Discussione:
Tips & Tricks: VPN vs FTP,
(troppo vecchio per rispondere)
Caymano
2007-12-22 01:31:32 UTC
Permalink
Un saluto x tutti gli User del Gruppo e.......................bhé ci
starebbe bene.....un buon fine anno lontani dai PC, LAN, cavetti e
router

dopo questa premessa, vi chiedo gentlmente di darmi un orientamento
come delle buone bussole su una realtà di network ke mi sto
confrontando.

Ho davanti a me un progetto da realizzare, ci sono 3 ufffici ubicati
geograficamente ad una distanza di 20 Km, tutti e 3 gli uffici fanno
ed esercitano la stessa attività utllizzando gli stessi documenti. Ora
non é possibile accettare l'idea di avere una rindondanza di documenti
in 3 uffici! Quindi abbiamo cominciato ad effettuare il Digital
Document, scansionando tutti i fascicoli, grazie ad una bella figliola
24enne che si presta per questa attività di cui noi speriamo chei
fascicoli mai finiscano, e per il momento archiviandoli su un Storage
NAS da 2 TeraByte.
Adesso giunge il consiglio richiesto e la speranza che molti +
suggerimenti ed esperienze personali di realtà già create si
trasformino in una bella guida.

Il NAS in questione é il NSA-2400 della Zyxel con un bel sistema
impostato a RAID 5, ma l'ufficio principale che ospita la macchina
Storage é ben felice e se la gode mentre gli altri 2 uffici..bhé un pò
meno. Ora il NAS in questione ha un FTP SSL integrato e pronto da
usare dopo dovutamente configurato. Ma leggendo sui vari POST molti
consigliano una VPN in quanto dà più affidabilità, sicura e protetta.

- ma il protocollo FTP/SSL non dà altrettanto sicurezza?

- tutti e 3 gli uffici devono aggiungere, prelevare in lettura e
stampare i documenti archiviati
é fattibile usare senza complicazioni anche un buon FTP
crittografato?
é vero che non vedrò le cartelle come se fossero nelle risorse di
rete ma almeno mi complico meno la vita.

- va bene il discorso di installare un software client FTP ed il gioco
é fatto? potrò cosi inserire, visionare e stampare i documenti?

- si tratta di documenti abbastanza particolari, dato trattasi di
documenti come cartelle cliniche di pazienti, un protoccolo FTP
darebbe la stessa sicurezza?

- ma se dovessi per forza attivare un servizio VPN, dovrò x forza
usare un PC con installato Windos Server?


Siete gentili se iniziate a far luce su questi aspetti. La cosa
piacevole di usare i Gruppi é proprio che appena chiediamo
aiuto...ecco che cé sempre qualcuno pronto ad ascoltarci.

Ciaooooooooo e buon riposo!!
unknown
2007-12-22 21:34:53 UTC
Permalink
VPN.

Sono proprio due modi diversi di fare le cose.

La VPN porta gli uffici remoti in LAN locale con l'ufficio centrale.
Fatto questo, puoi fare quello che vuoi.

L'FTP pubblicato su internet con tutto il tuo fileserver aziendale è
una scelta molto pericolosa. E se per disgrazia qualcuno indovina la
password e ti cancella tutto?

Indovinare la chiave di una VPN e infilarsi nel canale criptato è
molto, molto, molto più improbabile.

Sicurezza a parte, la VPN è più versatile. Una volta che l'hai tirata
su è sempre lì e tutto ciò che metti in rete per gli utenti della sede
centrale diventa immediatamente disponibile anche per quelli della
periferia.

Personalmente, penso che il modo migliore di fare una VPN fra due sedi
è far fare il lavoro ai router o ai firewall. Se non li hai, puoi
usare dei PC linux anche un po' vecchiotti che fanno finta di essere
un router/firewall. Windows Server potrebbe essere desiderabile per
altri motivi (gestione degli utenti in dominio) ma non mi sembra
affatto il modo migliore per fare una vpn.

