Tutto quello che c’è da sapere sull’AutoVPN di Cisco Meraki
In questo articolo, vi illustriamo come si compie la magia dell’AutoVPN di Meraki.
Le Virtual Private Networks (VPN) sono state il pilastro delle aziende negli ultimi 20 anni.
Questo ha permesso ad aziende, agenzie di governo e dipartimenti di operare comunicazioni potenzialmente sensibili anche all’interno di un network non sicuro.
Negli ultimi anni, sono diventate la struttura portante della maggior parte delle soluzioni SD-WAN.
L’unico neo è che la configurazione di queste tecnologie, i diversi passaggi da eseguire, le modalità e gli algoritmi di crittografia sono complicati e portano via molto tempo a dimostrazione che mettersi e rimanere al sicuro può essere un lavoro molto impegnativo. È qui che l’AutoVPN di Meraki vi viene in aiuto, offrendovi un modo semplice e veloce per diventare ed automaticamente rimanere al sicuro, grazie al cloud.
In Cisco Meraki, si è discusso a lungo di VPN e, fino ad ora, non erano state ancora elencate le peculiarità dell’AutoVPN rispetto alle normali VPN.
In questo articolo, perciò, vi illustriamo i punti in cui la tecnologia vi libera dal dover progettare, configurare e mantenere le VPN.
Inizia tutto con un Pugno (Punch)
Per iniziare, dobbiamo sapere dove e, ancora più importante, come la VPN permette agli MX di comunicare. Per farlo, facciamo leva su un servizio chiamato punch.
Perchè questo nome? Perchè non è necessario che le security appliances dell’MX siano direttamente connesse ad internet. Potrebbero trovarsi dietro ad un altro firewall pubblico o essere state implementate in un VPN concentrator mode sia in un DMZ che in un data center core network.
Il processo di punch automaticamente cerca di spingersi fuori dallo spazio internet o di IP pubblico attraverso un qualsiasi dispositivo Network Address Translation (NAT).
Per farlo, viene utilizzata una tecnica chiamata UDP hole punching. (se il vostro MX Meraki si trova dietro un firewall più vecchio di tipo “NAT-unfriendly” allora possiamo usare una tecnica chiamata manual port forwarding per aggirare il problema).
Le MX usano poi il punch ( o il manual port forwarding) quando si tratta di tunnel establishment.
Registrazione
Il processo di punch va a ricoprire il ruolo di “client” all’interno di una relazione di tipo client-server. La parte del server è rappresentata dal “Cisco Meraki VPN Registry”.
Il VPN Registry è un servizio indipendente all’interno della dashboard di Meraki, utilizzato per registrare tutti gli MX pubblici e l’interfaccia degli indirizzi IP. Il registry utilizza quindi alcune semplici logiche per comprendere come muoversi tra i vari MX all’interno di un’organizzazione. Questo per creare dei tunnel VPN.
In particolare, ecco quali operazioni svolge:
– Check for match – se l’IP pubblico dell’MX e l’interfaccia IP corrispondono, allora l’MX in questione è direttamente connesso ad internet su quell’interfaccia WAN;
– No Match – i circuiti di MX WAN con differenti indirizzi IP pubblici dovrebbero muoversi tra questi indirizzi IP pubblici direttamente;
– Route Initiated – se i due IP pubblici dell’MX corrispondono, allora l’MX in questione si trova nel medesimo network privato. Per questo, dovrebbe passare da uno all’altro attraverso gli indirizzi di interfaccia IP.
La VPN registry passa quindi queste informazioni alla dashboard.
Ed ecco la magia
A questo punto, non solo la dashboard sa come muoversi tra i veri MX dell’organizzazione, ma sa anche quanti percorsi WAN possiede ogni MX, così come la topologia di VPN desiderata.
Tutti questi elementi, se combinati, fanno sì che la dashboard sappia:
– Come costruire tunnel e come muoversi;
– Quali subnet IP sono accessibili e attraverso quale MX remoto;
– Come raggiungere un MX indirettamente connesso (ad esempio senza un tunnel diretto);
– Che entrambi i lati della comunicazione sono totalmente sicuri e autenticati. Questo perchè sono autenticati, autorizzati e gestiti dalla dashboard;
– I punti elencati qui sopra, originariamente portavano via giorni o settimane di programmazione accurata e di provisioning di indirizzi IP statici, route-maps, e tunnel parameters.
Tutto questo doveva essere configurato all’interno di tutti i router che facevano parte dell’organizzazione (solitamente al di fuori dell’orario di lavoro) significando una significativa perdita di tempo e denaro.
L’AutoVPN sugli MX ha 2 benefici chiave rispetto alle classiche tecnologie:
Primo beneficio: tutti i passaggi elencati qui sopra, avvengono su un MX all’interno dei primi 30 secondi successivi all’accensione.
…prima di proseguire nell’identificare i benefici dell’AutoVPN abbiamo un piccolo mito da sfatare: non esiste nulla che sia tanto sicuro quanto un algoritmo di cifratura.
Per impedire a malintenzionati o, semplicemente a chi non deve, di vedere le tue informazioni, dovreste cambiare regolarmente il materiale di codifica che l’algoritmo di cifratura sta utilizzando.
L’unico modo per farlo in maniera efficace è aggiornare continuamente il materiale di codifica che utilizzate con i vostri algoritmi di cifratura per trasformare le informazioni da testo a materiale codificato. Questo significa che dovrete periodicamente modificare i dati di codifica su ogni router. Questo materiale di codifica dovrebbe essere unico per quanto riguarda il percorso virtuale: chiaramente si si tratta di un compito molto delicato a causa della possibilità di incappare in errori di configurazione.
Questa è la ragione primaria per cui molte aziende che impostano semplicemente una configurazione di tipo “set and forget” e non si rendono conto di quanto possa essere pericoloso.
Torniamo ora ai benefici della nostra AutoVPN.
Secondo beneficio e vantaggio più importante conferito da Meraki e la sua dashboard: tutte le MX controllano regolarmente la presenza di file di configurazione aggiornati. In questo modo, la dashboard può automaticamente aggiornare il materiale di codifica, assicurandovi sicurezza costante e senza sforzi.
Per concludere
Meraki AutoVPN prende una tecnologia complessa e tradizionale e la trasforma in una tecnologia cloud-based al 100% per semplificare il vistro lavoro.
Inoltre, è talmente semplice da configurare che non è necessario che abbiate competenze tecniche. É anche lo standard di riferimento per far sì che le SD-WAN siano in grado di farvi risparmiare un bel po’ di soldi.
Credit
– All About Auto VPN | Cisco Meraki
Risorse
– Cisco Meraki AutoVPN – whitepaper
– Troubleshooting VPN Registration for Meraki Auto VPN
– Automatic NAT Traversal for IPsec Tunneling between Cisco Meraki Peers