CursoZeroShell Pgina1

CURSOZEROSHELL

CursoZeroShell Pgina2

QUEESZEROSHELL
ZeroshellesunadistribucinLinuxparaservidoresydispositivosembebidos,queproveedeservicios
de red. Es un Firewall gratuito que tiene las caractersticas de los de los equipos complejos de
seguridad.
Susprincipalescaractersticasson:
Balanceodelneasytoleranciaafallosconconexionesmultiplesdeinternet
ConexionesUMTSyHSDPAutilizandomdems3G
Servidordeautentificacinradius
Captative Portal. Portal de validacin web para redes. El usuario debe validarse antes de
podernavegar.
QoS(Calidaddeservicio).Permiteconfigurareltrficodelaredparagarantizarunanchode
bandamnimo
HTTPProxytransparente.
Puntodeaccesowireless
HosttoLanVPN.VPNcliente
LantoLanVPN.VPNentreservidores
Routerconrutasdinmicasyestticas
SoportedelanVirtual
Filtrodepaquetes,incluidoentrficoP2P
Traduccindedirecciones(NAT)
TCP/UPDPortForwardingparalapublicacindeservidoresinternos
ServidorDNSmultizona
ClientePPPoEparalaconexinxDSL
ClienteDNSdinmico
AutenticacinKerberos5
AutenticacinLDAP,NISyRADIUS
SincronizacinconActiveDirectory
EntidadcertificadoraX509

ZeroshellesunadistribucinLiveCD.Estosignificaquenoesnecesarioinstalarloeneldiscoduro
paraquefuncione,yaqueescapazdefuncionardesdeelCDROM.Logicamentelabasededatosde
configuracin, que contiene los datos de la red, puede ser almacenada en discos ATA, SATA, SCSI y
USB.
Disponedeunsistemadeactualizacionesonline
Se puede descargar para formatos en tarjetas Compact Flash para instalarla en dispositivos
embebidos.

CursoZeroShell Pgina3

Zeroshell dispone de un interfaz web para su configuracin, pero tambin puede ser administrado
desdeunterminalremoto(ssh)
ZeroshellnoestbasadoenningunadistribucindeLinux,comoporejemploUbuntuestbasadoen
Debian.
Sepuedendescargarlosdiferentespaquetesqueloforman,paraadaptarloanuestrohardware
QueesZeroshell.Caractersticas

INSTALACINDEZEROSHELL
DebemosintroducirelCDdeinstalacindescargado.EstemanualrecogeladistribucinZeroShell-
1.0.beta12.iso,peroinstaladaenunamaquinavirtual.
UnaveziniciadoelsistemaconelCDdentro,accedemosalapantalladeiniciodesesin.Pordefecto
Zeroshellseinstalaconladireccinip192.168.0.75.
Lapantallainicialdeconfiguracinqueveremosdespusdelainstalacines:

Loprimeroquedebemoshacerescambiarlacontraseadeacceso.ELnombredeusuarioesadmin
ypordefectonotieneclave.
PulsamossobrelaletraPparaintroducirlacontrasea.
Una vez cambiada la contrasea accedemos a la pantalla de configuracin via web, ya que es ms
amigablequelaadministracinporlneadecomandos.

CursoZeroShell Pgina4

DebemosdetenerencuentaqueparaadministrarZeroshellviaweb,debemosdetenerennuestro
equipounadireccinIPdelmismorango.

Enlaprimerapantalla de administracin,introducimoselusuario ylaclave (usuarioadmin, clavela

quehemosintroducido)

CursoZeroShell Pgina5

GUARDARCONFIGURACION
Zeroshellpermitesuinstalacineneldiscoduro,peroenestemanualvamosatratarladistribucin
Live con la configuracin guardada en el disco duro. Si no hicisemos esto, cada vez que
arrancsemoselsistema,iniciaraunanuevainstalacindeZeroshell.
Estesistematienegrandesventajas,yaquepodemosguardardistintasconfiguracionespararealizar
pruebas.
Dadoquenuestrosistemaesunamaquinavirtual, yeldiscoduroestacreadoperonoconfigurado,
debemos crear una particin en nuestro disco duro virtual. Esta operacin no es necesaria en
aquellosequiposenlosqueveamosunaparticinenelmenPROFILE

Paracrearaparticin,realizaremoslassiguientesacciones
Marcamos la particin con la etiqueta Model: VMware, VMware virtual S (SDA) para que nos
aparezcaelmendeaccionesquepodemosrealizar.

