2010

CONFIGURACION DE UNA RED VPN

OPENVPN+CA

Sergio Andrs Quintero SENA 20/11/2010

CONTENIDO

Introduccin.. 3 Marco Terico.. Desarrollo. Configuracin de VPN con OpenVpn... 6 Instalacin y Configuracin del cliente VPN en Windows 14 4 6

Configuracin del Cliente... 16 Instalacin y configuracin Webmin. Instalacin y configuracin de firewall shorewall Instalacin y configuracin de openvpn+CA en Webmin...... Instalacin y configuracin de cliente openvpn.. 22 22 26 36

Conclusiones 43

INTRODUCCION

En la extendida red del rea geogrfica del internet a miles de computadores interconectados permitiendo a miles de usuarios hacer utilidad de cada uno de los servicios que ofrecen, pero como se conectan las empresas que son de una misma organizacin, que estn a diferentes distancias y se quien comunicar de una forma segura sin que nadie tenga acceso a su informacin. ? Para este tipo de conexiones existe una solucin las redes virtuales que son las que hoy en da nos garantiza mayor seguridad de las comunicaciones entre organizaciones o usuarios. En este pequeo documento vamos a ver como se configuran este tipo de redes.

MARCO TEORICO

VPN: Es la red que permite la conexin de redes locales utilizando una redes publica como lo es internet, haciendo utilidad de tneles garantizando mayor seguridad de transferencias de datos. COEXION REMOTA: Es una tecnologa que nos permite acceder a mi ordenador as este fuera de nuestro alcance. SEGURIDAD PERIMETRAL: Se encarga de controlar y proteger todo el trfico o contenido de los puntos de entrada y salida de una conexin. ROAD WARRIOR: Acceso remoto, conexin de usuarios o proveedores con la empresa remotamente desde cualquier lugar. TUNNELING: Consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un tnel dentro de una red de computadoras. Haciendo que el contenido de los paquetes no se pueda ver. SSL VPN: Permite que las conexiones por internet sean seguras, este acta sobre la capa de transporte. VPN appliance: es un equipo de seguridad con caractersticas de seguridad mejoradas que es mas cono sida como SSL. VYATTA: Vyatta esta bajo Linux, preparado especialmente para realizar funciones de routeo, vpn, firewall e incluso para trabajar como maquina virtual. PFSENSE: Firewall, router, punto de acceso inalmbrico, DHCP servidor, DNS del servidor, VPN. IPCOP: Es un firewall de una distribucin de Linux. SMOOTHWALL: Es una distribucin de Linux que nos permite proporcionar un firewall. ISA SERVER: Permite proteger su las redes de las amenazas de Internet, adems de proporcionar a los usuarios un acceso remoto seguro a las aplicaciones y datos corporativos. CERTIFICADOS DIGITALES: Es un documento que esta registrado ante un tercero que autoriza la vinculacin entre una entidad de un sujeto, una entidad y su calve publica. PKI: Es una combinacin de hardware y software, polticas y procedimientos de seguridad que permiten la ejecucin con garantas de operaciones criptogrficas como el cifrado, la firma digital o el no repudio de transacciones electrnicas, permite a los usuarios autenticarse frente a otros usuarios y usar la informacin de los certificados de identidad, para cifrar y descifrar mensajes, firmar digitalmente informacin, garantizar el no repudio de un envo, y otros usos. 4

L2TP: Crea un tnel utilizando PPP para enlaces telefnicos, este asegura nada mas los puntos de finales del tnel, sin asegurar los datos del paquete. IPSEC: Asegurar las comunicaciones sobre el Protocolo de Internet cifrando cada paquete IP en un flujo de datos. (IP) autenticando o

INTRUSO INFORMATICO: Son aquellos que pretenden invadir la privacidad de nuestro datos de la red o de mi ordenador. MODELOS OSI: Es un marco de referencia para la definicin de arquitecturas de interconexin de sistemas de comunicaciones. NMAP: Es una herramienta open source, diseada para explorar y para realizar auditorias de seguridad en una red de computadoras. ACL: Se trata de los permisos de acceso a determinados objetos o aplicaciones, este controla el trfico de las redes informticas. PAT: Es una caracterstica de una red de dispositivo que traduce TCP o UDP comunicaciones entre los hosts de una red privada y los hosts en una red pblica. NAT: Traducciones de direcciones IP que permite la transicin de datos entre redes diferentes. FORWARDING: Permite el reenvi de correo de una direccin a otra. PPTP: Es un protocolo que fue diseado para la implementacin de un red privada asegurando la conexin punto a punto. SSH: protocolo que permite acceder a una maquina remota de una red. WIRESHARK: Es un analizador de protocolos permite analizar el trfico de una red y solucionar problemas. Webmin: Es una herramienta administrativa va que nos permite la configuracin de varios servicios de red tales como firewall, servidor de correo, base de datos MYSQL, DHCP, DNS entre otros y muchos que puede soportar Webmin. Enmascaramiento: Es una serie de normas que permite el envi y filtrado de datos entre dos redes. Shorewall: Es una herramienta de cdigo abierto cortafuegos para Linux que se basa en el Netfilter (iptables / ipchains) sistema integrado en el kernel de Linux, por lo que es ms fcil de manejar esquemas de configuracin ms compleja.

