Manual de VPN en Canaima GNU Linux R

Redes Privadas Virtuales (VPN) en Canaima GNU/Linux
Caracas, Mayo de 2009
Crditos y licencia
2008-2009 Centro Nacional de Tecnologas de Informacin 2008-2009 ONUVA Integracin de Sistemas Este documento se distribuye al pblico como
documentacin y conocimiento libre bajo los trminos de la

Licencia Pblica General GNU, que puede obtener en la direccin Web: http://www.gnu.org/copyleft/gpl.html
Convenciones tipogrficas
Texto enfatizado, anglicismos, texto resaltado, comandos,
salidas, paquetes o contenido de archivos. Indica informacin muy importante con respecto al contenido Indica comandos, salidas en pantalla o contenido de archivos Indica los pasos de un procedimiento
Pgina 2 de 82
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Contenido
Crditos y licencia.......................................................................................................................2 Convenciones tipogrficas..........................................................................................................2 UNIDAD I. Redes privadas virtuales VPN...............................................................................5 TEMA 1. Fundamentos de VPN..............................................................................................5 Introduccin al concepto de VPN.......................................................................................5 Origen y casos de uso de las VPN.....................................................................................6 Usos comunes de las Redes Privadas Virtuales...........................................................7 TEMA 2. Arquitecturas de conexin y protocolos...................................................................8 Tipos de conexiones...........................................................................................................8 Conexin de cliente tipo: guerrero del camino al servidor VPN..................................8 Conexin de cliente a red de rea local........................................................................8 Conexin entre dos o ms redes de rea local.............................................................9 Protocolos e Implementaciones.......................................................................................10 Red privada virtual con protocolos de capa de enlace de datos.................................10 Tabla descriptiva de Protocolos utilizados en VPN......................................................11 Requerimientos para la construccin de una red privada virtual.....................................21 TEMA 3. Seguridad en las VPN............................................................................................23 Cifrado simtrico y de claves pre-compartidas................................................................23 Cifrado asimtrico.............................................................................................................23 Enlace con libreras SSL/TLS......................................................................................24 UNIDAD II. Casos prcticos de implementacin......................................................................25 TEMA 1: Servidor OpenVPN................................................................................................25 Ventajas y Desventajas de OpenVPN.............................................................................25 Ventajas........................................................................................................................25 Desventajas..................................................................................................................26 Comparativa OpenVPN vs IPSec.....................................................................................27 TEMA 2: Implementacin de OpenVPN...............................................................................29 Instalacin de servidor/cliente OpenVPN sobre Canaima GNU/Linux............................29 Configuracin de los nodos en una red con OpenVPN...................................................40 Configuracin del servidor en modo enrutador......................................................41 Configuracin del cliente en modo enrutador..........................................................48 Configuracin del servidor en modo puente (bridge)..............................................53 Configuracin del cliente en modo puente (bridge).................................................57 TEMA 3: Enrutamiento y control de trfico...........................................................................59 Definicin de rutas............................................................................................................59 Anexos..................................................................................................................................63 Ejercicio Propuesto N#1...................................................................................................63 Ejercicio Propuesto N#2.......................................................................................................71 Referencias...........................................................................................................................72 Glosario.................................................................................................................................73
Pgina 3 de 82
Ficha descriptiva
Curso Modalidad Duracin Dirigido a Requisitos previos
Redes privadas virtuales (VPN) en Canaima GNU/Linux. A distancia. 3 semanas Pblico y comunidad en general, as como personal docente, tcnico y estudiantil de Colegios Universitarios y Politcnicos. Nociones bsicas en el manejo de:

Permisos y ACL POSIX. Redes en GNU/Linux. Gestin de usuarios y permisos bajo Linux. Manejo de servicios SysV. Gestin de procesos POSIX. Manejo de Linux bajo CLI. Herramientas de paginacin y visualizacin de texto. Manejo del sistema de paquetes APT.
Objetivo del curso
Comprender los procedimientos para la configuracin de los servicios de VPN en GNU/Linux.
Pgina 4 de 82
UNIDAD I. Redes privadas virtuales VPN

TEMA 1. Fundamentos de VPN Introduccin al concepto de VPN Las redes privadas virtuales o VPN1, como son popularmente conocidas, se definen, en esencia, como una extensin de una red local y privada que utiliza como medio de enlace una red pblica como por ejemplo: Internet. Es tambin posible utilizar otras tipos de conexin que involucren redes de rea amplia, WAN (En ingls: Wide Area Networks) tales como: Rel de tramas ( Frame Relay), enlaces en modo de transferencia asncrona (ATM: Asinchronous Transfer mode) o Lneas de suscriptor digitales de alta tasa de bits (HDSL: High bit rate Digital
Suscriber Line).
Este mtodo permite enlazar dos o ms redes simulando una nica red privada, permitiendo as la comunicacin entre computadores como si estuviesen en la misma red fsica; Asimismo, un usuario remoto se puede conectar individualmente a una LAN utilizando una conexin VPN, donde, en forma segura, puede utilizar aplicaciones no accesibles desde Internet para enviar datos, o actualizar informacin confidencial que necesita protegerse y enviarse por canales cifrados.
Las redes privadas virtuales utilizan tecnologa de tnel ( tunneling) para la transmisin de datos mediante un proceso de encapsulado 2 y, en su defecto, de encriptacin. Esto es importante a la hora de diferenciar Redes Privadas Virtuales y Redes Privadas, ya que esta ltima utiliza lneas telefnicas dedicadas para formar la red. Ms adelante se explicar en profundidad el funcionamiento del
1 Siglas en ingls de: Virtual Private Networks 2 En ciencias de la computacin, la encapsulacin es el ocultamiento de las estructuras de informacin y datos internos mediante una interfaz definida. Pgina 5 de 82
tnel. Existen diversos factores que hacen necesaria la implementacin de soluciones ms sofisticadas de conectividad entre las oficinas de las organizaciones a lo largo del mundo. Dichos factores son:
La aceleracin de los procesos de negocios y su consecuente aumento en la necesidad de intercambio flexible y rpido de informacin.
Muchas organizaciones tienen varias sucursales con diferentes ubicaciones, quienes necesitan intercambiar informacin sin ninguna demora, como si estuvieran fsicamente juntas.
La necesidad de las redes de computacin de cumplir altos estndares de seguridad que garanticen la autenticidad, integridad y disponibilidad de la informacin.
En el caso de ciudades con alta densidad de poblacin, el trfico vehicular es un factor que motiva a las organizaciones a posibilitar el trabajo remoto o desde casa, por lo que se requiere la posibilidad de tener acceso a los recursos tecnolgicos de la organizacin desde una conexin segura y eficiente, para garantizar as una mejor productividad. Origen y casos de uso de las VPN Con la masificacin del acceso a Internet y la baja de costos en conectividad
se desarrollaron nuevas tecnologas. Surgi as la idea de utilizar la Internet como medio de comunicacin entre los diferentes sitios de la organizacin. Con lo que nace la idea de las VPN que son Virtuales y Privadas, virtuales debido a que no son redes de conexin directa real entre las partes, sino slo conexiones virtuales provistas mediante software a travs de Internet y, son privadas porque nicamente la persona debidamente autorizada podr leer los datos transferidos
Pgina 6 de 82
a travs de la VPN. Logrando as, la seguridad mediante la utilizacin de modernos mecanismos de criptografa.
La red VPN y su equivalencia en un entorno real.
Usos comunes de las Redes Privadas Virtuales

