Departamento de Gobernanza, Administración Digital y Autogobierno

VPN . Arquitectura y formas de conexión

Detalles

VPN – Arquitectura y formas de conexión

Arquitectura

En la zona perimetral de acceso a Internet disponemos de cuatro concentradores de VPN, dos de ellos en Lakua y otros dos en EJIE, siendo modelos distintos:

  • Cisco VPN 3000 Concentrator [int_vpn3000] LAKUA - conexiones IPSec
  • Cisco VPN 3000 Concentrator [int_vpn3000] EJIE - conexiones IPSec
  • Cisco ASA5520EJ - VPN-SSL EJIE - conexiones IPSec y SSL
  • Cisco ASA5520LK - VPN-SSL EJIE - conexiones IPSec y SSL

Se dispone también de Firewall tanto para acceder a Internet como para acceder a la Red Corporativa o al Datacenter desde ellos.

Formas de conexión

La forma de conexión depende del modelo de concentrador al que se conecten:

  • Cisco VPN 3000: necesitan el cliente VPN Cisco VPN Client
  • Cisco ASA5520: se conectan con cliente Anyconnect de Cisco. En casos concretos pueden hacerlo a través de un navegador web.

Autentificación

La autentificación de los usuario que se conectan se hace en tres servidores de AAA (Authentication, Authorization and Accounting).  

  • EJACS01LK
  • EJACS02
  • EJACS03

Dichos servidores utilizan autentificación Radius, los cuales se conectan a los servidores de LDAP para comprobar que el usuario que se quiere conectar lo hace con sus credenciales correctas y además pertenece al grupo cuyo perfil coincide con el «archivo de perfil» que le corresponde.

Archivos de Perfil

Cuando alguien solicita un acceso VPN, este debe ser para un grupo de LDAP determinado. Dicho grupo determina los permisos a donde puede acceder dicho usuario.

Así por ejemplo, hay perfiles para empresas desarrolladoras, perfiles corporativos, etc.

El formato de los archivos de perfil cambia dependiendo del modelo de concentrador VPN:

  • Cisco VPN 3000: archivos con formato «.pcf»
  • Cisco ASA5520EJ: archivos con formato «.xml»

Grupos de LDAP

Como ya hemos indicado, existen diferentes grupos de usuarios, los cuales determinan los accesos de dicho usuario.

Los grupos más significativos son:

COM-GD-0006 Serv. Acc. VPN EJGV
COM-GD-0010 Serv. Acc. VPN EJIE
COM-GD-0014 Serv. Acc. Gestor de Contenidos
COM-GD-0020 Serv. Acc. VPN Externos Colaboraciones Desarrollo
COM-GD-0023 Serv. Acc. VPN Izenpe
COM-GD-0024 Serv. Acc. VPN EUSTAT
COM-GD-0029 Serv. Acc. VPN AVA – URA
COM-GD-0034 Serv. Acc. VPN Itzarri
COM-GD-0036 Serv. Acc. VPN - EJIE SASU
COM-GD-0037 Serv. Acc. VPN - Archivo Gamarra
COM-GD-0041 Serv. Acc. VPN EIZU - Desarrollo – Pruebas
COM-GD-0042 Serv. Acc. VPN G67 K14
COM-GD-0043 Acceso VPN Soporte 24x7 Izenpe
COM-GD-0045 Acceso VPN - Desarrollo LANBIDE
COM-GD-0046 Acceso VPN - Produccion Sop. LANBIDE
COM-GD-0050 Serv. Acc. VPN - Desarrollo Economico (CADEM)
COM-GD-0051 Serv. Acc. VPN – Virtualizacion
COM-GD-0052 VPN-EUSTAT-SistemasSoporte
COM-GD-0053 Serv. Acc. VPN Soporte eFactura Prod
COM-GD-0056 Serv. Acc. VPN Lehendakitza G.B.Network
COM-GD-0057 Serv. Acc. VPN Acceso Irekia
COM-GE-0010 Serv. Acc. VPN - EJIE Sop 24 x 7
COM-GE-0011 Serv. Acc. VPN - EJIE Teleco 24 x 7

ISO/IEC 27033-5:2013 - Securing communications across networks using Virtual Private Networks (VPNs) - (https://www.iso.org/standard/51584.html)

ProductoVersión ObsoletaVersión ActualizadaFabricanteAlternativa Libre
Cisco VPN 3000 ConcentratorCisco Systems
Cisco ASA5520Cisco Systems
  • Versión 1: 03-07-2017 (última versión)