Netfilter/iptables: Herramienta libre que crear cortafuegos para Linux El componente ms popular construido sobre Netfilter es iptables, una herramientas de cortafuegos que permite no solamente filtrar paquetes, sino tambin realizar traduccin de direcciones de red (NAT).

DESARROLLO CONFIGURACION DE VPN CON OPENVPN

Primero descargamos el paquete con el siguiente comando como lo muestra la imagen. > Apt-get install openvpn

El directorio de vpn que da en la siguiente ruta >cd /etc/openvpn/ Cuando damos ls vemos que no hay ningn archivo de configuracin

Entonces vamos a una un directorio de ejemplos de pvn y copiemos los las siguientes carpetas. > cd /user/share/doc/openvpn/examples/

Luego vamos a copiar los archivos de configuracin del nuestra vpn. > cp -r easy-rsa /etc/openvpn/ >cp -r server.conf.gz /etc/openvpn/

Vamos al directorio de openvpn y descomprimimos el archivo server.conf.gz >gunzip server.conf.gz

Vemos que ya tenemos el archivo de configuracin de nuestro servidor

Vamos a al directorio > cd easy-rsa/2.0 Para generar las variables que nos permiten crear nuestra entidad certificadora y los certificados para el servidor y el cliente

a continuacin vamos a ejecutar las siguientes variables para borrar otros registros y comenzar uno nuevo. > ./clean-all >. ./vars

Ahora vamos a ejecutar la variable que nos permite crear nuestra entidad certificadora >./build.ca

Ahora vamos a llenar los datos que nos piden, como lo muestra la siguiente imagen.

Vamos a crear los certificados, a continuacin creamos el cerficado del servidor con >./build-key-server nom_server Como lo muestra la imagen

Aqu nos muestra un resumen del certificado y nos va a preguntar que si estamos seguros de la configuracin y que si esta creado correctamente aceptamos con una y.

Luego creamos el certificado del cliente Ejecutamos la variable >./build-key nom_client Llenamos los datos que nos piden como lo muestra la siguiente imagen

10

Aqu nos muestra el resumen de el certificado y aceptamos las preguntas que nos aparece.

Tambin vamos a generar el siguiente archivo que es el que nos permite generar cada uno de los certificados creados. >./build-dh

Vamos al directorio >/etc/openvpn/easy-rsa/2.0/keys/ y damos >ls para ver los certificados como lo muestro en la imagen.

11

Vamos a copiar los certificados del servidor en el directorio de openvpn y los certificados del cliente los pasamos al cliente marce.crt, marce.key y ca.crt >cp -r diana.crt diana.key ca.crt /etc/openvpn/

Tambin copiamos el siguiente archivo >cp dh1024.pem /etc/openvpn/

Vamos al directorio del openvpn y damos >ls para ver los archivos que copiamos

Ahora vamos a modificar el archivo de configuracin del openvpn.

Ejecutamos el comando >nano server.conf

El archivo de configuracin tiene ms lneas pero en este caso solo deje las lneas que necesitamos para la configuracin, entonces solo modificamos las lneas que nuestros en la imagen

12

y ahora vamos a comprobar que nos quedo correctamente con el siguiente comando. El cual nos permite ver cada una de las lneas que hemos configurado. >openvpn - -config server.conf

No nos sali ningn error. Reiniciamos el servicio de openvpn con: >servicie openvpn restart

Al dar >ifconfig vemos que nos aparece una nueva interfaz llama tun esa es la interfaz de 13

tnel de nuestra VPN.

INSTALACION Y CONFEGURACION DEL CLIENTE VPN EN WINDOWS Vamos a descargar el cliente vpn para nuestro Windows http://sourceforge.net/projects/securepoint/ Despus de la descarga procedemos a la instalacin

14

Damos siguiente y captamos la licencias y siguiente.

Seleccionamos el all user y damos siguiente

15

De aqu en adelante damos siguiente por que cada una de las configuraciones viene por

defecto. Esperamos que instale

16

Y vamos al final nos aparcera una ventana que nos dice que si queremos crear un nuevo cliente y damos que si y ya hemos terminado con nuestra instalacin.

