Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CursoZeroShell Pgina1
QUEESZEROSHELL
ZeroshellesunadistribucinLinuxparaservidoresydispositivosembebidos,queproveedeservicios
de red. Es un Firewall gratuito que tiene las caractersticas de los de los equipos complejos de
seguridad.
Susprincipalescaractersticasson:
Balanceodelneasytoleranciaafallosconconexionesmultiplesdeinternet
ConexionesUMTSyHSDPAutilizandomdems3G
Servidordeautentificacinradius
Captative Portal. Portal de validacin web para redes. El usuario debe validarse antes de
podernavegar.
QoS(Calidaddeservicio).Permiteconfigurareltrficodelaredparagarantizarunanchode
bandamnimo
HTTPProxytransparente.
Puntodeaccesowireless
HosttoLanVPN.VPNcliente
LantoLanVPN.VPNentreservidores
Routerconrutasdinmicasyestticas
SoportedelanVirtual
Filtrodepaquetes,incluidoentrficoP2P
Traduccindedirecciones(NAT)
TCP/UPDPortForwardingparalapublicacindeservidoresinternos
ServidorDNSmultizona
ClientePPPoEparalaconexinxDSL
ClienteDNSdinmico
AutenticacinKerberos5
AutenticacinLDAP,NISyRADIUS
SincronizacinconActiveDirectory
EntidadcertificadoraX509
ZeroshellesunadistribucinLiveCD.Estosignificaquenoesnecesarioinstalarloeneldiscoduro
paraquefuncione,yaqueescapazdefuncionardesdeelCDROM.Logicamentelabasededatosde
configuracin,quecontienelosdatosdelared,puedeseralmacenadaendiscosATA,SATA,SCSIy
USB.
Disponedeunsistemadeactualizacionesonline
Se puede descargar para formatos en tarjetas Compact Flash para instalarla en dispositivos
embebidos.
CursoZeroShell Pgina2
Zeroshell dispone de un interfaz web para su configuracin, pero tambin puede ser administrado
desdeunterminalremoto(ssh)
ZeroshellnoestbasadoenningunadistribucindeLinux,comoporejemploUbuntuestbasadoen
Debian.
Sepuedendescargarlosdiferentespaquetesqueloforman,paraadaptarloanuestrohardware
QueesZeroshell.Caractersticas
INSTALACINDEZEROSHELL
DebemosintroducirelCDdeinstalacindescargado.Estemanualrecogeladistribucin ZeroShell-
1.0.beta12.iso,peroinstaladaenunamaquinavirtual.
UnaveziniciadoelsistemaconelCDdentro,accedemosalapantalladeiniciodesesin.Pordefecto
Zeroshellseinstalaconladireccinip192.168.0.75.
Lapantallainicialdeconfiguracinqueveremosdespusdelainstalacines:
Loprimeroquedebemoshacerescambiarlacontraseadeacceso.ELnombredeusuarioesadmin
ypordefectonotieneclave.
PulsamossobrelaletraPparaintroducirlacontrasea.
Una vez cambiada la contrasea accedemos a la pantalla de configuracin via web, ya que es ms
amigablequelaadministracinporlneadecomandos.
CursoZeroShell Pgina3
DebemosdetenerencuentaqueparaadministrarZeroshellviaweb,debemosdetenerennuestro
equipounadireccinIPdelmismorango.
Enlaprimerapantalladeadministracin,introducimoselusuarioylaclave(usuarioadmin,clavela
quehemosintroducido)
CursoZeroShell Pgina4
GUARDARCONFIGURACION
Zeroshellpermitesuinstalacineneldiscoduro,peroenestemanualvamosatratarladistribucin
Live con la configuracin guardada en el disco duro. Si no hicisemos esto, cada vez que
arrancsemoselsistema,iniciaraunanuevainstalacindeZeroshell.
Estesistematienegrandesventajas,yaquepodemosguardardistintasconfiguracionespararealizar
pruebas.
Dadoquenuestrosistemaesunamaquinavirtual,yeldiscoduroestacreadoperonoconfigurado,
debemos crear una particin en nuestro disco duro virtual. Esta operacin no es necesaria en
aquellosequiposenlosqueveamosunaparticinenelmenPROFILE
Paracrearaparticin,realizaremoslassiguientesacciones
Marcamos la particin con la etiqueta Model: VMware, VMware virtual S (SDA) para que nos
aparezcaelmendeaccionesquepodemosrealizar.
