Manual VPN

Por

Andres ayala taborda cristian camilo Urrego Maria Isabel Rodrigez Diego Pulgarin

176052

Instructor

Lina Mkcoll

Servicio Nacional De Aprendizaje Sena

Medellin Antioquia 2012

Introduccin

Afortunadamente con la aparicin de Internet, las empresas, centros de formacin, organizaciones de todo tipo e incluso usuarios particulares tienen la posibilidad de crear una Red privada virtual (VPN) que permita, mediante una moderada inversin econmica y utilizando Internet, la conexin entre diferentes ubicaciones salvando la distancia entre ellas. Las redes virtuales privadas utilizan protocolos especiales de seguridad que permiten obtener acceso a servicios de carcter privado, nicamente a personal autorizado, de una empresas, centros de formacin, organizaciones, etc.; cuando un usuario se conecta va Internet, la configuracin de la red privada virtual le permite conectarse a la red privada del organismo con el que colabora y acceder a los recursos disponibles de la misma. en este trabajo se pretende mostrar como realizar VPNs en las diferentes platafromas de windows, linux y dispositivos cisco.

OBJETIVOS General: Implementar una solucin de troncales VPN en servidor Windows, Linux y dispositivos cisco, para establecer y mantener una buena seguridad perimetral de la red. Especficos: - Aprender el funcionamiento y estructura de las VPNs. - Identificar los procesos y parmetros de la seguridad perimetral. - Relacionar los conocimientos tericos con las prcticas reales. - Aprender a implementar, configurar y mantener estables las VPN en plataformas Linux, Windows y dispositivos cisco. PROBLEMAS DEL DESARROLLO DE LAS ACTIVIDADES - Al implementar los routers reales que tenemos a disposicin del Sena, las IOS de estos no soportaban VPN sitio a sitio, por lo cual se tomo la decisin de utilizar GNS3 y virtualizar los routers para resolver el problema. - Al implementar los routers en el GNS3 las IOS por defecto solo permitan crear un servidor VPN y SSL VPN, por lo cual se prosigui con la bsqueda de IOS que soportaran las VPN sitio a sitio. - Cuando se haban descargado una series de IOS para realizar las VPN sitio a sitio, a la hora de configurarlas atreves de cisco SDM, no se poda, pues la opcin no se activaba as las IOS fueran compatibles con estas caractersticas por lo cual se tomo la decisin de imprentar los cisco ASA. - Por los problemas que se presentaron y por la gran inversin del tiempo para corregirlos el tiempo para el desarrollo de la actividad de VPN en dispositivos cisco se vio muy retrasada.

Que es VPN Es una red privada que se extiende, mediante un proceso de encapsulacin y en su caso de encriptacin, de los paquetes de datos a distintos puntos remotos mediante el uso de unas infraestructuras pblicas de transporte. Los paquetes de datos de la red privada viajan por medio de un "tnel" definido en la red pblica.

En la imagen mostramos como viajan los datos a travs de una VPN ya que el servidor dedicado es del cual parten los datos, llegando al firewall que hace la funcin de una pared para engaar a los intrusos a la red, despus los datos llegan a nube de internet donde se genera un tnel dedicado nicamente para nuestros datos para que estos con una velocidad garantizada, con un ancho de banda tambin garantizado y lleguen a su vez al firewall remoto y terminen en el servidor remoto las VPN pueden enlazar mis oficinas corporativas con los socios, con usuarios mviles, con oficinas remotas mediante los protocolos como internet, IP, Ipsec, Frame Relay, ATM.

Tipos de conexin Conexin de acceso remoto Una conexin de acceso remoto es realizada por un cliente o un usuario de una computadora que se conecta a una red privada. Conexin VPN router a router Es una conexin VPN router a router es realizada por un router, y este a su vez se conecta a una red privada. Conexin VPN firewall a firewall Es una conexin VPN firewall a firewall es realizada por uno de ellos, y ste a su vez se conecta a una red privada.

Ventajas Integridad, confidencialidad y seguridad de datos. Las VPN reducen los costos y son sencillas de usar. Facilita la comunicacin entre dos usuarios en lugares distantes.