CONFIGURACION DEL CLIENTE

Ya despus de la instalacin nos a perece una ventana para crear en nuevo cliente vpn

17

En esta ventana damos en New para configurar la conexin con el servidor. Vamos a poner la direccin del servidor vpn el puerto y el protocolo

Vamos a exportar los certificados. Nota: este cliente reconoce solo los archivos en formato .cert .pem entonces debemos cambiarle la extensin a nuestros certificados. 18

Entonces damos en examinar y buscamos los certificados con la extensin que le dimos.

Quitamos la seleccin de ingreso con autenticacin y damos siguiente.

En la siguiente imagen siguiente nos muestra el resumen de la configuracin que le hicimos a nuestro cliente luego de esto damos en finalizar y que da la configuracin de nuestros cliente.

19

Luego damos en conectar y cuando nos conecte nos muestra la direccin ip que le asignamos a nuestro tnel vpn.

20

Para terminar de establecer nuestra conexin vpn vamos a comprobar que nuestro cliente vea el servidor vpn dndole un ping a la direccin del servidor >ping 10.11.0.1

Como podemos ver ya tenemos una conexin por VPN.

21

INSTALACIN Y CONFIGURACIN WEBMIN

DIAGRAMA SIMPLE DE LA RED
DIRECTORIO ACTIVO DNS DHCP IP: 172.16.10.1

CENTOS + WEBMIN FIREWALL VPN Cliente VPN IP:192.168.1.54 IP WAN 192.168.1.50 IP LAN 172.16.10.99

WAN

LAN
PC LAN IP: 172.16.10.20

IP TUNEL VPN 10.0.8.11

CONEXIN VPN

La instalacin de webmin podemos descargan el paquete de la pagina oficial http://www.webmin.com/download.html que necesitemos segn la distribucin que estemos utilizando en nuestro caso centos el paquete correspondiente es .rpm cuando haya acabado la instalacin podemos ingresar a webmin va web con la direccin del servidor o un localhost por el puerto 10000 por donde escucha por defecto. Para ingresar entramos con el usuario de sistema y su respetiva contrasea.

INSTALACION Y CONFIGURACION DE FIREWALL SHOREWALL Para la descargar de firewall shorewall desde la terminal ejecutamos los siguientes comandos. wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-4.0.112.noarch.rpm wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-perl-4.0.112.noarch.rpm wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-shell-4.0.112.noarch.rpm luego este comando para la instalacin de de los paquetes descargados . 22

rpm -ivh shorewall-perl-4.0.11-2.noarch.rpm shorewall-shell-4.0.11-2.noarch.rpm shorewall-4.0.112.noarch.rpm Luego de haber instalado los paquetes de firewall shorewall ingresamos a webmin para su configuracin. Cuando ingresamos en red cortafuego shorewall podemos ver las opciones que podemos modificar.

Ingresamos a zona de red le damos en editar manualmente nombramos las zonas de nuestro firewall salvamos y regresamos al men principal del shorewall.

Ahora en interfaces de red a las zonas creadas anteriormente le asignaremos una interfaz de red disponible en nuestro equipo salvar y regresar al men de shorewall.

23

Ahora en polticas por defecto aremos una cuantas como lo muestra la siguiente imagen.

Por el momento en reglar de cortafuego agregaremos una sola regla de acceso para permitir las conexiones de los clientes vpn que se aran por el protocolo UDP y por el puerto 1194 otras peticiones que se hagan al firewall por cualquier puerto y protocolo sern denegadas las peticiones por las polticas por defecto.

24

Enmascaramientos de las interfaces red.

25

INSTALACION Y CONFIGURACION DE OPENVPN+CA Lo primero que debemos hacer es descargar los paquetes necesarios para la instalacin y configuracin de este. Las libreras de openvpn el instalador .rpm y el modulo de webmin para openvpn.gz. Luego de la instalacin del paquete rpm de openvpn ingresamos va web a webmin los la direccin del o con un localhost:10000 puerto por donde escucha. Podes encontrar lo archivos necesarios en esta url http://cid32f370d43eacab36.office.live.com/self.aspx/Webmin-.Openvpn/webmin%20openvpn.tar

Cargaremos el modulo de la siguiente forma en webmin/configuracin de webmin mdulos de webmin.

26

Buscamos el modulo de openvpn para webmin que anteriormente hemos descargado y clic en instalar

Instalacin correcta, salimos de webmin dndole en view modules logs o reiniciar webmin.

Ingresar a webmin en servidores/openvpn+CA primero crearemos Certificacin Authority List .

27

Llenamos los campos con las debas parmetros se pueden hacer keys zize (bits) de 1024,2048 y 4096 clic en salvar

28

Luego de esperar un buen rato por fin Certification Authority list damos en keys list.