CursoZeroShell Pgina6

A continuacin hacemos clic en el botn New Partition para acceder a la ventana de creacin de
particineneldiscodurovirtual

Enestapantallavamosacrearunaparticinparaalmacenarnuestraconfiguracin.ELformatodela
particin,serExtended3yeltamaoelMximodisponible.(Opcionespordefecto).Unavezcreada
laparticin,nosaparecerlapginadePROFILESconlanuevaparticincreada.

CursoZeroShell Pgina7

Paracrearunperfil,debemosdeseleccionarlaparticinquehemoscreado(sda1)ynosaparecerel
menparacrearnuestroperfil

PulsamossobreelbotndeCreateProfileparaquenosaparezcalaventanadecreacindeperfil,
dondenossolicitarlosdatosnecesarios.

Los datos que introduciremos en esta pantalla sern los datos que se guardarn en el perfil, y
nuestrosistemaseiniciarconesaconfiguracin.
Description: La descripcin del perfil, por si tenemos varios perfiles, poder identificarlos
correctamente
Hostname: El nombre DNS que tendr nuestra mquina. Introduciremos zX.demoX.es.
LasXhayquesustituirlaporelnmerodeequipodelaula

CursoZeroShell Pgina8

Kerberos5: demoX.es
LDAPBase: dc=demoX,dc=es
Adminpassword: Laclavedeadministradorquequeramos
Confirmpassword: Laconfirmacindelaclaveintroducida
Ethernetinterface: Seleccionaremoselinterfaceautilizarenlaredinterna
IPAdress/Netmask LaconfiguracinIPdenuestratarjetadered
DefaultGateway: Puertadeenlacedenuestraconexin.
Una vez introducidos estos datos, pulsamos sobre el botn CREATE situado en la parte superior
derecha,ynosaparecerlapantalladePROFILES,conlainformacindelperfilcreado

Paraactivaresteperfildebemosseleccionar_DB.001

Ynosaparecerelmendeactivacindeperfil.

CursoZeroShell Pgina9

PulsaremossobreelbotndeACTIVATEparaactivarelperfilquecreamos.
Nosaparecerlapantalladeactivacindeperfil,indicndonosquenoestactivo.

PulsaremossobreelbotnACTIVATE.
Elsistemasereiniciarconlaconfiguracinquehemoscreado.

INSTALACINDEZEROSHELLENELDISCODURO
Paralainstalacineneldiscoduro,debemosbajarelficheroparatarjetaIDE,SATAydiscosUSBde
lapginawebhttp://www.zeroshell.org.Esteficheroseencuentraenlaseccindedownloads.

Necesitamos tener instalado un cliente ssh para acceder al sistema y poder copiar la imagen en
nuestrodiscoduro.

CursoZeroShell Pgina10

Para acceder remotamente a nuestro Zeroshell, debemos habilitar la opcin que nos permitir
administrarloremotamente.AccedemosalaopcinSSHdelmenprincipal

Ynosaparecerlapantalladeactivacindelaccesoremoto

Por defecto nos muestra que el acceso est concedido para la red en la cual tenemos instalado
nuestro Zeroshell. Podemos configurar otras redes para que puedan administrar remotamente el
sistema.
Enesta pantalladebemosmarcarlaopcinEnabledydespuspulsarsobreelbotnSAVEpara
guardarlaconfiguracin.
Acontinuacinpodemosaccederconunclientessh(putty)anuestrosistema.Debemosintroducirel
usuarioyclavedelsistema(usuarioadmin,ylaclaveintroducidaalcrearelperfil).
Al no tratarse de un sistema Linux convencional, una vez introduzcamos el usuario y la contrasea
accederemosalmendeconfiguracinbasadoentexto.