CursoZeroShell Pgina5
AcontinuacinhacemosclicenelbotnNewPartitionparaaccederalaventanadecreacinde
particineneldiscodurovirtual
Enestapantallavamosacrearunaparticinparaalmacenarnuestraconfiguracin.ELformatodela
particin,serExtended3yeltamaoelMximodisponible.(Opcionespordefecto).Unavezcreada
laparticin,nosaparecerlapginadePROFILESconlanuevaparticincreada.
CursoZeroShell Pgina6
Paracrearunperfil,debemosdeseleccionarlaparticinquehemoscreado(sda1)ynosaparecerel
menparacrearnuestroperfil
PulsamossobreelbotndeCreateProfileparaquenosaparezcalaventanadecreacindeperfil,
dondenossolicitarlosdatosnecesarios.
Los datos que introduciremos en esta pantalla sern los datos que se guardarn en el perfil, y
nuestrosistemaseiniciarconesaconfiguracin.
Description: La descripcin del perfil, por si tenemos varios perfiles, poder identificarlos
correctamente
CursoZeroShell Pgina7
Kerberos5: demoX.es
LDAPBase: dc=demoX,dc=es
Adminpassword: Laclavedeadministradorquequeramos
Confirmpassword: Laconfirmacindelaclaveintroducida
Ethernetinterface: Seleccionaremoselinterfaceautilizarenlaredinterna
IPAdress/Netmask LaconfiguracinIPdenuestratarjetadered
DefaultGateway: Puertadeenlacedenuestraconexin.
Una vez introducidos estos datos, pulsamos sobre el botn CREATE situado en la parte superior
derecha,ynosaparecerlapantalladePROFILES,conlainformacindelperfilcreado
Paraactivaresteperfildebemosseleccionar_DB.001
Ynosaparecerelmendeactivacindeperfil.
CursoZeroShell Pgina8
PulsaremossobreelbotndeACTIVATEparaactivarelperfilquecreamos.
Nosaparecerlapantalladeactivacindeperfil,indicndonosquenoestactivo.
PulsaremossobreelbotnACTIVATE.
Elsistemasereiniciarconlaconfiguracinquehemoscreado.
INSTALACINDEZEROSHELLENELDISCODURO
Paralainstalacineneldiscoduro,debemosbajarelficheroparatarjetaIDE,SATAydiscosUSBde
lapginawebhttp://www.zeroshell.org.Esteficheroseencuentraenlaseccindedownloads.
Necesitamos tener instalado un cliente ssh para acceder al sistema y poder copiar la imagen en
nuestrodiscoduro.
CursoZeroShell Pgina9
Para acceder remotamente a nuestro Zeroshell, debemos habilitar la opcin que nos permitir
administrarloremotamente.AccedemosalaopcinSSHdelmenprincipal
Ynosaparecerlapantalladeactivacindelaccesoremoto
Por defecto nos muestra que el acceso est concedido para la red en la cual tenemos instalado
nuestro Zeroshell. Podemos configurar otras redes para que puedan administrar remotamente el
sistema.
EnestapantalladebemosmarcarlaopcinEnabledydespuspulsarsobreelbotnSAVEpara
guardarlaconfiguracin.
Acontinuacinpodemosaccederconunclientessh(putty)anuestrosistema.Debemosintroducirel
usuarioyclavedelsistema(usuarioadmin,ylaclaveintroducidaalcrearelperfil).
AlnotratarsedeunsistemaLinux convencional,unavezintroduzcamoselusuarioylacontrasea
accederemosalmendeconfiguracinbasadoentexto.
CursoZeroShell Pgina10
Unavezquenosapareceelmen,tecleamoslaletraSparaaccederalaShell.AunqueZeroshellno
estbasadoenningunadistribucinLinuxenconcreto,soportacasitodosloscomandosdecualquier
sistemaLinux.
Introduciremoslallaveusbconelficherodescargadoenelsistema,yejecutamoselcomandofdiskl
paraquenosmuestrelasparticiones.
