CURSOZEROSHELL

CursoZeroShell

Pgina1

 QUEESZEROSHELL ZeroshellesunadistribucinLinuxparaservidoresydispositivosembebidos,queproveedeservicios de red. Es un Firewall gratuito que tiene las caractersticas de los de los equipos complejos de seguridad. Susprincipalescaractersticasson: Zeroshell es una distribucin Live CD. Esto significa que no es necesario instalarlo en el disco duro para que funcione, ya que es capaz de funcionar desde el CDROM. Logicamente la base de datos de configuracin, que contiene los datos de la red, puede ser almacenada en discos ATA, SATA, SCSI y USB. Disponedeunsistemadeactualizacionesonline Se puede descargar para formatos en tarjetas Compact Flash para instalarla en dispositivos embebidos. CursoZeroShell Pgina2 Balanceodelneasytoleranciaafallosconconexionesmultiplesdeinternet ConexionesUMTSyHSDPAutilizandomdems3G Servidordeautentificacinradius Captative Portal. Portal de validacin web para redes. El usuario debe validarse antes de podernavegar. QoS (Calidad de servicio). Permite configurar el trfico de la red para garantizar un ancho de bandamnimo HTTPProxytransparente. Puntodeaccesowireless HosttoLanVPN.VPNcliente LantoLanVPN.VPNentreservidores Routerconrutasdinmicasyestticas SoportedelanVirtual Filtrodepaquetes,incluidoentrficoP2P Traduccindedirecciones(NAT) TCP/UPDPortForwardingparalapublicacindeservidoresinternos ServidorDNSmultizona ClientePPPoEparalaconexinxDSL ClienteDNSdinmico AutenticacinKerberos5 AutenticacinLDAP,NISyRADIUS SincronizacinconActiveDirectory EntidadcertificadoraX509

 Zeroshell dispone de un interfaz web para su configuracin, pero tambin puede ser administrado desdeunterminalremoto(ssh) ZeroshellnoestbasadoenningunadistribucindeLinux,comoporejemploUbuntuestbasadoen Debian. Sepuedendescargarlosdiferentespaquetesqueloforman,paraadaptarloanuestrohardware QueesZeroshell.Caractersticas INSTALACINDEZEROSHELL Debemos introducir el CD de instalacin descargado. Este manual recoge la distribucin ZeroShell1.0.beta12.iso,peroinstaladaenunamaquinavirtual. UnaveziniciadoelsistemaconelCDdentro,accedemosalapantalladeiniciodesesin.Pordefecto Zeroshellseinstalaconladireccinip192.168.0.75. Lapantallainicialdeconfiguracinqueveremosdespusdelainstalacines:

Lo primero que debemos hacer es cambiar la contrasea de acceso. EL nombre de usuario es admin ypordefectonotieneclave. PulsamossobrelaletraPparaintroducirlacontrasea. Una vez cambiada la contrasea accedemos a la pantalla de configuracin via web, ya que es ms amigablequelaadministracinporlneadecomandos.

CursoZeroShell

Pgina3

 Debemos de tener en cuenta que para administrar Zeroshell via web, debemos de tener en nuestro equipounadireccinIPdelmismorango.

En la primera pantalla de administracin, introducimos el usuario y la clave (usuario admin, clave la quehemosintroducido)

CursoZeroShell Pgina4

 GUARDARCONFIGURACION Zeroshell permite su instalacin en el disco duro, pero en este manual vamos a tratar la distribucin Live con la configuracin guardada en el disco duro. Si no hicisemos esto, cada vez que arrancsemoselsistema,iniciaraunanuevainstalacindeZeroshell. Este sistema tiene grandes ventajas, ya que podemos guardar distintas configuraciones para realizar pruebas. Dado que nuestro sistema es una maquina virtual, y el disco duro esta creado pero no configurado, debemos crear una particin en nuestro disco duro virtual. Esta operacin no es necesaria en aquellosequiposenlosqueveamosunaparticinenelmenPROFILE

Paracrearaparticin,realizaremoslassiguientesacciones Marcamos la particin con la etiqueta Model: VMware, VMware virtual S (SDA) para que nos aparezcaelmendeaccionesquepodemosrealizar.