In bocca al lupo! :)
meddix tuticus
2007-12-23 06:22:26 UTC
Permalink
sparkling ha scritto:
[cut]
Post by unknown
usare dei PC linux anche un po' vecchiotti che fanno finta di essere
un router/firewall. Windows Server potrebbe essere desiderabile per
poi spieghi perchè dovrebbero "far finta" un router è invece quasi
sempre implementato con un sysop like unix e quindi un pc con un linux è
*parimenti* titolato a far da router o firewall... anzi puoi far cose
che con un ottimo cisco non puoi neanche pensare....
unknown
2007-12-23 19:35:05 UTC
Permalink
On Sun, 23 Dec 2007 07:22:26 +0100, meddix tuticus
Post by meddix tuticus
poi spieghi perchè dovrebbero "far finta" un router è invece quasi
sempre implementato con un sysop like unix e quindi un pc con un linux è
*parimenti* titolato a far da router o firewall... anzi puoi far cose
che con un ottimo cisco non puoi neanche pensare....
Personalmente preferisco una scatola che fa da router e basta,
piuttosto che un pc, perchè in una macchina linux è più probabile che
ci siano vulnerabilità software o guasti hardware rispetto a quanto
non accada con un router di marca a parità di costo. Ma hai
perfettamente ragione quando dici che potenzialmente la macchina linux
è più versatile.

Son gusti... alla fine funzionano entrambe le soluzioni. La scelta
imho andrebbe fatta in base alle competenze del sistemista e al
prezzo.
Caymano
2007-12-24 11:06:33 UTC
Permalink
Grazie mille x le vostre risposte, ritengo che pareri altrui rendono
già idea di dove la bussola si dovrebbe spostare.

Ditemi se st sbagliando ma ho fatto un pò di ricerche nella rete WWW e
vorrei proporvi questa direzione:

- «Ubuntu Server Edition» installato su una macchina già in possesso,
Pentium IV 2.2Ghz., "Basata su Debian, conosciuta per la robustezza
come sistema server"
forse non sò se sarà inutile ma credo che andrò ad installare una eth
giga. Cercherò di seguire un pò di guide in rete oltre ai vostri
consigli per non perdermi sulla strada. http://siena.linux.it/documenti/VPN-IPsec-Freeswan-HOWTO.html
Ti sconsiglio invece di installare il servizio
direttamente sul fileserver, ma piuttosto piazzare una macchina (non
necesssariamente ubuntu ma anche qualcosa di precotto tipo
ipcop+zimbra o l'italianissima Zeroshell http://www.zeroshell.net).
( GianniDR giannidr a gmail.com , Mar 9 Ott 2007 08:15:35 BST )

ma credo ke se non andrò a complicarmi la vita, dato ke qualche
nozione di 6 mesi di approfondimenti con linux ad un corso non mi
spaventano davanti a sistemi Linux, prenderò la strada del server
«Ubuntu Server Edition»........ ipcop con l'addon zerina e openvpngui
per accesso remoto.

frontend grafico Kvpnc senza particolari problemi, dai un occhio a
questa guida :
http://www.zeroshell.net/openvpn-client/#OpenVPN-Linux


Vostro consiglio? Ora mai mi viziano i vostri pareri é come avere dei
colleghi con cui scambiare pareri e discordanze durante la giornata
professionale.

