Re: Soluzioni VPN

At 19.51 31/10/2002, you wrote:
>Sto cercando qualche dritta (possibilmente esperienza diretta o 
>riferimento) per mettere in piedi una soluzione il piu' possibile pulita, 
>economica e sicura di tunnel VPN su ADSL
>1. tra massimo una decina di client win2k/xp ed una LAN centrale (con IP 
>statico)

scusa, qui non ho capito. stai parlando di una decina di roadrunners, cioe' 
di persone con un portatile che vanno in giro e che si devono collegare di 
volta in volta da posti diversi ad internet e quindi accedere via VPN alla 
rete aziendale?  o si parla di una lan con una decina di client?

>2. tra alcune LAN remote e la stessa LAN centrale.
>
>Requisiti.
>1. Client: Eventuali soluzioni client software sui pc win2k dovrebbero 
>garantire la comunicazione solo tramite VPN e ignorare qualunque altro 
>scambio di pacchetti diretto tra internet e il pc win2k. Ho visto un 
>software client Nokia che mi sembrava avere queste caratteristiche ma non 
>so se utilizza un protocollo proprietario per comunicare con il server. Ci 
>sono alternative free valide (per windows)?
>
>2. Lan remote: devono essere protette da un firewall (pc Linux o router o 
>altra 'scatola')
>
>Vorrei trovare una soluzione omogenea in modo che sia 1. che 2. utilizzino 
>lo stesso protocollo VPN per connettersi al server/firewall (ma non è 
>obbligatorio).

e qui iniziamo a avere un qualche problema: temo che la parola "free" 
faccia un po' a schiaffi con le parole "windows" e "firewall in scatola", o 
perlomeno diminuisce drasticamente le possibili soluzioni. quantomeno se 
con free oltre che opensource intendi anche gratis.

personalmente ho realizzato strutture di rete molto simili a quelle che 
chiedi sia con firewall netscreen ed il loro sw vpn client per gestire i 
roadrunners (ma credo che ormai qualunque appliance almeno decente abbia la 
possibilita' di gestire situazioni di questo tipo ormai) sia con linuxbox e 
freeswan (ma i roadrunners usavano linux); ma tutti i client VPN sw che ho 
visto in giro mi sembra che abbiano il brutto vizio di non partire come 
servizi all'attivazione della rete sotto Win2k, quindi anche se prevedono 
un minimo di firewalling e li imposti per far passare solo cio' che gira 
nel tunnel VPN l'utente puo' tranquillamente non farli partire ed accedere 
ad internet "non filtrato" cosa che da quanto ho capito e' invece un tuo 
prerequisito. potresti quindi montare il client VPN come servizio (c'e' 
anche una apposita utility per farlo nel resource kit, scusami ma ora non 
mi ricordo il nome, nel caso ci guardo meglio), ma visto che normalmente 
non sono certificati per girare come tali poi ti assumi tu il rischio di 
eventuali bug.
tradotto: allo stato attuale delle mie limitatissime conoscenze temo che tu 
debba o rinunciare alla parola "free" ed al filtering totale di internet 
sui client dei roadunners (ma quantomeno avresti l' "alternativa": o sei in 
VPN o sei in internet), o chiedi ai tuoi roadrunners di usare linux con 
sotto freeswan ed iptables, o ti assumi la responsabilita' di fare girare 
un programma .exe come servizio e cerchi un client VPN tutto configurabile 
o da file o da linea di comando (cosa che credo limiti parecchio le 
alternative a tua disposizione).

spero di esserti stato d'aiuto, o quantomeno spero di esserti piu' d'aiuto 
nel momento in cui capiro' meglio quello che devi fare ^__^

ciao


Pietro Suffritti                                - P.I. in informatica Ind.le
Email pietro@suffritti.it                       - ICQ UIN# 8575514
Socio della HTML Writers Guild          - Socio dell'Emilia Romagna Linux 
User Group
http://www.suffritti.it                         - http://gioco.net/startrek
http://www.treemme.org/battletech       - http://www.netrunners.it
_________________________________________________________________
Esperto, n.: Qualcuno che viene da un' altro posto per
farvi vedere presentazioni e diapositive
_________________________________________________________________




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List