CursoZeroShell Pgina11

Unavezquenosapareceelmen,tecleamoslaletraSparaaccederalaShell.AunqueZeroshellno
estbasadoenningunadistribucinLinuxenconcreto,soportacasitodosloscomandosdecualquier
sistemaLinux.

Introduciremoslallaveusbconelficherodescargadoenelsistema,yejecutamoselcomandofdiskl
paraquenosmuestrelasparticiones.

Enesteejemplo,Zeroshellestinstaladoen/dev/hda1ylallaveusbesten/dev/sda1
A continuacin debemos montar la llave USB en un directorio, para poder proceder a la copia del
archivodeimagen.Paraelloejecutaremoslossiguientescomandosenlaconsola:

CursoZeroShell Pgina12

UnavezmontadalallaveUSB,procederemosalacopiadelaimagen

DebemosextraerelCDdelsistema,paraquealarrancarutilicelaimagenque hemoscargadoenel
disco duro del ordenador. AL realizar esta accin, si habamos configurado un perfil, este se
eliminar,yaquelaimagensobrescribirtodalainformacindelsistema.

CONFIGURACINDELARED
En el siguiente esquema, mostramos una configuracin de red tpica, que vamos a realizar a travs
deunsistemaconZeroshell

CursoZeroShell Pgina13

Enunaredtpica,tenemosunasalidaainternet,probablementeunidaaunrouterxDSLodeCable,
por lo que tendremos que configurar la correspondiente tarjeta de red del equipo que tiene
instaladoZeroshellparaqueseconectealrouterdesalida.
ParaelloaccedemosalmenNETWORKyseleccionamoselinterfaceETH1

Unavezseleccionadoelinterface,pulsamossobreelbotnADDIPparaaadirleunadireccin IP
queestdentrodelareddelrouterdesalida.

SedebeconsultarladocumentacinadjuntaparaverquedireccionesIPtenemosqueintroducir
Unavezguardadosloscampos,volvemosalapantalladeNETWORKdondeveremosnuestrosdos
interfacesderedconsucorrespondientedireccinIP.

CursoZeroShell Pgina14

A continuacin, configuraremos nuestro router para que nos permita la salida a internet realizando
NAT(Traduccindedirecciones)entrelaredinternaylaexterna.Paraellodebemoscomprobarque
elGatewayeselcorrecto.
Accedemos al men del Gateway pulsando sobre el botn GATEWAY, y configuraremos la
direccinIPdenuestrasalidaainternet.Generalmenteestadireccinsueleserladenuestrorouter
xDSLodecable.

Acontinuacinconfiguraremoslatraduccindedireccionesdelosinterfacesdered.Comonuestra
redinternaestconectadaalinterfazETH00,debemosconfigurarnuestrared,paraquehagaNAT
sobreelinterfaceETH01
AccedemosalmendelaizquierdaROUTERynosaparecelasiguientepantalla

CursoZeroShell Pgina15

AccediendoalmenNATveremosunapantalladondenosindicalosinterfacesdereddenuestro
equipo,debiendoseleccionarelinterfaceETH01

Guardamos los cambios y a continuacin comprobamos que desde nuestra red podemos acceder a
algunadireccindeinternet.
CONFIGURACINDELSERVIDORDHCP
EL servidor DHCP es un servidor que asigna dinmicamente direcciones IP a los equipos de nuestra
red, con todos los datos necesarios para que no tengamos que configurar nada. Es muy til ya que
nos olvidamos de que cada vez que unamos un equipo a la red, tengamos que configurarlo con su
direccinIP,supuertadeenlaceylosservidoresDNS.
TambinpodemosasignaralosequipossiemprelamismadireccinIP,yaqueelservidorDHCPnos
permitirasignarlasenfuncindelasdireccionesMACdelastarjetasdered.
Para configurar el servicio DHCP, accedemos al men DHCP situado a la izquierda y veremos la
siguientepantalla

CursoZeroShell Pgina16

Enestemomentonotenemosningnrangodedireccionesconfiguradoparaqueelservidorlas
asignealosequipos.
VamosaasignarlasdireccionesIPdela50ala99,siguiendolasinstruccionesderedquefiguranen
elmanual,indicandotambincualeslapuertadeenlace(direccinIPinternadeZeroshell)yel
servidorDNS(direccinIPinternadeZeroshell)

DebemoscrearunasubredparapoderasignardireccionesIPanuestrared.Pulsamossobreelbotn
NEWenlaesquinasuperiorderechayseleccionamoselinterfaceETH00,queeseldenuestrared
interna.

