Está en la página 1de 71

Demostracin Conectando Clientes a la Red por VPN Windows Server 2008-R2 y Windows 7 Parte 2 por L2TPIPSec, SSTP y IKEv2

Rate This En esta segunda nota continuaremos con la configuracin para conectar clientes a la red por VPN, completando los tres protocolos adicionales: L2TP+IPSec, SSTP y IKEv2. Esta nota supone que est disponible y funcionando correctamente lo ya descripto en la primera parte Demostracin Conectando Clientes a la Red por VPN Windows Server 2008R2 y Windows 7 Parte 1 por PPTP Adems, considerando que para configurar los otros protocolos necesitamos una infraestructura que simula Internet, donde tendremos disponible el servicio DNS y una Autoridad Certificadora, antes de comenzar se debern completar los procedimientos detallados en Preparacin de simulacin de Internet para Demostraciones Recordemos lo que configuramos en la primera parte:

En la preparacin de la simulacin de Internet agregamos a la red marcada como Internet en la figura anterior, un servidor (inet-srv.isp.com) que tiene configurado: Servidor DNS, con la zona correspondiente a guillermod.com.ar (representativa de la presencia en Internet de la empresa), con el registro A correspondiente a vpn.guillermod.com.ar que apunta a la interfaz externa de VPN1 Autoridad Certificadora de tipo Raz llamada Comercial-CA

Dado que los protocolos que usan certificados necesitan resolucin de nombres, debemos configurar en CL1 al servidor DNS que resolver los nombres. En nuestro caso ser 131.107.0.100 (inet-srv.isp.com)

De la nota anterior ya tenemos configurado el acceso por PPTP, en esta comenzaremos creando en el cliente tres conexiones ms, usando cada uno de los tres protocolos restantes. Comenzamos por crear la conexin que usar L2TP+IPSec Para eso en el Network and Sharing Center, elegimos Setup a New Connection or Network, y seguimos el asistente usando como nombre un identificador del protocolo que usar, en este caso Conexin L2TP+IPSec

En las propiedades de la conexin especficamente marcamos que se usar L2TP+IPSec

Siguiendo el mismo procedimiento, crearemos dos conexiones ms, pero especificando en una el protocolo SSTP, y en la otra IKEv2

Quedando finalmente la conexin de red local y las cuatro de VPN ya configuradas

Para que no tengamos dudas, que ninguna funcionar sin configuracin adicional podemos probarlas

Visto lo anterior, podemos sacar la primera conclusin

CONCLUSIN 1: PPTP es la ms fcil de implementar


Es fcil darnos cuenta que al usar protocolos que utilizan certificados, necesitaremos como primera medida obtener un certificado digital de mquinapara el servidor VPN1 Como el asistente de configuracin de VPN ha colocado filtros tanto de entrada como de salida en la interfaz externa, debemos momentneamente permitir trfico para poder acceder a solicitar e instalar el correspondiente certificado. Para no hacer ms compleja esta demostracin, simplemente permitir todo el trfico tanto de entrada como de salida en la interfaz externa. Para esto en VPN1, en Routing and Remote Access, vamos a las propiedades de esta interfaz, y agregamos permitir el trfico a todos los protocolos. Las siguientes figuras muestran el procedimiento. Repetiremos el procedimiento tanto para Inbound Filters como para Outbound Filters.

Y por ltimo reiniciamos el servicio para asegurarnos que tome la configuracin

La ltima configuracin preparatoria que haremos es agregar en la interfaz externa de VPN1 la direccin de nuestro servidor DNS de Internet

Los procesos que ejecutaremos a continuacin, y que aparentemente complejizan esta demostracin, estn determinados por tres causas fundamentales: 1. Las mejoras de seguridad de Internet Explorer 2. El hecho de estar utilizando una Autoridad Certificadora propia, no comercial, que no forma parte del programa de Microsoft 3. Las mejoras de seguridad en el manejo de certificados digitales, que se instalarn por usuario, aunque sean certificados de mquina As que dispongmonos a trabajar :-) En VPN1, en la configuracin de seguridad de Internet Explorer, agregaremos a nuestra autoridad certificadora, como parte de nuestra Local Intranet, y debemos bajar el nivel predeterminado de seguridad al mnimo.

Siguiente nos conectaremos por HTTP al sitio web de la Autoridad Certificadora (en adelante la CA) para descargar el certificado de la CA, que dejar sobre el Desktop

De esta misma pgina descargamos adems la ltima Base CRL que dejaremos tambin sobre el Desktop (Agregarle la extensin de archivo CRL a mano) A continuacin, crearemos una consola (MMC) donde cargaremos los complementos Certificates para My user y Local Computer Importamos el certificado de la CA en Trusted Root Certification Authorities de la parte de mquina

Con botn derecho sobre el archivo CRL que dejamos sobre el Desktop elegimos Install CRL

Est CRL quedar instalada en Certificates Current User / Intermediate Certification Authorities / Certificate Revocation List. Con Copiar/Pegar la agregaremos en el mismo lugar pero en la parte de Certificates (Local Computer)

Por ltimo, solicitaremos el certificado de mquina

Atencin con la pantalla que sigue. Debemos especificar el nombre que utilizar el cliente para acceder a la mquina, independientemente del nombre que tenga localmente, en este caso vpn.guillermod.com.ar Tambin prestar especial atencin que se trata de un certificado para Server Authentication, y que debemos marcar que se pueda exportar la clave privada

Al estar usando una CA de tipo stand-alone, debemos ir a la consola de administracin de la misma en la mquina inet-srv.isp.com y otorgar el certificado solicitado.

