VPN ROAD WARRIOR EN APPLIANCE PFSENSE.

POR: Maicol Muoz.

INSTRUCTOR: Andrs Mauricio Ortiz.

Gestin de la seguridad de la red.

Tecnlogo en administracin de redes Informticas. 35442.

Servicio nacional de aprendizaje (SENA) Antioquia Centro de Servicios y Gestin Empresarial. (CESGE) 2011

INTRODUCCION. La seguridad es la principal defensa que puede tener una organizacin si desea conectarse a Internet, dado que expone su informacin privada y arquitectura de red a los intrusos de Internet. El Firewall ofrece esta seguridad, mediante: Polticas de seguridad, determinando que servicios de la red pueden ser acezados y quienes pueden utilizar estos recursos, manteniendo al margen a los usuarios no-autorizados. Pfsense es una distribucin personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de cdigo abierto, puede ser instalado en una gran variedad de ordenadores, y adems cuenta con una interfaz web sencilla para su configuracin.

MARCO TEORICO.
VPN o Red Privada Virtual: Estos son tneles los cuales sirven para comunicar redes LAN o privadas a travs de redes sobre las que los sysadmins no tenemos control como las redes WAN. Una VPN punto a punto sirve para comunicar 2 redes LAN a travs de la WAN, creando entre estas un tnel mediante el cual se cifra el trafico que circule a travs de este. Wikipedia define una VPN punto a punto como un esquema que se utiliza para conectar oficinas remotas con la sede central de la organizacin. Usando como medio de transporte la conexin prestada por un ISP mediante banda ancha permitiendo as disminuir costos de canales punto a punto fsicos o dedicados, sobre todo en las comunicaciones internacionales. Road Warrior: Este tipo de VPN es muy utilizada ya que bsicamente consiste en brindar acceso a la LAN a travs de internet a usuarios que no estn presentes fsicamente en esta; es decir; por ejemplo hay un empleado de una empresa y necesita acceder a los recursos de dicha empresa, pero el empleado no est ubicado geogrficamente en ella, lo que puede hacer es acceder a esta a travs de la WAN y mediante la direccin publica de la empresa podr acceder a los recursos de la LAN.

Desarrollando.
En este caso el servidor VPN Pfsense, adems para poder realizar esta prctica tambin les recomiendo tener conocimientos previos sobre reglas de NAT y Firewall, adems el manejo bsico de Pfsense, para ello recomiendo visitar los siguientes enlaces: Configurando firewall en appliance Pfsense. VPN con llaves pre compartidas. Primero no paramos sobre vpn y habilitamos el ipsec.

Ahora vamos a configurar los parmetros para la conexin de vpn de nuestros clientes.

Procedemos entonces a crear a nuestro clave pre compartido.

Ya con todo lo anterior hemos terminado la configuracin para nuestra vpn, ahora desde un cliente de internet intentaremos conectarnos por medio de un software vpn o cliente vpn aqu les mostrare de donde descargarlo. http://www.shrew.net/download/vpn

Ya instalado procederemos a instalarlo y a crear una nueva conexin con todos los parmetros que especificamos en nuestra appliance. Nota: No equivocarse un ninguno de los parmetros para que no hayan errores de conexin.

Aqu especificamos la ip a la cual nos vamos a conectar (WAN de la appliance o ip publica de mi red), adems especifico el rango de direccionamiento ip que va a tener mi vpn (recordar que este direccionamiento tiene que ser diferente a todas las dems WAN y LAN).

Aqu procedemos a especificar las opciones del firewall.

Aqu especificaremos la autenticacin y los mtodos de identidad tanto local como remota.

Y aqu deberemos de poner la clave pre compartida que creamos en la appliance.

Ahora solo bastara con especificar cada uno de los parmetros que especificamos en nuestra appliance.

Y Para terminar con la configuracio0n de la conexin especificamos la red interna a la cual va tener acceso nuestra conexin vpn.

En nuestra appliance deberemos crear una regla en nuestro ipsec en la cual especificaremos acceso a todo, aunque si quieren especificar a que solo se puede acceder en la conexin vpn lo pueden hacer como creando las reglas de firewall.

Ahora solo bastara con una maquina de internet para realizar nuestra prueba.

Y aqu vemos que hay conexin vpn por que estamos dentro del rango que le especificamos y adems le puedo hacer un ping a mi red LAN.