CursoZeroShell Pgina17

Pulsamos sobre el botn OK para configurar los rangos de direcciones que se asignarn a los
clientes

DebemosmarcarEnabledypulsarsobreelbotnSAVE
Apartirdeestemomento,cuandoencendamosunequipo,nuestrorouterZeroshellleasignaruna
direccinIPconlosdatosquehemosconfiguradoennuestroservidor.

CursoZeroShell Pgina18

SERVIDORDNS
NoesnecesarioconfigurarelservidorDNSdeZeroshell,perosiactivarlo,salvoquequeramostener
unDNSpropioennuestraredynoutilizarelquenosfacilitanuestroproveedordeinternet.
LacreacindeunservidorDNSnoesunatareasencilla,porloquenoestalalcancedeestemanual.
De todas formas, cualquier usuario que est familiarizado con los servidores DNS podr crear
fcilmentelaszonasnecesariasydardealtalosnombresatravsdelinterfazwebdeZeroshell.

CONFIGURACINDERUTASESTTICAS
Supongamos que tenemos que en nuestra ubicacin hay dos redes diferentes. Lo que debemos
configurar es que cualquier peticin que no vaya a nuestra red, adonde debe de ir. Por defecto,
cualquierconexinquehagamosaunadireccinIPajenaanuestraredinterna,Zeroshelltratarde
enviarlaporelGateway(puertadesalida)quelehemosindicadoenlaconfiguracin.
Si debemos acceder a otro departamento, cuyas direcciones IP son del tipo 172.0.0.1, debemos
decirleanuestrorouterquesialguienaccedeaalgunadeestasdireccionesIP,envezdeenviarlapor
elGateway,laenvealareddedestino.
Lgicamente,paraestesupuesto,debemosdetenertresinterfacesderedennuestrosistema.Noes
necesarioqueseantresinterfacesderedfsicos,sinoquepuedenserdosinterfacesderedfsicosy
unaVPNentreservidores.
AbordaremoslacreacinderutasestticasenelcaptulodecreacindeVPNentreservidores,aque
haremosunejemploprctico.

CONFIGURACINDELPROXYTRANSPARENTE
Enesteapartado,configuraremosunproxytransparenteconantivirusparafiltrarloscontenidosque
nuestrosusuariosdescargandeinternet.
LaspginasWebsoncadavezmslosmediosmsfrecuentesporlosquelosgusanosylosvirusse
propagan en la Internet. Ya sea intencionalmente o porque son vulnerables y por lo tanto
modificables sin el conocimiento de sus autores, las pginas Web a veces tienen referencias de
cdigo ejecutable que puede infectar a los usuarios.Adems, la situacin ha empeorado desde que
unaseriedevulnerabilidadesenelsistemadevisualizacindelasimgeneshapermitidoalosvirus
portarsedentrodearchivosJPEG.
Lamejorsolucinparaestetipodeproblemaesproporcionaratodoslosdispositivosclientequese
conectan a Internet con un buen programa antivirus con proteccin en tiempo real, comprobando
todoslosarchivosdeentrada.Sinembargo,estopuedenosersuficientepordosrazones:
ningn programa antivirus, incluso los que s tienen firma de mecanismos de actualizacin,
puedeproporcionarunagarantadel100%contratodoslosvirus