CursoZeroShell

Pgina5

 A continuacin hacemos clic en el botn New Partition para acceder a la ventana de creacin de particineneldiscodurovirtual

En esta pantalla vamos a crear una particin para almacenar nuestra configuracin. EL formato de la particin,serExtended3yeltamaoelMximodisponible.(Opcionespordefecto).Unavezcreada laparticin,nosaparecerlapginadePROFILESconlanuevaparticincreada.

CursoZeroShell Pgina6

 Paracrearunperfil,debemosdeseleccionarlaparticinquehemoscreado(sda1)ynosaparecerel menparacrearnuestroperfil

Pulsamos sobre el botn de Create Profile para que nos aparezca la ventana de creacin de perfil, dondenossolicitarlosdatosnecesarios.

Los datos que introduciremos en esta pantalla sern los datos que se guardarn en el perfil, y nuestrosistemaseiniciarconesaconfiguracin. Description: La descripcin del perfil, por si tenemos varios perfiles, poder identificarlos correctamente El nombre DNS que tendr nuestra mquina. Introduciremos zX.demoX.es. LasXhayquesustituirlaporelnmerodeequipodelaula

Hostname:

CursoZeroShell

Pgina7

 Kerberos5: LDAPBase: demoX.es dc=demoX,dc=es Laclavedeadministradorquequeramos Laconfirmacindelaclaveintroducida Seleccionaremoselinterfaceautilizarenlaredinterna LaconfiguracinIPdenuestratarjetadered Puertadeenlacedenuestraconexin.

Adminpassword: Confirmpassword: Ethernetinterface: IPAdress/Netmask DefaultGateway:

Una vez introducidos estos datos, pulsamos sobre el botn CREATE situado en la parte superior derecha,ynosaparecerlapantalladePROFILES,conlainformacindelperfilcreado

Paraactivaresteperfildebemosseleccionar_DB.001

Ynosaparecerelmendeactivacindeperfil.

CursoZeroShell Pgina8

 PulsaremossobreelbotndeACTIVATEparaactivarelperfilquecreamos. Nosaparecerlapantalladeactivacindeperfil,indicndonosquenoestactivo.

PulsaremossobreelbotnACTIVATE. Elsistemasereiniciarconlaconfiguracinquehemoscreado. INSTALACINDEZEROSHELLENELDISCODURO Paralainstalacineneldiscoduro,debemosbajarelficheroparatarjetaIDE,SATAydiscosUSBde lapginawebhttp://www.zeroshell.org.Esteficheroseencuentraenlaseccindedownloads.

Necesitamos tener instalado un cliente ssh para acceder al sistema y poder copiar la imagen en nuestrodiscoduro. CursoZeroShell Pgina9

 Para acceder remotamente a nuestro Zeroshell, debemos habilitar la opcin que nos permitir administrarloremotamente.AccedemosalaopcinSSHdelmenprincipal

Ynosaparecerlapantalladeactivacindelaccesoremoto

Por defecto nos muestra que el acceso est concedido para la red en la cual tenemos instalado nuestro Zeroshell. Podemos configurar otras redes para que puedan administrar remotamente el sistema. En esta pantalla debemos marcar la opcin Enabled y despus pulsar sobre el botn SAVE para guardarlaconfiguracin. Acontinuacinpodemosaccederconunclientessh(putty)anuestrosistema.Debemosintroducirel usuarioyclavedelsistema(usuarioadmin,ylaclaveintroducidaalcrearelperfil). Al no tratarse de un sistema Linux convencional, una vez introduzcamos el usuario y la contrasea accederemosalmendeconfiguracinbasadoentexto.

