CURSOZEROSHELL

CursoZeroShell Pgina1

QUEESZEROSHELL

ZeroshellesunadistribucinLinuxparaservidoresydispositivosembebidos,queproveedeservicios
de red. Es un Firewall gratuito que tiene las caractersticas de los de los equipos complejos de
seguridad.

Susprincipalescaractersticasson:

Balanceodelneasytoleranciaafallosconconexionesmultiplesdeinternet
ConexionesUMTSyHSDPAutilizandomdems3G
Servidordeautentificacinradius
Captative Portal. Portal de validacin web para redes. El usuario debe validarse antes de
podernavegar.
QoS(Calidaddeservicio).Permiteconfigurareltrficodelaredparagarantizarunanchode
bandamnimo
HTTPProxytransparente.
Puntodeaccesowireless
HosttoLanVPN.VPNcliente
LantoLanVPN.VPNentreservidores
Routerconrutasdinmicasyestticas
SoportedelanVirtual
Filtrodepaquetes,incluidoentrficoP2P
Traduccindedirecciones(NAT)
TCP/UPDPortForwardingparalapublicacindeservidoresinternos
ServidorDNSmultizona
ClientePPPoEparalaconexinxDSL
ClienteDNSdinmico
AutenticacinKerberos5
AutenticacinLDAP,NISyRADIUS
SincronizacinconActiveDirectory
EntidadcertificadoraX509

ZeroshellesunadistribucinLiveCD.Estosignificaquenoesnecesarioinstalarloeneldiscoduro
paraquefuncione,yaqueescapazdefuncionardesdeelCDROM.Logicamentelabasededatosde
configuracin,quecontienelosdatosdelared,puedeseralmacenadaendiscosATA,SATA,SCSIy
USB.

Disponedeunsistemadeactualizacionesonline

Se puede descargar para formatos en tarjetas Compact Flash para instalarla en dispositivos
embebidos.

CursoZeroShell Pgina2

Zeroshell dispone de un interfaz web para su configuracin, pero tambin puede ser administrado
desdeunterminalremoto(ssh)

ZeroshellnoestbasadoenningunadistribucindeLinux,comoporejemploUbuntuestbasadoen
Debian.

Sepuedendescargarlosdiferentespaquetesqueloforman,paraadaptarloanuestrohardware

QueesZeroshell.Caractersticas

INSTALACINDEZEROSHELL

DebemosintroducirelCDdeinstalacindescargado.Estemanualrecogeladistribucin ZeroShell-
1.0.beta12.iso,peroinstaladaenunamaquinavirtual.

UnaveziniciadoelsistemaconelCDdentro,accedemosalapantalladeiniciodesesin.Pordefecto
Zeroshellseinstalaconladireccinip192.168.0.75.

Lapantallainicialdeconfiguracinqueveremosdespusdelainstalacines:

Loprimeroquedebemoshacerescambiarlacontraseadeacceso.ELnombredeusuarioesadmin
ypordefectonotieneclave.

PulsamossobrelaletraPparaintroducirlacontrasea.

Una vez cambiada la contrasea accedemos a la pantalla de configuracin via web, ya que es ms
amigablequelaadministracinporlneadecomandos.

CursoZeroShell Pgina3

DebemosdetenerencuentaqueparaadministrarZeroshellviaweb,debemosdetenerennuestro
equipounadireccinIPdelmismorango.

Enlaprimerapantalladeadministracin,introducimoselusuarioylaclave(usuarioadmin,clavela
quehemosintroducido)

CursoZeroShell Pgina4

GUARDARCONFIGURACION

Zeroshellpermitesuinstalacineneldiscoduro,peroenestemanualvamosatratarladistribucin
Live con la configuracin guardada en el disco duro. Si no hicisemos esto, cada vez que
arrancsemoselsistema,iniciaraunanuevainstalacindeZeroshell.

Estesistematienegrandesventajas,yaquepodemosguardardistintasconfiguracionespararealizar
pruebas.