Creamos la Key del servidor seleccionamos key Server server podemos por un tiempo adecuado de expiracin de la key en das y le damos salvar.

29

Creamos la key del cliente adicionalmente podemos poner una password a esta key server seleccionamos client.

30

Lista de llaves de entidad certificadora.

31

Clic en regresar a openvpn administration y ingresamos a VPN List clic en New VPN Server.

Aqu se define servidor de vpn colocndole en el nombre y el puerto por donde va escuchar las peticiones el modo si va hacer tnel o modo puente, asignarle el rango de direccin ip que le va dar a nuestros clientes VPN y las de mas configuraciones las podemos hacer a nuestro gusto segn lo que necesitemos le puede otorgar mas seguridad a nuestra conexin VPN. Dndole yes o no las opciones que nos ofrece de configuracin con estas se

32

33

Salvar y se creara nuestra VPN Server List clic en client List para crear nuestros usuarios VPN.

New client podemos la direccin externa de nuestro servidor y salvar

34

Lista de clientes vpn dndole exportar nos dar un archivo .ZIP de todo lo necesario que necesita el usuario para conectarse desde la extranet a la LAN de nuestra empresa.

Ahora para la entrega de este archivo hay varias formar una de ellas es entregarla personalmente a cada unos de los usuarios y hacer varias talleres de cmo se debe instalar y configurar el cliente VPN en la maquina que lo utilizaran o en cualquier otra, Enviarlo por correo a los usuarios y anterior mente a verles explicado su uso adicional mandarles adjunto un manual paso a paso de lo que deben hacer para conectarse exitosamente a el PC de la empresa, uno de los mtodos que se nos ocurri era montar un ftp y hay montar los archivos de cada cliente aunque es un poco inseguro por un ataque as el y robarse estos archivos una de las opciones menos seguras es permitir desde la extranet que puedan ingresar va web a webmin y que cada usuario entre y baje su certificado pero en caso de ataque a esta 35

podran tomar control de varios de nuestros servicios claro esta si los tenemos configurado en el webmin en si son muchas posibilidades de entregar a cada usuario este .zip pero todos abra un gran o pequeo riesgo nosotros optamos por enviarlo por correo claro ya que esto lo hacemos en modo de prueba no creo que pase algo raro. Bueno luego de a ver enviado los certificados a los cliente no se nos puede olvidar iniciar nuestro servicio de openvpn+CA dando start OpenVPN.

Emplo de envio certificado al cliente.

Configuracin del cliente VPN Al recibir el correo junto a las indicaciones que hay que seguir procedemos a la ejecucin de estas.

36

Primero descargar openvpn de la url que nos enviaron descargamos en install.exe

Al descargar lo ejecutamos y procedemos a la instalacin en en mensaje de bienvenidad clic en next.

Aceptamos los trminos de la licencia clic en I Agree.

37

Los componentes que deseamos instalar en nuestro caso los que aparecen por defecto todo .

38

Segundo paso descargar el archivo comprimido con nuestro nombre y le damos extraer

Lo podemos extraer directamente a la siguiente ruta Mipc/archivos de programas/openvpn/config o tambin copiando la carpeta que sale del .Zip en inicio/todosprogramas/openvpn/shortcuts/openvpn configuration file directory
S ho r t cuts

39

Ya como tenemos instalado el openvpn en el icono del escritorio le damos doble clic para iniciar el servicio.

Al iniciar el servicio aparece un nuevo icono en la barra de herramientas damos clic derecho conectar.

40

Ahora nos pide la contrasea que le pusimos a la key de dicho usuario.

Sper segura Y conectado exitosamente

Una prueba de fuego a ver si nuestra configuracin esta correcta intentar conectarnos remotamente a un equipo que se encuentra al otro lado de firewall

Y afortunadamente se conecto a nuestro equipo en la LAN iniciamos sesin 41

Y podemos trabajar tranquilamente desde la casa o desde cualquier parte del mundo.

42

CONCLUSIONES

Las conexiones vpn es una forma de permitir a usuarios de nuestra red que no estn constantemente en las oficinas de trabajo, y necesitan acceder a su informacin desde cualquier parte de una forma segura y confiable en la que no expongan sus datos a terceros. Tambin las VPN nos ayudan con la seguridad de nuestros datos de la empresa ya que podemos hacer que solo se permitan conexiones remotas (VPN) y no exponer nuestros servidores a internet. Es ms fcil y prctico hacer la instalacin de openvpn con webmin ya que tiene una interfaz grafica ms amigable para administracin y gestin de los usuarios VPN. Se recomienda entrar de una forma segura los certificados de los usuarios.

43