CursoZeroShell

Pgina10

 Una vez que nos aparece el men, tecleamos la letra S para acceder a la Shell. Aunque Zeroshell no estbasadoenningunadistribucinLinuxenconcreto,soportacasitodosloscomandosdecualquier sistemaLinux.

Introduciremoslallaveusbconelficherodescargadoenelsistema,yejecutamoselcomandofdiskl paraquenosmuestrelasparticiones.

Enesteejemplo,Zeroshellestinstaladoen/dev/hda1ylallaveusbesten/dev/sda1 A continuacin debemos montar la llave USB en un directorio, para poder proceder a la copia del archivodeimagen.Paraelloejecutaremoslossiguientescomandosenlaconsola:

CursoZeroShell

Pgina11

UnavezmontadalallaveUSB,procederemosalacopiadelaimagen

Debemos extraer el CD del sistema, para que al arrancar utilice la imagen que hemos cargado en el disco duro del ordenador. AL realizar esta accin, si habamos configurado un perfil, este se eliminar,yaquelaimagensobrescribirtodalainformacindelsistema. CONFIGURACINDELARED En el siguiente esquema, mostramos una configuracin de red tpica, que vamos a realizar a travs deunsistemaconZeroshell

CursoZeroShell Pgina12

 En una red tpica, tenemos una salida a internet, probablemente unida a un router xDSL o de Cable, por lo que tendremos que configurar la correspondiente tarjeta de red del equipo que tiene instaladoZeroshellparaqueseconectealrouterdesalida. ParaelloaccedemosalmenNETWORKyseleccionamoselinterfaceETH1

Una vez seleccionado el interface, pulsamos sobre el botn ADD IP para aadirle una direccin IP queestdentrodelareddelrouterdesalida.

SedebeconsultarladocumentacinadjuntaparaverquedireccionesIPtenemosqueintroducir Unavezguardadosloscampos,volvemosalapantalladeNETWORKdondeveremosnuestrosdos interfacesderedconsucorrespondientedireccinIP.

CursoZeroShell Pgina13

 A continuacin, configuraremos nuestro router para que nos permita la salida a internet realizando NAT (Traduccin de direcciones) entre la red interna y la externa. Para ello debemos comprobar que elGatewayeselcorrecto. Accedemos al men del Gateway pulsando sobre el botn GATEWAY, y configuraremos la direccin IP de nuestra salida a internet. Generalmente esta direccin suele ser la de nuestro router xDSLodecable.

Acontinuacinconfiguraremoslatraduccindedireccionesdelosinterfacesdered.Comonuestra redinternaestconectadaalinterfazETH00,debemosconfigurarnuestrared,paraquehagaNAT sobreelinterfaceETH01 AccedemosalmendelaizquierdaROUTERynosaparecelasiguientepantalla

CursoZeroShell Pgina14

 Accediendo al men NAT veremos una pantalla donde nos indica los interfaces de red de nuestro equipo,debiendoseleccionarelinterfaceETH01

Guardamos los cambios y a continuacin comprobamos que desde nuestra red podemos acceder a algunadireccindeinternet. CONFIGURACINDELSERVIDORDHCP EL servidor DHCP es un servidor que asigna dinmicamente direcciones IP a los equipos de nuestra red, con todos los datos necesarios para que no tengamos que configurar nada. Es muy til ya que nos olvidamos de que cada vez que unamos un equipo a la red, tengamos que configurarlo con su direccinIP,supuertadeenlaceylosservidoresDNS. Tambin podemos asignar a los equipos siempre la misma direccin IP, ya que el servidor DHCP nos permitirasignarlasenfuncindelasdireccionesMACdelastarjetasdered. Para configurar el servicio DHCP, accedemos al men DHCP situado a la izquierda y veremos la siguientepantalla

CursoZeroShell

Pgina15

Enestemomentonotenemosningnrangodedireccionesconfiguradoparaqueelservidorlas asignealosequipos. VamosaasignarlasdireccionesIPdela50ala99,siguiendolasinstruccionesderedquefiguranen elmanual,indicandotambincualeslapuertadeenlace(direccinIPinternadeZeroshell)yel servidorDNS(direccinIPinternadeZeroshell) Debemos crear una subred para poder asignar direcciones IP a nuestra red. Pulsamos sobre el botn NEW en la esquina superior derecha y seleccionamos el interface ETH00, que es el de nuestra red interna.