Glosario. VPN: es una red privada virtual. Es una red que se crea sobre una real, que permite una extencion de red local sobre una red publica o no controlada. FRAME RELAY: proporciona conexiones entre usuarios a travs de una red publica, del mismo modo que lo hara una red privada con circuitos punto a punto. IPSEC: Es un conjunto de protocolos cuya funcin es asegurar la comunicacin sobre el protocolo de internet (IP) autenticado y/o cifrado cada paquete IP PDU: Es la informacin que se entrega como unidad entre entidades de una red y que puede contener informacin de control, informacin de direcciones o datos. FIREWALL: Es una parte de un sistema o una red que esta diseada para bloquear el acceso no autorizado . TUNEL VPN: un tnel VPN es simplemente un enlace entre dos puntos. ENCAPSULAMIENTO:Se denomina encapsulamiento al ocultamiento de estado, es decir, de los datos miembro, de un objeto de manera que solo se puede cambiar mediantes operaciones definidas para ese objeto. ENCRIPTACION:es una manera de codificar ka informacin para proteger la frente a terceros ACCESO REMOTO:Un acceso remoto es poder acceder una computadora a un recurso ubicado fsicamente en otra computadora que se encuentra geogrficamente en otro lugar, a travs de una red local o externa. OPENVPN: Es una solucin de conectividad basada en software: SSL. VPN ofrece conectividad punto a punto con validacin jerrquica de usuarios y host conectados remotamente.

Tipos de Funcionamientos de VPN VPN de acceso remoto Es quizs el modelo ms usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles y aviones preparados, etctera) utilizando Internet como vnculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. VPN punto a punto Este esquema se utiliza para conectar oficinas remotas con la sede central de la organizacin. El servidor VPN, que posee un vnculo permanente a Internet, acepta las conexiones va Internet provenientes de los sitios y establece el tnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, tpicamente mediante conexiones de banda ancha ,Esto permite eliminar los costosos vnculos punto a punto tradicionales (realizados comnmente mediante conexiones de cable fsicas entre los nodos). Tunneling La tcnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un tnel dentro de una red de computadoras. El establecimiento de dicho tnel se implementa incluyendo un PDU determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del tnel sin que sea necesaria una interpretacin intermedia de la PDU encapsulada. VPN over LAN Este esquema es el menos difundido pero uno de los ms poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexin, emplea la misma red de rea local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalmbricas (WIFI).

Protocolos de VPN Protocolos estndar: Protocolo PPTP protocolo de tnel punto a punto) consiste en crear tramas con el protocolo PPP y encapsularlas mediante un datragrama IP. Por lo tanto, con este tipo de conexin, los equipos remotos en dos redes de rea local se conectan con una conexin de igual a igual (con un sistema de autenticacin/cifrado) y el paquete se enva dentro de un datagrama de IP. Protocolo L2TP L2TP es un protocolo de tnel estndar (estandarizado en una RFC, solicitud de comentarios) muy similar al PPTP. L2TP encapsula tramas PPP, que a su vez encapsulan otros protocolos (como IP, IPX o NetBIOS). Protocolo IPSec IPSec es un protocolo definido por el IETF que se usa para transferir datos de manera segura en la capa de red. En realidad es un protocolo que mejora la seguridad del protocolo IP para garantizar la privacidad, integridad y autenticacin de los datos enviados. IPSec se basa en tres mdulos Encabezado de autenticacin IP Carga til de seguridad encapsulada Asociacin de seguridad Protocolos no estndar OpenVPN una solucin de cdigo abierto, robusta y altamente flexible. Soporta mltiples tipos de cifrado, autenticacin y certificacin a travs de la librera OpenSSL. VTun es una solucin de fuente abierta que permite crear de forma sencilla tneles a travs de redes TCP/IP con compresin y cifrado. Soporta, entre otros, tneles IP, PPP, SLIP y Ethernet. cIPe es una solucin similar a IPSec ms ligera por tener un protocolo ms sencillo, pero no estandarizada.

 tinc es una solucin que permite realizar una VPN con cifrado, autenticacin y compresin (mediante las libreras OpenSSL y LZO), y que se puede ejecutar sobre mltiples sistemas operativos.

Puertos del VPN Para PPTP hay que abrir Para L2TP hay que abrir el puerto TCP 1701. IPSec, se debe abir el puerto UDP 500. protocolo GRE puerto 47 UDP). el puerto TCP 1723.

Arquitectura Usada En El Trabajo

Funcionamiento de una VPN Es similar al de cualquier red normal. Esta se basa en la comunicacin entre los dos extremos de la red privada a travs de la red pblica se hace estableciendo tneles virtuales entre esos dos puntos y usando sistemas de encriptacin y autentificacin que aseguren la confidencialidad e integridad de los datos transmitidos a travs de esa red pblica.