PS: conosco anke un buon prodotto per quanto concerne la sicurezza e
ben configurabile, SmoothWall Express 3.0 con integrato un menù x VPN
cosa ne pensate in base a delle vostre conoscenze o impressioni?
Omero
2007-12-24 15:55:22 UTC
Permalink
Post by Caymano
Grazie mille x le vostre risposte, ritengo che pareri altrui rendono
già idea di dove la bussola si dovrebbe spostare.
Ditemi se st sbagliando ma ho fatto un pò di ricerche nella rete WWW e
 - «Ubuntu Server Edition» installato su una macchina già in possesso,
Pentium IV 2.2Ghz., "Basata su Debian, conosciuta per la robustezza
come sistema server"
 forse non sò se sarà inutile ma credo che andrò ad installare una eth
giga. Cercherò di seguire un pò di guide in rete oltre ai vostri
consigli per non perdermi sulla strada.http://siena.linux.it/documenti/VPN-IPsec-Freeswan-HOWTO.html
Ti sconsiglio invece di installare il servizio
direttamente sul fileserver, ma piuttosto piazzare una macchina (non
necesssariamente ubuntu ma anche qualcosa di precotto tipo
ipcop+zimbra o l'italianissima Zeroshellhttp://www.zeroshell.net).
( GianniDR giannidr a gmail.com , Mar 9 Ott 2007 08:15:35 BST )
ma credo ke se non andrò a complicarmi la vita, dato ke qualche
nozione di 6 mesi di approfondimenti con linux ad un corso non mi
spaventano davanti a sistemi Linux, prenderò la strada del server
«Ubuntu Server Edition»........ ipcop con l'addon zerina e openvpngui
per accesso remoto.
frontend grafico Kvpnc senza particolari problemi, dai un occhio a
questa guida :http://www.zeroshell.net/openvpn-client/#OpenVPN-Linux
Vostro consiglio? Ora mai mi viziano i vostri pareri é come avere dei
colleghi con cui scambiare pareri e discordanze durante la giornata
professionale.
PS: conosco anke un buon prodotto per quanto concerne la sicurezza e
ben configurabile, SmoothWall Express 3.0 con integrato un menù x VPN
cosa ne pensate in base a delle vostre conoscenze o impressioni?
Ciao
non hai parlato degli apparati router già presenti nelle sedi e del
tipo di linea dati che possiedi.
io preferisco le vpn basate su firewall dedicati netgear, zyxel,
fortinet, ecc... non hanno hd che crashano e costano molto meno di
ennergia elettrica (in 3/5 anni si ripagano solo con il risparmio di
energia) ho due vpn tenute su da dei netgear dg834 da 68 euro, vpn che
cadono spesso ma si riprendono anche abbastanza velocemente sono usate
per amministrazione remota e non le userei per far lavorare i
dipendenti ma spendendo qualche cosa di più si può stare più
tranquilli.
Se in sede centrale installi un buon firewall (sempre che quello
installato non sia già ok) che puo essere per esempio un fortigate
puoi far fare a lui da server pptp e nelle sedi remote ti basta creare
le connessioni vpn nei singoli pc sempre che non siano troppi e in
questo caso devi installare un vpn endpoint anche li.
già con un xp pro riesci a tirar su una vpn usando o pptp di microsoft
o openvpn e per 3 client non ci sono problemi anche se la macchina
viene usata per fare altro.

Ciao
Caymano
2007-12-24 22:17:26 UTC
Permalink
Grazie "omero" per il tuo inserimento di cui fà sempre piacere leggere
delle vostre opinioni.

Bhé effettivamente se dovessi piazzare della macchina onerose di
energia forse i tuoi calcoli sarebbero certi e accettati, ma se invece
dovessi impostare dei mini PC con dissipazione passiva e CPU a 1,8
Ghz?
forse sò già che tu mi dirai che tanta potenza x un firewall o una VPN
non serve.


Comunque ti descrivo la struttura di base:

- tutti e 3 gli uffici sono dotati di una banda ADSL con IP fisso e
per la situazione Hardware dei modem/router potrei dire che
l'argomento é ancora aperto. Per il momento l'unica cosa che ho tra le
mani é un buon NAS della Zyxel (NSA-2400 Network Storage)