CursoZeroShell Pgina19

la verificacin en tiempo real del contenido entrante es bastante pesada en trminos de

clculo y en particular en los dispositivos cuyo funcionamiento no es demasiado bueno,
puede ralentizar el sistema hasta el punto de hacer que los usuarios deshabiliten la
proteccinentiemporealdelantivirus.
Por estas razones, el chequeo de virus se realiza cada vez ms en capas superiores, antes que virus
potenciales puedan llegar los usuarios. En otras palabras, los sistemas centralizados de antivirus se
utilizanenlosservidoresqueofrecenunservicioenparticular.Elejemplomsextendidoeseldelos
servidores de correo electrnico, que tienen un sistema que analiza los mensajes entrantes y
salientes a travs de SMTP y analizan los archivos adjuntos en busca de virus. En este caso, la
aplicacin de verificacin de antivirus en una puerta de enlace SMTP es muy natural, ya que los
correoselectrnicosestnobligadosapasarporella,antesdellegaralbuzndelusuario.
ParaelservicioHTTP,estonoestaninsignificante,yaqueunclientepotencialdeInternetsepuede
conectardirectamenteacualquieradelosservidoresWebdisponiblesenInternet.Lasolucinaeste
problemaconsisteenlaintroduccindeunniveldeaplicacindepuertadeenlacealaredlocalpara
recoger las peticiones HTTP de clientes y los remitir a los servidores Web pertinentes. Este
aplicacindepuertadeenlacesedenominaProxyWebyyaqueescapazdeinterpretarelprotocolo
HTTP, no slo filtra sobre la base de las URL sino que tambin puede controlar el contenido
transportado(HTML,JavaScript,JavaApplet,imgenes,...)ylosexploraenbuscadevirus.
UnadelasfuncionesmscomunesdelosProxyhastaelmomentohansidolascachsWeb,esdecir,
archivos almacenados de las pginas Web que ya han sido visitadas, con el fin de acelerar la
visualizacin de las mismas URL para las solicitudes posteriores. El objetivo de esto es tambin
reducir el consumo de ancho de banda en Internet y uno de los ms conocidos Proxy, capaz de
realizarfuncionesdeWebCacheesSquid,distribuidoconlicenciaOpenSource.
Zeroshell no se integra con Squid, ya que no recoge las pginas Web. La tarea de un programa de
antivirus centrada en la red y el filtrado de contenidos, utilizando las listas negras de URL, es
manejado por HAVP como sistema de representacin y ClamAV como antivirus. Ambos se
distribuyenbajolicenciaGPL.
UnodelosmayoresproblemascuandoseutilizaunservidorProxyesladelaconfiguracindetodos
los navegadores Web para usarlo. Por tanto, es necesario especificar su direccin IP o nombre de
HostyelpuertoTCPenelqueresponde(porlogeneralelpuerto8080).Estopodraserunacargaen
el caso de redes de rea local con numerosos usuarios, pero peor an, no se podra garantizar que
los usuarios no eliminen esta configuracin para obtener acceso directo a la Web, evitando as la
verificacindeantivirus,elregistrodeaccesoylistasnegras.
Para resolver este problema, Zeroshell utiliza el modo de Proxy transparente que implica
automticamentelacapturadelassolicitudesdeclienteenelpuertoTCP80.
Obviamente, para Zeroshell poder captar estas peticiones Web, debe ser configurado como un
Gatewaydelared,demodoqueeltrficodeInternetdelosclientepaseatravsdeella.Zeroshell
automticamente captura las peticiones HTTP si se trata de un nivel 2 de puerta de enlace (puente
entreEthernet,WiFiolainterfazVPN)odelacapa3depuertadeenlace(enrutador).Sinembargo,
esimportanteespecificarlasinterfacesderedIPosubredesalasquelassolicitudesdebenser

CursoZeroShell Pgina20

redirigidas. Esto se hace mediante la adicin de las llamadas HTTP Capturing Rules (Reglas de
CapturasdeHTTP).
AccedemosalmenHTTPProxyqueestsituadoalaizquierda.