Glosario:

DMZ: Una DMZ es una red con seguridad perimetral, lo que se hace es ubicar una subred entre la LAN y la WAN. LAN: Una red de rea local. WAN: Las Redes de rea amplia. Router: Enrutador, encaminador. Dispositivo hardware o software para interconexin de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. El Router interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la informacin de la capa de red. SDM: SDM es la abreviatura de Cisco Router and Security Device Manager. Una herramienta de mantenimiento basada en una interfaz web desarrollada por Cisco. No es simplemente una interfaz web. Es una herramienta java accesible a travs del navegador. Esta herramienta soporta un amplio nmero de routers Cisco IOS. En la actualidad se entrega preinstalado en la mayora de los routers nuevos de Cisco.

SSH: SSH (Secure SHell, en espaol: intrprete de rdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a mquinas remotas a travs de una red. Permite manejar por completo la computadora mediante un intrprete de comandos, y tambin puede redirigir el trfico de X para poder ejecutar programas grficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo. JAVA: Java es un lenguaje de programacin. Existe un gran nmero de aplicaciones y sitios Web que no funcionan a menos que Java est instalado, y muchas ms que se crean a diario. Java es rpido, seguro y fiable. De porttiles a centros de datos, de consolas de juegos a sper equipos cientficos, de telfonos mviles a Internet, Java est en todas partes. NAT: En las redes de computadoras, NAT es el proceso de modificacin de la direccin IP de informacin en los encabezados de paquetes IP, mientras que en trnsito a travs de un trfico de dispositivos de enrutamiento El tipo ms simple de NAT proporciona una traduccin a una de las direcciones IP. DNS: Es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia informacin variada con nombres de dominios asignados a cada uno de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para los humanos en

identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente. TCP: s uno de los principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicacin, posibilita la administracin de datos que vienen del nivel ms bajo del modelo, o van hacia l, (es decir, el protocolo IP). Cuando se proporcionan los datos al protocolo IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6 (para que sepa con anticipacin que el protocolo es TCP). TCP es un protocolo orientado a conexin, es decir, que permite que dos mquinas que estn comunicadas controlen el estado de la transmisin. UDP: UDP son las siglas de Protocolo de Datagrama de Usuario (en ingls User Datagram Protocol) un protocolo sin conexin que, como TCP, funciona en redes IP. UDP/IP proporciona muy pocos servicios de recuperacin de errores, ofreciendo en su lugar una manera directa de enviar y recibir datagramas a travs una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisin de la informacin, por ejemplo, RealAudio utiliza el UDP. El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de Protocolo de Transferencia de Archivos Triviales (en ingls Trivial File Transfer Protocol), y puesto que es trivial, perder algo de informacin en la transferencia no es crucial .

Stateless: Crear reglas de ida y de respuesta.

Statefull: Crear reglas de ida y las reglas de respuestas son automticas no hay que crearlas. Mascara wildcard: Una mscara wildcard es sencillamente una agrupacin de 32 bits dividida en cuatro bloques de ocho bits cada uno (octetos). La apariencia de una mscara wildcard le recordar probablemente a una mscara de subred. Salvo esa apariencia, no existe otra relacin entre ambas. Por ejemplo, una mscara wildcard puede tener este aspecto: 192.168.1.0 mascara normal 255.255.255.0 mascara wildcard 0.0.0.255. Mascara normal 255.255.0.0 mascara wildcard 0.0.255.255 mascara normal 255.0.0.0 mascara wildcard 0.255.255.255

ISA server: ISA Server es un Gateway integrado de seguridad Perimetral que protege su entorno de IT frente a amenazas basadas en Internet y permite a los usuarios un acceso remoto rpido y seguro a las aplicaciones y los datos. Servidor: En informtica, un servidor es una computadora que, formando parte de una red, provee servicios a otras computadoras denominadas clientes.

WPAD: Web Proxy Automatic Discovery es un metodo usado por los navegadores para encontrar los proxys automticamente, es decir que

cuando configuramos un navegador para que detecte automticamente el proxy, el se dirigir al DNS buscando cual es la IP que responda al nombre de WPAD y con dicha respuesta sabr cual es el proxy al que debe conectarse. Red privada virtual (VPN): Una red privada virtual, RPV, o VPN de las siglas en ingls de Virtual Private Network, es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo Internet. Ejemplos comunes son la posibilidad de conectar dos o ms sucursales de una empresa utilizando como vnculo Internet, permitir a los miembros del equipo de soporte tcnico la conexin desde su casa al centro de cmputo, o que un usuario pueda acceder a su equipo domstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.

Ipsec: Ipsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. Ipsec tambin incluye protocolos para el establecimiento de claves de cifrado.