Configuracin De VPN En Isa Sever 2006 Para este caso configuraremos VPN en isa server para ell debemos de tener instalado firewall con algunas reglas de NAT. Para esto necesitamos dos maquinas virtuales. Windows xp : 192,168,10,140 Server 2003 con isa server : WAN:192,168,10,196 LAN: 192,168,40,5 Las dos maquinas en Adaptador puente. Lo primero que hay que hacer es crear unos usuarios con los cuales no vamos a autenticar.

Colocamos el nombre del usuario y la contrasea.

Ahora vamos a crear un grupo en el cual vamos a colocar el usuario que acabamos de crear.

Escogemos el usuario que acabamos de crear.

Como observamos podemos agregar mas usuarios al grupo que estamos creando.

Como Vemos el Grupo se creo satisfactoriamente. Pasamos a configurar las opciones de VPN en Isa Server les recomiendo seguir los pasos mostrados en los pantallazos.

En este caso vamos a utilizar la autenticacion mediante el protocole L2TP o protocolo de tunel de capa 2. Le damos aplicar.

Ahora elegimos el pool de direcciones que se le asignara a los clientes VPN.

Le damos un pool de direcciones.

Le damos aplicar y aceptar.

Seguimos con el siguiente enlace.

All agregamos el grupo de usuarios creado anteriormente ya que estos son los que se pueden autenticar en la VPN.

Le damos Aceptar.

En el mismo Cuadro de dialogo nos vamos a general y le damos la cantidad de usuarios que se pueden comunicar via VPN.

Nos vamos a protocolos y escogemos el procolo L2TP/Ipsec.

Nos vamos haca directivas de firewall. Vamos a crear una regla de Firewall que permita el acceso de los clientes VPN a la LAN.

Agramos los clientes VPN y le damos siguiente.

Aqu escogemos interna para los clientes VPN.

Como observamos la regla fue creada exitosamente.

Nos vamos a redes a crear una nueva regla sobre VPN.

Bueno les explicare un poco lo hecho anteriormente.

Para que los clientes de la VPN puedan tener direcciones internas y comunicarse entre las diferentes redes deben existir reglas de enmascaramiento o traduccin de direcciones (NAT), para esto creamos la regla anterior. Sin embargo tan solo con esta regla el podr reconocer su gateway dentro de la red interna mas no podra comunicarse con otras subredes, para lograr esto deben existir reglas de nateo desde el cliente VPN hasta las subredes con las que se vaya a comunicar; es decir; que si quisiera dar un ping a la LAN deber tener creada dicha regla para que el paquete ICMP se enmascare con una IP dentro de la LAN y el ping sea exitoso. El siguiente es un ejemplo de regla de NAT para que los clientes VPN se comuniquen con la LAN y la DMZ.

Como observamos creamos otra regla.

Ahora les muestro las ip que tiene el isa server.

Nos vamos la maquina con la que queremos conectar nos metemos a panel de control y nos vamos a conexiones de Red

Colocamos en nombre a la conexion

Colocamos la ip del isa server.

configuraremos las opciones de IPSec.

Colocamos la contrasea compartida que colocamos en el servidor.

Colocamos el usuario y la contrasea.

Asi nos aparece la conexin si fue exitosamente.

Nos vamos para la consola y le damos ipconfig y nos dar una ip del pool que le otorgamos

Descripcin general de la practica se va a montar una VPN en dos sistemas operativos uno sen windows y el otro en debian basado en centos haciendo pruebas con clientes vpn en windows XP en la red wan del sena. para la implementacin de VPN en Isa Server necesitamos dos maquinas virtuales: 1 maquina Windows XP en adaptador puente con la IP 192.168.10.140 1 maquina Windows server 2003 enterprise con dos adaptadores uno en puente y el otro en interna el primero va tener la IP 192.168.10.196 y el otro 192.168.40.1 y el Isa Server 2006

Para la implementacin en Endian necesitamos tres maquinas virtuales : 1- maquina Windows XP en adaptador interna con la IP 192.168.90.0 para administrar el entorno grfico del Endian 1 maquina Windows XP con el adaptador en modo puente con el openvpn ,TheGreenBow_VPN_Client instalados maquina Endian instalada con dos adaptadores uno red interna y la otra en puente la primera con la direccin 192.168.90.2 y el otro con la IP 192.168.10.125

Seccin de Problemas. El primer problema que nos ocurri fue cunado nos conectamos por medio de la VPN era que nos daba ip pero no nos daba salida a internet.