Enesteejemplo,Zeroshellestinstaladoen/dev/hda1ylallaveusbesten/dev/sda1
A continuacin debemos montar la llave USB en un directorio, para poder proceder a la copia del
archivodeimagen.Paraelloejecutaremoslossiguientescomandosenlaconsola:
CursoZeroShell Pgina11
UnavezmontadalallaveUSB,procederemosalacopiadelaimagen
DebemosextraerelCDdelsistema,paraquealarrancarutilicelaimagenquehemoscargadoenel
disco duro del ordenador. AL realizar esta accin, si habamos configurado un perfil, este se
eliminar,yaquelaimagensobrescribirtodalainformacindelsistema.
CONFIGURACINDELARED
Enelsiguienteesquema,mostramosunaconfiguracinderedtpica,quevamosarealizaratravs
deunsistemaconZeroshell
CursoZeroShell Pgina12
Enunaredtpica,tenemosunasalidaainternet,probablementeunidaaunrouterxDSLodeCable,
por lo que tendremos que configurar la correspondiente tarjeta de red del equipo que tiene
instaladoZeroshellparaqueseconectealrouterdesalida.
ParaelloaccedemosalmenNETWORKyseleccionamoselinterfaceETH1
Unavezseleccionadoelinterface,pulsamossobreelbotnADDIPparaaadirleunadireccinIP
queestdentrodelareddelrouterdesalida.
SedebeconsultarladocumentacinadjuntaparaverquedireccionesIPtenemosqueintroducir
Unavezguardadosloscampos,volvemosalapantalladeNETWORKdondeveremosnuestrosdos
interfacesderedconsucorrespondientedireccinIP.
CursoZeroShell Pgina13
Acontinuacin,configuraremosnuestrorouterparaquenospermitalasalidaainternetrealizando
NAT(Traduccindedirecciones)entrelaredinternaylaexterna.Paraellodebemoscomprobarque
elGatewayeselcorrecto.
Acontinuacinconfiguraremoslatraduccindedireccionesdelosinterfacesdered.Comonuestra
redinternaestconectadaalinterfazETH00,debemosconfigurarnuestrared,paraquehagaNAT
sobreelinterfaceETH01
AccedemosalmendelaizquierdaROUTERynosaparecelasiguientepantalla
CursoZeroShell Pgina14
AccediendoalmenNATveremosunapantalladondenosindicalosinterfacesdereddenuestro
equipo,debiendoseleccionarelinterfaceETH01
Guardamosloscambiosyacontinuacincomprobamosquedesdenuestraredpodemosaccedera
algunadireccindeinternet.
CONFIGURACINDELSERVIDORDHCP
ELservidorDHCPesunservidorqueasignadinmicamentedireccionesIPalosequiposdenuestra
red,contodoslosdatosnecesariosparaquenotengamosqueconfigurarnada.Esmuytilyaque
nosolvidamosdequecadavezqueunamosunequipoalared,tengamosqueconfigurarloconsu
direccinIP,supuertadeenlaceylosservidoresDNS.
TambinpodemosasignaralosequipossiemprelamismadireccinIP,yaqueelservidorDHCPnos
permitirasignarlasenfuncindelasdireccionesMACdelastarjetasdered.
Para configurar el servicio DHCP, accedemos al men DHCP situado a la izquierda y veremos la
siguientepantalla
CursoZeroShell Pgina15
Enestemomentonotenemosningnrangodedireccionesconfiguradoparaqueelservidorlas
asignealosequipos.
VamosaasignarlasdireccionesIPdela50ala99,siguiendolasinstruccionesderedquefiguranen
elmanual,indicandotambincualeslapuertadeenlace(direccinIPinternadeZeroshell)yel
servidorDNS(direccinIPinternadeZeroshell)
DebemoscrearunasubredparapoderasignardireccionesIPanuestrared.Pulsamossobreelbotn
NEWenlaesquinasuperiorderechayseleccionamoselinterfaceETH00,queeseldenuestrared
interna.
CursoZeroShell Pgina16
Pulsamos sobre el botn OK para configurar los rangos de direcciones que se asignarn a los
clientes
DebemosmarcarEnabledypulsarsobreelbotnSAVE
Apartirdeestemomento,cuandoencendamosunequipo,nuestrorouterZeroshellleasignaruna
direccinIPconlosdatosquehemosconfiguradoennuestroservidor.
CursoZeroShell Pgina17
SERVIDORDNS
NoesnecesarioconfigurarelservidorDNSdeZeroshell,perosiactivarlo,salvoquequeramostener
unDNSpropioennuestraredynoutilizarelquenosfacilitanuestroproveedordeinternet.