- a questo punto se l`argomento Router é aperto direi che punterei a
dei prodotti Zyxel,Netgare o Linksys
- ho trovato in uno di questi uffici un Router D-link DIR-635, direi
davvero buono come prodotto solo che non mi fido molto dei prodotti D-
link anche se questo router ha la funzione Firewall NAT e SPI
(Stateful Packet Inspection) con funzione VPN pass-through, di cui non
saprei davvero se fidarmi.
Voi avete consigli in merito a questo Router D-link?
Post by Omero
già con un xp pro riesci a tirar su una vpn usando o pptp di microsoft
1) girando per la rete non ho sentito parlar bene di questo
protocollo VPN PPTP (Point-to-Point Tunneling Protocol)
Tali connessioni non garantiscono tuttavia né l'integrità dei dati
(non è possibile avere conferma che i dati non siano stati modificati
durante il transito) né l'autenticazione dell'origine dei dati (non
esiste alcuna garanzia che i dati siano stati inviati dall'utente
autorizzato).
(tratto da: http://technet2.microsoft.com/WindowsServer/it/Library/07305b36-47ff-4be7-92e2-89c636dc03de1040.mspx?mfr=true
)

2) Il protocollo L2TP/IPSec (Layer Two Tunneling Protocol) può essere
utilizzato soltanto con i client che eseguono Windows 2000 o Windows
XP
Grazie all'IPSec, le connessioni VPN basate su L2TP/IPSec garantiscono
la riservatezza e l'integrità dei dati, nonché l'autenticazione dei
dati.

come al solito non si finisce mai di direzionare la bussola se non
solo testando e ritestando....

quindi per me rimane solo una decisione da prendere:
- PC da dedicare firewall e VPN o Hardware dedicato come consigliato
da "omero"
- protocollo da usare VPN PPTP - L2TP/IPSec

e poi........... tanti test test test e tanti vostri suggerimenti.

Gentilissimi come sempre....

bhé non me l'aspettavo che avreste dato libero sfogo alle vostre
risposte....tante grazie!!
Caymano
2007-12-24 22:39:15 UTC
Permalink
Post by Caymano
2) Il protocollo L2TP/IPSec (Layer Two Tunneling Protocol) può essere
utilizzato soltanto con i client che eseguono Windows 2000 o Windows
XP
Grazie all'IPSec, le connessioni VPN basate su L2TP/IPSec garantiscono
la riservatezza e l'integrità dei dati, nonché l'autenticazione dei dati.
Per Capire meglio:


Omero
2007-12-27 14:22:59 UTC
Permalink
Post by Caymano
Grazie "omero" per il tuo inserimento di cui fà sempre piacere leggere
delle vostre opinioni.
Bhé effettivamente se dovessi piazzare della macchina onerose di
energia forse i tuoi calcoli sarebbero certi e accettati, ma se invece
dovessi impostare dei mini PC con dissipazione passiva e CPU a 1,8
Ghz?
forse sò già che tu mi dirai che tanta potenza x un firewall o una VPN
non serve.
calcola che una macchina specifica solo per fare vpn tipo un
concentrator vpn della netgear credo che parta dai 150/200 euro
Post by Caymano
- tutti e 3 gli uffici sono dotati di una banda ADSL con IP fisso e
per la situazione Hardware dei modem/router potrei dire che
l'argomento é ancora aperto. Per il momento l'unica cosa che ho tra le
mani é un buon NAS della Zyxel (NSA-2400 Network Storage)
- a questo punto se l`argomento Router é aperto direi che punterei a
dei prodotti Zyxel,Netgare o Linksys
- ho trovato in uno di questi uffici un Router D-link DIR-635, direi
davvero buono come prodotto solo che non mi fido molto dei prodotti D-
link anche se questo router ha la funzione Firewall NAT e SPI
(Stateful Packet Inspection) con funzione VPN pass-through, di cui non
saprei davvero se fidarmi.
della funzione VPN pass-through puoi fidarti visto che non è una vpn
ma solo lascia passare le vpn.
Post by Caymano
Voi avete consigli in merito a questo Router D-link?
Post by Omero
già con un xp pro riesci a tirar su una vpn usando o pptp di microsoft
1)  girando per la rete non ho sentito parlar bene di questo
protocollo VPN PPTP (Point-to-Point Tunneling Protocol)
considera che pptp è la vpn implementata da microsoft sui server 2003
Post by Caymano
Tali connessioni non garantiscono tuttavia né l'integrità dei dati
(non è possibile avere conferma che i dati non siano stati modificati
durante il transito) né l'autenticazione dell'origine dei dati (non
esiste alcuna garanzia che i dati siano stati inviati dall'utente
autorizzato).
pptp implementa una protezione che non permette di usarla nemeno
tramite un nat se non è VPN pass-through, quindi si accorge che i
pacchetti vengono modificati e cade la vpn per motivi di sicurezza.