Conexin entre diversos puntos de una organizacin a travs de Internet. Conexiones de trabajadores domsticos o de campo con direcciones IP dinmica.
Soluciones Extranet para clientes u organizaciones asociadas con los cuales se necesita intercambiar cierta informacin en forma confidencial y privada, aunque no tengan acceso pleno al resto de la red interna de la organizacin.
Pgina 7 de 82
TEMA 2. Arquitecturas de conexin y protocolos Tipos de conexiones Existen varios tipos de conexiones VPN, esto ser definido segn los requerimientos de la organizacin, por eso es aconsejable hacer un buen levantamiento de informacin a fin de obtener algunos datos, como por ejemplo, si lo que se desea enlazar son dos o ms redes, o si slo se conectarn usuarios remotos. Las posibilidades se explican a continuacin.
Conexin de cliente tipo: guerrero del camino al servidor VPN Un usuario remoto que nicamente necesita acceso a servicios o aplicaciones que corren en el servidor VPN por espacios de tiempo pequeos o bien definidos. Caso tpico para los administradores de seguridad, de lo que se deriva el apodo de: guerreros del camino3.
Conexin de un cliente tipo guerrero del camino
Conexin de cliente a red de rea local Un usuario remoto que utilizar servicios o aplicaciones que se encuentran en uno o ms equipos dentro de la red interna provista a travs de la VPN. Caso tpico para conexiones remotas semi-persistentes, como por ejemplo: los teletrabajadores o un centro de atencin telefnica con varias sedes regionales
3 road warriors, oracin del ingls con la que primero se conoci este modo de acceso. Pgina 8 de 82
donde los enlaces se mantienen solo para comunicarse por tiempos finitos.
Conexin de un cliente de red de rea local
Conexin entre dos o ms redes de rea local Este tipo de VPN es aquella donde la conexin es permanente y supone la interconexin constante de las diferentes redes de rea local de la organizacin en una red cohesionada que puede ser heterognea (es decir, conformada por redes de rea local de tamaos diferentes) u homognea (formada por redes de tamaos similares), as, permitiendo que ubicaciones remotas de la organizacin tengan acceso a los recursos de informacin entre s, o bien, para centralizar el acceso de toda la organizacin a recursos discretos. Este esquema supone la presencia de un servidor VPN nico a donde todos los clientes (en este caso, los enlaces VPN de cada ubicacin de la organizacin) tienen acceso.
Pgina 9 de 82
Conexin entre redes de rea local por VPN
Protocolos e Implementaciones Las soluciones de VPN pueden ser implementadas a diferentes niveles del modelo OSI para redes. Entre ellas tenemos:
Red privada virtual con protocolos de capa de enlace de datos. (capa 2 del modelo OSI).
Red privada virtual con protocolos de capa de red. (capa 3 del modelo OSI). Red privada virtual con OpenVPN. Red privada virtual con protocolos de capa de enlace de datos La encapsulacin a este nivel ofrece ciertas ventajas, ya que permite
transferencias sobre protocolos diferentes al protocolo de Internet, como por ejemplo IPX de Novell. Tericamente, las tecnologas implementadas en capa 2 pueden encapsular cualquier tipo de paquetes/protocolos y en la mayora de los casos lo que se hace es establecer un dispositivo virtual de punto a punto con el cual se establece la conexin con el otro lado del tnel.
PPTP (Point to Point Tunneling Protocol / Protocolo de Tneles de
Pgina 10 de 82
Punto a Punto): Es una extensin de PPP. Su principal desventaja es que slo puede establecer un tnel por vez entre pares. Adems de tener una seguridad reducida.
L2F
(Layer
2 Forwarding / Reenvo en Capa 2): desarrollado
principalmente por Cisco Systems, ofrece mejores posibilidades que PPTP principalmente en el uso de conexiones simultneas.
L2TP (Layer 2 Tunneling Protocol / Protocolo de tunelizacin de capa 2 ): usado por Cisco y otros fabricantes, se ha convertido en uno de los estndares de la industria y combina las ventajas de PPTP y L2F. Dado que esta solucin no ofrece mtodos de seguridad, su uso deber ser combinado con mecanismos de seguridad que estn generalmente implementados en la capa 3 del modelo OSI.
L2Sec (Layer 2 Security Protocol / Protocolo de seguridad en capa 2 ): desarrollado para proveer una solucin que incorpore seguridad, utiliza para ello SSL4/TLS5 aunque impone una sobrecarga bastante grande en la comunicacin para lograrlo. Tabla descriptiva de Protocolos utilizados en VPN
Protocolo VPN
Caractersticas Siglas en ingls de Point-to-Point Tunneling Protocol o Protocolo de tneles de punto a punto, fue diseado por Microsoft, Alcatel y 3com, entre otros. Este protocolo, en s mismo, no provee ningn tipo de encriptacin o seguridad, en vez de eso, depende del protocolo que est encapsulando para proveer privacidad y/o encriptacin. PPTP funciona enviando una sesin de punto a punto regular a travs del protocolo GRE (Protocolo de Encapsulacin Genrica de Rutas), controlada por una segunda sesin a travs del puerto TCP 1723 (configurable);
PPTP
4 Siglas en ingls de: Secure Sockets Layer (Capa de sockets segura) 5 Seguridad del nivel de transporte, por sus siglas en ingls: Transport Level Security Pgina 11 de 82
Para la encriptacin de datos, el PPTP usa el proceso de encriptacin RAS "shared secret". Esto se refiere a una "clave compartida" porque ambos nodos establecen la conexin "compartiendo" la llave de encriptacin. Bajo la implementacin del RAS, el secreto compartido" es la contrasea del usuario (Existen tambin otros mtodos que incluyen llave pblica de encriptacin. El PPTP usa la encriptacin PPP y los mtodos de compresin PPP. El CCP6 es usado para negociar la encriptacin definida. El nombre de usuario y la contrasea esta disponible al servidor y es sustituida por el cliente. Una llave de encriptacin se genera usando una mnima parte de la clave situada tanto en el cliente como en el servidor. El estndar RSA RC4 es usado para crear estos 40 bits (128 dentro de EEUU y Cnada) de llave de sesin basada en la contrasea de un cliente. Esta llave es despus usada para cifrar y descifrar todos los datos intercambiados entre el servidor PPTP y el cliente. El paquete PPP que contiene un bloque de datos cifrados que es despus insertado en un largo datagrama IP para su enrutamiento. Este protocolo presenta diversas fallas de seguridad e implementacin descubiertas en el ao 1998, por el experto en seguridad informtica Bruce Schneier 7 que lo han hecho poco recomentable para su utilizacin en redes privadas virtuales. Tambin llamado: IP seguro, como su nombre lo indica, es una suite de protocolos sobre el protocolo estndar IP para asegurar y cifrar las comunicaciones. Su funcionamiento se basa en el firmado y encriptado de los flujos de datos, adems, IPSec presenta mtodos para autenticacin mutua (quiere decir, para que tanto cliente como servidor establezcan una relacin de confianza) IPsec es un esquema de modo dual de punto a punto, que opera en la capa de Internet de las capas del protocolo IP, que es aproximadamente la capa 3 del modelo OSI. Lo que significa que puede asegurar aplicaciones que no estn diseadas para interactuar directamente con IPSec a nivel de protocolo, lo que lo hace muy flexible, sin embargo, acarrea el incremento de la informacin de negociacin segura necesaria para mantener el
6 Siglas en ingls de Compression control protocol o Protocolo de control de compresin 7 http://www.schneier.com/paper-pptp.html Pgina 12 de 82
IPSec
trfico cifrado, lo que comunicaciones seguras.
incrementa
la
latencia
de
las
Arquitectura de Seguridad La suite IPsec est compuesta de varios estndares abiertos. IPsec utiliza los siguientes protocolos para realizar diversas funciones:
ESP por sus siglas en ingls: Encapsulating Security Payload (carga til de seguridad encapsulada) este protocolo es utilizado para proveer confidencialidad, autenticacin del origen de los datos, integridad fuera de lnea y un mecanismo de cancelacin de respuesta para minimizar el trfico necesario para comprobar que los datos son confiables. AH Authentication Header (Cabecera de Autenticacin) para proveer integridad sin conexin y autenticacin de los datos para los datagramas IP y provee de proteccin contra ataques de duplicacin. IKE e IKEv2 Internet key exchange (Intercambio de llaves de Internet) para configurar una asociacin manejando la negociacin de los protocolos y algoritmos de encriptacin y autenticacin que sern utilizados por la sesin IPsec.
Modos de Operacin Existen dos grandes modos de operacin de IPSec:
Modo de Transporte
En el modo de transporte, solo la carga til (la data que se transfiere) del paquete IP estar siendo encriptada y/o autenticada. El routeo queda intacto, ya que la cabecera IP no es modificada ni encriptada; sin embargo, cuando se utiliza la cabecera de autenticacin, la direccin IP no puede ser traducida, ya que esto invalidara el valor del hash. Tanto la capa de aplicacin como la de transporte estn siempre aseguradas por el valor de hash, por lo que no pueden ser modificadas de ninguna forma (por ejemplo, traduciendo los nmeros de puerto). El modo de transporte es utilizado solo para las comunicaciones de mquina a mquina.
Pgina 13 de 82
Modo de Tnel
En modo tnel, el paquete IP entero (datos y cabecera) es encriptado y/o autenticado. Es entonces encapsulado dentro de un nuevo paquete IP con una nueva cabecera. El modo tnel es entonces utilizado para crear redes privadas virtuales para la comunicacin de red a red (ej: desde enrutadores hasta sitios de conexin), de mquina a red (ej: mquina remota accediendo a una red VPN corporativa) y tambin para hacer comunicacin de mquina a mquina. Diagramas de Estructura del Protocolo Cabecera AH
Prxima Cabecera Este campo es un dato de 8 bits que identifica el tipo de la prxima carga til despus de la cabecera de autenticacin. El Valor de este campo se selecciona de la serie de nmeros de protocolos IP definidos desde el RFC del IANA. Ver la lista de los nmeros de protocolos IP. Tamao de Carga til Tamao del Paquete AH. RESERVADO Un campo nulo que ha sido reservando previendo cambios y adiciones futuras a IPSec. ndice de Parmetros Seguros (SPI) Identifica los parmetros de seguridad, que, en combinacin con
Pgina 14 de 82
la direccin IP identifica la implementada dentro del paquete.
asociacin
de
seguridad
Nmero de Secuencia Un nmero que incrementa de forma automtica el cual es utilizado para evitar ataques de respuesta y repeticin. Datos de Autenticacin Contiene el valor de chequeo necesario para autenticar el paquete; podra contener un valor de desplazamiento.
Protocolo ESP
ndice de Parmetros Seguros (SPI) Identifica los parmetros de seguridad en combinacin con la direccin IP. Nmero de Secuencia Un nmero que incrementa de forma automtica el cual es utilizado para evitar ataques de respuesta y repeticin. Datos de carga til Los datos que se transferirn. Desplazamiento Utilizando con algunos cifrados de bloque para desplazar la data hacia el tamao completo del bloque.
Pgina 15 de 82
Tamao del desplazamiento Tamao del desplazamiento en bytes. Prxima Cabecera Este campo es un dato que identifica el protocolo de la carga til. El Valor de este campo se selecciona de la serie de nmeros de protocolos IP definidos desde el RFC del IANA. Ver la lista de los nmeros de protocolos IP.8 Data de autenticacin Contiene los datos necesarios para autenticar el paquete.
Desarrollado por Cisco Systems, L2F ( de las siglas en ingls: Layer 2 Forwarding Protocol) Protocolo de reenvo de capa 2, es un protocolo cuyo principal beneficio es la posibilidad de mejorar la cantidad de enlaces simultneos cumpliendo con las premisas bsicas de PPTP de no ofrecer ningn tipo de encriptacin por si mismo, aunque permitiendo que el protocolo o protocolos encapsulados en la capa de enlace se hagan cargo de la misma. Aunque L2F ahora sea utilizado con una diversidad de protocolos, fue inicialmente pensado para crear tneles de sesiones punto a punto (PPP). L2TP Del ingls: Layer 2 Tunneling Protocol, o protocolo para creacin de tneles de capa 2, nacido en el ao 1999, tom las mejores ideas de L2F y PPTP, adaptndose as a una mirada de diferentes modelos de seguridad en redes privadas virtuales. En su esquema de funcionamiento bsico, el paquete L2TP entero es enviado, junto con la carga til (datos) y la cabecera a travs de un datagrama UDP. Es comn que entre la carga til se encuentren diferentes sesiones punto a punto (PPP). Ya que L2TP no provee confidencialidad o una autenticacin robusta en s mismo, se utiliza comnmente en conjunto con IPSec. La combinacin de ambos es generalmente conocida como L2TP/IPsec Modelos de creacin de tneles Un tnel L2TP pude extenderse a travs de una sesin PPP entera o solo a travs de una seccin de una sesin bidireccional.
8 http://www.iana.org/assignments/protocol-numbers/ Pgina 16 de 82
L2F
Esto puede representarse en cuatro modelos de creacin de tneles, a saber: 1. Tnel voluntario 2. Tnel obligatorio llamada entrante 3. Tnel obligatorio marcacin remota 4. Conexin de mltiples saltos L2TP En el modelo voluntario, un tnel es creado por el usuario, tpicamente mediante el uso de un cliente L2TP que es llamado de forma genrica: LAC. El usuario enviar paquetes L2TP al proveedor de servicio internet, que encaminar dichos paquetes al Servidor L2TP, llamado comnmente: LNS. No es necesario que el proveedor de servicio soporte L2TP, solo es necesario que este enve dichos paquetes entre el LAC y el LNS. El cliente LAC acta como un iniciador del tnel L2TP que efectivamente residir en el mismo sistema que el cliente remoto. El tnel se extiende a travs de toda la sesin PPP desde el cliente L2TP al LNS. En el modelo de tnel obligatorio de llamada entrante , se crea un tnel entre un LAC y el LNS en la puerta de enlace de origen. La organizacin podra proveerle al usuario remoto una cuenta y credenciales de acceso a la VPN, con la cual acceder a los servicios corporativos. De esta forma, el usuario enviar paquetes PPP al proveedor de servicios (LAC) que los encapsular en L2TP y crear un tnel hacia el LNS. En estos casos, el proveedor de servicios debe soportar L2TP. Adicionalmente, en este modelo, el tnel solo se extiende entre el segmento de la sesin PPP entre el proveedor de servicio y el LNS. En el modo de tnel obligatorio de marcacin remota la puerta de enlace de origen (LNS) inicia el tnel a un proveedor de servicio (LAC) (llamada remota) e instruye a dicho proveedor de servicio a que inicie una llamada al cliente PPP quien es el usuario remoto. Este modelo est destinado a los casos en los que el cliente PPP tiene un nmero de telfono permanente con el proveedor de servicios. Se espera que el uso de este modelo sea en empresas con una presencia establecida en internet donde la empresa necesite a travs de un enlace telefnico establecer una conexin con una oficina remota. Una conexin de mltiples saltos L2TP es una forma de
Pgina 17 de 82
redireccionar el trfico L2TP por parte de diferentes LAC y LNS. Una conexin de mltiples saltos se establece utilizando una puerta de enlace L2TP de mltiples saltos. Se establece un tnel desde un cliente hasta la puerta de enlace L2TP de mltiples saltos y entonces se establece otro tnel entre la puerta de enlace L2TP y un LNS destino. El trfico L2TP entre el cliente y el servidor es entonces redireccionado a cada uno a travs de la puerta de enlace. Estructura del Paquete L2TP
Datos de Control y versin Banderas de control que indican la presencia de paquetes de control/datos y su tamao, secuencia y campos de desplazamiento. Tamao (opcional) Tamao total del mensaje en bytes, solo est presente cuando la bandera de tamao est presente. ID del Tnel Indica el identificador de la conexin de control. ID de sesin Indica el identificador de una sesin dentro de un tnel. Ns (opcional) Nmero de secuencia para estos datos o mensaje de control, que comienza en cero y se incrementa en uno para cada mensaje que es enviado. Solo est presente cuando la bandera de control est activada.
Pgina 18 de 82
Nr (opcional) Nmero de secuencia para los datos que se esperan recibir. Nr se iguala al Ns del ltimo mensaje recibido ms uno. En mensajes de datos, se recibe Nr, y, de estar presente (indicado por el bit de Sesin), debe ser ignorado en cuanto se reciba. Tamao del desplazamiento (opcional) Especifica el comienzo de los datos ms all de la cabecera L2TP. Los datos que estn ms all del relleno del desplazamiento se encuentra indefinidos. Si el campo de desplazamiento est presente, la cabecera L2TP termina en el ltimo byte del desplazamiento de relleno. Este campo existir siempre que est presente la bandera de desplazamiento. Desplazamiento de Relleno (opcional) De tamao variable Datos De tamao variable ( Tamao mximo de los datos = Tamao mximo del paquete UDP Tamao de la cabecera L2TP )
Nacido en el ao 2001, OpenVPN entrega un enfoque diferente para la creacin de redes privadas virtuales en diferentes sistemas operativos, por lo que se ha convertido en una solucin multiplataforma que ha simplificado mucho la configuracin de redes VPN dejando atrs los tiempos de otras soluciones difciles de configurar como IPSec y hacindola ms accesible para gente inexperta en este tipo de tecnologa. OpenVPN permite a los clientes autenticarse entre s utilizando una llave secreta pre-compartida, certificados o usuario y contrasea. Cuando es utilizado en una configuracin de mltiples clientes y un servidor, este permite que el servidor emita certificados de autenticacin para cada uno de los clientes, utilizando una firma y autoridad certificadora. Utiliza extensivamente la librera de encriptacin OpenSSL, as como los protocolos SSL y TLS. Est disponible para varias plataformas como: Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, y Windows 2000/XP/Vista. Contiene muchas caractersticas de seguridad y control. No est basado en redes VPN tipo web, y no es compatible con IPSec u otro paquete de redes VPN. El paquete
Pgina 19 de 82
OpenVPN
entero consiste en un binaro tanto para las conexiones con el servidor como para con el cliente, un archivo de configuracin opcional y uno o ms certificados dependiendo del mtodo de autenticacin utilizado. OpenVPN puede funcionar sobre UDP (mtodo preferido y por defecto) o TCP. Realiza la multiplexin de todas las comunicaciones a travs de un solo puerto TCP/UDP. Tiene la habilidad de trabajar sobre la mayora de los servidores proxy (incluyendo aquellos que son HTTP) y tambin trabajando a travs de NAT y sobrepasando paredes de fuego. La configuracin del servidor tiene la capacidad de empujar (enviar) configuraciones especficas a todos o a cada cliente por separado. Entre las que pueden enviarse estn: direcciones IP, comandos de enrutamiento y opciones de conexin variables. OpenVPN ofrece dos tipos de interfaces para establecer las redes a travs del controlador Universal TUN/TAP. Puede crear un tnel de capa 3 (TUN), o un TAP de capa 2 basado en Ethernet por medio del cual es posible envar cualquier tipo de trfico Ethernet. Adems, OpenVPN puede, de forma opcional, comprimir el flujo de datos, mejorando as el rendimiento de las conexiones. El uso por parte de OpenVPN de protocolos comnes de red, (tales como TCP y UDP) lo hace una alternativa viable a IPSec en situaciones donde el proveedor de servicios bloquee ciertos protocolos de VPN de manera de obligar a sus clientes a que se suscriban a servicios premium ms costosos para establecer redes privadas virtuales entre dos o ms ubicaciones.
Pgina 20 de 82
Modelo de Funcionamiento
Redes privadas virtuales con OpenVPN
Requerimientos para la construccin de una red privada virtual Para la puesta en funcionamiento de una red privada virtual, es necesario planificar los siguientes puntos antes de su implementacin exitosa:
Nmero de clientes. Se refiere a la cantidad de usuarios que estarn utilizando el enlace de la red privada virtual, es especialmente importante para delimitar apropiadamente la asignacin de direcciones dentro de la red privada virtual, los rangos que se asignarn y la forma en que sern dispuestos por cada nodo principal que conforme la red. Capacidad proyectada de la red VPN. Carga de datos mxima que
Pgina 21 de 82
podra estar soportando la red en un momento determinado.
Cifrado a utilizar. En redes privadas virtuales que involucran cifrado de datos, este requerimiento determina la fuerza con la que se encriptar la informacin, un cifrado ms alto tiene una sobrecarga levemente mayor a cambio de una proteccin ms alta de la informacin que circula a travs de la VPN. En una red VPN con mltiples nodos, un cifrado muy alto puede causar un impacto en la velocidad del enlace, a menos de que se tenga suficiente ancho de banda, sin embargo, no es realmente til un cifrado alto en redes VPN con gran nmero de usuarios ya que las probabilidades de que un atacante pueda descifrar datos tiles en un nivel de trfico tan alto son muy bajas. Esquema de funcionamiento. Este punto de la planificacin involucra la definicin de los nodos principales que estarn participando en la red privada virtual. Las redes VPN poseen la particularidad de involucrar una arquitectura cliente/servidor en donde toda la comunicacin inicial se hace hacia un punto central de la misma, y luego, de existir ms de un cliente, se establecen enlaces directos entre ellos. Aunque algunas implementaciones propietarias son poco flexibles y evitan comunicacin directa entre clientes sin que el trfico sea enviado primero al servidor, lo que puede causar que la latencia y los tiempos de respuesta se incrementen. Implementacin a utilizar. Esta es una consideracin importante en la planificacin ya que, en base a las capacidades del paquete VPN que se utilizar podremos saber en que escenarios de nuestra implementacin podramos conseguir obstculos de implantacin, por ejemplo, intentar utilizar IPSec detrs de una conexin NAT9
9 Siglas en ingls de Traduccin de direcciones de red: (Network Address Translation) Pgina 22 de 82