LacreacindeunservidorDNSnoesunatareasencilla,porloquenoestalalcancedeestemanual.
De todas formas, cualquier usuario que est familiarizado con los servidores DNS podr crear
fcilmentelaszonasnecesariasydardealtalosnombresatravsdelinterfazwebdeZeroshell.
CONFIGURACINDERUTASESTTICAS
Supongamos que tenemos que en nuestra ubicacin hay dos redes diferentes. Lo que debemos
configurar es que cualquier peticin que no vaya a nuestra red, adonde debe de ir. Por defecto,
cualquierconexinquehagamosaunadireccinIPajenaanuestraredinterna,Zeroshelltratarde
enviarlaporelGateway(puertadesalida)quelehemosindicadoenlaconfiguracin.
Si debemos acceder a otro departamento, cuyas direcciones IP son del tipo 172.0.0.1, debemos
decirleanuestrorouterquesialguienaccedeaalgunadeestasdireccionesIP,envezdeenviarlapor
elGateway,laenvealareddedestino.
Lgicamente,paraestesupuesto,debemosdetenertresinterfacesderedennuestrosistema.Noes
necesarioqueseantresinterfacesderedfsicos,sinoquepuedenserdosinterfacesderedfsicosy
unaVPNentreservidores.
AbordaremoslacreacinderutasestticasenelcaptulodecreacindeVPNentreservidores,aque
haremosunejemploprctico.
CONFIGURACINDELPROXYTRANSPARENTE
Enesteapartado,configuraremosunproxytransparenteconantivirusparafiltrarloscontenidosque
nuestrosusuariosdescargandeinternet.
LaspginasWebsoncadavezmslosmediosmsfrecuentesporlosquelosgusanosylosvirusse
propagan en la Internet. Ya sea intencionalmente o porque son vulnerables y por lo tanto
modificables sin el conocimiento de sus autores, las pginas Web a veces tienen referencias de
cdigoejecutablequepuedeinfectaralosusuarios.Adems,lasituacinhaempeoradodesdeque
unaseriedevulnerabilidadesenelsistemadevisualizacindelasimgeneshapermitidoalosvirus
portarsedentrodearchivosJPEG.
Lamejorsolucinparaestetipodeproblemaesproporcionaratodoslosdispositivosclientequese
conectan a Internet con un buen programa antivirus con proteccin en tiempo real, comprobando
todoslosarchivosdeentrada.Sinembargo,estopuedenosersuficientepordosrazones:
ningnprogramaantivirus,inclusolosquestienenfirmademecanismosdeactualizacin,
puedeproporcionarunagarantadel100%contratodoslosvirus
CursoZeroShell Pgina18
Porestasrazones,elchequeodevirusserealizacadavezmsencapassuperiores,antesquevirus
potencialespuedanllegarlosusuarios.Enotraspalabras,lossistemascentralizadosdeantivirusse
utilizanenlosservidoresqueofrecenunservicioenparticular.Elejemplomsextendidoeseldelos
servidores de correo electrnico, que tienen un sistema que analiza los mensajes entrantes y
salientes a travs de SMTP y analizan los archivos adjuntos en busca de virus. En este caso, la
aplicacin de verificacin de antivirus en una puerta de enlace SMTP es muy natural, ya que los
correoselectrnicosestnobligadosapasarporella,antesdellegaralbuzndelusuario.
ParaelservicioHTTP,estonoestaninsignificante,yaqueunclientepotencialdeInternetsepuede
conectardirectamenteacualquieradelosservidoresWebdisponiblesenInternet.Lasolucinaeste
problemaconsisteenlaintroduccindeunniveldeaplicacindepuertadeenlacealaredlocalpara
recoger las peticiones HTTP de clientes y los remitir a los servidores Web pertinentes. Este
aplicacindepuertadeenlacesedenominaProxyWebyyaqueescapazdeinterpretarelprotocolo
HTTP, no slo filtra sobre la base de las URL sino que tambin puede controlar el contenido
transportado(HTML,JavaScript,JavaApplet,imgenes,...)ylosexploraenbuscadevirus.
UnadelasfuncionesmscomunesdelosProxyhastaelmomentohansidolascachsWeb,esdecir,
archivos almacenados de las pginas Web que ya han sido visitadas, con el fin de acelerar la
visualizacin de las mismas URL para las solicitudes posteriores. El objetivo de esto es tambin
reducir el consumo de ancho de banda en Internet y uno de los ms conocidos Proxy, capaz de
realizarfuncionesdeWebCacheesSquid,distribuidoconlicenciaOpenSource.