Nos conectamos con el usuario.

Nos debe de aparecer que la conexin a sido exitosamente.

Como observamos nos conecto bien.

Nos Vamos para la consola y como podemos observar nos da una direccin IP del pool que le dimos al Servidor.

El problema se genera cuando queremos salir a internet porque no podemos navegar. La solucin es la siguiente.

Editamos la regla del HTTP y HTTPS le agregamos que el origen sea clientes VPN y listo y aplicamos los cambios.

Como vemos ya nos sale a internet la maquina virtual.

Segundo problema es que cuando nos queremos conectar por la VPN desde la XP si no colocamos bn el nombre del servidor el no nos va aceptar la conexin.

Aqui es donde se genera el problema porque si no colocamos el nombre bien del servidor no nos conectera.

Colocamos la ip de la tarjeta de red de la WAN del Isa Server.

Y despus le damos finalizar y lo hacemos asi solucionaremos el problema.

ACTIVAR ASDM EN UN CISCO ASA ASDM es un interfaz grfica de usuario que se puede habilitar en los cisco asa, esta herramienta se puede instalar tanto en el computador como utilizarla por medio de un navegador. Sencillamente el ASDM ofrece la posibilidad de realizar configuraciones al dispositivo de una manera mas rpida y sencilla. Para su activacin se debe de ingresar al router, y aadir los siguientes comandos: Se ingresa a alguna interfaz y se le agrega una ip: Router# configure terminal Router(Config)# interface ethernet1 Router(Config-if)# nameif insidie Rotuer(Config-if)# ip address 192.168.10.27 255.255.255.0 Router(Config-if)# no shutdown Se activa ASDM: Router(Config)# asdm image flash:/asdm.bin Router(Config)# http server enable Se ingresa una ip que se le va a permitir hacer conectares con el servidor: Router(Config)# http 192.168.10.5 255.255.255.255 inside Ahora desde el cliente se puede conectar en el navegar: https://192.168.10.27/

En este pantallaso nos muestra que debe de estar instalado Java, lo habilitamos dando clic derecho en la barra superior:

Se da click en Run ASDM para ver la interfaz via web:

Esta es la interfaz resultante, de esta manera ya se pueden hacer configuraciones d manera grfica.

Tunel VPN conexin virtual Ipsec. A continuacin se mostrara la configuracin de un tnel virtual para conectarse con una red LAN desde un Host en la WAN, por medio de OpenVPN y una conexin virtual con IPsec. Se utilizara para la creacin de esto endian firewall. Para el cliente se utilizara The green bow, que es un software que ofrece soluciones de seguridad, este se instalara en el cliente remoto en la WAN. openVPN es un software que permite una conectividad punto-a-punto con validacin jerrquica de usuarios y host conectados remotamente, se implementara en el servidor y el cliente para clientes fuera de la LAN. VPN. Una VPN (Virtual Private Network) conecta hosts de una red a otra red. Virtualmente se genera un tnel atravesando Internet, permitiendo la comunicacin entre ambas redes, con la misma seguridad disponible en una red privada. Cuando un tnel se genera los hosts de un extremo pueden establecer contacto directo con los hosts del otro extremo. Una vez establecido el tnel, la seguridad es similar a la encontrada en una red privada (LAN), esto se logra gracias a la encriptacin y autentificacin. Ipsec. es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec tambin incluye protocolos para el establecimiento de claves de cifrado. DIRECCIONES. LAN: 192.168.190.0/24 WAN: 192.168.10.0 /24 Rango OpenVPN: 192.168.190.20 - 192.168.190.30 Endian Firewall VPN Gateway LAN: 192.168.190.1 Endian Firewall VPN Gateway WAN: 192.168.10.1 Cliente Servidor en LAN: 192.168.190.2 Cliente remoto IP WAN: 192.168.10.125 CONFIGURACIONES. OpenVPN.

En el men de endian ingresamos a VPN.

En el servidor openVPN activaremos el servidor, y le daremos el rango de IP disponibles de la LAN para entregar al cliente VPN.

Ingresamos a cuentas, donde crearemos el usuario con el que nos conectaremos, asignndole nombre y contrasea.

Una vez creado nuestro usuario podemos observar en la cofiguracion de la cuenta, el link para descargar el certiicado CA, este lo copiamos a una maquina cliente VPN .