TEMA 3. Seguridad en las VPN Para encriptar datos se usan contraseas de encriptacin. OpenVPN tiene dos modos considerados seguros, uno basado en claves estticas pre-compartidas y otro en SSL/TLS usando certificados y claves RSA. Cuando ambos lados usan la misma clave para encriptar y desencriptar los datos, estamos usando el mecanismo conocido como clave simtrica y dicha clave debe ser instalada en todas las mquinas que tomarn parte en la conexin VPN. Si bien SSL/TLS + claves RSA es por lejos la opcin ms segura, las claves estticas cuentan con la ventaja de la simplicidad. Veremos, a continuacin, ese mtodo y otros que aportan mayor seguridad y facilidad de distribucin. Cifrado simtrico y de claves pre-compartidas Cualquiera que posea la clave de encriptacin podr desencriptar el trfico, por lo que si un atacante la obtuviese, comprometera el trfico completo de la organizacin, ya que tomara parte como un integrante ms de la VPN. Es por ello, que mecanismos como IPsec cambian las claves cada cierto perodo de tiempo, asociando a las mismas, perodos de tiempo de validez llamados lifetime/tiempo de vida. Una buena combinacin de tiempo de vida y el largo de la clave asegurarn que un atacante no pueda desencriptar la clave a tiempo, haciendo que cuando finalmente la obtenga (porque lo har), ya no le sirva por estar fuera de vigencia. IPSec utiliza su propio protocolo para intercambiar claves llamado IKE9 que ha sido desarrollado desde mediados de los noventa y an no ha sido terminado. Cifrado asimtrico Tanto SSL como TLS utilizan una de las mejores tecnologas de encriptacin para asegurar la identidad de los integrantes de la VPN. Cada integrante tiene dos
Pgina 23 de 82
claves, una pblica y otra privada. La llave pblica es distribuida y usada por cualquiera para encriptar los datos que sern enviados a la contraparte quien conoce la clave privada, la cual es la nica que sirve para desencriptar los datos. El par de claves pblica/privada es generado a partir de algoritmos matemticos que aseguran que slo con la clave privada es posible leer los datos originales. El da que alguien encuentre algn defecto a ese algoritmo, todos aquellos conectados a Internet estarn comprometidos en forma instantnea. Es de destacar que la clave privada debe permanecer secreta, mientras que la clave pblica debe ser intercambiada para que se puedan recibir mensajes.
Enlace con libreras SSL/TLS Las bibliotecas SSL/TLS son parte del software OpenSSL que vienen instaladas en cualquier sistema moderno e implementan mecanismos de encriptacin y autenticacin basadas en certificados. Los certificados generalmente son emitidos por entidades de reconocida confiabilidad, aunque tambin se puede emitir por el usuario y usarlos en la propia VPN. Con un certificado firmado, el dueo del mismo es capaz de probar su identidad a todos aquellos que confen en la autoridad certificadora que lo emiti.
Pgina 24 de 82
UNIDAD II. Casos prcticos de implementacin

TEMA 1: Servidor OpenVPN Ventajas y Desventajas de OpenVPN OpenVPN provee seguridad, estabilidad y comprobados mecanismos de encriptacin sin sufrir la complejidad de otras soluciones VPN como las de Ipsec. Ventajas OpenVPN ofrece ventajas que van ms all de cualquier otra solucin, stas son:
Posibilidad de implementar dos modos bsicos en capa 2 o capa 3 con lo que se logran tneles capaces de enviar informacin en otros protocolos noIP como IPX o broadcast (NETBIOS).
Proteccin de los usuarios remotos. Una vez que OpenVPN ha establecido un tnel, el cortafuegos de la organizacin proteger el equipo remoto an cuando no es un equipo de la red local. Por otra parte, slo un puerto de red podr ser abierto hacia la red local por el remoto, asegurando proteccin en ambos sentidos.
Conexiones OpenVPN pueden ser realizadas a travs de casi cualquier cortafuegos. Si se posee acceso a Internet y se puede acceder a sitios HTTPS, entonces un tnel OpenVPN debera funcionar sin ningn problema.
Soporte para proxy. Funciona a travs de proxy y puede ser configurado para ejecutar como un servicio TCP o UDP y adems como servidor (simplemente esperando conexiones entrantes) o como cliente (iniciando conexiones).
Slo un puerto en el cortafuegos debe ser abierto para permitir conexiones, dado que desde OpenVPN 2.0 se permiten mltiples conexiones en el
Pgina 25 de 82
mismo puerto TCP o UDP.
Las interfaces virtuales (tun0, tun1, etc.) permiten la implementacin de reglas de cortafuegos muy especficas.
Todos los conceptos de reglas, restricciones, reenvo y NAT pueden ser usados en tneles OpenVPN.
Alta flexibilidad y posibilidades de extensin mediante scripts. OpenVPN ofrece numerosos puntos para ejecutar scripts individuales durante su arranque.
Soporte transparente para IPs dinmicas. Se elimina la necesidad de usar direcciones IP estticas en ambos lados del tnel.
Ningn problema con NAT. Tanto los clientes como el servidor pueden estar en la red usando nicamente direcciones IP privadas.
Instalacin sencilla en cualquier plataforma. Tanto la instalacin como su uso son increblemente simples.
Diseo modular. Se basa en un excelente diseo modular con un alto grado de simplicidad tanto en seguridad como en red. Desventajas
OpenVPN presenta algunas desventajas, tales como:
No es compatible con IPsec, siendo que justamente IPsec es una de las tecnologas de implementacin para redes privadas virtuales ms popular.
Falta de masa crtica. Todava existe poca gente que conoce cmo usar OpenVPN. No posee herramientas de interfaz grfica , aunque esto para algunos pueda significar en realidad una ventaja.
Actualmente slo se puede conectar a otros computadores. Pero esto est