CursoZeroShell Pgina16

 Pulsamos sobre el botn OK para configurar los rangos de direcciones que se asignarn a los clientes

DebemosmarcarEnabledypulsarsobreelbotnSAVE A partir de este momento, cuando encendamos un equipo, nuestro router Zeroshell le asignar una direccinIPconlosdatosquehemosconfiguradoennuestroservidor.

CursoZeroShell

Pgina17

 SERVIDORDNS No es necesario configurar el servidor DNS de Zeroshell, pero si activarlo, salvo que queramos tener unDNSpropioennuestraredynoutilizarelquenosfacilitanuestroproveedordeinternet. LacreacindeunservidorDNSnoesunatareasencilla,porloquenoestalalcancedeestemanual. De todas formas, cualquier usuario que est familiarizado con los servidores DNS podr crear fcilmentelaszonasnecesariasydardealtalosnombresatravsdelinterfazwebdeZeroshell. CONFIGURACINDERUTASESTTICAS Supongamos que tenemos que en nuestra ubicacin hay dos redes diferentes. Lo que debemos configurar es que cualquier peticin que no vaya a nuestra red, adonde debe de ir. Por defecto, cualquier conexin que hagamos a una direccin IP ajena a nuestra red interna, Zeroshell tratar de enviarlaporelGateway(puertadesalida)quelehemosindicadoenlaconfiguracin. Si debemos acceder a otro departamento, cuyas direcciones IP son del tipo 172.0.0.1, debemos decirleanuestrorouterquesialguienaccedeaalgunadeestasdireccionesIP,envezdeenviarlapor elGateway,laenvealareddedestino. Lgicamente,paraestesupuesto,debemosdetenertresinterfacesderedennuestrosistema.Noes necesario que sean tres interfaces de red fsicos, si no que pueden ser dos interfaces de red fsicos y unaVPNentreservidores. AbordaremoslacreacinderutasestticasenelcaptulodecreacindeVPNentreservidores,aque haremosunejemploprctico. CONFIGURACINDELPROXYTRANSPARENTE Enesteapartado,configuraremosunproxytransparenteconantivirusparafiltrarloscontenidosque nuestrosusuariosdescargandeinternet. Las pginas Web son cada vez ms los medios ms frecuentes por los que los gusanos y los virus se propagan en la Internet. Ya sea intencionalmente o porque son vulnerables y por lo tanto modificables sin el conocimiento de sus autores, las pginas Web a veces tienen referencias de cdigo ejecutable que puede infectar a los usuarios. Adems, la situacin ha empeorado desde que una serie de vulnerabilidades en el sistema de visualizacin de las imgenes ha permitido a los virus portarsedentrodearchivosJPEG. La mejor solucin para este tipo de problema es proporcionar a todos los dispositivos cliente que se conectan a Internet con un buen programa antivirus con proteccin en tiempo real, comprobando todoslosarchivosdeentrada.Sinembargo,estopuedenosersuficientepordosrazones: ningn programa antivirus, incluso los que s tienen firma de mecanismos de actualizacin, puedeproporcionarunagarantadel100%contratodoslosvirus

CursoZeroShell

Pgina18

 la verificacin en tiempo real del contenido entrante es bastante pesada en trminos de clculo y en particular en los dispositivos cuyo funcionamiento no es demasiado bueno, puede ralentizar el sistema hasta el punto de hacer que los usuarios deshabiliten la proteccinentiemporealdelantivirus.

