manual de vpn de isa server y endian
TRANSCRIPT
Manual VPN
Por
Andres ayala tabordacristian camilo UrregoMaria Isabel Rodrigez
Diego Pulgarin
176052
Instructor
Lina Mkcoll
Servicio Nacional De Aprendizaje
Sena
Medellin
Antioquia
2012
Introducción
Afortunadamente con la aparición de Internet, las empresas, centros de formación, organizaciones de todo tipo e incluso usuarios particulares tienen la posibilidad de crear una Red privada virtual (VPN) que permita, mediante una moderada inversión económica y utilizando Internet, la conexión entre diferentes ubicaciones salvando la distancia entre ellas.
Las redes virtuales privadas utilizan protocolos especiales de seguridad que permiten obtener acceso a servicios de carácter privado, únicamente a personal autorizado, de una empresas, centros de formación, organizaciones, etc.; cuando un usuario se conecta vía Internet, la configuración de la red privada virtual le permite conectarse a la red privada del organismo con el que colabora y acceder a los recursos disponibles de la misma.en este trabajo se pretende mostrar como realizar VPNs en las diferentes platafromas de windows, linux y dispositivos cisco.
OBJETIVOS
General: Implementar una solución de troncales VPN en servidor Windows, Linux y dispositivos cisco, para establecer y mantener una buena seguridad perimetral de la red.
Específicos:- Aprender el funcionamiento y estructura de las VPNs.- Identificar los procesos y parámetros de la seguridad perimetral.- Relacionar los conocimientos teóricos con las prácticas reales.- Aprender a implementar, configurar y mantener estables las VPN en plataformas
Linux, Windows y dispositivos cisco.
PROBLEMAS DEL DESARROLLO DE LAS ACTIVIDADES- Al implementar los routers reales que tenemos a disposición del Sena, las IOS de
estos no soportaban VPN sitio a sitio, por lo cual se tomo la decisión de utilizar GNS3 y virtualizar los routers para resolver el problema.
- Al implementar los routers en el GNS3 las IOS por defecto solo permitían crear un servidor VPN y SSL VPN, por lo cual se prosiguió con la búsqueda de IOS que soportaran las VPN sitio a sitio.
- Cuando se habían descargado una series de IOS para realizar las VPN sitio a sitio, a la hora de configurarlas atreves de cisco SDM, no se podía, pues la opción no se activaba así las IOS fueran compatibles con estas características por lo cual se tomo la decisión de imprentar los cisco ASA.
- Por los problemas que se presentaron y por la gran inversión del tiempo para corregirlos el tiempo para el desarrollo de la actividad de VPN en dispositivos cisco se vio muy retrasada.
Que es VPN
Es una red privada que se extiende, mediante un proceso de encapsulación y en su caso de encriptación, de los paquetes de datos a distintos puntos remotos mediante el uso de unas infraestructuras públicas de transporte.Los paquetes de datos de la red privada viajan por medio de un "túnel" definido en la red pública.
En la imagen mostramos como viajan los datos a través de una VPN ya que el servidor dedicado es del cual parten los datos, llegando al firewall que hace la función de una pared para engañar a los intrusos a la red, después los datos llegan a nube de internet donde se genera un túnel dedicado únicamente para nuestros datos para que estos con una velocidad garantizada, con un ancho de banda también garantizado y lleguen a su vez al firewall remoto y terminen en el servidor remoto
las VPN pueden enlazar mis oficinas corporativas con los socios, con usuarios móviles, con oficinas remotas mediante los protocolos como internet, IP, Ipsec, Frame Relay, ATM.
Tipos de conexión
Conexión de acceso remoto
Una conexión de acceso remoto es realizada por un cliente o un usuario de una computadora que se conecta a una red privada.
Conexión VPN router a router
Es una conexión VPN router a router es realizada por un router, y este a su vez se conecta a una red privada.
Conexión VPN firewall a firewall
Es una conexión VPN firewall a firewall es realizada por uno de ellos, y éste a su vez se conecta a una red privada.
Ventajas
➢ Integridad, confidencialidad y seguridad de datos.➢ Las VPN reducen los costos y son sencillas de usar.➢ Facilita la comunicación entre dos usuarios en lugares distantes.
Glosario.
VPN: es una red privada virtual. Es una red que se crea sobre una real, que permite una extencion de red local sobre una red publica o no controlada.
FRAME RELAY: proporciona conexiones entre usuarios a través de una red publica, del mismo modo que lo haría una red privada con circuitos punto a punto.
IPSEC: Es un conjunto de protocolos cuya función es asegurar la comunicación sobre el protocolo de internet (IP) autenticado y/o cifrado cada paquete IP
PDU: Es la información que se entrega como unidad entre entidades de una red y que puede contener información de control, información de direcciones o datos.
FIREWALL: Es una parte de un sistema o una red que esta diseñada para bloquear el acceso no autorizado .
TUNEL VPN: un túnel VPN es simplemente un enlace entre dos puntos.
ENCAPSULAMIENTO:Se denomina encapsulamiento al ocultamiento de estado, es decir, de los datos miembro, de un objeto de manera que solo se puede cambiar mediantes operaciones definidas para ese objeto.