En la pestaa avanzado configuraremos el puertos (1194), y el protocolo (UDP), guardamos y reiniciamos.

En la configuracin de autenticacin le diremos que es tipo PSK (usuario/contrasea), guardar y reiniciar.

Ahora desde la maquina cliente descargaremos y configuraremos OpenVPN para la conexin,lo podemos descargar de: http://openvpn.net/index.php/open-

source/downloads.html

Ahora nos dirigimos a a MI PC, disco local C, archivos de programa, openVPN, simpleconfig. All buscaremos el archivo client, y lo copiamos a la carpeta config, este archivo lo editaremos con wordpad.

El archivo queda asi.

En la conexin suele surgir un problema de falla de conexin, es porque falta generar la llave, ingresaremos a Inicio, todos los programas, OpenVPN, utilities, Generate a static OpenVPN key.

Estos nos genera una llave llamada key en la carpeta config, Ahora abriremos el OpenVPN GUI y nos saldr un icono en la barra inferior del equipo le damos click derecho, Connect.

Nos logemos con el usuario y la contrasea configurados anteriormente en el endian.

Ahora tenemos la conexin mediante el servidor openVPN

Para verificarlo ingresamos a la consola de administracin y hacemos un ipconfig, veremos cmo nos asigno un nuevo adaptador de red con la ip del rango que asignamos al principio la 192.168.190.10

La conexin es exitosa.

Tunel IPSEC. Ingresamos a IPsec y activamos el servicio, le damos guardar.

En Estado y control de conexin aadiremos un nuevo tnel.

El tipo de conexin ser VPN tipo host-to-net (roadwarrior).

En la configuracin solo agregaremos el nombre y lo activaremos los dems parmetros los dejamos como estn.

En Autenticacin la haremos por palabra clave compartida, la primera opcin.

En avanzadas, podemos elegir el tipo de encriptacin, los grupos IKE entre otros parmetros de cifrado.

Estado del tnel.

Configuracin del cliente. Es en esta parte donde requerimos del software the green Bow, el vpn cliente se puede descargar de ac. http://www.thegreenbow.com/es/vpn_down.html

Esta instalacin no requiere configuracin. Despus de finalizar la instalacin nos creara el acceso directo en el escritorio, lo abrimos y vemos que nos despliega un icono en la barra inferior de nuestra maquina, le damos clic derecho e ingresamos al panel de configuracin, En este panel agregaremos las fases, que son como las reglas para el VPN y el tnel, le damos clic derecho en Configuracin de VPN, Nueva Fase1.

Esto nos creara una Fase llamada Gateway, all configuraremos en la opcin Gateway Remoto la direccin del Gateway del servidor por el que sale a la WAN la 192.168.10.125 este es el Gateway, en Autenticacin seleccionamos la opcin Llave secreta y pondremos la palabra clave que pusimos en la configuracin de la autenticacin de la conexin, nuestra palabra es 123456789, y en el IKE el tipo de criptografa que seleccionamos tambin en las opciones avanzadas de la configuracin de la conexin.

Ahora crearemos el tnel, le damos en Gateway clic derecho, Nueva Fase2.

Esto nos creara la segunda fase llamada Tnel, el tipo de Direccin le diremos Direccin IP de Red, en Direccin de LAN remota, como su nombre lo especifica pondremos el Gateway del servidor endian de la LAN la 192.168.190.1 con su respectiva mascara, y en PFS el grupo ya sea el DH2 o el DH5 (esto lo seleccionamos en la configuracin avanzada de la conexin en el servidor endian VPN).

Creadas las dos fases guardamos y aplicamos.

Vamos al icono de la barra inferior, y le damos Abrir tnel 'Gateway-Tnel'. Si nuestras configuraciones estn bien, y no tenemos problemas de conectividad entre maquinas, tendremos xito en la conexin por IPsec, y nos saldr Tnel abierto.

En endian verificamos que la conexin este abierta.

Si queremos ver los registros, los joggings, etc., ingresamos a Registros en la barra de men, Una vez all, vemos una tabla con todos los registros que podemos ver, buscaremos el de OpenVPN.

Hacemos clic en Muestra este registro nicamente, y vemos el registro.

Dificultades. 1. Muchas veces en el OpenVPN no agregamos el KEY el cual es necesario para la autenticacin. 2. Verificar que la contrasea y los usuarios sean la correcta ya que la conexin puede fallar por esto. 3. Verificar el nombre del certificado CA sea el correcto en la configuracin del archivo cliente.