Por estas razones, el chequeo de virus se realiza cada vez ms en capas superiores, antes que virus potenciales puedan llegar los usuarios. En otras palabras, los sistemas centralizados de antivirus se utilizanenlosservidoresqueofrecen unservicioenparticular. Elejemplomsextendido eseldelos servidores de correo electrnico, que tienen un sistema que analiza los mensajes entrantes y salientes a travs de SMTP y analizan los archivos adjuntos en busca de virus. En este caso, la aplicacin de verificacin de antivirus en una puerta de enlace SMTP es muy natural, ya que los correoselectrnicosestnobligadosapasarporella,antesdellegaralbuzndelusuario. Para el servicio HTTP, esto no es tan insignificante, ya que un cliente potencial de Internet se puede conectardirectamenteacualquieradelosservidoresWebdisponiblesenInternet.Lasolucinaeste problemaconsisteenlaintroduccindeunniveldeaplicacindepuertadeenlacealaredlocalpara recoger las peticiones HTTP de clientes y los remitir a los servidores Web pertinentes. Este aplicacindepuertadeenlacesedenominaProxyWebyyaqueescapazdeinterpretarelprotocolo HTTP, no slo filtra sobre la base de las URL sino que tambin puede controlar el contenido transportado(HTML,JavaScript,JavaApplet,imgenes,...)ylosexploraenbuscadevirus. UnadelasfuncionesmscomunesdelosProxyhastaelmomentohansidolascachsWeb,esdecir, archivos almacenados de las pginas Web que ya han sido visitadas, con el fin de acelerar la visualizacin de las mismas URL para las solicitudes posteriores. El objetivo de esto es tambin reducir el consumo de ancho de banda en Internet y uno de los ms conocidos Proxy, capaz de realizarfuncionesdeWebCacheesSquid,distribuidoconlicenciaOpenSource. Zeroshell no se integra con Squid, ya que no recoge las pginas Web. La tarea de un programa de antivirus centrada en la red y el filtrado de contenidos, utilizando las listas negras de URL, es manejado por HAVP como sistema de representacin y ClamAV como antivirus. Ambos se distribuyenbajolicenciaGPL. Uno de los mayores problemas cuando se utiliza un servidor Proxy es la de la configuracin de todos los navegadores Web para usarlo. Por tanto, es necesario especificar su direccin IP o nombre de HostyelpuertoTCPenelqueresponde(porlogeneralelpuerto8080).Estopodraserunacargaen el caso de redes de rea local con numerosos usuarios, pero peor an, no se podra garantizar que los usuarios no eliminen esta configuracin para obtener acceso directo a la Web, evitando as la verificacindeantivirus,elregistrodeaccesoylistasnegras. Para resolver este problema, Zeroshell utiliza el modo de Proxy transparente que implica automticamentelacapturadelassolicitudesdeclienteenelpuertoTCP80. Obviamente, para Zeroshell poder captar estas peticiones Web, debe ser configurado como un Gateway de la red, de modo que el trfico de Internet de los cliente pase a travs de ella. Zeroshell automticamente captura las peticiones HTTP si se trata de un nivel 2 de puerta de enlace (puente entre Ethernet, WiFi o la interfaz VPN) o de la capa 3 de puerta de enlace (enrutador). Sin embargo, esimportanteespecificarlasinterfacesderedIPosubredesalasquelassolicitudesdebenser CursoZeroShell Pgina19

 redirigidas. Esto se hace mediante la adicin de las llamadas HTTP Capturing Rules (Reglas de CapturasdeHTTP). AccedemosalmenHTTPProxyqueestsituadoalaizquierda.

