VPN . Arquitectura y formas de conexión
Detalles
- Grupo: Servicios de Acceso y Distribución
- Área: Servicios de Acceso
VPN – Arquitectura y formas de conexión
Arquitectura
En la zona perimetral de acceso a Internet disponemos de cuatro concentradores de VPN, dos de ellos en Lakua y otros dos en EJIE, siendo modelos distintos:
- Cisco VPN 3000 Concentrator [int_vpn3000] LAKUA - conexiones IPSec
- Cisco VPN 3000 Concentrator [int_vpn3000] EJIE - conexiones IPSec
- Cisco ASA5520EJ - VPN-SSL EJIE - conexiones IPSec y SSL
- Cisco ASA5520LK - VPN-SSL EJIE - conexiones IPSec y SSL
Se dispone también de Firewall tanto para acceder a Internet como para acceder a la Red Corporativa o al Datacenter desde ellos.
Formas de conexión
La forma de conexión depende del modelo de concentrador al que se conecten:
- Cisco VPN 3000: necesitan el cliente VPN Cisco VPN Client
- Cisco ASA5520: se conectan con cliente Anyconnect de Cisco. En casos concretos pueden hacerlo a través de un navegador web.
Autentificación
La autentificación de los usuario que se conectan se hace en tres servidores de AAA (Authentication, Authorization and Accounting).
- EJACS01LK
- EJACS02
- EJACS03
Dichos servidores utilizan autentificación Radius, los cuales se conectan a los servidores de LDAP para comprobar que el usuario que se quiere conectar lo hace con sus credenciales correctas y además pertenece al grupo cuyo perfil coincide con el «archivo de perfil» que le corresponde.
Archivos de Perfil
Cuando alguien solicita un acceso VPN, este debe ser para un grupo de LDAP determinado. Dicho grupo determina los permisos a donde puede acceder dicho usuario.
Así por ejemplo, hay perfiles para empresas desarrolladoras, perfiles corporativos, etc.
El formato de los archivos de perfil cambia dependiendo del modelo de concentrador VPN:
- Cisco VPN 3000: archivos con formato «.pcf»
- Cisco ASA5520EJ: archivos con formato «.xml»
Grupos de LDAP
Como ya hemos indicado, existen diferentes grupos de usuarios, los cuales determinan los accesos de dicho usuario.
Los grupos más significativos son:
| COM-GD-0006 | Serv. Acc. VPN EJGV |
| COM-GD-0010 | Serv. Acc. VPN EJIE |
| COM-GD-0014 | Serv. Acc. Gestor de Contenidos |
| COM-GD-0020 | Serv. Acc. VPN Externos Colaboraciones Desarrollo |
| COM-GD-0023 | Serv. Acc. VPN Izenpe |
| COM-GD-0024 | Serv. Acc. VPN EUSTAT |
| COM-GD-0029 | Serv. Acc. VPN AVA – URA |
| COM-GD-0034 | Serv. Acc. VPN Itzarri |
| COM-GD-0036 | Serv. Acc. VPN - EJIE SASU |
| COM-GD-0037 | Serv. Acc. VPN - Archivo Gamarra |
| COM-GD-0041 | Serv. Acc. VPN EIZU - Desarrollo – Pruebas |
| COM-GD-0042 | Serv. Acc. VPN G67 K14 |
| COM-GD-0043 | Acceso VPN Soporte 24x7 Izenpe |
| COM-GD-0045 | Acceso VPN - Desarrollo LANBIDE |
| COM-GD-0046 | Acceso VPN - Produccion Sop. LANBIDE |
| COM-GD-0050 | Serv. Acc. VPN - Desarrollo Economico (CADEM) |
| COM-GD-0051 | Serv. Acc. VPN – Virtualizacion |
| COM-GD-0052 | VPN-EUSTAT-SistemasSoporte |
| COM-GD-0053 | Serv. Acc. VPN Soporte eFactura Prod |
| COM-GD-0056 | Serv. Acc. VPN Lehendakitza G.B.Network |
| COM-GD-0057 | Serv. Acc. VPN Acceso Irekia |
| COM-GE-0010 | Serv. Acc. VPN - EJIE Sop 24 x 7 |
| COM-GE-0011 | Serv. Acc. VPN - EJIE Teleco 24 x 7 |
No aplica
ISO/IEC 27033-5:2013 - Securing communications across networks using Virtual Private Networks (VPNs) - (https://www.iso.org/standard/51584.html)
| Producto | Versión Obsoleta | Versión Actualizada | Fabricante | Alternativa Libre |
| Cisco VPN 3000 Concentrator | Cisco Systems | |||
| Cisco ASA5520 | Cisco Systems |
- Protocolos y Tecnologías de Transporte Servicios (Tecnológicos) - Servicios de Acceso y Distribución - Servicios de Seguridad de Accesos-Servicios de Transporte
- Protocolos de VPN / «Tunneling» Servicios (Tecnológicos) - Servicios de Infraestructura - Servicios de Red
- Encriptación VPN Servicios (Tecnológicos) - Servicios de Acceso y Distribución - Servicios de Seguridad de Accesos-Dispositivos de Red
- Versión 1: 03-07-2017 (última versión)