Dadoquenuestrosistemaesunamaquinavirtual,yeldiscoduroestacreadoperonoconfigurado,
debemos crear una particin en nuestro disco duro virtual. Esta operacin no es necesaria en
aquellosequiposenlosqueveamosunaparticinenelmenPROFILE

Paracrearaparticin,realizaremoslassiguientesacciones

Marcamos la particin con la etiqueta Model: VMware, VMware virtual S (SDA) para que nos
aparezcaelmendeaccionesquepodemosrealizar.

CursoZeroShell Pgina5

AcontinuacinhacemosclicenelbotnNewPartitionparaaccederalaventanadecreacinde
particineneldiscodurovirtual

Enestapantallavamosacrearunaparticinparaalmacenarnuestraconfiguracin.ELformatodela
particin,serExtended3yeltamaoelMximodisponible.(Opcionespordefecto).Unavezcreada
laparticin,nosaparecerlapginadePROFILESconlanuevaparticincreada.

CursoZeroShell Pgina6

Paracrearunperfil,debemosdeseleccionarlaparticinquehemoscreado(sda1)ynosaparecerel
menparacrearnuestroperfil

PulsamossobreelbotndeCreateProfileparaquenosaparezcalaventanadecreacindeperfil,
dondenossolicitarlosdatosnecesarios.

Los datos que introduciremos en esta pantalla sern los datos que se guardarn en el perfil, y
nuestrosistemaseiniciarconesaconfiguracin.

Description: La descripcin del perfil, por si tenemos varios perfiles, poder identificarlos
correctamente

Hostname: El nombre DNS que tendr nuestra mquina. Introduciremos zX.demoX.es.

LasXhayquesustituirlaporelnmerodeequipodelaula

CursoZeroShell Pgina7

Kerberos5: demoX.es

LDAPBase: dc=demoX,dc=es

Adminpassword: Laclavedeadministradorquequeramos

Confirmpassword: Laconfirmacindelaclaveintroducida

Ethernetinterface: Seleccionaremoselinterfaceautilizarenlaredinterna

IPAdress/Netmask LaconfiguracinIPdenuestratarjetadered

DefaultGateway: Puertadeenlacedenuestraconexin.

Una vez introducidos estos datos, pulsamos sobre el botn CREATE situado en la parte superior
derecha,ynosaparecerlapantalladePROFILES,conlainformacindelperfilcreado

Paraactivaresteperfildebemosseleccionar_DB.001

Ynosaparecerelmendeactivacindeperfil.

CursoZeroShell Pgina8

PulsaremossobreelbotndeACTIVATEparaactivarelperfilquecreamos.

Nosaparecerlapantalladeactivacindeperfil,indicndonosquenoestactivo.

PulsaremossobreelbotnACTIVATE.

Elsistemasereiniciarconlaconfiguracinquehemoscreado.

INSTALACINDEZEROSHELLENELDISCODURO

Paralainstalacineneldiscoduro,debemosbajarelficheroparatarjetaIDE,SATAydiscosUSBde
lapginawebhttp://www.zeroshell.org.Esteficheroseencuentraenlaseccindedownloads.

Necesitamos tener instalado un cliente ssh para acceder al sistema y poder copiar la imagen en
nuestrodiscoduro.

CursoZeroShell Pgina9

Para acceder remotamente a nuestro Zeroshell, debemos habilitar la opcin que nos permitir
administrarloremotamente.AccedemosalaopcinSSHdelmenprincipal

Ynosaparecerlapantalladeactivacindelaccesoremoto

Por defecto nos muestra que el acceso est concedido para la red en la cual tenemos instalado
nuestro Zeroshell. Podemos configurar otras redes para que puedan administrar remotamente el
sistema.

EnestapantalladebemosmarcarlaopcinEnabledydespuspulsarsobreelbotnSAVEpara
guardarlaconfiguracin.

Acontinuacinpodemosaccederconunclientessh(putty)anuestrosistema.Debemosintroducirel
usuarioyclavedelsistema(usuarioadmin,ylaclaveintroducidaalcrearelperfil).

AlnotratarsedeunsistemaLinux convencional,unavezintroduzcamoselusuarioylacontrasea
accederemosalmendeconfiguracinbasadoentexto.