Pgina 26 de 82
cambiando, dado que ya existen compaas desarrollando dispositivos con clientes OpenVPN integrados. Comparativa OpenVPN vs IPSec En la tabla que se presenta a continuacin se encuentran las diferencias ms llamativas entre OpenVPN e IPSec: OpenVPN

IPSec
No es compatible con Ipsec. Tecnologa nueva crecimiento. y an en
Ampliamente implementada. Tecnologa conocida y probada. Muchas interfaces disponibles. grficas
Sin interfaces grficas profesionales, aunque ya existen algunos proyectos prometedores. Tecnologa sencilla. Interfaces de red y paquetes estandarizados. Ejecuta en el espacio del usuario y puede ser enjaulado. Tecnologas de encriptamiento estandarizadas. Facilidad, buena estructuracin, tecnologa modular y facilidad de configuracin. Fcil de aprender. Utiliza slo cortafuegos. un puerto del
Modificacin compleja del stack IP Necesidad de modificaciones crticas al kernel. Necesidad de administrador. permisos de
Diferentes implementaciones de distintos proveedores pueden ser incompatibles entre s. Configuracin compleja tecnologa compleja. Curva de aprendizaje pronunciada. y muy
Necesidad de uso de muchos puertos y protocolos en el cortafuegos. Problemas con direcciones dinmicas en ambos lados del tnel. Problemas de seguridad de las tecnologas IPsec.
Trabaja con servidores de nombre dinmicos como DynDNS o No-IP10 con reconexiones rpidas y transparentes.
10 DynDNS y No-IP son servicios de resolucin de nombre gratuitos para la definicin rpida de servicios de nombres calificados en redes IP pblicas con direcciones de espacio dinmico. Pgina 27 de 82
SSL/TLS como criptografa.
estndar
de
Sin problemas de funcionamiento con clientes tras redes con NAT hablitado.
Problemas de enrutamiento si ambos lados de tnel necesitan NAT.
Pgina 28 de 82
TEMA 2: Implementacin de OpenVPN Instalacin de servidor/cliente OpenVPN sobre Canaima GNU/Linux Para la instalacin y puesta en funcionamiento de OpenVPN sobre Canaima GNU/Linux es necesario comenzar por instalar el paquete openvpn:
aptitude install openvpn
En Canaima GNU/Linux, y en las distribuciones basadas en Debian, el paquete openvpn instala tambin, en el directorio de documentacin, unos scripts ayudantes ubicados en el directorio: /usr/share/doc/openvpn/examples/easyrsa/ para la creacin de los certificados de servidor y clientes para la autenticacin cifrada de la red VPN, aprovecharemos los mismos para la creacin de nuestra VPN de ejemplo, copindolos desde el directorio antes mencionado a un directorio de trabajo. cp -a /usr/share/doc/openvpn/easy-rsa /root A continuacin, procedemos a entrar en el directorio recin copiado, donde encontraremos varios scripts de consola que nos facilitarn el proceso de creacin de la autoridad certificadora y los certificados que necesitamos para la autenticacin entre servidor y cliente, particularmente, aprovecharemos las ltimas herramientas que estn contenidas en el subdirectorio 2.0 mencionado directorio easy-rsa del ya
Pgina 29 de 82
cd /root/easy-rsa/2.0
Desde esta ubicacin, procederemos a configurar las variables que necesitamos predefinir para la creacin de nuestra autoridad certificadora y los respectivos certificados para servidor y clientes, este proceso se realiza editando el archivo vars cuya ubicacin es el directorio donde ya nos encontramos
editor /root/easy-rsa/2.0/vars
El archivo vars contiene las variables de operacin para los scripts de ayuda de creacin de los certificados, a travs de su edicin, se definirn los valores por defecto que tendrn los certificados generados, los cuales establecern la procedencia y parmetros de duracin de los mismos; estos parmetros son utilizados por el sistema de seguridad de OpenVPN para la autenticacin exitosa de los clientes que se conectarn dentro de la red. Este archivo al ser configurado con los valores deseados, se ejecutar en cualquier sesin de creacin de certificados para establecer en ambiente los parmetros con los que debern crearse los certificados que ya han sido definidos previamente. Dentro del archivo antes mencionado se encuentran una variedad de
Pgina 30 de 82
ajustes, de los cuales, nos interesa solo modificar los siguientes: KEY_SIZE (Valor por defecto 1024),
este la
parmetro potencias ms alto en tiempo ms
definir se 2 como el de
la
fuerza
de
encriptacin, sea,
recomienda parmetro, y en que servidor
colocar mientras ms
tardar
generarlas ya
consecuencia, necesitarn
tambin el proceso de autenticacin ser largo, desencriptarse mensajes ms complejos.
CA_EXPIRE (Valor por defecto 3650), indica
la cantidad en das en las que expirar la llave generada para la autoridad certificadora o CA.
KEY_EXPIRE (Valor por defecto 3650),
cantidad en das en las que expirarn los certificados llave generados para a partir la de la generada autoridad
certificadora. Se recomienda mantener este valor por debajo de la expiracin de la llave de la autoridad certificadora.
KEY_COUNTRY (Valor por defecto US), cdigo
de
dos
letras
maysculas
que
indica
el
pas de procedencia de los certificados,

Pgina 31 de 82
este
cdigo
se
rige
por
la
norma
ISO
316611. Dada la configuracin por defecto de seguridad, es necesario que todos los certificados posean el mismo pas de procedencia, inclusive si los clientes de la red privada virtual se encuentran en pases diferentes.
KEY_PROVINCE (Valor por defecto CA), valor
que
indica
la
provincia,
estado
departamento del pas de donde provienen los certificados, no se rige por ningn cdigo letras establecido, maysculas de que el pudiendo colocar al este nombres completos, o bien, un valor de dos identifique valor de estado. En la configuracin por defecto de seguridad OpenVPN, parmetro debe ser idntico para todos los certificados.
KEY_CITY (Valor por defecto SanFrancisco),
aqu se indica la ciudad de procedencia de los certificados; nuevamente, es necesario que coincida por en los todos los certificados de ayuda, es generados scripts
importante recordar que el nombre de la

11 http://www.iso.org/iso/english_country_names_and_code_elements Pgina 32 de 82
ciudad debe ir sin espacios.
KEY_ORG (Valor por defecto Fort-Funston),
este parmetro se define el nombre de la organizacin que estar utilizando la red VPN, naturalmente, en todos este los parmetro certificados debe que coincidir
sern generados, no se recomienda utilizar espacios en el nombre.
KEY_EMAIL
(Valor
por
defecto
me@myhost.mydomain)
este valor indica la electrnico que se que se de contacto direccin
direccin utilizar ser recomienda
de
correo en uso
como el
informacin los de la
plasmada
certificados,
correo electrnico del administrador de la red privada.

Para el caso de este ejemplo, definiremos los siguientes valores: KEY_SIZE=1024 (Cifrado de 1024 bits) CA_EXPIRE=3650 (Expiracin a 10 aos de la CA) KEY_EXPIRE=730 (Expiracin a 2 aos del
certificado)
KEY_COUNTRY="VE" (Pas de procedencia: Venezuela)
Pgina 33 de 82
KEY_PROVINCE="MI" (Estado de procedencia: Miranda) KEY_CITY="Caracas" (Ciudad de procedencia:

Caracas)
KEY_ORG="PruebasOpenVPN" (Nombre de la
organizacin: PruebasOpenVPN)
KEY_EMAIL="capacitacion@prueba.net.ve" (Correo
del administrador: capacitacion@prueba.net.ve)
A continuacin, procedemos a crear nuestra infraestructura de certificados para el servidor y dos clientes utilizando los scripts de ayuda.
cd /root/easy-rsa/2.0/ ./vars
Al ejecutar vars, ya tendremos los parmetros almacenados para los dems scripts de ayuda, este script nos informa, que de ejecutar el script clean-all borrar cualesquiera certificados y llaves previamente generados, esto ltimo solo se recomienda si est definiendo una CA para una red OpenVPN recin creada, al ser nuestro caso, ejecutamos tambin dicho script.
./clean-all
Procedemos luego a inicializar nuestra entidad certificadora, utilizando el
Pgina 34 de 82
script de ayuda: pkitool con el parmetro --initca (inicializar entidad certificadora).
./pkitool --initca
La herramienta pkitool proceder a generar la llave cifrada principal de la entidad certificadora, que nos ser necesaria luego para llevarla a cada cliente. La salida del comando anterior con los valores definidos previamente en vars ser la siguiente:
Using CA Common Name: PruebasOpenVPN CA Generating a 1024 bit RSA private key .++++++ ...........................++++++ writing new private key to 'ca.key' ----Al tener la llave de la entidad certificadora generada, procederemos a crear la llave principal y el certificado del servidor. Esta operacin se realizada, utilizando nuevamente el script pkitool con de el parmetro con --server nombre
nombredelservidor nombredelservidor)
(crear
certificado
servidor
Pgina 35 de 82
./pkitool --server servidorvpn
Generating a 1024 bit RSA private key .++++++ ...........................++++++ writing new private key to 'servidorvpn.key' ----Using configuration from /root/easyrsa/2.0/openssl.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName stateOrProvinceName localityName :PRINTABLE:'Caracas' organizationName :PRINTABLE:'PruebasOpenVPN' commonName :PRINTABLE:'servidorvpn' :PRINTABLE:'VE' :PRINTABLE:'MI'
Pgina 36 de 82
emailAddress :IA5STRING:'capacitacion@pruebas.net.v e' Certificate is to be certified until May 7 20:10:28 2011 GMT (730 days)
Write out database with 1 new entries Data Base Updated Con el certificado del servidor generado, procedemos a crear la llave diffiehellman12, que permitir al servidor enviar y recibir los datos de los certificados del cliente por un canal seguro aunque estos no hayan tenido contacto previo, una de las razones por las que OpenVPN es extremadamente flexible es que permite que los clientes puedan autenticarse rpidamente con datos cifrados a cualquier nivel de encriptacin sin tener que comprometer la seguridad de la red intercambiando los parmetros de autenticacin que se utilizan en el canal de comunicacin, razn por la cual OpenVPN es considerado extremadamente seguro. La creacin de la llave diffie-hellman se hace a travs del script build-dh, ubicado entre los dems scripts de ayuda en el directorio easy-rsa/2.0
12 El protocolo diffie-hellman permite el intercambio secreto de llaves entre dos partes previamente desconocidas entre s en un canal abierto sin comprometer la informacin enviada. Pgina 37 de 82
Por ltimo, procedemos a generar los certificados de cada uno de los clientes, nuevamente, mediante la utilizacin de pkitool
./pkitool cliente1 Generating a 1024 bit RSA private key ..............\....................... ...................................+++ +++ ................++++++ writing new private key to 'cliente1.key' ----Pgina 38 de 82
Using configuration from /home/julio/easy-rsa/2.0/openssl.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName stateOrProvinceName localityName :PRINTABLE:'Caracas' organizationName :PRINTABLE:'PruebasOpenVPN' commonName :PRINTABLE:'cliente1' emailAddress :IA5STRING:'capacitacion@pruebas.net.v e' Certificate is to be certified until May 7 20:26:43 2011 GMT (730 days) :PRINTABLE:'VE' :PRINTABLE:'MI'
Write out database with 1 new entries Data Base Updated Y repetimos el proceso para el segundo cliente.
Pgina 39 de 82
./pkitool cliente2
Ya que poseemos la infraestructura de llaves y certificados creados para nuestra red VPN, los copiaremos a la carpeta /etc/openvpn/prueba, para luego configurar el servidor.
cp /root/easy-rsa/2.0/keys/ca.crt /etc/openvpn/prueba cp /root/easy-rsa/2.0/keys/servidorvpn.crt /etc/openvpn/prueba cp /root/easy-rsa/2.0/keys/servidorvpn.key /etc/openvpn/prueba cp /root/easy-rsa/2.0/keys/dh.key /etc/openvpn/prueba
Configuracin de los nodos en una red con OpenVPN Al configurar un servidor OpenVPN, debemos tener claro que posee dos grandes modos de operacin, uno de ellos es el modo router (enrutador), en donde el servidor OpenVPN funcionar en una subred privada separada de la red local principal de la organizacin y de sus clientes, permitiendo nicamente trfico con el protocolo TCP/IP, por direcciones diferentes a las de la red local tanto del servidor como de los clientes. El otro modo, llamado bridge (puente), permite que OpenVPN funcione de forma transparente creando un puente entre la interfaz creada por l y alguna de las interfaces ethernet fsicamente presentes en
Pgina 40 de 82
el computador donde este se est ejecutando, lo que permite tener dentro de un mismo rango de direcciones IP, nodos por VPN y clientes fsicamente conectados a la red local del sitio, adems, el modo de puente permite el envo de trfico en protocolos diferentes al TCP/IP, posibilitando la comunicacin segura con dispositivos de red en reas geogrficas dispersas que no utilizan este protocolo. La configuracin ms usual de OpenVPN implica el modo de enrutador, aunque en este ejemplo daremos repasaremos la configuracin en cada uno de los modos antes sealados.
Configuracin del servidor en modo enrutador Canaima GNU/Linux provee con la instalacin del paquete openvpn, unos archivos de configuracin de ejemplo que podemos aprovechar para guiarnos en la configuracin de nuestro servidor, estos archivos se encuentran en el directorio /usr/share/doc/openvpn/examples/sample-config-files.
Aunque estos archivos de ejemplo pueden utilizarse para construir la configuracin de un servidor o un cliente OpenVPN, recomendamos para una fcil lectura y procesamiento de los mismos, que se creen comenzando por un archivo en blanco, tomando solo los parmetros que necesitemos de estos ejemplos.
Procederemos a crear nuestra configuracin de servidor OpenVPN en modo enrutador
Pgina 41 de 82
editor /etc/openvpn/servidor.conf
La configuracin ideal para un servidor OpenVPN en modo enrutador se muestra a continuacin, junto con una breve explicacin de cada uno de los parmetros.
port 1194
Indica el puerto donde escuchar OpenVPN (el valor por defecto es 1194)
proto udp
Protocolo comunicacin
dev tun
de
red
utilizado
en
la
Modo de operacin: tun para modo router, tap para modo puente.
ca /etc/openvpn/prueba/ca.crt
Ruta
al
certificado
de
la
entidad
certificadora.
cert /etc/openvpn/prueba/servidorvpn.crt
Ruta al certificado del servidor

