Todo sobre auto VPN

Desmitificando la magia de la Auto VPN de Meraki.

Por Steve Harrison.

Las redes privadas virtuales (VPN) han sido un pilar en las corporaciones durante los últimos 20 años. Permiten a las empresas, agencias gubernamentales y departamentos realizar comunicaciones potencialmente confidenciales a través de una red no confiable. En los últimos años, se han convertido en las superposiciones independientes del transporte de la mayoría de las soluciones SD-WAN.

El problema es que la configuración de estas tecnologías y la gran cantidad de fases, modos y algoritmos de cifrado significa que obtener y mantenerse seguro puede ser una tarea laboriosa. Aquí es donde Auto VPN de Meraki ofrece una manera rápida y fácil de volverse, y permanecer automáticamente, seguro a través de la nube.

En Cisco Meraki, hemos estado hablando de VPN durante mucho tiempo. Sin embargo, hasta ahora, no hemos descrito qué hace que nuestra VPN automática sea diferente de la VPN “normal” de los demás. En esta publicación de blog, mostraremos cómo nuestra tecnología elimina la molestia de diseñar, configurar y mantener VPN.

¡Comenzó con Punch!

Primero, incluso antes de pensar en una VPN de un MX a otro, necesitamos saber dónde y, lo que es más importante, cómo se comunican entre sí. Para hacer esto, aprovechamos un servicio que llamamos “golpe”; lo usamos porque nuestros dispositivos de seguridad MX no están necesariamente conectados directamente a Internet. Podrían estar detrás de otro firewall público o implementarse en modo concentrador VPN en una red central DMZ o de centro de datos.

El proceso de perforación intenta automáticamente “perforar” su salida a Internet / espacio público de IP a través de cualquier dispositivo de traducción de direcciones de red (NAT). Para hacer esto, se utiliza una técnica llamada perforación de agujeros UDP (si su Meraki MX está detrás de un firewall anterior “NAT-hostil”, entonces podemos usar una técnica llamada reenvío manual de puertos para evitarlo). Los MX también usan punch (o reenvío manual de puertos) cuando se trata de establecer un túnel.

Después de Punch viene el registro:

El proceso de perforación es en realidad el “cliente” en una relación cliente-servidor, siendo la porción del servidor el “Registro Cisco Meraki VPN”. El Registro VPN es un servicio independiente del dashboard de Meraki, que se utiliza para registrar el IP de cada MX y la interfaz de IP. direcciones. El Registro luego usa una lógica simple para comprender cómo enrutar entre los diversos MX en una organización (para crear túneles VPN). A saber:

  1. Verificar coincidencia: Si la IP pública del MX y la IP de la interfaz coinciden, entonces el MX en cuestión está conectado directamente a Internet en esa interfaz WAN.
  2. Sin coincidencia: Los circuitos MX WAN con diferentes direcciones IP públicas deben enrutarse directamente entre esas direcciones IP públicas.
  3. Ruta iniciada: Si las dos direcciones IP públicas de MX coinciden, entonces las MX en cuestión están en la misma red privada. Como tal, deben enrutarse entre sí a través de sus direcciones IP de interfaz.

El registro VPN luego pasa esta información al dashboard de control.

Entonces la magia (Meraki)

El dashboard no solo ahora sabe cómo enrutar entre todos los MX de la organización, sino que también sabe cuántas rutas WAN tiene cada MX, así como la topología de VPN deseada. Todo esto junto significa que el dashboard sabe mágicamente:

  • A quién construir túneles y, lo que es más importante, cómo encaminar.
  • A qué subredes IP se puede acceder a través de qué MX remoto.
  • Cómo enrutar a un MX conectado indirectamente (es decir, uno sin túnel directo).
  • Que ambos lados de la comunicación son totalmente confiables y autenticados, ya que ambos están autenticados, autorizados y administrados por el dashboard.

Lo anterior tradicionalmente llevó días o semanas de planificación cuidadosa y el aprovisionamiento de direcciones IP estáticas, mapas de rutas y parámetros de túnel. Luego, esto debería configurarse en todos los enrutadores que forman parte de la organización (generalmente fuera del horario laboral), consumiendo tiempo y dinero. Además, los enrutadores normalmente tienen que hacer un apretón de manos seguro especial entre ellos para asegurarse de que son quienes dicen ser y que el medio a través del cual se comunican es inseguro.

La VPN automática en el MX tiene dos beneficios clave sobre las tecnologías utilizadas tradicionalmente:

Primero, en el MX, toda la “magia” anterior ocurre dentro de los primeros 30 segundos de un encendido del MX, o está allí por defecto, ya que ambos lados se administran “automáticamente”.

… pero antes de continuar, tenemos un poco que romper con los mitos, ya que no existe un algoritmo de cifrado completamente seguro, como lo demostraron Alan Turing y la compañía de Bletchley Park. Para evitar que las personas vean su información, debe cambiar regularmente el material de claves que utiliza el algoritmo de cifrado.

La única forma de hacerlo de manera efectiva es actualizar continuamente el material de codificación que utiliza con su algoritmo de cifrado para codificar su información (texto) en texto cifrado. Esto significa que periódicamente debe cambiar los datos de codificación en cada enrutador. Este material de codificación debe ser único por ruta virtual; puedes entender que esta es una tarea masiva cargada de muchos peligros de configuración errónea.

Esta es la razón principal por la que muchas organizaciones con tales configuraciones simplemente “configuran y olvidan” sus configuraciones y no se dan cuenta de lo peligroso que puede ser.

(¡Ahora volvamos a nuestra programación originalmente programada!)

En segundo lugar, y con mucho, la ventaja más importante de Meraki y el dashboard es que todos los MX se registran regularmente para obtener un archivo de configuración actualizado. De esta forma, el dashboard de instrumentos puede actualizar automáticamente dicho material de claves de forma sucinta, manteniendo así la seguridad del túnel de manera efectiva y sin esfuerzo.

Todo lo que necesita hacer ahora es espolvorear un poco de polvo mágico patentado de Meraki y tendrá una solución SD-WAN líder en la industria y de clase empresarial.

Conclusión

Meraki Auto VPN toma una tecnología tradicionalmente compleja y la transforma con tecnología 100% basada en la nube para que simplemente funcione. Ah, y es tan fácil de configurar que incluso su vendedor puede hacerlo. También es la línea de base para SD-WAN y poder ahorrarle mucho dinero a su negocio. Si desea obtener más información y obtener el kit Meraki gratis, vea el seminario web SD-WAN a pedido o póngase en contacto con un representante de ventas de Meraki para obtener una demostración y una prueba.