CursoZeroShell Pgina10

Unavezquenosapareceelmen,tecleamoslaletraSparaaccederalaShell.AunqueZeroshellno
estbasadoenningunadistribucinLinuxenconcreto,soportacasitodosloscomandosdecualquier
sistemaLinux.

Introduciremoslallaveusbconelficherodescargadoenelsistema,yejecutamoselcomandofdiskl
paraquenosmuestrelasparticiones.

Enesteejemplo,Zeroshellestinstaladoen/dev/hda1ylallaveusbesten/dev/sda1

A continuacin debemos montar la llave USB en un directorio, para poder proceder a la copia del
archivodeimagen.Paraelloejecutaremoslossiguientescomandosenlaconsola:

CursoZeroShell Pgina11

UnavezmontadalallaveUSB,procederemosalacopiadelaimagen

DebemosextraerelCDdelsistema,paraquealarrancarutilicelaimagenquehemoscargadoenel
disco duro del ordenador. AL realizar esta accin, si habamos configurado un perfil, este se
eliminar,yaquelaimagensobrescribirtodalainformacindelsistema.

CONFIGURACINDELARED

Enelsiguienteesquema,mostramosunaconfiguracinderedtpica,quevamosarealizaratravs
deunsistemaconZeroshell

CursoZeroShell Pgina12

Enunaredtpica,tenemosunasalidaainternet,probablementeunidaaunrouterxDSLodeCable,
por lo que tendremos que configurar la correspondiente tarjeta de red del equipo que tiene
instaladoZeroshellparaqueseconectealrouterdesalida.

ParaelloaccedemosalmenNETWORKyseleccionamoselinterfaceETH1

Unavezseleccionadoelinterface,pulsamossobreelbotnADDIPparaaadirleunadireccinIP
queestdentrodelareddelrouterdesalida.

SedebeconsultarladocumentacinadjuntaparaverquedireccionesIPtenemosqueintroducir

Unavezguardadosloscampos,volvemosalapantalladeNETWORKdondeveremosnuestrosdos
interfacesderedconsucorrespondientedireccinIP.

CursoZeroShell Pgina13

Acontinuacin,configuraremosnuestrorouterparaquenospermitalasalidaainternetrealizando
NAT(Traduccindedirecciones)entrelaredinternaylaexterna.Paraellodebemoscomprobarque
elGatewayeselcorrecto.

Accedemos al men del Gateway pulsando sobre el botn GATEWAY, y configuraremos la

direccinIPdenuestrasalidaainternet.Generalmenteestadireccinsueleserladenuestrorouter
xDSLodecable.

Acontinuacinconfiguraremoslatraduccindedireccionesdelosinterfacesdered.Comonuestra
redinternaestconectadaalinterfazETH00,debemosconfigurarnuestrared,paraquehagaNAT
sobreelinterfaceETH01

AccedemosalmendelaizquierdaROUTERynosaparecelasiguientepantalla

CursoZeroShell Pgina14

AccediendoalmenNATveremosunapantalladondenosindicalosinterfacesdereddenuestro
equipo,debiendoseleccionarelinterfaceETH01

Guardamosloscambiosyacontinuacincomprobamosquedesdenuestraredpodemosaccedera
algunadireccindeinternet.

CONFIGURACINDELSERVIDORDHCP

ELservidorDHCPesunservidorqueasignadinmicamentedireccionesIPalosequiposdenuestra
red,contodoslosdatosnecesariosparaquenotengamosqueconfigurarnada.Esmuytilyaque
nosolvidamosdequecadavezqueunamosunequipoalared,tengamosqueconfigurarloconsu
direccinIP,supuertadeenlaceylosservidoresDNS.

TambinpodemosasignaralosequipossiemprelamismadireccinIP,yaqueelservidorDHCPnos
permitirasignarlasenfuncindelasdireccionesMACdelastarjetasdered.

Para configurar el servicio DHCP, accedemos al men DHCP situado a la izquierda y veremos la
siguientepantalla

CursoZeroShell Pgina15

Enestemomentonotenemosningnrangodedireccionesconfiguradoparaqueelservidorlas
asignealosequipos.