normalmente tra apparati si usano vpn ipsec.

pptp si usa quando accedono all'endpoint vpn direttamente singoli pc
con xp o 2000 come client.

poi se devi far accedere singoli client la ssl con apparato harware
non è male e è semplice da configurare lato client.

Ciao.
unknown
2007-12-28 20:53:24 UTC
Permalink
Se non hai ancora comprato i router (che cmq *devi* avere per la
connettività internet) ti conviene prendere dei modelli in grado di
gestire bene le VPN e farlo fare a loro.

Personalmente farei tutto con tre cisco 877 da 323 euro + iva l'uno.
In questo modo hai router, firewall e concentrator vpn in un solo
apparecchio, e hai cmq la garanzia di avere prodotti di alta qualità.
Altri prodotti che ho trovato essere validi sono i Netscreen di
Juniper Networks, ma non so darti quotazioni di mercato al riguardo.
Prendili sul Web perchè altrimenti i commerciali ti pelano (i prezzi
di listino dei prodotti cisco sono moooolto diversi da quelli reali).

Se invece preferisci la macchina linux puoi usare più o meno qualsiasi
computer, però difficilmente spendendo meno di 300 euro (ai quali devi
aggiungere quelli dei router economici che dovrai cmq comprare per
l'adsl) otterrai una macchina affidabile quanto un router/firewall di
marca.

Ciao!
Caymano
2007-12-31 02:05:35 UTC
Permalink
Grazie mille x le tue info Omero

ma sei abbastanza esperto nel settore VPN oppure sei ben documentato
per passione?

Sto giungendo ad una chiara conclusione della struttura, ti chiedo
solo di correggermi se sbaglio lo schema di concetto:

O - Router ADSL (già in possesso, sono semplici ma funzionano
degnamente)
I
I
O - Firewall / VPN Juniper Networks Firewall NetScreen 5GT-005
(questo l'ho trovato sulla rete per un prezzo di 100 euro)
magari dammi un consiglio se sia valido
I
I
O - rete LAN (192.168.0.1 <- - -> 192.168.0.8) ogni PC munito di
software IPsec per gestire VPN,

oppure vado a configurare il O.S. per i collegamenti?


Altro domanda che mi rimbomba é:
questa realtà, anche se messa sotto forma di bozza, dovrebbe ripetersi
per tutti e 3 gli uffici remoti, cioé ad ogni ufficio anche un nuovo
firewall con VPN o basterebbe solo un endpoint VPN?

