it-swarm.dev

Più client VPN in parallelo

Se dovessi eseguire più di un client VPN sulla mia macchina, contemporaneamente, quali rischi sarebbero coinvolti?

Per esempio. ci sono conflitti tecnici, tali da non funzionare bene?

Potrebbero esserci conflitti di risoluzione degli indirizzi?

Più spaventoso, può il traffico da una rete attraversare, tramite la mia macchina, verso l'altra rete?
O il mio traffico può essere indirizzato erroneamente alla rete sbagliata?


Se è importante, i client VPN che sto utilizzando sono Juniper Network Connect e Cisco AnyConnect (su Windows7 completamente patchato e rinforzato). Non so molto sugli endpoint remoti ...

12
AviD

Ho usato il software client VPN su Mac OS X che dirotta la route predefinita per inviare tutto il traffico attraverso il tunnel (in realtà, se la memoria mi serve correttamente, quella era Cisco). Se sono stati installati due di questi client, o anche uno e un client sano, allora la risposta alla domanda "dove andrà questo pacchetto?" dipenderà dalla tempistica e dall'implementazione. È probabile che uno dei clienti "vincerà" e raccolga tutto il traffico o che uno dei tunnel sia implementato tramite l'altro. Quello che succede su Windows in questo caso è al di là di me.

Quando parli di conflitti di "risoluzione dell'indirizzo", questo dipende da cosa intendi. Se intendi la risoluzione ARP, questo non dovrebbe essere un problema. Come con qualsiasi sistema collegato a due reti, dovrebbe esserci sufficiente unicità negli indirizzi MAC per evitare collisioni. Per quanto riguarda la risoluzione DNS, dipende dalle implementazioni specifiche dei client VPN e della casella client sulla rete privata. Se si comportano correttamente, dovrebbe essere possibile utilizzare un server DNS su una rete privata o su una rete pubblica (notare la possibilità di collisioni di nomi su macchine nei domini di ricerca del client). Se si comportano male, di nuovo dipende dai dettagli della situazione.

7
user185

A un livello abbastanza fondamentale, una VPN emula una "rete privata" il cui scopo è quello di essere isolato da Internet in generale. La "V" significa che tale isolamento viene eseguito crittograficamente piuttosto che fisicamente; tuttavia, il modello è ancora "cavi separati". Se la macchina fa parte di due VPN contemporaneamente, le reti private non sono più isolate. Ciò tende a contraddire il vero motivo per cui le reti private sono state istituite in primo luogo.

Un'implementazione VPN viene chiamata tale perché le applicazioni non devono esserne consapevoli. Le applicazioni utilizzano protocolli standard correlati a Internet (DNS per la risoluzione dei nomi, TCP e socket UDP ...) e la VPN raccoglie il traffico e fa la sua magia in modo trasparente. Una tipica implementazione VPN si aggancia nel tabelle di routing di sistema, per ricevere pacchetti destinati a una determinata classe di indirizzi. Due VPN possono funzionare in parallelo solo se gli indirizzi utilizzati nelle due reti private non si sovrappongono - e non è facile da raggiungere, poiché le reti private, essendo privato, non utilizzare uno schema globale di allocazione degli indirizzi Le reti private di solito puntano sulle "classi private" come 10. *. *. * e 192.168. *. *.

Il DNS è un buon esempio del problema di accesso simultaneo a due reti private. Quando un'applicazione desidera accedere a una macchina denominata "esempio", non sa su quale rete si trova. Questo è il punto delle reti private: le applicazioni non devono essere consapevoli dell'esistenza della rete privata. La rete privata ospita un proprio server dei nomi, che può risolvere i nomi per le macchine che ospita. Se si collega a due VPN, quindi, per ogni risoluzione dei nomi, sarà necessario parlare con entrambi i server dei nomi. Quindi, il server dei nomi dalla rete privata 1 riceverà anche richieste di risoluzione dei nomi per i nomi che si trovano nella rete privata 2. Questo è difficile. E se lo stesso nome viene utilizzato in entrambe le reti, allora si scatena l'inferno. Questo è lo stesso problema degli indirizzi IP sovrapposti, tradotti nello spazio dei nomi.