VamosaasignarlasdireccionesIPdela50ala99,siguiendolasinstruccionesderedquefiguranen
elmanual,indicandotambincualeslapuertadeenlace(direccinIPinternadeZeroshell)yel
servidorDNS(direccinIPinternadeZeroshell)

DebemoscrearunasubredparapoderasignardireccionesIPanuestrared.Pulsamossobreelbotn
NEWenlaesquinasuperiorderechayseleccionamoselinterfaceETH00,queeseldenuestrared
interna.

CursoZeroShell Pgina16

Pulsamos sobre el botn OK para configurar los rangos de direcciones que se asignarn a los
clientes

DebemosmarcarEnabledypulsarsobreelbotnSAVE

Apartirdeestemomento,cuandoencendamosunequipo,nuestrorouterZeroshellleasignaruna
direccinIPconlosdatosquehemosconfiguradoennuestroservidor.

CursoZeroShell Pgina17

SERVIDORDNS

NoesnecesarioconfigurarelservidorDNSdeZeroshell,perosiactivarlo,salvoquequeramostener
unDNSpropioennuestraredynoutilizarelquenosfacilitanuestroproveedordeinternet.

LacreacindeunservidorDNSnoesunatareasencilla,porloquenoestalalcancedeestemanual.
De todas formas, cualquier usuario que est familiarizado con los servidores DNS podr crear
fcilmentelaszonasnecesariasydardealtalosnombresatravsdelinterfazwebdeZeroshell.

CONFIGURACINDERUTASESTTICAS

Supongamos que tenemos que en nuestra ubicacin hay dos redes diferentes. Lo que debemos
configurar es que cualquier peticin que no vaya a nuestra red, adonde debe de ir. Por defecto,
cualquierconexinquehagamosaunadireccinIPajenaanuestraredinterna,Zeroshelltratarde
enviarlaporelGateway(puertadesalida)quelehemosindicadoenlaconfiguracin.

Si debemos acceder a otro departamento, cuyas direcciones IP son del tipo 172.0.0.1, debemos
decirleanuestrorouterquesialguienaccedeaalgunadeestasdireccionesIP,envezdeenviarlapor
elGateway,laenvealareddedestino.

Lgicamente,paraestesupuesto,debemosdetenertresinterfacesderedennuestrosistema.Noes
necesarioqueseantresinterfacesderedfsicos,sinoquepuedenserdosinterfacesderedfsicosy
unaVPNentreservidores.

AbordaremoslacreacinderutasestticasenelcaptulodecreacindeVPNentreservidores,aque
haremosunejemploprctico.

CONFIGURACINDELPROXYTRANSPARENTE

Enesteapartado,configuraremosunproxytransparenteconantivirusparafiltrarloscontenidosque
nuestrosusuariosdescargandeinternet.

LaspginasWebsoncadavezmslosmediosmsfrecuentesporlosquelosgusanosylosvirusse
propagan en la Internet. Ya sea intencionalmente o porque son vulnerables y por lo tanto
modificables sin el conocimiento de sus autores, las pginas Web a veces tienen referencias de
cdigoejecutablequepuedeinfectaralosusuarios.Adems,lasituacinhaempeoradodesdeque
unaseriedevulnerabilidadesenelsistemadevisualizacindelasimgeneshapermitidoalosvirus
portarsedentrodearchivosJPEG.

Lamejorsolucinparaestetipodeproblemaesproporcionaratodoslosdispositivosclientequese
conectan a Internet con un buen programa antivirus con proteccin en tiempo real, comprobando
todoslosarchivosdeentrada.Sinembargo,estopuedenosersuficientepordosrazones:

ningnprogramaantivirus,inclusolosquestienenfirmademecanismosdeactualizacin,
puedeproporcionarunagarantadel100%contratodoslosvirus

CursoZeroShell Pgina18

la verificacin en tiempo real del contenido entrante es bastante pesada en trminos de

clculo y en particular en los dispositivos cuyo funcionamiento no es demasiado bueno,
puede ralentizar el sistema hasta el punto de hacer que los usuarios deshabiliten la
proteccinentiemporealdelantivirus.