key /etc/openvpn/prueba/servidor.key
Ruta a la llave de cifrado del servidor
Pgina 42 de 82
dh /etc/openvpn/prueba/dh1024.pem
Ruta al archivo con los parmetros para el protocolo diffie-hellman

server 10.70.0.0 255.255.255.0
Declaracin para indicar que esta instancia de OpenVPN es un servidor, que toma como variable la red privada virtual que estar operando en octetos completos para la subred y mscara de subred. (Es obligatorio que se indique la mscara de subred)
keepalive 10 120
Parmetro que consta de dos variables, la primera indica el tiempo en segundos que se espera para supervisar los clientes que estn activos, y la segunda indica cuanto es el tiempo mximo a esperar para declarar al cliente como desconectado una vez que no se recibe ms comunicacin del mismo.
comp-lzo
Este parmetro de configuracin habilita la compresin de los paquetes que transitan el tnel VPN, lo que permite obtener un incremento del rendimiento de la conexin.
user nobody
Usuario del sistema al que se pasaran los privilegios de operacin del tnel cuando el
Pgina 43 de 82
servicio en caso de
OpenVPN una
est de
ejecutndose. seguridad, la
(Utilizar al usuario nobody garantiza que, brecha escalacin de privilegios no permita que se ejecuten acciones como el superusuario)
group nogroup
Grupo
del
sistema
al
que
se
pasaran
los
privilegios de operacin del tnel cuando el servicio OpenVPN est ejecutndose. (El uso del grupo nogroup garantiza que, en caso de una brecha de seguridad, la escalacin de privilegios acciones sistema)
persist-key
no
permitir un grupo
que
se
ejecuten del
con
privilegiado
Este parmetro evita que se vuelvan a leer los archivos de llave y certificados cuando el por servicio un OpenVPN de es recargado (no (Es los reiniciado) por un cambio de configuracin o fallo til conectividad. se utilizan especialmente cuando
parmetros: user nobody y group nobody, ya que si se obligase a releer los archivos de llave a este usuario/grupo el servicio no tendra privilegios de acceso y el servicio no podra volver a funcionar sin recargar completamente)
Pgina 44 de 82
persist-tun
Evita levanta
que el
la
interfaz sea
virtual recreada
donde cuando
se el
tnel
servicio OpenVPN es recargado.

status /var/log/openvpn-status.log
Parmetro que indica la ruta donde residir el archivo de estado del servicio OpenVPN, este archivo es especialmente til para determinar que nodos estn conectados a la red privada virtual sin revisar el registro de actividades.
log /var/log/openvpn.log
Este parmetro indica donde, en el sistema de archivos residir el registro de actividades del servicio OpenVPN.
verb 3
Parmetro del OpenVPN
que
indica de se desea
el
nivel
informativo servicio (Posibles
registro que
actividades
del
utilizar.
Valores: 0 = solo imprimir errores fatales, 1 a 4 = imprimir mensajes de uso regular con un nivel de prolijidad menor o mayor, 5 = todo lo anterior e informacin de lectura y escritura de paquetes al tnel, 6 a 11 = modo de deteccin de errores para detectar problemas graves en el servicio)
Pgina 45 de 82
mute 20
Parmetro
que
indica
el
nmero
mximo
de
mensajes de un mismo tipo a registrar en el registro de eventos de OpenVPN.

client-to-client
Esta opcin habilita la comunicacin directa entre clientes (No dentro debe de la red si privada desea virtual. establecer utilizarse de acceso
controles
granulares
por cliente en la red privada virtual)
El archivo de configuracin se aproximara a lo que se observar a continuacin
Pgina 46 de 82
Ya con la configuracin del servidor ajustada y guardada, procedemos a inicializar el servicio OpenVPN en nuestro computador
invoke-rc.d openvpn start
Podemos servicio utilizando
controlar OpenVPN
instancias en
especficas
del al del
Canaima con
GNU/Linux,
como
parmetro invoke-rc.d
inicio/detencin/recarga
servicio, el nombre de la configuracin que estamos usando sin el sufijo .conf, en este caso, podemos utilizar el comando:
invoke-rc.d openvpn start servidor
Para verificar el funcionamiento correcto del servidor podemos auditar los registros o verificar que la interfaz de nombre tun(n) (donde n es un nmero de interfaz) est presente en nuestro sistema, este paso lo realizamos con el comando ifconfig
ifconfig tun0
tun0
Link encap:UNSPEC
Pgina 47 de 82
HW 00-00-00-
00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.70.0.1 Mask:255.255.255.255 UP POINT TO POINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 P-t-P:10.70.0.2
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collissions:0 txqueuelen:100 RX bytes:0 (0.0 B) Podemos observar que el servidor TX bytes:0 (0.0 B) OpenVPN se encuentra en
funcionamiento y ha activado la interfaz tun0, a la cual le ha asignado la direccin 10.70.0.1 con puerta de enlace 10.70.0.2 (que ser en el caso de un servidor en modo enrutador, la puerta de enlace por defecto tanto para el servidor como para los clientes).
Configuracin del cliente en modo enrutador Con el servidor OpenVPN iniciado en modo enrutador, procedemos a copiar al cliente los certificados que necesitar para autenticarse con el servidor, instalando tambin el paquete openvpn en el cliente al cual debemos de configurar para que se conecte a nuestro servidor. Los archivos que deben copiarse a los clientes son los certificados de la CA, del cliente y la llave anteriormente generada para el cliente. (se recomienda que
Pgina 48 de 82
sea por un medio seguro) En este caso, los archivos pertinentes son:
ca.crt cliente1.crt cliente1.key Los cuales residen en el servidor, en el directorio /root/easy-
rsa/2.0/keys Luego, nos ocupa la configuracin del cliente para que se conecte al servidor. En nuestro caso el servidor est ubicado en la direccin vpn.pruebas.net.ve; Por otro lado, la configuracin del cliente tiene pequeas variaciones de aquellas que estn en el servidor, las cuales se explican a continuacin, editando el archivo de configuracin luego de copiar los archivos de certificado y las llaves a /etc/openvpn/pruebas en la mquina cliente.
editor /etc/openvpn/cliente.conf
client
Indica que esta instancia de OpenVPN ser configurada como cliente.

remote vpn.pruebas.net.ve
Indica la direccin del servidor VPN (puede opcionalmente colocarse una direccin IP).
Pgina 49 de 82
port 1194
Puerto al que este cliente se conectar en el servidor.

proto udp
Protocolo de comunicacin a utilizar.

dev tun
Ya
que
el
servidor debemos
est
en el
modo modo
de de
enrutador,
conservar
tnel para la VPN.

ca /etc/openvpn/pruebas/ca.crt cert /etc/openvpn/pruebas/cliente1.crt key /etc/openvpn/pruebas/cliente1.key keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun log /var/log/openvpn.log verb 3 mute 20
Como podemos observar, las directrices server, dh, client-to-client y