ENCRIPTACION:es una manera de codificar ka información para proteger la frente a terceros
ACCESO REMOTO:Un acceso remoto es poder acceder una computadora a un recurso ubicado físicamente en otra computadora que se encuentra geográficamente en otro lugar, a través de una red local o externa.
OPENVPN: Es una solución de conectividad basada en software: SSL. VPN ofrece conectividad punto a punto con validación jerárquica de usuarios y host conectados remotamente.
Tipos de Funcionamientos de VPN
VPN de acceso remoto
Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles y aviones preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa.
VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN.
Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha ,Esto permite eliminar los costosos vínculos punto a punto tradicionales (realizados comúnmente mediante conexiones de cable físicas entre los nodos).
Tunneling
La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel dentro de una red de computadoras. El establecimiento de dicho túnel se implementa incluyendo un PDU determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la PDU encapsulada.
VPN over LAN
Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WIFI).
Protocolos de VPN
Protocolos estándar:
Protocolo PPTP
protocolo de túnel punto a punto) consiste en crear tramas con el protocolo PPP y encapsularlas mediante un datragrama IP.
Por lo tanto, con este tipo de conexión, los equipos remotos en dos redes de área local se conectan con una conexión de igual a igual (con un sistema de autenticación/cifrado) y el paquete se envía dentro de un datagrama de IP.
Protocolo L2TP
L2TP es un protocolo de túnel estándar (estandarizado en una RFC, solicitud de comentarios) muy similar al PPTP. L2TP encapsula tramas PPP, que a su vez encapsulan otros protocolos (como IP, IPX o NetBIOS).
Protocolo IPSec
IPSec es un protocolo definido por el IETF que se usa para transferir datos de manera segura en la capa de red. En realidad es un protocolo que mejora la seguridad del protocolo IP para garantizar la privacidad, integridad y autenticación de los datos enviados.
IPSec se basa en tres módulos
➢ Encabezado de autenticación IP➢ Carga útil de seguridad encapsulada➢ Asociación de seguridad
Protocolos no estándar
➢ OpenVPN una solución de código abierto, robusta y altamente flexible. Soporta múltiples tipos de cifrado, autenticación y certificación a través de la librería OpenSSL.
➢ VTun es una solución de fuente abierta que permite crear de forma sencilla túneles a través de redes TCP/IP con compresión y cifrado. Soporta, entre otros, túneles IP, PPP, SLIP y Ethernet.
➢ cIPe es una solución similar a IPSec más ligera por tener un protocolo más sencillo, pero no estandarizada.
➢ tinc es una solución que permite realizar una VPN con cifrado, autenticación y compresión (mediante las librerías OpenSSL y LZO), y que se puede ejecutar sobre múltiples sistemas operativos.
Puertos del VPN
Para PPTP hay que abrir el puerto TCP 1723.Para L2TP hay que abrir el puerto TCP 1701.IPSec, se debe abir el puerto UDP 500.protocolo GRE puerto 47 UDP).
Arquitectura Usada En El Trabajo
Funcionamiento de una VPN
Es similar al de cualquier red normal. Esta se basa en la comunicación entre los dos extremos de la red privada a través de la red pública se hace estableciendo túneles virtuales entre esos dos puntos y usando sistemas de encriptación y autentificación que aseguren la confidencialidad e integridad de los datos transmitidos a través de esa red pública.
Configuración De VPN En Isa Sever 2006
Para este caso configuraremos VPN en isa server para ell debemos de tener instalado firewall con algunas reglas de NAT.
Para esto necesitamos dos maquinas virtuales.
Windows xp : 192,168,10,140
Server 2003 con isa server : WAN:192,168,10,196 LAN: 192,168,40,5
Las dos maquinas en Adaptador puente.
Lo primero que hay que hacer es crear unos usuarios con los cuales no vamos a autenticar.
Colocamos el nombre del usuario y la contraseña.
Ahora vamos a crear un grupo en el cual vamos a colocar el usuario que acabamos de crear.
Escogemos el usuario que acabamos de crear.
Como observamos podemos agregar mas usuarios al grupo que estamos creando.
Como Vemos el Grupo se creo satisfactoriamente.
Pasamos a configurar las opciones de VPN en Isa Server les recomiendo seguir los pasos mostrados en los pantallazos.
En este caso vamos a utilizar la autenticacion mediante el protocole L2TP o protocolo de tunel de capa 2.Le damos aplicar.
Ahora elegimos el pool de direcciones que se le asignara a los clientes VPN.
Le damos un pool de direcciones.
Le damos aplicar y aceptar.
Seguimos con el siguiente enlace.
Allí agregamos el grupo de usuarios creado anteriormente ya que estos son los que se pueden autenticar en la VPN.
Le damos Aceptar.
En el mismo Cuadro de dialogo nos vamos a general y le damos la cantidad de usuarios que se pueden comunicar via VPN.
Nos vamos a protocolos y escogemos el procolo L2TP/Ipsec.
Nos vamos haca directivas de firewall.
Vamos a crear una regla de Firewall que permita el acceso de los clientes VPN a la LAN.