Vamos a configurar nuestro sistema para que intercepte las peticiones que pasan por la interfaz de redETH00,queesnuestraredinterna. Paraellopulsamossobreelbotn+

CursoZeroShell Pgina20

 Dejamos en blanco el campo de Source IP y Destination IP ya que queremos que capture todas laspeticionesdelared.Alguardar,accederemosalapantallainicialdelProxytransparente

Debemos pulsar sobre el botn SAVE para activar el servicio. Automticamente Zeroshell actualizar la base de datos de definiciones de antivirus (se puede comprobar pulsando sobre el botnUpdateLog. Si queremos ver las peticiones que hacen nuestros usuarios, debemos activar la opcin Any access enelelementoAccessLogging(checkthelawinyourcountry)

CursoZeroShell

Pgina21

 No es recomendable tener esta opcin activada, ya que generara mucha informacin en los logs de nuestrosistema,ylovolveramslento. En lo relativo al antivirus, nuestro sistema comprobar las definiciones de virus cada 12 horas, y si hay alguna novedad las actualizar. Debemos seleccionar en la lista de Country of the Mirror a Spain(Espaa) Para probar si nuestro antivirus funciona correctamente, podemos acceder a la pgina http://www.eicar.org/anti_virus_test_file.htm y descargar alguno de los virus de ejemplo que aparecenenlapginayobservaremosquenuestrosistemalointerceptaynosavisadel. Aparte de tener nuestra red parcialmente protegida para las descargas de los usuarios, tambin podemosagregarlistasnegrasyblancas. Una lista negra son direcciones de pginas web que no queremos que nuestros usuarios vean. Una lista blanca son direcciones de pginas web que permitimos a nuestros usuarios que accedan. Estas dosopcionesaparecendeshabilitadaspordefecto. Lo normal es configurar las listas negras con sitios web que sepamos que van a generar trfico no deseado(sitiosdedescargasP2P,youtube,etc) En el caso de que algn usuario acceda a un sitio web que este en nuestra lista negra, le aparecer unapantallacomolaquesigue:

CursoZeroShell

Pgina22

 CONFIGURACIONDELAAUTORIDADCERTIFICADORAPARALASCONEXIONESREMOTAS AccedemosalmendelaizquierdaX509yacontinuacinaccedemosalmenSETUP Dentro de este apartado introducimos los datos de nuestra autoridad certificadora (CA) para poder emitircertificadosdeusuariovalidndosecontranuestraCA

Si tuvisemos algn usuario creado, al crear una nueva autoridad certificadora, los certificados que hubisemosemitidos,novaldran. CREACINDEUSUARIOS VamosacrearunusuarioparaconectarnosvaVPN. Accedemos al men USERS y a continuacin al men ADD para introducir los datos del usuario quevamosacrear. Al crear el usuario, nos crear automticamente el certificado de usuario en base a la autoridad certificadoraquehemoscreado. CursoZeroShell Pgina23

Acontinuacin,vamosaconfigurarunequipoWindowsparaaccederremotamenteanuestrared. ACCESOREMOTO.VPNCLIENTEL2TP/IPSEC Unavezhemoscreadonuestrousuario,vamosaexportarelcertificadodelaCAyelcertificadode usuario,yaquetenemosqueinstalarlosenWindowsparapoderrealizarunaVPNconestesistema operativosinlanecesidaddeinstalarsoftwareadicional. DebemosexportarelcertificadoenformatoPEM(autoridadcertificadora)yenformato PFX(certificadodeusuario),guardndolosennuestroequipo.

CursoZeroShell Pgina24

Una vez guardados en nuestro equipo, procedemos a la configuracin de Windows. Debemos guardarloscertificadosenelalmacndecertificadosdelequipo. CargamoselcomplementodecertificadosdeWindows,ejecutandoInicioEjecutarmmc

Medianteestaaplicacinvamosacargarelcomplementodecertificados. Archivoagregaroquitarcomplemento

CursoZeroShell

Pgina25

CursoZeroShell

Pgina26

Pulsamos sobre el botn aceptar de las diferentes pantallas que tenemos abiertas hasta que nos quedemosenlasiguientepantalla.