Inoltre, se la macchina funge da router, instrada felicemente i pacchetti da una VPN all'altra. Su un sistema Linux, questo è semplice come:

echo 1 > /proc/sys/net/ipv4/ip_foward

che alcune distribuzioni Linux faranno per te se lo richiedessi al momento dell'installazione. A seconda dell'utente no fare qualcosa del genere sembra rischioso.

Per riassumere, il modello normale per una VPN è che:

  • un determinato sistema utente fa parte della VPN, solo la VPN (e quindi solo no VPN);
  • se il sistema deve essere in grado di parlare con il "mondo esterno", può farlo solo attraverso un gateway dedicato che, dal punto di vista del sistema dell'utente, fa parte della VPN.

In particolare, un sistema collegato a una VPN non deve essere collegato contemporaneamente a un'altra rete, sia essa la VPN o Internet in generale. Un software VPN adeguato dirotterà la rotta predefinita e si accerterà che veda tutto il traffico in entrata e in uscita per l'intero sistema. Per natura, questo non tollera la presenza simultanea di un'altra VPN.

12
Thomas Pornin

Il modo in cui lavoro le cose quando devo usare più client VPN è eseguirle nelle macchine virtuali. Questo attualmente funziona davvero bene per me ed evita i conflitti menzionati da Graham e Thomas - altrimenti puoi trovare il sistema operativo fare cose strane durante l'invio di traffico (specialmente vero sotto Windows)

Significa anche che non si commettono facilmente errori nell'invio di dati per una VPN sull'altra (quello che faccio è avere gli sfondi su ciascuno VM personalizzato per ogni ambiente)

Dovrai controllare i tuoi requisiti di sicurezza. Accertarsi che il routing non esista tra le macchine virtuali è una buona cosa (tm) qui.

6
Rory Alsop

Ti suggerirei di contattare sia Juniper che Cisco e di iscriverti per testare il loro software client. Dubito che entrambe le società testerebbero questa configurazione da sole. Se hai un problema, immagino che la tecnologia di supporto ti chieda di rimuovere il client VPN di altre società e provare ad accedere nuovamente alla rete.

Ancora più importante, penso che probabilmente violi la politica di sicurezza di qualcuno. Quando si crea una connessione VPN a un sito, ovvero creare una connessione attendibile. Sembra che tu voglia connetterti a due diverse reti fidate contemporaneamente. Se gestissi l'header VPN chiamerei l'accesso al mio sito tramite una VPN e il sito di qualcun altro tramite un'altra VPN una violazione della sicurezza in attesa di essere sfruttata.

1
OhBrian

Non per niente, ma OS X 10.6.x + ti consentirà di connetterti a più VPN IPSec contemporaneamente. Per quanto riguarda il passaggio di TUTTO il traffico attraverso un tunnel VPN, sì, questo è il comportamento predefinito, anche se Cisco (e sono certo che lo stesso esiste per altri fornitori come Juniper, ecc.) Ha una tecnica chiamata "split tunneling" in cui solo parte del tuo traffico viene passato attraverso il tunnel, ovvero le reti protette configurate per te dal tuo amministratore di rete. Se il traffico non è destinato a una di quelle reti, si spegne regolarmente WAN connessione. Questo può essere bello in quanto consente ai client VPN di accedere alle restrizioni di sans di Internet, ma ha anche accesso a risorse aziendali: questo facilita anche il carico sui server VPN aziendali in quanto non elaborano più tanto traffico.

Per quanto riguarda effettivamente USARE il client VPN OS X integrato per connettersi a più di una VPN alla volta, penso che anche in violazione diretta della politica di sicurezza aziendale. Inoltre, se si utilizza un client come Cisco AnyConnect, NON è possibile connettere più di 1 istanza VPN alla volta (AnyConnect è solo per VPN SSL, il client VPN Cisco OS X integrato è solo per VPN IPSec).

0
Ronan McGurn