Pgina 50 de 82
status no estn presentes en la configuracin del cliente. Continuamos entonces, iniciando openvpn en nuestro cliente
invoke-rc.d openvpn start cliente
Deberemos entonces proceder a probar nuestra configuracin, verificando que la interfaz tun(n) ha sido activada y que efectivamente tenemos conectividad con nuestro servidor VPN
ifconfig tun0
tun0
Link encap:UNSPEC
HW 00-00-00-
00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.70.0.6 Mask:255.255.255.255 UP POINT TO POINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 P-t-P:10.70.0.2
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collissions:0 txqueuelen:100
Pgina 51 de 82
RX bytes:0 (0.0 B)
TX bytes:0 (0.0 B)
Efectivamente, poseemos una interfaz configurada como cliente del servidor OpenVPN, podemos hacer una prueba simple de conectividad con el comando ping:
ping 10.70.0.1
PING 10.70.0.1 (10.70.0.1) 56(84) bytes of data. 64 bytes from 10.70.0.1: icmp_seq=1 ttl=64 time=65.4 ms 64 bytes from 10.70.0.1: icmp_seq=2 ttl=64 time=69.6 ms
--- 10.70.0.1 ping statistics --2 packets transmitted, 2 received, 0% packet loss, time 1001ms rtt min/avg/max/mdev = 65.403/67.513/69.623/2.110 ms
De esta manera, confirmamos que tenemos conectividad con nuestro servidor y hemos configurado adecuadamente la red privada virtual con OpenVPN.
Pgina 52 de 82
Configuracin del servidor en modo puente (bridge) Para que el funcionamiento del servidor OpenVPN en modo puente sea correcto, es necesaria la instalacin del paquete bridge-utils en Canaima GNU/Linux.
aptitude install bridge-utils
Adicionalmente, debemos tener en cuenta cual es la interfaz ethernet que utilizaremos para crear el puente para el VPN, ya que es la interfaz a la que se aadir el puente para que OpenVPN pueda unir clientes virtuales y fsicos en la VPN. Para el caso de este ejemplo, utilizaremos la interfaz de red eth0, que posee la siguiente configuracin: Direccin IP: 192.168.15.2 Mscara de Subred: 255.255.255.0 Por otro lado, es necesario que dentro de el rango de direcciones que uniremos en puente tenga suficientes direcciones libres para hacer espacio a los clientes de la red VPN que se conectaran. En este ejemplo, las direcciones desde la IP 192.168.15.200 hasta la 192.168.15.210 estn libres para ser utilizadas. Antes de proceder con la configuracin de el servidor OpenVPN, debemos ajustar los scripts de arranque y levantamiento del puente, podemos ajustar los archivos de ejemplo provistos con el paquete openvpn que residen en la carpeta /usr/share/doc/openvpn/examples/sample-scripts
Pgina 53 de 82
cp /usr/share/doc/openvpn/examples/samplescripts/bridge-start /etc/init.d
cp /usr/share/doc/openvpn/examples/samplescripts/bridge-stop /etc/init.d Luego, ajustamos los parmetros en el archivo bridge-start, para que estn de acuerdo a nuestra configuracin de red.
editor /etc/init.d/bridge-start All de la ajustaremos mscara los de parmetros subred y eth, eth_ip, de eth_netmask que el y
eth_broadcast para que coincidan con la interfaz de red a utilizar, la direccin IP misma, direccin solo difusin posee, archivo respectivamente; eth0. En lo pertinente a la configuracin del servidor, se aplicarn los pasos antes descritos para la creacin de los certificados y se procede a editar la configuracin del servidor, la cual vara muy poco de la configuracin en modo enrutador. Seguidamente, editaremos
/etc/init.d/bridge-stop si la interfaz de red que utilizamos es diferente a
Pgina 54 de 82
editor /etc/openvpn/servidorpuente.conf
port 1194 proto udp dev tap0
En este parmetro, definimos la interfaz que crear el puente y servir de tnel para la red privada virtual.
ca /etc/openvpn/prueba/ca.crt cert /etc/openvpn/prueba/servidorvpn.crt key /etc/openvpn/prueba/servidor.key dh /etc/openvpn/prueba/dh1024.pem server-bridge 192.168.15.2 255.255.255.0
192.168.15.200 192.168.15.210
El parmetro server en el modo de operacin de puente debe cambiar a server-bridge y contener como parmetros la direccin de red del adaptador a unir al puente, la mscara de subred de dicha interfaz y las direcciones IP de inicio y fin de los clientes VPN que sern parte de la red puenteada.
keepalive 10 120 comp-lzo
Pgina 55 de 82
user nobody group nogroup persist-key persist-tun status /var/log/openvpn-status.log log /var/log/openvpn.log verb 3 mute 20 client-to-client
El procedimiento correcto para la activacin de OpenVPN en modo puente se muestra a continuacin /etc/init.d/bridge-start invoke-rc.d openvpn start servidorpuente Para la desactivacin del servicio debe destruirse el puente creado, lo cual haremos posterior a la detencin del servicio OpenVPN, como se muestra a continuacin: invoke-rc.d openvpn stop servidorpuente /etc/init.d/bridge-stop Para verificar que de hecho poseemos un puente configurado con OpenVPN podemos revisar los registros o verificar la existencia de una interfaz de puente adicional en la mquina, lo que se hace, nuevamente con el comando ifconfig
Pgina 56 de 82
ifconfig br0
Link encap:Ethernet Hwaddr 00:A0:CC:39:88:DC inet addr:192.168.15.2 Bcast:192.168.15.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:4600 errors:0 dropped:0 overruns:0 frame:0 TX packets:381 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:289864 (283.0 KiB) TX bytes:37900 (37.0 KiB) Es importante recordar que la interfaz unida al puente (en esta caso eth0), delegar su configuracin en la interfaz de puente ya que esta ser la encargada de la comunicacin transparente entre los clientes locales y aquellos que pertenecen a la VPN.
Configuracin del cliente en modo puente (bridge) Esta configuracin es idntica a la configuracin del cliente en modo de enrutamiento, la nica diferencia es la de reemplazar el parmetro dev tun por dev tap para indicar que es un cliente de una red privada virtual en modo puente; Es de notar que en el cliente no se da la interfaz especfica ya que el cliente no debe hacer ningn tipo de configuracin de puente con una interfaz especfica. Para la prueba de conectividad puede hacerse igualmente con el comando ping, tanto al servidor como a cualesquiera otros nodos que estn presentes en la red local del servidor.
Pgina 57 de 82
Haciendo ping a la interfaz de puente creada en el servidor para probar el funcionamiento de la VPN
ping 192.168.15.2
PING 192.168.15.2 (192.168.15.2) 56(84) bytes of data. 64 bytes from 192.168.15.2: icmp_seq=1 ttl=64 time=65.4 ms 64 bytes from 192.168.15.2: icmp_seq=2 ttl=64 time=69.6 ms
--- 192.168.15.2 ping statistics --2 packets transmitted, 2 received, 0% packet loss, time 1311ms rtt min/avg/max/mdev = 65.403/67.513/72.245/3.454 ms
Pgina 58 de 82
TEMA 3: Enrutamiento y control de trfico En casi todos los casos de uso, se buscar enrutar de forma segura conexiones desde un cliente en una red no segura, hacia las redes privadas de una organizacin. En este tema se definen estos paradigmas de enrutamiento y la manera en que se deben configurar los servidores de VPN para garantizar un enrutamiento efectivo, seguro y protegido entre los dos extremos.
Definicin de rutas Suponiendo que el PC A es un servidor VPN y el PC B un cliente de la misma que adems se encuentra en otra red privada a la que deseamos acceder. Por lo tanto tienen 2 tarjetas de red: Una conectada a la red privada y otra a Internet. Asumiendo que se pueda hacer ping a travs del tnel, el prximo paso es rutear la subred real a travs del tnel. El objetivo es conectar de manera segura ambas redes privadas.
PC A: 192.168.1.0/24 PC B: 192.168.5.0/24
1. Se ejecuta en ambos equipos para habilitar el bit de reenvo: echo 1 > /proc/sys/net/ipv4/ip_forward
2. Se habilitan los paquetes de reenvo del dispositivo

Pgina 59 de 82
TUN a travs del cortafuegos: iptables -A FORWARD -i tun(n) -j ACCEPT
3. En el PC A se crea la ruta esttica para acceder a la red privada remota en PC B. Se utilizar IPROUTE2: ip route add 192.168.5.0/24 via 10.4.0.2
4. Posteriormente, en el PC B se crea la ruta esttica para acceder a la red privada remota en PC A: ip route add 192.168.1.0/24 via 10.4.0.1
5. Ahora cualquier mquina en el segmento privado del PC A (192.168.1.0/24) puede conectarse a cualquier mquina en el segmento privado del PC B (192.168.5.0/24) a travs del tnel seguro VPN. Lo mismo desde la sede B a la sede A.
Esta configuracin avanzada de rutas especficas puede evitarse utilizando el modo puente en la configuracin de OpenVPN.
Otra forma ms sencilla de activar estos paradigmas de enrutamiento avanzado en el modo enrutador es siguiendo el siguiente procedimiento
Pgina 60 de 82
1. Editar la configuracin del servidor VPN, en el PC A y agregar el parmetro
client-config-dir clientes
2. Crear el directorio clientes en la misma carpeta donde reside el archivo de configuracin del servidor (usualmente /etc/openvpn):
cd /etc/openvpn mkdir -p clientes
3. Crear un archivo de texto vacio con el nombre comn del cliente del cual deseamos reenvar la ruta privada, digamos que el cliente se le cre un certificado con nombre cliente2
touch /etc/openvpn/clientes/cliente2
4. Posteriormente, dejamos que el servidor VPN en el PC A sepa que en el PC B existe la subred 192.168.5.0/24, esto, lo agregaremos a travs de la declaracin iroute en el archivo de texto especfico del cliente que acabamos de configurar:
Pgina 61 de 82
echo
iroute
192.168.5.0
255.255.255.0
> /etc/openvpn/clientes/cliente2
5. Por ltimo, hacemos que el servidor OpenVPN en el PC A anuncie a los clientes de la VPN tanto la ruta detrs de si mismo (192.168.1.0/24) y la que existe detrs del PC B (192.168.5.0/24) a travs del tnel seguro VPN.
editor /etc/openvpn/servidor.conf
Agregar los parmetros: iroute 192.168.1.0 255.255.255.0 push route 192.168.1.0 255.255.255.0 push route 192.168.5.0 255.255.255.0
6. Para finalizar, reiniciamos el servicio OpenVPN
invoke-rc.d openvpn restart servidor
OpenVPN se encargar, automticamente, de enrutar el trfico hacia las redes 192.168.1.0/24 y 192.168.5.0/24 desde los clientes que se conecten, incluyendo al mismo PC B.
Pgina 62 de 82
Anexos
Ejercicio Propuesto N#1 Su unidad productiva es seleccionada para la implementacin de una red privada virtual utilizando OpenVPN en un ente pblico llamado INEAG que mantiene tres (3) clientes en diferentes regiones geogrficas del pas. Se le encarga de la configuracin y puesta en funcionamiento de dicha infraestructura de conectividad con estos clientes remotos que estn funcionando con conexiones a Internet a travs de ADSL.
Premisas del Ejercicio
El
servidor
principal
de
OpenVPN
se
encuentra
en
la
direccin
central.ineag.gob.ve, y su direccin IP es 200.23.30. esta direccin es

resoluble a travs de DNS desde cualquier parte del mundo.
El cliente posee las siguientes VLAN's privadas del lado del servidor:
10.60.0.0/24, 192.168.50.0/24 y 192.168.40.0/24, las cuales no desea que

sean accesibles desde los clientes de la VPN.

La red VPN operar en el rango 172.16.1.0/24. El cliente desea que todas las llaves y certificados tengan un cifrado de 2048 bits.
El cliente desea que todas las llaves y certificados expiren en seis (6) meses y que la autoridad certificadora tenga una vigencia de dos (2) aos.
La sede principal del cliente est ubicada en la ciudad de Barquisimeto, Edo. Lara.
Todos los clientes debern tener direcciones IP fijas asignadas a travs de la

Pgina 63 de 82
VPN, sin importar la que se le asigne, deber mantenerse en sucesivas reconexiones del cliente y debe pertenecer al rango en el que opera la VPN.
El cliente desea mantener un control granular sobre el trfico de la VPN, por lo que requiere que toda la configuracin se realice en modo de enrutador.
Solucin del ejercicio Para el caso de este ejercicio, crearemos las llaves de certificados siguiendo los pasos descritos anteriormente en este manual para el servidor y los clientes, utilizando los siguientes valores: ( Nota: Recordemos que los certificados, la llave del certificado del cliente y el certificado principal de la autoridad certificadora debe ser copiado a cada cliente) KEY_SIZE=2048 (Cifrado de 2048 bits) CA_EXPIRE=730 (Expiracin a 2 aos de la CA) KEY_EXPIRE=180 (Expiracin a 6 meses del
certificado y llaves)
KEY_COUNTRY="VE" (Pas de procedencia: Venezuela) KEY_PROVINCE="LA" (Estado de procedencia: Lara) KEY_CITY="Barquisimeto" (Ciudad de procedencia:
Barquisimeto)
KEY_ORG="INEAG" (Nombre de la organizacin:

Instituto nacinal de estudios de agricultura)
KEY_EMAIL="admini@ineag.gob.ve" (Correo del

administrador: admini@ineag.gob.ve)
Pgina 64 de 82
Procederemos a crear nuestra configuracin del servidor OpenVPN en modo enrutador
1.
En
el
equipo
que
funge
como
servidor,
instalaremos openvpn
2.
Editaremos la configuracin del servidor
editor /etc/openvpn/servidorineag.conf
3.
Verificamos que la configuracin del servidor
indique los siquientes parmetros
port 1194 proto udp dev tun ca /etc/openvpn/prueba/ca.crt cert /etc/openvpn/prueba/servidorvpn.crt key /etc/openvpn/prueba/servidor.key dh /etc/openvpn/prueba/dh1024.pem server 172.16.1.0 255.255.255.0
Pgina 65 de 82
keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun status /var/log/openvpn-status.log log /var/log/openvpn.log verb 3 mute 20 client-to-client
4.
Deberemos agregar a la configuracin del
servidor el parmetro client-config-dir , ya que es la forma en que asignaremos direcciones estticas travs de la VPN a los clientes que se conecten. Crearemos el directorio clientes en /etc/openvpn y luego volveremos a editar el archivo de configuracin para agregar la siguiente lnea
client-config-dir clientes
5.
Luego, dependiendo del CN (Nombre comn)
que asignsemos en los certificados de cliente