Zeroshell no se integra con Squid, ya que no recoge las pginas Web. La tarea de un programa de
antivirus centrada en la red y el filtrado de contenidos, utilizando las listas negras de URL, es
manejado por HAVP como sistema de representacin y ClamAV como antivirus. Ambos se
distribuyenbajolicenciaGPL.
UnodelosmayoresproblemascuandoseutilizaunservidorProxyesladelaconfiguracindetodos
los navegadores Web para usarlo. Por tanto, es necesario especificar su direccin IP o nombre de
HostyelpuertoTCPenelqueresponde(porlogeneralelpuerto8080).Estopodraserunacargaen
elcasoderedesderealocalconnumerososusuarios,peropeoran,nosepodragarantizarque
los usuarios no eliminen esta configuracin para obtener acceso directo a la Web, evitando as la
verificacindeantivirus,elregistrodeaccesoylistasnegras.
Para resolver este problema, Zeroshell utiliza el modo de Proxy transparente que implica
automticamentelacapturadelassolicitudesdeclienteenelpuertoTCP80.
Obviamente, para Zeroshell poder captar estas peticiones Web, debe ser configurado como un
Gatewaydelared,demodoqueeltrficodeInternetdelosclientepaseatravsdeella.Zeroshell
automticamentecapturalaspeticionesHTTPsisetratadeunnivel2depuertadeenlace(puente
entreEthernet,WiFiolainterfazVPN)odelacapa3depuertadeenlace(enrutador).Sinembargo,
esimportanteespecificarlasinterfacesderedIPosubredesalasquelassolicitudesdebenser
CursoZeroShell Pgina19
redirigidas. Esto se hace mediante la adicin de las llamadas HTTP Capturing Rules (Reglas de
CapturasdeHTTP).
AccedemosalmenHTTPProxyqueestsituadoalaizquierda.
Vamosaconfigurarnuestrosistemaparaqueinterceptelaspeticionesquepasanporlainterfazde
redETH00,queesnuestraredinterna.
Paraellopulsamossobreelbotn+
CursoZeroShell Pgina20
DejamosenblancoelcampodeSourceIPyDestinationIPyaquequeremosquecapturetodas
laspeticionesdelared.Alguardar,accederemosalapantallainicialdelProxytransparente
Debemos pulsar sobre el botn SAVE para activar el servicio. Automticamente Zeroshell
actualizar la base de datos de definiciones de antivirus (se puede comprobar pulsando sobre el
botnUpdateLog.
Siqueremosverlaspeticionesquehacennuestrosusuarios,debemosactivarlaopcinAnyaccess
enelelementoAccessLogging(checkthelawinyourcountry)
CursoZeroShell Pgina21
Noesrecomendabletenerestaopcinactivada,yaquegeneraramuchainformacinenloslogsde
nuestrosistema,ylovolveramslento.
Enlorelativoalantivirus,nuestrosistemacomprobarlasdefinicionesdeviruscada12horas,ysi
hay alguna novedad las actualizar. Debemos seleccionar en la lista de Country of the Mirror a
Spain(Espaa)
Aparte de tener nuestra red parcialmente protegida para las descargas de los usuarios, tambin
podemosagregarlistasnegrasyblancas.
Unalistanegrasondireccionesdepginaswebquenoqueremosquenuestrosusuariosvean.Una
listablancasondireccionesdepginaswebquepermitimosanuestrosusuariosqueaccedan.Estas
dosopcionesaparecendeshabilitadaspordefecto.
Lo normal es configurar las listas negras con sitios web que sepamos que van a generar trfico no
deseado(sitiosdedescargasP2P,youtube,etc)
Enelcasodequealgnusuarioaccedaaunsitiowebqueesteennuestralistanegra,leaparecer
unapantallacomolaquesigue:
CursoZeroShell Pgina22
CONFIGURACIONDELAAUTORIDADCERTIFICADORAPARALASCONEXIONESREMOTAS
AccedemosalmendelaizquierdaX509yacontinuacinaccedemosalmenSETUP
Dentrodeesteapartadointroducimoslosdatosdenuestraautoridadcertificadora(CA)parapoder
emitircertificadosdeusuariovalidndosecontranuestraCA
Situvisemosalgnusuariocreado,alcrearunanuevaautoridadcertificadora,loscertificadosque
hubisemosemitidos,novaldran.