Grazie per l'aiuto...rimango soddisfatto dei suggerimenti che trovo
nei NewsGroup anziché nel Web
Omero
2007-12-31 14:19:56 UTC
Permalink
Post by Caymano
Grazie mille x le tue info Omero
ma sei abbastanza esperto nel settore VPN oppure sei ben documentato
per passione?
Abbastanza esperto no, ho dovuto realizzare qualche vpn e ne ho viste
alcune già fatte.
Post by Caymano
Sto giungendo ad una chiara conclusione della struttura, ti chiedo
  O  - Router ADSL (già in possesso, sono semplici ma funzionano
degnamente)
che marca e modello?
Post by Caymano
   I
   I
  O  - Firewall / VPN Juniper Networks Firewall NetScreen 5GT-005
         (questo l'ho trovato sulla rete per un prezzo di 100 euro)
magari dammi un consiglio se sia valido
non sono riuscito a trovare il manual ho visto che questo modello
costa più di 400 euro nuovo
http://www.trovaprezzi.it/categoria.aspx?id=132&libera=juniper&page=2&sort=Prezzo&sortdir=0
non supporta pptp quindi lo puoi usare o come centro stella (se lo
supporta ma credo di si) connesso alle altre sedi con apparati ipsec o
installando i client ipsec ne singoli pc remoti
Post by Caymano
  I
  I
 O  - rete LAN (192.168.0.1 <- - -> 192.168.0.8)  ogni PC munito di
software IPsec per gestire VPN,
ogni sede dovrebbe avere una sotto rete diversa
Post by Caymano
oppure vado a configurare il O.S. per i collegamenti?
ho provato seguendo un tutorial in internet ma è un po macchinoso e
applicabile solo agli os professional
Post by Caymano
questa realtà, anche se messa sotto forma di bozza, dovrebbe ripetersi
per tutti e 3 gli uffici remoti, cioé ad ogni ufficio anche un nuovo
firewall con VPN o basterebbe solo un endpoint VPN?
mettiamo il caso che tu metti il juniper in centro stella nella sede
principale, quanti pc hai li?
e quanti nelle altre sedi?
per un apparato hardware è più semplice gestire una unica vpn con
magari un po di banda che tante singole connessioni quindi l'idea di
uscire dalle sedi remote con i client la vedo dura se hai più di 3 pc
per sede.

Ciao
Caymano
2008-01-02 12:41:00 UTC
Permalink
Post by Omero
Post by Caymano
Grazie mille x le tue info Omero
ma sei abbastanza esperto nel settore VPN oppure sei ben documentato
per passione?
  O  - Router ADSL (già in possesso, sono semplici ma funzionano
degnamente)
che marca e modello?
- Ufficio 1
4 macchine + Modem/Router ISDN: Motorola/Netopia 3357N
distribuito dalla società Bluewin.ch

http://www.netopia.com/equipment/products/3000/3300_bus.html

- Ufficio 2
5 macchine + Modem/Router ISDN: Motorola/Netopia 3357N (vedi sopra)

- Uffiocio 3
4 macchine + ZyXEL Prestige 660HW-I (ISDN)
Post by Omero
non supporta pptp quindi lo puoi usare o come centro stella (se lo
supporta ma credo di si) connesso alle altre sedi con apparati ipsec o
installando i client ipsec ne singoli pc remoti
andrò a documentarmi cosa intendi dire con i termini tecnici "centro
stella"
e le differenze tra avere un client IPsec oppure un protocollo PPTP
Grazie per altri dettagli tecnici che mi elenchi.
Post by Omero
ho provato seguendo un tutorial in internet ma è un po macchinoso e
applicabile solo agli os professional
Hai il link di questo tutorial? almeno chissà potrebbe essere una
buona lettura x farsi una pesante cultura
Post by Omero
mettiamo il caso che tu metti il juniper in centro stella nella sede
principale, quanti pc hai li?
e quanti nelle altre sedi?
Vedi elenco nelle righe precedenti
Post by Omero
per un apparato hardware è più semplice gestire una unica vpn con
magari un po di banda che tante singole connessioni quindi l'idea di
uscire dalle sedi remote con i client la vedo dura se hai più di 3 pc
per sede.
Da queste tue frasi deduco che sia meglio avere un Router VPN
nell'ufficio centrale che supporti almeno 10 connessioni
e per le altre 2 filiali avere solo delle connessioni che utilizzano
un protocollo PPTP dei Client IPSec?
Questo intendi dire?

Grazie nuovamente
Caymano
2008-01-02 12:42:58 UTC
Permalink
Post by Omero
per un apparato hardware è più semplice gestire una unica vpn con
magari un po di banda che tante singole connessioni quindi l'idea di
uscire dalle sedi remote con i client la vedo dura se hai più di 3 pc
per sede.
Dimenticavo di darti un dato che potrebbe esser utile, per tutti e 3
gli uffici é stata fatto richiesta di una linea ADSL
Download 5000 Kbps,, Upload 500 Kbps

Ciaooooo

Loading...