A continuacin importaremos los certificados en el almacn personal. En el caso de que no funcione la VPN, debemos comprobar que estos certificados tambin existen en la carpeta Entidades emisoras raz de confianza. Si no existiesen, debemos importarlos tambin en esta carpeta. Para importar, nos posicionamos sobre las carpetas indicadas y con el botn derecho realizamos la importacin CursoZeroShell Pgina27

Unavezimportadosloscertificados,procedemosalacreacindelaVPN. AccedemosalpaneldecontrolConexionesderedcrearunaconexinnueva CursoZeroShell Pgina28

Seleccionamosconectarsealareddemilugardetrabajo,siguienteyconexinderedprivadavirtual.

Debemosintroducirunnombreparaidentificarnuestraconexinyenlasiguientepantallaintroducir ladireccinIP,oelnombreDNSdelamaquinaalaquenosqueremosconectar.Ennuestrocasoser ladireccinIPexternadenuestramquinaZeroshell.(Consultarladocumentacin) CursoZeroShell Pgina29

Pulsamossobreelbotnsiguienteparafinalizarelasistente. Acontinuacindebemosintroducirlosdatosdeusuarioycontraseaquecreamosparapoder conectarnos,teniendocuidadoenquelosdatosqueintroduzcamossonsensitivosalasmaysculasy minsculas.

Silaconexinessatisfactoria,deberamosverungloboinformativoenlaparteinferiorderechade Windows.

Apartirdeahora,podemosconectarnosacualquiermquinadenuestrareddelaoficinacomosi estuvisemosfsicamenteenella.

CursoZeroShell

Pgina30

 ACCESOREMOTO.VPNCLIENTEOPENVPN Por defecto, en toda instalacin de Zeroshell, existe un interfaz denominado VPN99. Esta interfaz se puedeverenelmenNETWORK.

Este interfaz est deshabilitada por defecto. Para activarla, debemos de configurar nuestro sistema paraqueacepteestasconexiones. ParaactivarlasconexionesremotasaccedemosalmenVPNyactivamosestafuncionalidad

A partir de este momento, nuestros usuarios podrn conectarse a la red protegida por Zeroshell comosiestuviesedentrodelaredinterna. En funcin del tipo de autentificacin que hayamos seleccionado, debemos configurar el cliente OpenVPNdeunaformauotra.

CursoZeroShell Pgina31

 El cliente VPN se puede descargar de http://www.openvpn.net, o una versin con GUI (interfaz grfico)desdehttp://openvpn.se/.Estaltimaeslaquevamosadescargaryconfigurar. Una vez descargado el software lo instalamos en nuestro equipo. EL programa crear un interfaz virtualennuestraconfiguracindered,queloutilizarennuestrasconexionesdeVPN.

En la pgina de downloads de Zeroshell, tenemos la configuracin para utilizar con Zeroshell. A este fichero, solo tenemos que decirle cual es nuestro mtodo de autentificacin, y si es con certificado deusuario,decirledondeest. Este fichero puede descargarse de http://www.zeroshell.net/eng/download/zeroshell.ovpn y guardarloenlacarpetaconfigconnuestroscertificados. Tambin necesitamos el certificado raz de nuestro Zeroshell. Para descargarlo accedemos a la pgina inicial del Zeroshell, y sin hacer login, en la parte superior derecha tenemos un enlace para descargarlaCA.Esteficherodebemosdeguardarloenlacarpetaconfig. AcontinuacineditamoselficheroZeroshell.ovpn,yloconfiguramossiguiendolasinstruccionesque enlaparecen. CursoZeroShell Pgina32

 Debemos configurar la direccin remota de la maquina Zeroshell, el tipo de autentificacin que vamosautilizar,yenelcasodequeseaexclusivamenteconcertificado,indicarledondeestnuestro certificado. Configuracinconusuarioycontrasea: ConfigurarZeroshellparaqueuseautentificacinsoloconcontrasea

Modificarelficherodeconexinconlosdatoscorrespondientes

CursoZeroShell

Pgina33

 Configuracinconcertificado ConfigurarZeroshellparaquelaautentificacinseasoloconcertificadoX509