Porestasrazones,elchequeodevirusserealizacadavezmsencapassuperiores,antesquevirus
potencialespuedanllegarlosusuarios.Enotraspalabras,lossistemascentralizadosdeantivirusse
utilizanenlosservidoresqueofrecenunservicioenparticular.Elejemplomsextendidoeseldelos
servidores de correo electrnico, que tienen un sistema que analiza los mensajes entrantes y
salientes a travs de SMTP y analizan los archivos adjuntos en busca de virus. En este caso, la
aplicacin de verificacin de antivirus en una puerta de enlace SMTP es muy natural, ya que los
correoselectrnicosestnobligadosapasarporella,antesdellegaralbuzndelusuario.

ParaelservicioHTTP,estonoestaninsignificante,yaqueunclientepotencialdeInternetsepuede
conectardirectamenteacualquieradelosservidoresWebdisponiblesenInternet.Lasolucinaeste
problemaconsisteenlaintroduccindeunniveldeaplicacindepuertadeenlacealaredlocalpara
recoger las peticiones HTTP de clientes y los remitir a los servidores Web pertinentes. Este
aplicacindepuertadeenlacesedenominaProxyWebyyaqueescapazdeinterpretarelprotocolo
HTTP, no slo filtra sobre la base de las URL sino que tambin puede controlar el contenido
transportado(HTML,JavaScript,JavaApplet,imgenes,...)ylosexploraenbuscadevirus.

UnadelasfuncionesmscomunesdelosProxyhastaelmomentohansidolascachsWeb,esdecir,
archivos almacenados de las pginas Web que ya han sido visitadas, con el fin de acelerar la
visualizacin de las mismas URL para las solicitudes posteriores. El objetivo de esto es tambin
reducir el consumo de ancho de banda en Internet y uno de los ms conocidos Proxy, capaz de
realizarfuncionesdeWebCacheesSquid,distribuidoconlicenciaOpenSource.

Zeroshell no se integra con Squid, ya que no recoge las pginas Web. La tarea de un programa de
antivirus centrada en la red y el filtrado de contenidos, utilizando las listas negras de URL, es
manejado por HAVP como sistema de representacin y ClamAV como antivirus. Ambos se
distribuyenbajolicenciaGPL.

UnodelosmayoresproblemascuandoseutilizaunservidorProxyesladelaconfiguracindetodos
los navegadores Web para usarlo. Por tanto, es necesario especificar su direccin IP o nombre de
HostyelpuertoTCPenelqueresponde(porlogeneralelpuerto8080).Estopodraserunacargaen
elcasoderedesderealocalconnumerososusuarios,peropeoran,nosepodragarantizarque
los usuarios no eliminen esta configuracin para obtener acceso directo a la Web, evitando as la
verificacindeantivirus,elregistrodeaccesoylistasnegras.

Para resolver este problema, Zeroshell utiliza el modo de Proxy transparente que implica
automticamentelacapturadelassolicitudesdeclienteenelpuertoTCP80.

Obviamente, para Zeroshell poder captar estas peticiones Web, debe ser configurado como un
Gatewaydelared,demodoqueeltrficodeInternetdelosclientepaseatravsdeella.Zeroshell
automticamentecapturalaspeticionesHTTPsisetratadeunnivel2depuertadeenlace(puente
entreEthernet,WiFiolainterfazVPN)odelacapa3depuertadeenlace(enrutador).Sinembargo,
esimportanteespecificarlasinterfacesderedIPosubredesalasquelassolicitudesdebenser

CursoZeroShell Pgina19

redirigidas. Esto se hace mediante la adicin de las llamadas HTTP Capturing Rules (Reglas de
CapturasdeHTTP).

AccedemosalmenHTTPProxyqueestsituadoalaizquierda.

Vamosaconfigurarnuestrosistemaparaqueinterceptelaspeticionesquepasanporlainterfazde
redETH00,queesnuestraredinterna.

Paraellopulsamossobreelbotn+

CursoZeroShell Pgina20

DejamosenblancoelcampodeSourceIPyDestinationIPyaquequeremosquecapturetodas
laspeticionesdelared.Alguardar,accederemosalapantallainicialdelProxytransparente

Debemos pulsar sobre el botn SAVE para activar el servicio. Automticamente Zeroshell
actualizar la base de datos de definiciones de antivirus (se puede comprobar pulsando sobre el
botnUpdateLog.