Ahora nuevamente desde VPN1, vemos el estado del pedido e instalaremos el certificado otorgado

Llegados a este punto, si deseamos podemos ir a Enrutamiento y Acceso Remoto y eliminar los filtros de seguridad que habamos hecho provisoriamente para permitir el trfico de obtencin de certificados. Lo mismo para restaurar la configuracin por omisin de Internet Explorer. Nos falta lo ltimio. Como aunque es un certificado de mquina, el sistema lo ha instalado en la parte de usuario, debemos exportarlo de una parte para importarlo en la otra

Si volvemos a CL1 y volvemos a probar las cuatro conexiones que hicimos anteriormente podremos verificar que: PPTP: sigue conectndose sin problemas L2TP+IPSec: no se conecta, se requiere certificado de mquina en el cliente SSTP: sigue sin conectarse, ya que no puede verificar el certificado del servidor VPN IKEv2: sigue sin conectarse, ya que no puede verificar el certificado del servidor VPN

Ante esto es evidente lo que nos falta. Si estuviramos utilizando una autoridad certificadora comercial adherida al programa de MIcrosoft ya tendramos resuelta la conectividad por SSTP y IKEv2. Como estamos en un ambiente de laboratorio propio deberemos hacer la configuracin manualmente. Anlogamente como hicimos con VPN, debemos instalar en CL1 el certificado de la autoridad certificadora (CA) y su correspondiente CRL. Es el mismo procedimiento ya realizado, slo que ahora es en CL1 y por eso no agregar ms figuras, pero entiendo que es sencillo siguiendo los mismos pasos Hecho lo anterior podemos verificar que ya se puede hacer la conexin por SSTP y IKEv2. Lo que todava no funciona es L2TP+IPSec. Para que este ltimo se pueda utilizar es necesario que en CL1 se obtenga un certificado de mquina. Esto se hace en forma anloga como hicimos con VPN, incluyendo la exportacin desde la parte de usuario a la parte de mquina, a partir de lo cual CL1 se podr conetar por L2TP+IPSec

CONCLUSIN 2: Tanto para SSTP como para IKEv2, slo es necesario un certificado de mquina en el servidor VPN otorgado por una Autoridad Certificadora confiable. No es un costo excesivo
Ahora que ya podemos conectarnos usando los cuatro protocolos podemos observar qu mtodos de autenticacin y cifrado utiza cada uno de ellos

CONCLUSIN 3: Aunque PPTP es sencilla de implementar hay mtodos ms seguros CONCLUSIN 4: La seguridad de SSTP est dada por los certificados digitales utilizados ya que usa TLS, encapsulando PPP en HTTPS CONCLUSIN 5: La ventaja de SSTP est dada por usar HTTPS (TCP 443) que generalmente es un puerto abierto en los cortafuegos empresariales CONCLUSIN 6: La encriptacin ms segura est dada por IKEv2 que utiliza AES-256
Y an hay una ventaja ms usando IKEv2, que Microsoft identifica como VPN Reconnect Hagamos la siguiente prueba, conectmonos con IKEv2, bajemos el cortafuegos en SRV1, y hagamos un ping continuo (PING -t 192.168.1.1) desde CL1 Ahora, supongamos que con nuestra porttil (CL1) nos desplazamos y cambiamos de Access Point y por lo tanto la direccin de red de la placa real. En las siguientes figuras podemos observar si mientras seguimos con PING cambiamos la direccin IP de la placa real, en este caso de 131.107.0.2 a 131.107.0.20

Como resumen podemos afirmar que:

CONCLUSIN 1: PPTP es la ms fcil de implementar CONCLUSIN 2: Tanto para SSTP como para IKEv2, slo es necesario un certificado de mquina en el servidor VPN otorgado por una Autoridad Certificadora confiable. No es un costo excesivo CONCLUSIN 3: Aunque PPTP es sencilla de implementar hay mtodos ms seguros CONCLUSIN 4: La seguridad de SSTP est dada por los certificados digitales utilizados ya que usa TLS, encapsulando PPP en HTTPS CONCLUSIN 5: La ventaja de SSTP est dada por usar HTTPS (TCP 443) que generalmente es un puerto abierto en los cortafuegos empresariales CONCLUSIN 6: La encriptacin ms segura est dada por IKEv2 que utiliza AES-256 Conclusin 7: El protocolo IKEv2 adems de ser relativamente sencillo de implementar y ofrecer la mejor seguridad, agrega la reconexin automtica ante cualquier cambio de