DebemosseleccionarenAutenticationlaCAdeservidorconlaquevamosavalidarlos certificadosdelosusuarios. Modificarelficherodeconexinconlosdatoscorrespondientes

CursoZeroShell Pgina34

 VPNLANTOLAN OtradelascaractersticasimportantesdeZeroshell,esquenospermiteunirdossistemasremotos permanentemente.Elcasomsimplementadoesladeunirdosoficinasremotas,paraquetodassus datosvayanencriptadosatravsdeuntnel MenuVPNLantoLanNewVpn

EnRemoteHostintroducimosladireccinIPdelequiporemotoalquequeremosconectar.EL puertoserel1195conprotocoloTCP.UnodelosequiposactuarcomoServeryotrocomo Client ConfiguramoslaVPNconautentificacinPreSharedKey.Generamosunaclaveconelbotn GenKeyycopiamoslaclaveenlosdosequipos. Guardamoslaconfiguracin,ydeberemosdeverquelaconexinestactiva CursoZeroShell Pgina35

AcontinuacindebemosaadirunadireccinIPalinterfazVPN00.EstadireccinIPesunadireccin cualquiera,teniendoqueserdelosrangosespecficosparalasredesinternas,peroquenoseutilice enningninterfazdenuestroZeroshell.SeutilizarparaenrutareltrficoentrelasdosVPN. Elpasomscrticoeseldeconfigurarlarutaestticaparaenrutareltrficoporeltnel. AccedemosalmenROUTER,yacontinuacinpulsamossobreelbotnAddparaaadiruna nuevaruta

EnDestinationintroducimoslaredremota,enNetmasklamscaradered.EnGateway DEBEMOSINTRODUCIRLADIRECCINIPUTILIZADAENELINTERFAZVPN00DELAREDREMOTA,yla mtricaes0. Unavezguardadosloscambios,debemosdeverenlapantallalarutacreada.Acontinuacin realizamosunpingaunamaquinaremotaparacomprobarquerespondeanuestrapeticin.

CursoZeroShell

Pgina36

 PUBLICACINDESERVIDORESINTERNOS Podemos publicar un servidor interno de nuestra red, hacindolo accesible desde internet a travs delmenROUTERpulsandosobreelbotnVirtualServer

Debemos indicar el interfaz sobre el que capturar las peticiones, la direccin IP que esperamos, el protocoloyelpuerto. AsuvezdebemosdeindicarculserladireccinIPdedestinoyelpuerto. CONFIGURACINDEMODEMS3G Zeroshell soporta la mayora de mdems 3G en dispositivo USB. En concreto la marca Huawei, que sonlosquedistribuyenlasoperadorasdetelefonaenEspaa,sonreconocidos. Debemos introducir el dispositivo USB en el sistema, y a continuacin acceder al men SETUP y pulsando el botn Network accedemos a los dispositivos de red. Debemos pulsar sobre el botn New3GModem.

CursoZeroShell

Pgina37

En el campo Modem connected to debemos seleccionar el puerto en el que est el modem. Por desgracia, los dispositivos USB comentados tienen 4 puertos, y no se identifican de ninguna forma para saber sobre el cual est el modem 3G. La nica manera es el mtodo de Prueba y Error hasta conseguirqueeldispositivoconecte. EnelcampoAPNdeberemosdeponereldenuestrooperador. Buscando en google APN 3G movistar, encontramos que para movistar es movistar.es. Buscando Vodafone,encontramosqueelAPNdeVodafoneesac.vodafone.es. Si nuestra modem 3G nos pide PIN, podemos introducirlo en optional AT string de la siguiente forma: AT+CPIN=XXXXdondeXXXXeselPIN LaopcinmsprcticaestenerguardadoelPINenelmdem3Gparaquenonoslopida. Alguardarlaconexin,debemosdevernuestrointerfazdered3Gcomocualquierotrointerfazde red.

CursoZeroShell

Pgina38

http://www.nomatch.es
soporte@nomatch.es

CursoZeroShell

Pgina39