VPN ROAD WARRIOR EN APPLIANCE

PFSENSE.

POR:
Maicol Muoz.

INSTRUCTOR:
Andrs Mauricio Ortiz.

Gestin de la seguridad de la red.

Tecnlogo en administracin de redes

Informticas.
35442.

Servicio nacional de aprendizaje (SENA) Antioquia

Centro de Servicios y Gestin Empresarial.
(CESGE)
2011
INTRODUCCION.
La seguridad es la principal defensa que puede tener una organizacin
si desea conectarse a Internet, dado que expone su informacin
privada y arquitectura de red a los intrusos de Internet.
El Firewall ofrece esta seguridad, mediante: Polticas de seguridad,
determinando que servicios de la red pueden ser acezados y quienes
pueden utilizar estos recursos, manteniendo al margen a los usuarios
no-autorizados.
Pfsense es una distribucin personalizada de FreeBSD adaptado para
su uso como Firewall y Router. Se caracteriza por ser de cdigo
abierto, puede ser instalado en una gran variedad de ordenadores, y
adems cuenta con una interfaz web sencilla para su configuracin.
MARCO TEORICO.

VPN o Red Privada Virtual: Estos son tneles los cuales sirven para
comunicar redes LAN o privadas a travs de redes sobre las que los
sysadmins no tenemos control como las redes WAN.
Una VPN punto a punto sirve para comunicar 2 redes LAN a travs de
la WAN, creando entre estas un tnel mediante el cual se cifra el
trafico que circule a travs de este. Wikipedia define una VPN punto a
punto como un esquema que se utiliza para conectar oficinas remotas
con la sede central de la organizacin. Usando como medio de
transporte la conexin prestada por un ISP mediante banda ancha
permitiendo as disminuir costos de canales punto a punto fsicos o
dedicados, sobre todo en las comunicaciones internacionales.

Road Warrior: Este tipo de VPN es muy utilizada ya que bsicamente

consiste en brindar acceso a la LAN a travs de internet a usuarios
que no estn presentes fsicamente en esta; es decir; por ejemplo hay
un empleado de una empresa y necesita acceder a los recursos de
dicha empresa, pero el empleado no est ubicado geogrficamente en
ella, lo que puede hacer es acceder a esta a travs de la WAN y
mediante la direccin publica de la empresa podr acceder a los
recursos de la LAN.
Desarrollando.
En este caso el servidor VPN Pfsense, adems para poder realizar
esta prctica tambin les recomiendo tener conocimientos previos
sobre reglas de NAT y Firewall, adems el manejo bsico de Pfsense,
para ello recomiendo visitar los siguientes enlaces:

Configurando firewall en appliance Pfsense.

VPN con llaves pre compartidas.

Primero no paramos sobre vpn y habilitamos el ipsec.

Ahora vamos a configurar los parmetros para la conexin de vpn de

nuestros clientes.
Procedemos entonces a crear a nuestro clave pre compartido.
Ya con todo lo anterior hemos terminado la configuracin para nuestra
vpn, ahora desde un cliente de internet intentaremos conectarnos por
medio de un software vpn o cliente vpn aqu les mostrare de donde
descargarlo.

http://www.shrew.net/download/vpn

Ya instalado procederemos a instalarlo y a crear una nueva conexin

con todos los parmetros que especificamos en nuestra appliance.

Nota:

No equivocarse un ninguno de los parmetros para que no hayan

errores de conexin.
Aqu especificamos la ip a la cual nos vamos a conectar (WAN de la
appliance o ip publica de mi red), adems especifico el rango de
direccionamiento ip que va a tener mi vpn (recordar que este
direccionamiento tiene que ser diferente a todas las dems WAN y
LAN).
Aqu procedemos a especificar las opciones del firewall.
Aqu especificaremos la autenticacin y los mtodos de identidad tanto
local como remota.
Y aqu deberemos de poner la clave pre compartida que creamos en la
appliance.
Ahora solo bastara con especificar cada uno de los parmetros que
especificamos en nuestra appliance.
Y Para terminar con la configuracio0n de la conexin especificamos la
red interna a la cual va tener acceso nuestra conexin vpn.
En nuestra appliance deberemos crear una regla en nuestro ipsec en
la cual especificaremos acceso a todo, aunque si quieren especificar a
que solo se puede acceder en la conexin vpn lo pueden hacer como
creando las reglas de firewall.

Ahora solo bastara con una maquina de internet para realizar nuestra
prueba.
Y aqu vemos que hay conexin vpn por que estamos dentro del rango
que le especificamos y adems le puedo hacer un ping a mi red LAN.
Glosario:

DMZ:

Una DMZ es una red con seguridad perimetral, lo que se hace es

ubicar una subred entre la LAN y la WAN.

LAN:

Una red de rea local.

WAN:

Las Redes de rea amplia.

Router:

Enrutador, encaminador. Dispositivo hardware o software para

interconexin de redes de computadoras que opera en la capa tres
(nivel de red) del modelo OSI. El Router interconecta segmentos de
red o redes enteras. Hace pasar paquetes de datos entre redes
tomando como base la informacin de la capa de red.

SDM:

SDM es la abreviatura de Cisco Router and Security Device Manager.

Una herramienta de mantenimiento basada en una interfaz web
desarrollada por Cisco. No es simplemente una interfaz web. Es una
herramienta java accesible a travs del navegador.