CREACINDEUSUARIOS
VamosacrearunusuarioparaconectarnosvaVPN.
AccedemosalmenUSERSyacontinuacinalmenADDparaintroducirlosdatosdelusuario
quevamosacrear.
CursoZeroShell Pgina23
Acontinuacin,vamosaconfigurarunequipoWindowsparaaccederremotamenteanuestrared.
ACCESOREMOTO.VPNCLIENTEL2TP/IPSEC
Unavezhemoscreadonuestrousuario,vamosaexportarelcertificadodelaCAyelcertificadode
usuario,yaquetenemosqueinstalarlosenWindowsparapoderrealizarunaVPNconestesistema
operativosinlanecesidaddeinstalarsoftwareadicional.
DebemosexportarelcertificadoenformatoPEM(autoridadcertificadora)yenformato
PFX(certificadodeusuario),guardndolosennuestroequipo.
CursoZeroShell Pgina24
CargamoselcomplementodecertificadosdeWindows,ejecutandoInicioEjecutarmmc
Medianteestaaplicacinvamosacargarelcomplementodecertificados.
Archivoagregaroquitarcomplemento
CursoZeroShell Pgina25
CursoZeroShell Pgina26
Pulsamos sobre el botn aceptar de las diferentes pantallas que tenemos abiertas hasta que nos
quedemosenlasiguientepantalla.
Paraimportar,nosposicionamossobrelascarpetasindicadasyconelbotnderechorealizamosla
importacin
CursoZeroShell Pgina27
Unavezimportadosloscertificados,procedemosalacreacindelaVPN.
AccedemosalpaneldecontrolConexionesderedcrearunaconexinnueva
CursoZeroShell Pgina28
Seleccionamosconectarsealareddemilugardetrabajo,siguienteyconexinderedprivadavirtual.
Debemosintroducirunnombreparaidentificarnuestraconexinyenlasiguientepantallaintroducir
ladireccinIP,oelnombreDNSdelamaquinaalaquenosqueremosconectar.Ennuestrocasoser
ladireccinIPexternadenuestramquinaZeroshell.(Consultarladocumentacin)
CursoZeroShell Pgina29
Pulsamossobreelbotnsiguienteparafinalizarelasistente.
Acontinuacindebemosintroducirlosdatosdeusuarioycontraseaquecreamosparapoder
conectarnos,teniendocuidadoenquelosdatosqueintroduzcamossonsensitivosalasmaysculasy
minsculas.
Silaconexinessatisfactoria,deberamosverungloboinformativoenlaparteinferiorderechade
Windows.
Apartirdeahora,podemosconectarnosacualquiermquinadenuestrareddelaoficinacomosi
estuvisemosfsicamenteenella.
CursoZeroShell Pgina30
ACCESOREMOTO.VPNCLIENTEOPENVPN
Pordefecto,entodainstalacindeZeroshell,existeuninterfazdenominadoVPN99.Estainterfazse
puedeverenelmenNETWORK.
Esteinterfazestdeshabilitadapordefecto.Paraactivarla,debemosdeconfigurarnuestrosistema
paraqueacepteestasconexiones.
ParaactivarlasconexionesremotasaccedemosalmenVPNyactivamosestafuncionalidad
A partir de este momento, nuestros usuarios podrn conectarse a la red protegida por Zeroshell
comosiestuviesedentrodelaredinterna.
En funcin del tipo de autentificacin que hayamos seleccionado, debemos configurar el cliente
OpenVPNdeunaformauotra.
CursoZeroShell Pgina31
El cliente VPN se puede descargar de http://www.openvpn.net, o una versin con GUI (interfaz
grfico)desdehttp://openvpn.se/.Estaltimaeslaquevamosadescargaryconfigurar.
Una vez descargado el software lo instalamos en nuestro equipo. EL programa crear un interfaz
virtualennuestraconfiguracindered,queloutilizarennuestrasconexionesdeVPN.
EnlapginadedownloadsdeZeroshell,tenemoslaconfiguracinparautilizarconZeroshell.Aeste
fichero,solotenemosquedecirlecualesnuestromtododeautentificacin,ysiesconcertificado
deusuario,decirledondeest.