Siqueremosverlaspeticionesquehacennuestrosusuarios,debemosactivarlaopcinAnyaccess
enelelementoAccessLogging(checkthelawinyourcountry)

CursoZeroShell Pgina21

Noesrecomendabletenerestaopcinactivada,yaquegeneraramuchainformacinenloslogsde
nuestrosistema,ylovolveramslento.

Enlorelativoalantivirus,nuestrosistemacomprobarlasdefinicionesdeviruscada12horas,ysi
hay alguna novedad las actualizar. Debemos seleccionar en la lista de Country of the Mirror a
Spain(Espaa)

Para probar si nuestro antivirus funciona correctamente, podemos acceder a la pgina

http://www.eicar.org/anti_virus_test_file.htm y descargar alguno de los virus de ejemplo que
aparecenenlapginayobservaremosquenuestrosistemalointerceptaynosavisadel.

Aparte de tener nuestra red parcialmente protegida para las descargas de los usuarios, tambin
podemosagregarlistasnegrasyblancas.

Unalistanegrasondireccionesdepginaswebquenoqueremosquenuestrosusuariosvean.Una
listablancasondireccionesdepginaswebquepermitimosanuestrosusuariosqueaccedan.Estas
dosopcionesaparecendeshabilitadaspordefecto.

Lo normal es configurar las listas negras con sitios web que sepamos que van a generar trfico no
deseado(sitiosdedescargasP2P,youtube,etc)

Enelcasodequealgnusuarioaccedaaunsitiowebqueesteennuestralistanegra,leaparecer
unapantallacomolaquesigue:

CursoZeroShell Pgina22

CONFIGURACIONDELAAUTORIDADCERTIFICADORAPARALASCONEXIONESREMOTAS

AccedemosalmendelaizquierdaX509yacontinuacinaccedemosalmenSETUP

Dentrodeesteapartadointroducimoslosdatosdenuestraautoridadcertificadora(CA)parapoder
emitircertificadosdeusuariovalidndosecontranuestraCA

Situvisemosalgnusuariocreado,alcrearunanuevaautoridadcertificadora,loscertificadosque
hubisemosemitidos,novaldran.

CREACINDEUSUARIOS

VamosacrearunusuarioparaconectarnosvaVPN.

AccedemosalmenUSERSyacontinuacinalmenADDparaintroducirlosdatosdelusuario
quevamosacrear.

Al crear el usuario, nos crear automticamente el certificado de usuario en base a la autoridad

certificadoraquehemoscreado.

CursoZeroShell Pgina23

Acontinuacin,vamosaconfigurarunequipoWindowsparaaccederremotamenteanuestrared.

ACCESOREMOTO.VPNCLIENTEL2TP/IPSEC

Unavezhemoscreadonuestrousuario,vamosaexportarelcertificadodelaCAyelcertificadode
usuario,yaquetenemosqueinstalarlosenWindowsparapoderrealizarunaVPNconestesistema
operativosinlanecesidaddeinstalarsoftwareadicional.

DebemosexportarelcertificadoenformatoPEM(autoridadcertificadora)yenformato
PFX(certificadodeusuario),guardndolosennuestroequipo.

CursoZeroShell Pgina24

Una vez guardados en nuestro equipo, procedemos a la configuracin de Windows. Debemos

guardarloscertificadosenelalmacndecertificadosdelequipo.

CargamoselcomplementodecertificadosdeWindows,ejecutandoInicioEjecutarmmc

Medianteestaaplicacinvamosacargarelcomplementodecertificados.

Archivoagregaroquitarcomplemento

CursoZeroShell Pgina25

CursoZeroShell Pgina26

Pulsamos sobre el botn aceptar de las diferentes pantallas que tenemos abiertas hasta que nos
quedemosenlasiguientepantalla.

A continuacin importaremos los certificados en el almacn personal. En el caso de que no

funcione la VPN, debemos comprobar que estos certificados tambin existen en la carpeta
Entidades emisoras raz de confianza. Si no existiesen, debemos importarlos tambin en esta
carpeta.