Vamos a configurar nuestro sistema para que intercepte las peticiones que pasan por la interfaz de
redETH00,queesnuestraredinterna.
Paraellopulsamossobreelbotn+

CursoZeroShell Pgina21

DejamosenblancoelcampodeSourceIPyDestinationIPyaquequeremosquecapturetodas
laspeticionesdelared.Alguardar,accederemosalapantallainicialdelProxytransparente

Debemos pulsar sobre el botn SAVE para activar el servicio. Automticamente Zeroshell
actualizar la base de datos de definiciones de antivirus (se puede comprobar pulsando sobre el
botnUpdateLog.
Siqueremosverlaspeticionesquehacennuestrosusuarios,debemosactivarlaopcinAnyaccess
enelelementoAccessLogging(checkthelawinyourcountry)

CursoZeroShell Pgina22

Noesrecomendabletenerestaopcinactivada,yaquegeneraramuchainformacinenloslogsde
nuestrosistema,ylovolveramslento.
En lo relativo al antivirus, nuestro sistema comprobar las definiciones de virus cada 12 horas, y si
hay alguna novedad las actualizar. Debemos seleccionar en la lista de Country of the Mirror a
Spain(Espaa)
Para probar si nuestro antivirus funciona correctamente, podemos acceder a la pgina
http://www.eicar.org/anti_virus_test_file.htm y descargar alguno de los virus de ejemplo que
aparecenenlapginayobservaremosquenuestrosistemalointerceptaynosavisadel.
Aparte de tener nuestra red parcialmente protegida para las descargas de los usuarios, tambin
podemosagregarlistasnegrasyblancas.
Una lista negra son direcciones de pginas web que no queremos que nuestros usuarios vean. Una
listablancasondireccionesdepginaswebquepermitimosanuestrosusuariosqueaccedan.Estas
dosopcionesaparecendeshabilitadaspordefecto.
Lo normal es configurar las listas negras con sitios web que sepamos que van a generar trfico no
deseado(sitiosdedescargasP2P,youtube,etc)
En el caso de que algn usuario acceda a un sitio web que este en nuestra lista negra, le aparecer
unapantallacomolaquesigue:

CursoZeroShell Pgina23

CONFIGURACIONDELAAUTORIDADCERTIFICADORAPARALASCONEXIONESREMOTAS
AccedemosalmendelaizquierdaX509yacontinuacinaccedemosalmenSETUP
Dentro de este apartado introducimos los datos de nuestra autoridad certificadora (CA) para poder
emitircertificadosdeusuariovalidndosecontranuestraCA

Si tuvisemos algn usuario creado, al crear una nueva autoridad certificadora, los certificados que
hubisemosemitidos,novaldran.

CREACINDEUSUARIOS
VamosacrearunusuarioparaconectarnosvaVPN.
Accedemos al men USERS y a continuacin al men ADD para introducir los datos del usuario
quevamosacrear.
Al crear el usuario, nos crear automticamente el certificado de usuario en base a la autoridad
certificadoraquehemoscreado.

CursoZeroShell Pgina24

Acontinuacin,vamosaconfigurarunequipoWindowsparaaccederremotamenteanuestrared.

ACCESOREMOTO.VPNCLIENTEL2TP/IPSEC
Unavezhemoscreadonuestrousuario,vamosaexportarelcertificadodelaCAyelcertificadode
usuario,yaquetenemosqueinstalarlosenWindowsparapoderrealizarunaVPNconestesistema
operativosinlanecesidaddeinstalarsoftwareadicional.
DebemosexportarelcertificadoenformatoPEM(autoridadcertificadora)yenformato
PFX(certificadodeusuario),guardndolosennuestroequipo.

CursoZeroShell Pgina25

Una vez guardados en nuestro equipo, procedemos a la configuracin de Windows. Debemos

guardarloscertificadosenelalmacndecertificadosdelequipo.
CargamoselcomplementodecertificadosdeWindows,ejecutandoInicioEjecutarmmc

Medianteestaaplicacinvamosacargarelcomplementodecertificados.

Archivoagregaroquitarcomplemento

CursoZeroShell Pgina26

CursoZeroShell Pgina27

Pulsamos sobre el botn aceptar de las diferentes pantallas que tenemos abiertas hasta que nos
quedemosenlasiguientepantalla.

