net zo'n schijnveiligheid als WEP encryptie? PPTP is volgens mij wel makkelijker te routen door diverse firewalls enzo, wat het leven van de sysadmins van onze klanten weer iets makkelijker maakt. Deelt uw mening!
Zie nu pas dat het zo'n lang verhaal is. Als je het tot hier hebt volgehouden, alvast bedankt!
Komt u maaaarrrrrr!
Mede-PNS'ers, ik zit een beetje vast met een architectuur-design-kwestie, waar ik zonder nieuwe ideeën denk ik niet echt mee opschiet.
Vooraf: visio 2003 file met alle diagrammetjes.
Zal de huidige situatie even toelichten met een plaatje:
Wat zien we hier? Links een simplistische weergave van ons datacenter, althans een nieuw rack dat op een nieuwe locatie is opgezet. Staan nu nog 2/3 doosjes, komen nog servers bij.
Heel simpel, een webserver, en een DB server.
Alle servers die we gebruiken (zowel bij ons als bij klanten) draaien WinSrv2003 std, we zijn een toko gespecialiseerd in ASP.NET webapps. Die machines draaien ook allemaal een ipsec filter die alleen die poorten open zet die nodig zijn.
We hebben bij een aantal klanten servers staan (en er komen steeds nieuwe klanten en dus servers bij), dit zijn ook dezelfde dozen met MSSQL server, of MSDE, afhankelijk van de hoeveelheid data, etc. De netwerkarchitectuur bij de klant varieert sterk, van simpele bedrijfjes die 1 broadband routertje hebben (zoals bijv klant2 hier), of bedrijven die onze server in hun DMZ zetten, zoals bijv klant1 hier.
Die server leest data in van hun backoffice-systeem, converteert dit naar ons eigen dataformaat, en repliceert dit via SQL-replicatie of via zelf geschreven DTS packages naar een DB-server in ons datacenter.
Af en toe moeten we ook data terugschrijven van ons datacenter naar de klant, dit gaat dan over HTTPS naar een webservice die op die remote machine staat.
Dus samenvattend de communicatie over het internet: MSSQL traffic van de klant naar ons DC, en HTTPS van het DC naar de klant.
Dit werkt al jaren prima, maar we worden toch ook steeds professioneler, en willen niet meer dat het MSSQL traffic unencrypted over het netwerk gaat. We hebben nu ook een nieuwe grote enterprise klant, die ook geen unencrypted verkeer over het internet toestaat. Op zich logisch. Daarnaast moeten we bij nieuwe klanten altijd nog verantwoorden waarom er precies MSSQL out moet, en SSL in, etc.. Misschien hebben ze zelf al een SSL site draaien, en geeft dit conflicten, etc.
De makkelijkste manier (in mijn ogen) om de bovenstaande problemen op te lossen, is te werken met een VPN. Als we een machine bij een klant neerzetten die zelf zijn VPN naar het datacenter opzet, dan hoeft de sysadmin van de klant geen inbound poorten open te zetten, alleen maar outbound VPN, en al het verkeer is encrypted.
Nou simpel toch, je hangt een vpn endpoint in het datacenter, en klaar is kees. Klopt wel, maar HOE dat te doen? Daar zijn ook weer verschillende opties:
Sowieso zijn alle machines in het DC DELL PE 1850's of 2850's, met 2 NICs.
Lijkt me de simpelste optie. Ik hang een firewall/vpn server ernaast, en ik maak een private netwerk ernaast waar dan de VPN clients uitkomen. We gebruiken de firewall dan niet als firewall, maar alleen als VPN endpoint..
Ook een optie, elke server krijgt een private ip, in welke range de VPN clients ook uitkomen, en op de firewall redirect ik traffic naar een publiek ip naar een private ip. Voordeel is misschien dat het ook lekker simpel is, je gebruikt op iedere server 1 NIC met 1 IP. Nieuwe server in het rack is secure by default.
Optie 3, een tri-homed firewall/VPN doos, is dit uberhaupt mogelijk? dus layer 2 filtering op 1 uitgang en layer 3 filtering op de andere uitgang? Voordeel hiervan zou zijn dat naast de voordelen van optie 1 we ook een extra security kunnen zetten op de 'publieke' kant van de server.
Zijn er onder jullie ook mensen die dit soort afwegingen hebben gemaakt? Laat je licht hier eens over schijnen.. Wat zou jij kiezen (of hebt gekozen), en waarom? Zijn er nog dingen die ik over het hoofd zie?
Dan de firewall/VPN, wat zouden jullie kiezen, een MS ISA doos, een Cisco Pix 506e, 515e, Netscreen-25? En waarom?
En dan ook een leuk issue, ik wil dus dat de remote servers automatisch zodra ze aan staan, altijd hun connectie behouden met het datacenter. Na stroomstoringen, connectieproblemen, etc. moet ie dus weer opnieuw de VPN connectie openen, dit allemaal zonder dat er een user is ingelogd. Als service dus. Ik heb zelf alleen maar ervaring met de MS VPN client, en je kunt in routing and remote access aangeven dat je altijd een connectie open wilt hebben, maar ik heb er niet heeeel veel ervaring mee. Hoe werkt dat met Cisco VPN Clients, kan dit dan ook? En iemand ervaring met Netscreen VPN clients?
En dan nog iets.. de keuze tussen PPTP en L2TP(+IpSec?).. Ik heb zelf alleen ervaring met PPTP VPN's, wordt dit als 'veilig' beschouwd, of is PPTP net zo'n schijnveiligheid als WEP encryptie? PPTP is volgens mij wel makkelijker te routen door diverse firewalls enzo, wat het leven van de sysadmins van onze klanten weer iets makkelijker maakt. Deelt uw mening!
Zie nu pas dat het zo'n lang verhaal is. Als je het tot hier hebt volgehouden, alvast bedankt!
Komt u maaaarrrrrr!
Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!
:strip_exif()/u/24090/hekje.gif?f=community)
:strip_icc():strip_exif()/u/30381/Monion_Driver60x60.jpg?f=community)