Paraimportar,nosposicionamossobrelascarpetasindicadasyconelbotnderechorealizamosla
importacin

CursoZeroShell Pgina27

Unavezimportadosloscertificados,procedemosalacreacindelaVPN.

AccedemosalpaneldecontrolConexionesderedcrearunaconexinnueva

CursoZeroShell Pgina28

Seleccionamosconectarsealareddemilugardetrabajo,siguienteyconexinderedprivadavirtual.

Debemosintroducirunnombreparaidentificarnuestraconexinyenlasiguientepantallaintroducir
ladireccinIP,oelnombreDNSdelamaquinaalaquenosqueremosconectar.Ennuestrocasoser
ladireccinIPexternadenuestramquinaZeroshell.(Consultarladocumentacin)

CursoZeroShell Pgina29

Pulsamossobreelbotnsiguienteparafinalizarelasistente.

Acontinuacindebemosintroducirlosdatosdeusuarioycontraseaquecreamosparapoder
conectarnos,teniendocuidadoenquelosdatosqueintroduzcamossonsensitivosalasmaysculasy
minsculas.

Silaconexinessatisfactoria,deberamosverungloboinformativoenlaparteinferiorderechade
Windows.

Apartirdeahora,podemosconectarnosacualquiermquinadenuestrareddelaoficinacomosi
estuvisemosfsicamenteenella.

CursoZeroShell Pgina30

ACCESOREMOTO.VPNCLIENTEOPENVPN

Pordefecto,entodainstalacindeZeroshell,existeuninterfazdenominadoVPN99.Estainterfazse
puedeverenelmenNETWORK.

Esteinterfazestdeshabilitadapordefecto.Paraactivarla,debemosdeconfigurarnuestrosistema
paraqueacepteestasconexiones.

ParaactivarlasconexionesremotasaccedemosalmenVPNyactivamosestafuncionalidad

A partir de este momento, nuestros usuarios podrn conectarse a la red protegida por Zeroshell
comosiestuviesedentrodelaredinterna.

En funcin del tipo de autentificacin que hayamos seleccionado, debemos configurar el cliente
OpenVPNdeunaformauotra.

CursoZeroShell Pgina31

El cliente VPN se puede descargar de http://www.openvpn.net, o una versin con GUI (interfaz
grfico)desdehttp://openvpn.se/.Estaltimaeslaquevamosadescargaryconfigurar.

Una vez descargado el software lo instalamos en nuestro equipo. EL programa crear un interfaz
virtualennuestraconfiguracindered,queloutilizarennuestrasconexionesdeVPN.

EnlapginadedownloadsdeZeroshell,tenemoslaconfiguracinparautilizarconZeroshell.Aeste
fichero,solotenemosquedecirlecualesnuestromtododeautentificacin,ysiesconcertificado
deusuario,decirledondeest.

Este fichero puede descargarse de http://www.zeroshell.net/eng/download/zeroshell.ovpn y

guardarloenlacarpetaconfigconnuestroscertificados.

Tambin necesitamos el certificado raz de nuestro Zeroshell. Para descargarlo accedemos a la

pginainicialdelZeroshell,ysinhacerlogin,enlapartesuperiorderechatenemosunenlacepara
descargarlaCA.Esteficherodebemosdeguardarloenlacarpetaconfig.

AcontinuacineditamoselficheroZeroshell.ovpn,yloconfiguramossiguiendolasinstruccionesque
enlaparecen.

CursoZeroShell Pgina32

Debemos configurar la direccin remota de la maquina Zeroshell, el tipo de autentificacin que

vamosautilizar,yenelcasodequeseaexclusivamenteconcertificado,indicarledondeestnuestro
certificado.

Configuracinconusuarioycontrasea:

ConfigurarZeroshellparaqueuseautentificacinsoloconcontrasea

Modificarelficherodeconexinconlosdatoscorrespondientes

CursoZeroShell Pgina33

Configuracinconcertificado

ConfigurarZeroshellparaquelaautentificacinseasoloconcertificadoX509

DebemosseleccionarenAutenticationlaCAdeservidorconlaquevamosavalidarlos
certificadosdelosusuarios.