Esta herramienta soporta un amplio nmero de routers Cisco IOS. En

la actualidad se entrega preinstalado en la mayora de los routers
nuevos de Cisco.
SSH:

SSH (Secure SHell, en espaol: intrprete de rdenes segura) es el

nombre de un protocolo y del programa que lo implementa, y sirve
para acceder a mquinas remotas a travs de una red. Permite
manejar por completo la computadora mediante un intrprete de
comandos, y tambin puede redirigir el trfico de X para poder ejecutar
programas grficos si tenemos un Servidor X (en sistemas Unix y
Windows) corriendo.

JAVA:

Java es un lenguaje de programacin.

Existe un gran nmero de aplicaciones y sitios Web que no funcionan

a menos que Java est instalado, y muchas ms que se crean a diario.
Java es rpido, seguro y fiable. De porttiles a centros de datos, de
consolas de juegos a sper equipos cientficos, de telfonos mviles a
Internet, Java est en todas partes.

NAT:

En las redes de computadoras, NAT es el proceso de modificacin de

la direccin IP de informacin en los encabezados de paquetes IP,
mientras que en trnsito a travs de un trfico de dispositivos de
enrutamiento

El tipo ms simple de NAT proporciona una traduccin a una de las

direcciones IP.

DNS:

Es un sistema de nomenclatura jerrquica para computadoras,

servicios o cualquier recurso conectado a Internet o a una red privada.
Este sistema asocia informacin variada con nombres de dominios
asignados a cada uno de los participantes. Su funcin ms importante,
es traducir (resolver) nombres inteligibles para los humanos en
identificadores binarios asociados con los equipos conectados a la red,
esto con el propsito de poder localizar y direccionar estos equipos
mundialmente.

TCP:

s uno de los principales protocolos de la capa de transporte del

modelo TCP/IP. En el nivel de aplicacin, posibilita la administracin
de datos que vienen del nivel ms bajo del modelo, o van hacia l, (es
decir, el protocolo IP). Cuando se proporcionan los datos al protocolo
IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6
(para que sepa con anticipacin que el protocolo es TCP). TCP es un
protocolo orientado a conexin, es decir, que permite que dos
mquinas que estn comunicadas controlen el estado de la
transmisin.

UDP:

UDP son las siglas de Protocolo de Datagrama de Usuario (en ingls

User Datagram Protocol) un protocolo sin conexin que, como TCP,
funciona en redes IP. UDP/IP proporciona muy pocos servicios de
recuperacin de errores, ofreciendo en su lugar una manera directa de
enviar y recibir datagramas a travs una red IP. Se utiliza sobre todo
cuando la velocidad es un factor importante en la transmisin de la
informacin, por ejemplo, RealAudio utiliza el UDP. El FTP utiliza
TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de
Protocolo de Transferencia de Archivos Triviales (en ingls Trivial File
Transfer Protocol), y puesto que es trivial, perder algo de informacin
en la transferencia no es crucial .

Stateless:

Crear reglas de ida y de respuesta.

Statefull:

Crear reglas de ida y las reglas de respuestas son automticas no hay

que crearlas.

Mascara wildcard:

Una mscara wildcard es sencillamente una agrupacin de 32 bits

dividida en cuatro bloques de ocho bits cada uno (octetos). La
apariencia de una mscara wildcard le recordar probablemente a una
mscara de subred. Salvo esa apariencia, no existe otra relacin entre
ambas. Por ejemplo, una mscara wildcard puede tener este aspecto:
192.168.1.0 mascara normal 255.255.255.0 mascara wildcard
0.0.0.255.

Mascara normal 255.255.0.0 mascara wildcard 0.0.255.255 mascara

normal 255.0.0.0 mascara wildcard 0.255.255.255

ISA server:

ISA Server es un Gateway integrado de seguridad Perimetral que

protege su entorno de IT frente a amenazas basadas en Internet y
permite a los usuarios un acceso remoto rpido y seguro a las
aplicaciones y los datos.

Servidor:

En informtica, un servidor es una computadora que, formando parte

de una red, provee servicios a otras computadoras denominadas
clientes.

WPAD:

Web Proxy Automatic Discovery es un metodo usado por los

navegadores para encontrar los proxys automticamente, es decir que
cuando configuramos un navegador para que detecte
automticamente el proxy, el se dirigir al DNS buscando cual es la IP
que responda al nombre de WPAD y con dicha respuesta sabr cual
es el proxy al que debe conectarse.

Red privada virtual (VPN):

Una red privada virtual, RPV, o VPN de las siglas en ingls de Virtual
Private Network, es una tecnologa de red que permite una extensin
de la red local sobre una red pblica o no controlada, como por
ejemplo Internet.

Ejemplos comunes son la posibilidad de conectar dos o ms

sucursales de una empresa utilizando como vnculo Internet, permitir a
los miembros del equipo de soporte tcnico la conexin desde su casa
al centro de cmputo, o que un usuario pueda acceder a su equipo
domstico desde un sitio remoto, como por ejemplo un hotel. Todo ello
utilizando la infraestructura de Internet.

Ipsec:

Ipsec (abreviatura de Internet Protocol security) es un conjunto de

protocolos cuya funcin es asegurar las comunicaciones sobre
el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete
IP en un flujo de datos. Ipsec tambin incluye protocolos para
el establecimiento de claves de cifrado.