Pgina 66 de 82
crearemos archivos de texto plano por cada uno dentro del directorio /etc/openvpn/clientes, que tendrn la direccin IP principal del cliente dentro de la VPN (esttica) que deseamos colocar. Se ilustra a continuacin, un ejemplo para un cliente dentro de esta red VPN cuyo nombre comn es: carora y deseamos configurarle la direccin IP fija 172.31.1.103 dentro de la VPN.
echo
ifconfig-push
172.31.1.103
172.31.1.2 > /etc/openvpn/clientes/carora

Nota: Repita este proceso con los nombres comunes de los certificados que cre para los clientes en el mbito de este ejercicio.
Ya con la configuracin del servidor ajustada y guardada, procedemos a inicializar el servicio OpenVPN en central.ineag.gob.ve
Configuracin de los clientes Se explicar la configuracin de un cliente dentro del mbito de este ejercicio, La configuracin de los clientes restantes puede ser idntica, cambiando solamente la parte de la ubicacin y/o nombres de los certificados y llaves
Pgina 67 de 82
pertenecientes al mismo.
1.
Instalamos
el
paquete
openvpn
en
el
cliente
2.
Editamos la configuracin del cliente
editor /etc/openvpn/cliente.conf 3. Verificamos que la configuracin del
cliente indique los siguientes parmetros
client remote central.ineag.gob.ve port 1194 proto udp dev tun ca /etc/openvpn/certificados/ca.crt cert /etc/openvpn/certificados/cliente1.crt key
(Nota:
/etc/openvpn/certificados/cliente1.key
Estos valores son los que probablemente querr
cambiar dados los nombres de los archivos contentivos de las llaves y certificados)
Pgina 68 de 82
keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun log /var/log/openvpn.log verb 3 mute 20
Para finalizar con la configuracin del cliente, iniciamos OpenVPN
Repetiremos esta configuracin en los clientes restantes y verificaremos que se les asignaron adecuadamente las direcciones IP fijas que definimos para ellos en el servidor, en sus respectivos archivos de cliente bajo: /etc/openvpn/clientes. Podremos verificar el correcto funcionamiento de la VPN verificando que la interfaz tun0 se cre de forma apropiada en cada una de nuestras instancias, y podremos, como lo ejemplifica este documento, hacer pruebas de conectividad a travs del uso de ping o bien, conectndonos a algn
Pgina 69 de 82
servicio en el servidor o si lo deseamos, en otro de los clientes que son parte de la solucin de este ejercicio.
Pgina 70 de 82
Ejercicio Propuesto N#2 Debido a un cambio de requerimientos, el INEAG desea que las redes privadas disponibles en el servidor por medio de VLAN's sean accesibles para los clientes de la red privada virtual. Modifique la configuracin del servidor para que esto sea posible.
Pgina 71 de 82
Referencias
International Standards for Business, Government and Society (2009), English country names and code elements. Disponible en: http://www.iso.org/iso/english_country_names_and_code_elements
Schneier Bruce (1998), Cryptanalysis of Microsoft's Point-to-Point Tunneling Protocol (PPTP). Disponible en: http://www.schneier.com/paperpptp.html
Pgina 72 de 82
Glosario
Authentication Header (AH): protege la carga til IP y todos los campos de la cabecera de un datagrama IP excepto los campos mutantes, es decir, aquellos que pueden ser alterados en el trnsito, adems de resguardar opcionalmente contra ataques de repeticin utilizando la tcnica de ventana deslizante y descartando paquetes viejos. ATM (Asynchronous Transfer Mode/Modo de Transferencia Asncrona): es una tecnologa de telecomunicacin, desarrollada para hacer frente a la gran demanda de capacidad de transmisin para servicios y aplicaciones. BIND (Berkeley Internet Name Domain, anteriormente: Berkeley Internet Name Daemon): es la implementacin del estndar DNS de uso ms habitual en la Internet, especialmente en los sistemas tipo Unix, en los cuales es un estndar de facto. BIND9: es una nueva versin de BIND. Fue escrita desde cero en parte para superar las dificultades arquitectnicas presentes anteriormente para auditar el cdigo en las primeras versiones de BIND, y tambin para incorporar DNSSEC. BIND 9 incluye entre otras caractersticas importantes: TSIG, notificacin DNS, nsupdate, IPv6, rndc flush, vistas, procesamiento en paralelo, y una arquitectura mejorada en cuanto a portabilidad. Es comnmente usado en sistemas GNU/Linux. Cache: es todo duplicado del una informacin original que se almacena en un lugar de acceso ms rpido que el original. Canaima: es una distribucin GNU/Linux Venezolana basada en Debian que surge como una solucin para cubrir las necesidades ofimticas de los usuarios finales de la Administracin Pblica Nacional (APN) y para dar cumplimiento al decreto presidencial Nro. 3.390 sobre el uso de Tecnologas Libres.
Pgina 73 de 82
Datagramas: es un fragmento de paquete que es enviado con la suficiente informacin como para que la red pueda simplemente encaminar el fragmento hacia el equipo terminal de datos receptor, de manera independiente a los fragmentos restantes. DHCP (Dynamic Host Configuration Protocol / Protocolo de
Configuracin Dinmica de Servidores): permite asignar IPs de forma dinmica, e indica servidores de nombre de dominios y gateways desde un servidor a todos los clientes que se la pidan. Direcciones IP: es un nmero que identifica de manera lgica y jerrquica a una interfaz de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red o nivel 3 del modelo de referencia OSI. Distribucin: es una recopilacin de programas y ficheros (paquetes), organizados y preparados para su instalacin en las diferentes arquitecturas de hardware disponibles en el mercado, las cuales se pueden obtener a travs de Internet, o adquiriendo los CD de las mismas. DNS (Domain Name System): es un sistema de nombres que permite traducir de nombres de dominio a direcciones IP y viceversa. Dominio: nombre bsico de un conjunto de dispositivos y computadores dentro de una red, los equipos o dispositivos que lo componen cada uno posee un nombre perteneciente a ese dominio, que lo hace ms fcil de recordar en vez de utilizar direcciones numricas para acceder a los mismos. ESP (Encapsulating Security Payload): este protocolo proporciona
autenticidad de origen, integridad y proteccin de confidencialidad de un paquete. ESP tambin soporta configuraciones de slo cifrado y slo autenticacin. Frame Relay: consiste en una forma simplificada de tecnologa de
Pgina 74 de 82
conmutacin de paquetes que transmite una variedad de tamaos de tramas o marcos (frames) para datos, perfecto para la transmisin de grandes cantidades de datos. Esta tcnica se utiliza para un servicio de transmisin de voz y datos a alta velocidad que permite la interconexin de redes de rea local separadas geogrficamente a un coste menor. FQDN (Fully Qualified Domain Name): es un nombre que incluye el nombre de la computadora y el nombre del dominio asociado a ese equipo. La longitud mxima permitida para un FQDN es 255 caracteres (bytes), con una restriccin adicional a 63 bytes por etiqueta dentro de un nombre de dominio. Las etiquetas FQDN se restringen a un juego de caracteres limitado: letras A-Z de ASCII, los dgitos, y el carcter -, y no distinguen maysculas de minsculas. GPL (General Public License / Licencia Pblica General): la Licencia Pblica General de GNU o ms conocida por su nombre en ingls GNU General Public License o simplemente su acrnimo del ingls GNU GPL, es una licencia creada por la Free Software Foundation (Fundacin del Software Libre) a mediados de los 80, y est orientada principalmente a proteger la libre distribucin, modificacin y uso de software. Header (Cabecera): es la primera parte de un paquete de datos que contiene informacin sobre las caractersticas de este. HDLS (High bit rate Digital Suscriber Line / Lnea Digital de Abonado de alta velocidad): es un sistema de transmisin de datos de alta velocidad que utiliza dos pares trenzados; obteniendo velocidades superiores al Megabit en ambos sentidos. HTML (HyperText Markup Language / Lenguaje de Marcas de
Hipertexto): es el lenguaje de marcado predominante para la construccin de pginas web. Es usado para describir la estructura y el contenido en forma de texto, as como para complementar el texto con objetos tales como imgenes.
Pgina 75 de 82
IETF (Internet Engineering Task Force/Grupo de Trabajo en Ingeniera de Internet): es una organizacin internacional abierta de normalizacin, que tiene como objetivos el contribuir a la ingeniera de Internet, actuando en diversas reas, tales como transporte, encaminamiento, seguridad. Fue creada en EE.UU en 1986. IKE (Internet key exchange):es un protocolo usado para establecer una asociacin de seguridad (SA) en el protocolo Ipsec. Supone una alternativa al intercambio manual de claves, y su objetivo es la negociacin de una Asociacin de Seguridad para IPSEC, permitiendo adems especificar el tiempo de vida de la sesin IPSEC, autenticacin dinmica de otras mquinas, entre otras. IP (Internet Protocol): el protocolo de comunicaciones IP permite que redes grandes y geogrficamente diversas de computadoras, se comuniquen con otras rpida y econmicamente a partir de una variedad de eslabones fsicos. IPsec (Internet Protocol security): es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo de Internet (IP), autenticado y/o cifrando cada paquete IP en un flujo de datos. IPsec incluye tambin protocolos para el establecimiento de claves de cifrado. IPv4: es la versin 4 del Protocolo IP (Internet Protocol). Esta fue la primera versin del protocolo que se implement extensamente, y forma la base de Internet. IPv4 usa direcciones de 32 bits, limitndola a 2 32 = 4.294.967.296 direcciones nicas, muchas de las cuales estn dedicadas a redes locales (LANs). IPv6: es una nueva versin de IP (Internet Protocol) y est destinado a sustituir a IPv4, cuyo lmite en el nmero de direcciones de red admisibles est empezando a restringir el crecimiento de Internet y su uso; pero el nuevo estndar mejorar el servicio globalmente; por ejemplo, proporcionar a
Pgina 76 de 82
futuras celdas telefnicas y dispositivos mviles con sus direcciones propias y permanentes. IPX (Internetwork Packet Exchange / Intercambio de paquetes
interred): es un protocolo de comunicaciones NetWare que se utiliza para encaminar mensajes de un nodo a otro. Los paquetes IPX incluyen direcciones de redes y pueden enviarse de una red a otra. ISC BIND: el nombre completo original del servidor BIND9 desarrollado por la Internet Systems Consortium. LAN (Local rea Network): es la interconexin de varias computadoras y perifricos. Su extensin est limitada fsicamente a un edificio o a un entorno de hasta 200 metros; su aplicacin ms extendida es la interconexin de computadoras personales y estaciones de trabajo en oficinas, fbricas, etc., para compartir recursos e intercambiar datos y aplicaciones. L2F (Layer 2 Forwarding): fue diseado por Cisco para establecer tneles de trfico desde usuarios remotos hasta sus sedes corporativas. La principal diferencia entre PPTP y L2F es que, como el establecimiento de tneles de L2F no depende de IP, es capaz de trabajar directamente con otros medios, tales como Frame Relay o ATM. L2F utiliza el protocolo PPP para la autenticacin del usuario remoto, pero tambin implementa otros sistemas de autenticacin como TACACS+ (Terminal Access Controller Access Control System ) y RADIUS (Remote Authentication Dial-In User Service). L2TP (Layer 2 Tunneling Protocol): fue creado para corregir las deficiencias entre los protocolos PPTP y L2F, para establecerse como un estndar aprobado por el IETF. L2TP utiliza PPP para proporcionar acceso telefnico, que puede ser dirigido a travs de un tnel por Internet hasta un punto determinado. L2TP define su propio protocolo de establecimiento de tneles, basado en L2F.
Pgina 77 de 82
NAT (Network Address Translation/Traduccin de Direccin de Red): es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes, que se asignan mutuamente direcciones incompatibles. Consiste en convertir en tiempo real las direcciones utilizadas en los paquetes transportados. Tambin es necesario editar los paquetes, para permitir la operacin de protocolos que incluyen informacin de direcciones dentro de la conversacin del protocolo. NETBIOS (Network Basic Input/Output System): es una especificacin de interfaz para acceso a servicios de red, es decir, una capa de software desarrollado para enlazar un sistema operativo de red con hardware especfico. Nombres de dominio: son direcciones nemotcnicas o alias que identifican un sitio de Internet. OpenVPN: ofrece conectividad punto-a-punto con validacin jerrquica de usuarios y host conectados remotamente, resulta una muy buena opcin en tecnologas Wi-Fi, y soporta una amplia configuracin (como por ejemplo balanceo de cargas, entre otras). Est publicado bajo la licencia GPL, de software libre. OSI (Open Source Initiative): es una organizacin dedicada a la promocin del cdigo abierto. Fue fundada en febrero de 1998 por Bruce Perens y Eric S. Raymond. Protocolos Criptogrficos: tambin llamado protocolo criptogrfico o
protocolo de cifrado, es un protocolo abstracto o concreto que realiza funciones relacionadas con la seguridad, aplicando mtodos criptogrficos. PPP (Point-to-point Protocol/Protocolo Punto a Punto) : permite
establecer una comunicacin a nivel de enlace entre dos computadoras. Generalmente, se utiliza para establecer la conexin a Internet de un particular
Pgina 78 de 82
con su proveedor de acceso a travs de un mdem telefnico. Ocasionalmente tambin es utilizado sobre conexiones de banda ancha. PPTP (Point to Point Tunneling Protocol): es un protocolo de red creado por Microsoft que permite la realizacin de transferencias seguras desde clientes remotos a servidores emplazados en redes privadas, empleando para ello tanto lneas telefnicas conmutadas como Internet. RADIUS (Remote Authentication Dial-In User Service): es un protocolo de autenticacin y autorizacin para aplicaciones de acceso a la red o movilidad IP. RSA: el sistema criptogrfico con clave pblica RSA es un algoritmo asimtrico que hace cifrado de bloques y utiliza una clave pblica, la cual se distribuye en forma autenticada (preferentemente), y otra privada, la cual es guardada en secreto por su propietario. SGML (Standard Generalized Markup Language / Estndar de Lenguaje de Marcado Generalizado): consiste en un sistema para la organizacin y etiquetado de documentos. El lenguaje SGML sirve para especificar las reglas de etiquetado de documentos y no impone en s ningn conjunto de etiquetas en especial. Sistema Operativo: es un software que administra y controla las actividades, y recursos de la computadora. Comprende todos aquellos paquetes que le permiten al computador funcionar como un conjunto de herramientas e intrpretes de comandos. SSL (Secure Sockets Layer/Protocolo de Capa de Conexin Segura): proporciona autenticacin y privacidad de la informacin entre extremos sobre Internet mediante el uso de criptogrficos. SSL/TLS (Secure Sockets Layer/Protocolo de Capa de Conexin Segura y Transport Layer Security/Seguridad de la Capa de Transporte): son
Pgina 79 de 82
protocolos criptogrficos que proporcionan comunicaciones seguras por una red, comnmente Internet. Subdominio: es un subgrupo o sub-clasificacin del nombre de dominio, el cual es definido con fines administrativos u organizativos, que podra considerarse como un dominio de segundo nivel. Normalmente es una serie de caracteres o palabra que se escriben antes del dominio. En Internet se podra decir que el subdominio se utiliza para referirse a una direccin web, que trabaja como un anexo (o sitio relacionado) de un dominio principal. SOA (Service Oriented Architecture / Arquitectura Orientada a
Servicios): es un software que administra y controla las actividades, y recursos de la computadora. Comprende todos aquellos paquetes que le permiten al computador funcionar como un conjunto de herramientas e intrpretes de comandos. SOAP (Simple Object Access Protocol): es un protocolo estndar que define cmo dos objetos en diferentes procesos pueden comunicarse por medio de intercambio de datos XML. SOAPHeader (Cabeceras SOAP): es una clase especial de bajo nivel para pasar o devolver cabeceras SOAP. Es simplemente un contenedor de datos y no tiene mtodos especiales aparte de su constructor. TACACS (Terminal Access Controller Access Control System/Sistema de Control de Acceso Mediante Control del Acceso desde Terminales): es un protocolo de autenticacin remota que se usa para comunicarse con un servidor de autenticacin comnmente usado en redes Unix. TACACS permite a un servidor de acceso remoto comunicarse con un servidor de autenticacin para determinar si el usuario tiene acceso a la red. TCP/IP (Transfer Control Protocol / Internet Protocol): conjunto de protocolos definidos por catedrticos
Pgina 80 de 82
en
el
proyecto
ARPANet
del
Departamento de Defensa de Estados Unidos, para la red universitaria Internet en los aos setenta. Esta familia de protocolos es un estndar para el intercambio de comunicaciones entre computadores. TLD (Top Level Domain): son los nombres en lo alto de la jerarqua de los DNS. Aparecen en los nombres de dominio, como "net" en "www.example.net". Los administradores del "dominio de la raz" o "zona de la raz" ("root domain" or "root zone") controlan lo que los TLDs sean reconocidos por los DNS. Los TLDs comnmente usados incluyen a .com, .net, .edu, .jp, .de, etc. TSIG (Transaction SIGnature): usa llaves o claves secretas compartidas y germinador de una sola va para proveer un significado seguro criptograficado, para identificar cada punto final de una conexin as como el estar permitido a hacer o responder a la actualizacin DNS. TTL (Time To Live): es el tiempo que un paquete permanece activo en una red. Hay un numero TTL en cada header de paquete IP, y a medida que un paquete pasa por cada router o enrutador, lo reduce por 1 este nmero. Si el paquete llega a 0, los routers o enrutadores no seguirn reenviando el paquete. Tunneling: tcnica que consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un tnel dentro de una red de computadoras. UDP (User Datagram Protocol): es un protocolo del nivel de transporte basado en el intercambio de datagramas. Permite el envo de datagramas a travs de la red, sin que se haya establecido previamente una conexin; ya que el propio datagrama incorpora suficiente informacin de direccionamiento en su cabecera. UNIX: es un sistema operativo portable, multitarea y multiusuario;
desarrollado, en principio, en 1969 por un grupo de empleados de los