AcontinuacineditamoselficheroZeroshell.ovpn,yloconfiguramossiguiendolasinstruccionesque
enlaparecen.
CursoZeroShell Pgina32
Configuracinconusuarioycontrasea:
ConfigurarZeroshellparaqueuseautentificacinsoloconcontrasea
Modificarelficherodeconexinconlosdatoscorrespondientes
CursoZeroShell Pgina33
Configuracinconcertificado
ConfigurarZeroshellparaquelaautentificacinseasoloconcertificadoX509
DebemosseleccionarenAutenticationlaCAdeservidorconlaquevamosavalidarlos
certificadosdelosusuarios.
Modificarelficherodeconexinconlosdatoscorrespondientes
CursoZeroShell Pgina34
VPNLANTOLAN
OtradelascaractersticasimportantesdeZeroshell,esquenospermiteunirdossistemasremotos
permanentemente.Elcasomsimplementadoesladeunirdosoficinasremotas,paraquetodassus
datosvayanencriptadosatravsdeuntnel
MenuVPNLantoLanNewVpn
EnRemoteHostintroducimosladireccinIPdelequiporemotoalquequeremosconectar.EL
puertoserel1195conprotocoloTCP.UnodelosequiposactuarcomoServeryotrocomo
Client
ConfiguramoslaVPNconautentificacinPreSharedKey.Generamosunaclaveconelbotn
GenKeyycopiamoslaclaveenlosdosequipos.
Guardamoslaconfiguracin,ydeberemosdeverquelaconexinestactiva
CursoZeroShell Pgina35
AcontinuacindebemosaadirunadireccinIPalinterfazVPN00.EstadireccinIPesunadireccin
cualquiera,teniendoqueserdelosrangosespecficosparalasredesinternas,peroquenoseutilice
enningninterfazdenuestroZeroshell.SeutilizarparaenrutareltrficoentrelasdosVPN.
Elpasomscrticoeseldeconfigurarlarutaestticaparaenrutareltrficoporeltnel.
AccedemosalmenROUTER,yacontinuacinpulsamossobreelbotnAddparaaadiruna
nuevaruta
EnDestinationintroducimoslaredremota,enNetmasklamscaradered.EnGateway
DEBEMOSINTRODUCIRLADIRECCINIPUTILIZADAENELINTERFAZVPN00DELAREDREMOTA,yla
mtricaes0.
Unavezguardadosloscambios,debemosdeverenlapantallalarutacreada.Acontinuacin
realizamosunpingaunamaquinaremotaparacomprobarquerespondeanuestrapeticin.
CursoZeroShell Pgina36
PUBLICACINDESERVIDORESINTERNOS
Podemospublicarunservidorinternodenuestrared,hacindoloaccesibledesdeinternetatravs
delmenROUTERpulsandosobreelbotnVirtualServer
Debemos indicar el interfaz sobre el que capturar las peticiones, la direccin IP que esperamos, el
protocoloyelpuerto.
AsuvezdebemosdeindicarculserladireccinIPdedestinoyelpuerto.
CONFIGURACINDEMODEMS3G
Zeroshellsoportalamayorademdems3GendispositivoUSB.EnconcretolamarcaHuawei,que
sonlosquedistribuyenlasoperadorasdetelefonaenEspaa,sonreconocidos.
CursoZeroShell Pgina37
EnelcampoModemconnectedtodebemosseleccionarelpuertoenelqueestelmodem.Por
desgracia, los dispositivosUSB comentados tienen 4 puertos, y no se identifican de ninguna forma
parasabersobreelcualestelmodem3G.LanicamaneraeselmtododePruebayErrorhasta
conseguirqueeldispositivoconecte.
EnelcampoAPNdeberemosdeponereldenuestrooperador.
Buscando en google APN 3G movistar, encontramos que para movistar es movistar.es. Buscando
Vodafone,encontramosqueelAPNdeVodafoneesac.vodafone.es.
Si nuestra modem 3G nos pide PIN, podemos introducirlo en optional AT string de la siguiente
forma:
AT+CPIN=XXXXdondeXXXXeselPIN
LaopcinmsprcticaestenerguardadoelPINenelmdem3Gparaquenonoslopida.
Alguardarlaconexin,debemosdevernuestrointerfazdered3Gcomocualquierotrointerfazde
red.
CursoZeroShell Pgina38
http://www.nomatch.es
soporte@nomatch.es
CursoZeroShell Pgina39