Modificarelficherodeconexinconlosdatoscorrespondientes

CursoZeroShell Pgina34

VPNLANTOLAN

OtradelascaractersticasimportantesdeZeroshell,esquenospermiteunirdossistemasremotos
permanentemente.Elcasomsimplementadoesladeunirdosoficinasremotas,paraquetodassus
datosvayanencriptadosatravsdeuntnel

MenuVPNLantoLanNewVpn

EnRemoteHostintroducimosladireccinIPdelequiporemotoalquequeremosconectar.EL
puertoserel1195conprotocoloTCP.UnodelosequiposactuarcomoServeryotrocomo
Client

ConfiguramoslaVPNconautentificacinPreSharedKey.Generamosunaclaveconelbotn
GenKeyycopiamoslaclaveenlosdosequipos.

Guardamoslaconfiguracin,ydeberemosdeverquelaconexinestactiva

CursoZeroShell Pgina35

AcontinuacindebemosaadirunadireccinIPalinterfazVPN00.EstadireccinIPesunadireccin
cualquiera,teniendoqueserdelosrangosespecficosparalasredesinternas,peroquenoseutilice
enningninterfazdenuestroZeroshell.SeutilizarparaenrutareltrficoentrelasdosVPN.

Elpasomscrticoeseldeconfigurarlarutaestticaparaenrutareltrficoporeltnel.

AccedemosalmenROUTER,yacontinuacinpulsamossobreelbotnAddparaaadiruna
nuevaruta

EnDestinationintroducimoslaredremota,enNetmasklamscaradered.EnGateway
DEBEMOSINTRODUCIRLADIRECCINIPUTILIZADAENELINTERFAZVPN00DELAREDREMOTA,yla
mtricaes0.

Unavezguardadosloscambios,debemosdeverenlapantallalarutacreada.Acontinuacin
realizamosunpingaunamaquinaremotaparacomprobarquerespondeanuestrapeticin.

CursoZeroShell Pgina36

PUBLICACINDESERVIDORESINTERNOS

Podemospublicarunservidorinternodenuestrared,hacindoloaccesibledesdeinternetatravs
delmenROUTERpulsandosobreelbotnVirtualServer

Debemos indicar el interfaz sobre el que capturar las peticiones, la direccin IP que esperamos, el
protocoloyelpuerto.

AsuvezdebemosdeindicarculserladireccinIPdedestinoyelpuerto.

CONFIGURACINDEMODEMS3G

Zeroshellsoportalamayorademdems3GendispositivoUSB.EnconcretolamarcaHuawei,que
sonlosquedistribuyenlasoperadorasdetelefonaenEspaa,sonreconocidos.

Debemos introducir el dispositivo USB en el sistema, y a continuacin acceder al men SETUP y

pulsandoelbotnNetworkaccedemosalosdispositivosdered.Debemospulsarsobreelbotn
New3GModem.

CursoZeroShell Pgina37

EnelcampoModemconnectedtodebemosseleccionarelpuertoenelqueestelmodem.Por
desgracia, los dispositivosUSB comentados tienen 4 puertos, y no se identifican de ninguna forma
parasabersobreelcualestelmodem3G.LanicamaneraeselmtododePruebayErrorhasta
conseguirqueeldispositivoconecte.

EnelcampoAPNdeberemosdeponereldenuestrooperador.

Buscando en google APN 3G movistar, encontramos que para movistar es movistar.es. Buscando
Vodafone,encontramosqueelAPNdeVodafoneesac.vodafone.es.

Si nuestra modem 3G nos pide PIN, podemos introducirlo en optional AT string de la siguiente
forma:

AT+CPIN=XXXXdondeXXXXeselPIN

LaopcinmsprcticaestenerguardadoelPINenelmdem3Gparaquenonoslopida.

Alguardarlaconexin,debemosdevernuestrointerfazdered3Gcomocualquierotrointerfazde
red.

CursoZeroShell Pgina38

http://www.nomatch.es

soporte@nomatch.es

CursoZeroShell Pgina39