Pgina 81 de 82
laboratorios Bell de AT&T. VPN (Virtual Privete Networks/Red Privada Virtual): es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo Internet. WAN (Wide Area Networks/Red de rea Amplia): es un tipo de red de computadoras capaz de cubrir distancias desde unos 100km hasta unos 1000 km, dando el servicio a un pas o un continente. XML (Extensible Markup Language / Lenguaje de Marcas Ampliable): es un metalenguaje extensible de etiquetas desarrollado por el Word Wide Web Consortium (W3C). Consiste en una simplificacin y adaptacin del SGML y permite definir la gramtica de lenguajes especficos (de la misma manera que HTML es a su vez un lenguaje definido por SGML). Por lo tanto, XML no es realmente un lenguaje en particular, sino una manera de definir lenguajes para diferentes necesidades.
Pgina 82 de 82

Manual de VPN en Canaima GNU Linux R

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual de VPN en Canaima GNU Linux R

Cargado por

Copyright:

Formatos disponibles

Redes Privadas Virtuales (VPN) en Canaima GNU/Linux

Caracas, Mayo de 2009

documentacin y conocimiento libre bajo los trminos de la

Curso Modalidad Duracin Dirigido a Requisitos previos

Objetivo del curso

Comprender los procedimientos para la configuracin de los servicios de VPN en GNU/Linux.

UNIDAD I. Redes privadas virtuales VPN

La red VPN y su equivalencia en un entorno real.

Usos comunes de las Redes Privadas Virtuales

Conexin de un cliente tipo guerrero del camino

Conexin de un cliente de red de rea local

Conexin entre redes de rea local por VPN

PPTP (Point to Point Tunneling Protocol / Protocolo de Tneles de

2 Forwarding / Reenvo en Capa 2): desarrollado

trfico cifrado, lo que comunicaciones seguras.

Modos de Operacin Existen dos grandes modos de operacin de IPSec:

la direccin IP identifica la implementada dentro del paquete.

Redes privadas virtuales con OpenVPN

podra estar soportando la red en un momento determinado.

9 Siglas en ingls de Traduccin de direcciones de red: (Network Address Translation) Pgina 22 de 82

UNIDAD II. Casos prcticos de implementacin

mismo puerto TCP o UDP.

OpenVPN presenta algunas desventajas, tales como:

Actualmente slo se puede conectar a otros computadores. Pero esto est

No es compatible con Ipsec. Tecnologa nueva crecimiento. y an en

Ampliamente implementada. Tecnologa conocida y probada. Muchas interfaces disponibles. grficas

SSL/TLS como criptografa.

Problemas de enrutamiento si ambos lados de tnel necesitan NAT.

aptitude install openvpn

parmetro potencias ms alto en tiempo ms

recomienda parmetro, y en que servidor

tambin el proceso de autenticacin ser largo, desencriptarse mensajes ms complejos.

CA_EXPIRE (Valor por defecto 3650), indica

KEY_COUNTRY (Valor por defecto US), cdigo

pas de procedencia de los certificados,

KEY_PROVINCE (Valor por defecto CA), valor

KEY_CITY (Valor por defecto SanFrancisco),

importante recordar que el nombre de la

ciudad debe ir sin espacios.

KEY_ORG (Valor por defecto Fort-Funston),

sern generados, no se recomienda utilizar espacios en el nombre.

este valor indica la electrnico que se que se de contacto direccin

direccin utilizar ser recomienda

correo electrnico del administrador de la red privada.

KEY_COUNTRY="VE" (Pas de procedencia: Venezuela)

KEY_PROVINCE="MI" (Estado de procedencia: Miranda) KEY_CITY="Caracas" (Ciudad de procedencia:

Procedemos luego a inicializar nuestra entidad certificadora, utilizando el

script de ayuda: pkitool con el parmetro --initca (inicializar entidad certificadora).

./pkitool --server servidorvpn

cp /root/easy-rsa/2.0/keys/ca.crt /etc/openvpn/prueba cp /root/easy-rsa/2.0/keys/servidorvpn.crt /etc/openvpn/prueba cp /root/easy-rsa/2.0/keys/servidorvpn.key /etc/openvpn/prueba cp /root/easy-rsa/2.0/keys/dh.key /etc/openvpn/prueba

Procederemos a crear nuestra configuracin de servidor OpenVPN en modo enrutador

Ruta al certificado del servidor

Ruta a la llave de cifrado del servidor

Ruta al archivo con los parmetros para el protocolo diffie-hellman

servicio OpenVPN es recargado.

Parmetro del OpenVPN

informativo servicio (Posibles

mensajes de un mismo tipo a registrar en el registro de eventos de OpenVPN.

por cliente en la red privada virtual)

El archivo de configuracin se aproximara a lo que se observar a continuacin

invoke-rc.d openvpn start

Podemos servicio utilizando

invoke-rc.d openvpn start servidor