A continuacin importaremos los certificados en el almacn personal. En el caso de que no

funcione la VPN, debemos comprobar que estos certificados tambin existen en la carpeta
Entidades emisoras raz de confianza. Si no existiesen, debemos importarlos tambin en esta
carpeta.
Para importar, nos posicionamos sobre las carpetas indicadas y con el botn derecho realizamos la
importacin

CursoZeroShell Pgina28

Unavezimportadosloscertificados,procedemosalacreacindelaVPN.
AccedemosalpaneldecontrolConexionesderedcrearunaconexinnueva

CursoZeroShell Pgina29

Seleccionamosconectarsealareddemilugardetrabajo,siguienteyconexinderedprivadavirtual.

Debemosintroducirunnombreparaidentificarnuestraconexinyenlasiguientepantallaintroducir
ladireccinIP,oelnombreDNSdelamaquinaalaquenosqueremosconectar.Ennuestrocasoser
ladireccinIPexternadenuestramquinaZeroshell.(Consultarladocumentacin)

CursoZeroShell Pgina30

Pulsamossobreelbotnsiguienteparafinalizarelasistente.
Acontinuacindebemosintroducirlosdatosdeusuarioycontraseaquecreamosparapoder
conectarnos,teniendocuidadoenquelosdatosqueintroduzcamossonsensitivosalasmaysculasy
minsculas.

Silaconexinessatisfactoria,deberamosverungloboinformativoenlaparteinferiorderechade
Windows.

Apartirdeahora,podemosconectarnosacualquiermquinadenuestrareddelaoficinacomosi
estuvisemosfsicamenteenella.

CursoZeroShell Pgina31

ACCESOREMOTO.VPNCLIENTEOPENVPN
Pordefecto,entodainstalacindeZeroshell,existeuninterfazdenominadoVPN99.Estainterfazse
puedeverenelmenNETWORK.

Este interfaz est deshabilitada por defecto. Para activarla, debemos de configurar nuestro sistema
paraqueacepteestasconexiones.
ParaactivarlasconexionesremotasaccedemosalmenVPNyactivamosestafuncionalidad

A partir de este momento, nuestros usuarios podrn conectarse a la red protegida por Zeroshell
comosiestuviesedentrodelaredinterna.
En funcin del tipo de autentificacin que hayamos seleccionado, debemos configurar el cliente
OpenVPNdeunaformauotra.

CursoZeroShell Pgina32

El cliente VPN se puede descargar de http://www.openvpn.net, o una versin con GUI (interfaz
grfico)desdehttp://openvpn.se/.Estaltimaeslaquevamosadescargaryconfigurar.
Una vez descargado el software lo instalamos en nuestro equipo. EL programa crear un interfaz
virtualennuestraconfiguracindered,queloutilizarennuestrasconexionesdeVPN.

EnlapginadedownloadsdeZeroshell,tenemoslaconfiguracinparautilizarconZeroshell.Aeste
fichero, solo tenemos que decirle cual es nuestro mtodo de autentificacin, y si es con certificado
deusuario,decirledondeest.
Este fichero puede descargarse de http://www.zeroshell.net/eng/download/zeroshell.ovpn y
guardarloenlacarpetaconfigconnuestroscertificados.
Tambin necesitamos el certificado raz de nuestro Zeroshell. Para descargarlo accedemos a la
pgina inicial del Zeroshell, y sin hacer login, en la parte superior derecha tenemos un enlace para
descargarlaCA.Esteficherodebemosdeguardarloenlacarpetaconfig.
AcontinuacineditamoselficheroZeroshell.ovpn,yloconfiguramossiguiendolasinstruccionesque
enlaparecen.

CursoZeroShell Pgina33

Debemos configurar la direccin remota de la maquina Zeroshell, el tipo de autentificacin que

vamosautilizar,yenelcasodequeseaexclusivamenteconcertificado,indicarledondeestnuestro
certificado.
Configuracinconusuarioycontrasea:
ConfigurarZeroshellparaqueuseautentificacinsoloconcontrasea

Modificarelficherodeconexinconlosdatoscorrespondientes

CursoZeroShell Pgina34

Configuracinconcertificado
ConfigurarZeroshellparaquelaautentificacinseasoloconcertificadoX509

DebemosseleccionarenAutenticationlaCAdeservidorconlaquevamosavalidarlos
certificadosdelosusuarios.
Modificarelficherodeconexinconlosdatoscorrespondientes

CursoZeroShell Pgina35

VPNLANTOLAN
OtradelascaractersticasimportantesdeZeroshell,esquenospermiteunirdossistemasremotos
permanentemente.Elcasomsimplementadoesladeunirdosoficinasremotas,paraquetodassus
datosvayanencriptadosatravsdeuntnel

MenuVPNLantoLanNewVpn

EnRemoteHostintroducimosladireccinIPdelequiporemotoalquequeremosconectar.EL
puertoserel1195conprotocoloTCP.UnodelosequiposactuarcomoServeryotrocomo
Client
ConfiguramoslaVPNconautentificacinPreSharedKey.Generamosunaclaveconelbotn
GenKeyycopiamoslaclaveenlosdosequipos.
Guardamoslaconfiguracin,ydeberemosdeverquelaconexinestactiva

CursoZeroShell Pgina36

AcontinuacindebemosaadirunadireccinIPalinterfazVPN00.EstadireccinIPesunadireccin
cualquiera,teniendoqueserdelosrangosespecficosparalasredesinternas,peroquenoseutilice
enningninterfazdenuestroZeroshell.SeutilizarparaenrutareltrficoentrelasdosVPN.
Elpasomscrticoeseldeconfigurarlarutaestticaparaenrutareltrficoporeltnel.
AccedemosalmenROUTER,yacontinuacinpulsamossobreelbotnAddparaaadiruna
nuevaruta

EnDestinationintroducimoslaredremota,enNetmasklamscaradered.EnGateway
DEBEMOSINTRODUCIRLADIRECCINIPUTILIZADAENELINTERFAZVPN00DELAREDREMOTA,yla
mtricaes0.
Unavezguardadosloscambios,debemosdeverenlapantallalarutacreada.Acontinuacin
realizamosunpingaunamaquinaremotaparacomprobarquerespondeanuestrapeticin.

CursoZeroShell Pgina37

PUBLICACINDESERVIDORESINTERNOS
Podemos publicar un servidor interno de nuestra red, hacindolo accesible desde internet a travs
delmenROUTERpulsandosobreelbotnVirtualServer

Debemos indicar el interfaz sobre el que capturar las peticiones, la direccin IP que esperamos, el
protocoloyelpuerto.
AsuvezdebemosdeindicarculserladireccinIPdedestinoyelpuerto.

CONFIGURACINDEMODEMS3G
Zeroshell soporta la mayora de mdems 3G en dispositivo USB. En concreto la marca Huawei, que
sonlosquedistribuyenlasoperadorasdetelefonaenEspaa,sonreconocidos.
Debemos introducir el dispositivo USB en el sistema, y a continuacin acceder al men SETUP y
pulsando el botn Network accedemos a los dispositivos de red. Debemos pulsar sobre el botn
New3GModem.

CursoZeroShell Pgina38

En el campo Modem connected to debemos seleccionar el puerto en el que est el modem. Por
desgracia, los dispositivos USB comentados tienen 4 puertos, y no se identifican de ninguna forma
para saber sobre el cual est el modem 3G. La nica manera es el mtodo de Prueba y Error hasta
conseguirqueeldispositivoconecte.
EnelcampoAPNdeberemosdeponereldenuestrooperador.
Buscando en google APN 3G movistar, encontramos que para movistar es movistar.es. Buscando
Vodafone,encontramosqueelAPNdeVodafoneesac.vodafone.es.
Si nuestra modem 3G nos pide PIN, podemos introducirlo en optional AT string de la siguiente
forma:
AT+CPIN=XXXXdondeXXXXeselPIN

LaopcinmsprcticaestenerguardadoelPINenelmdem3Gparaquenonoslopida.
Alguardarlaconexin,debemosdevernuestrointerfazdered3Gcomocualquierotrointerfazde
red.

CursoZeroShell Pgina39

http://www.nomatch.es

soporte@nomatch.es