Agramos los clientes VPN y le damos siguiente.
Aquí escogemos interna para los clientes VPN.
Como observamos la regla fue creada exitosamente.
Nos vamos a redes a crear una nueva regla sobre VPN.
Bueno les explicare un poco lo hecho anteriormente.
Para que los clientes de la VPN puedan tener direcciones internas y comunicarse entre las diferentes redes deben existir reglas de enmascaramiento o traducción de direcciones (NAT), para esto creamos la regla anterior.Sin embargo tan solo con esta regla el podrá reconocer su gateway dentro de la red interna mas no podra comunicarse con otras subredes, para lograr esto deben existir reglas de nateo desde el cliente VPN hasta las subredes con las que se vaya a comunicar; es decir; que si quisiera dar un ping a la LAN deberá tener creada dicha regla para que el paquete ICMP se enmascare con una IP dentro de la LAN y el ping sea exitoso. El siguiente es un ejemplo de regla de NAT para que los clientes VPN se comuniquen con la LAN y la DMZ.
Como observamos creamos otra regla.
Ahora les muestro las ip que tiene el isa server.
Nos vamos la maquina con la que queremos conectar nos metemos a panel de control y nos vamos a conexiones de Red
Colocamos en nombre a la conexion
Colocamos la ip del isa server.
configuraremos las opciones de IPSec.
Colocamos la contraseña compartida que colocamos en el servidor.
Colocamos el usuario y la contraseña.
Asi nos aparece la conexión si fue exitosamente.
Nos vamos para la consola y le damos ipconfig y nos dará una ip del pool que le otorgamos
Descripción general de la practica
se va a montar una VPN en dos sistemas operativos uno sen windows y el otro en debian basado en centos haciendo pruebas con clientes vpn en windows XP en la red wan del sena.
para la implementación de VPN en Isa Server necesitamos dos maquinas virtuales:
• 1 maquina Windows XP en adaptador puente con la IP 192.168.10.140
• 1 maquina Windows server 2003 enterprise con dos adaptadores uno en puente y el otro en interna el primero va tener la IP 192.168.10.196 y el otro 192.168.40.1 y el Isa Server 2006
Para la implementación en Endian necesitamos tres maquinas virtuales :
• 1- maquina Windows XP en adaptador interna con la IP 192.168.90.0 para administrar el entorno gráfico del Endian
• 1 maquina Windows XP con el adaptador en modo puente con el openvpn ,TheGreenBow_VPN_Client instalados
• maquina Endian instalada con dos adaptadores uno red interna y la otra en puente la primera con la dirección 192.168.90.2 y el otro con la IP 192.168.10.125
Sección de Problemas.
El primer problema que nos ocurrió fue cunado nos conectamos por medio de la VPN era que nos daba ip pero no nos daba salida a internet.
Nos conectamos con el usuario.
Nos debe de aparecer que la conexión a sido exitosamente.
Como observamos nos conecto bien.
Nos Vamos para la consola y como podemos observar nos da una dirección IP del pool que le dimos al Servidor.
El problema se genera cuando queremos salir a internet porque no podemos navegar.La solución es la siguiente.
Editamos la regla del HTTP y HTTPS le agregamos que el origen sea clientes VPN y listo y aplicamos los cambios.
Como vemos ya nos sale a internet la maquina virtual.
Segundo problema es que cuando nos queremos conectar por la VPN desde la XP si no colocamos bn el nombre del servidor el no nos va aceptar la conexión.
Aqui es donde se genera el problema porque si no colocamos el nombre bien del servidor no nos conectera.
Colocamos la ip de la tarjeta de red de la WAN del Isa Server.
Y después le damos finalizar y lo hacemos asi solucionaremos el problema.
ACTIVAR ASDM EN UN CISCO ASA
ASDM es un interfaz gráfica de usuario que se puede habilitar en los cisco asa, esta herramienta se puede instalar tanto en el computador como utilizarla por medio de un navegador. Sencillamente el ASDM ofrece la posibilidad de realizar configuraciones al dispositivo de una manera mas rápida y sencilla.
Para su activación se debe de ingresar al router, y añadir los siguientes comandos:
Se ingresa a alguna interfaz y se le agrega una ip:
Router# configure terminalRouter(Config)# interface ethernet1Router(Config-if)# nameif insidieRotuer(Config-if)# ip address 192.168.10.27 255.255.255.0 Router(Config-if)# no shutdown
Se activa ASDM:
Router(Config)# asdm image flash:/asdm.binRouter(Config)# http server enable
Se ingresa una ip que se le va a permitir hacer conectares con el servidor:
Router(Config)# http 192.168.10.5 255.255.255.255 inside
Ahora desde el cliente se puede conectar en el navegar:
https://192.168.10.27 /
En este pantallaso nos muestra que debe de estar instalado Java, lo habilitamos dando clic derecho en la barra superior:
Se da click en Run ASDM para ver la interfaz via web:
Esta es la interfaz resultante, de esta manera ya se pueden hacer configuraciones d manera gráfica.
Tunel VPN conexión virtual Ipsec.
A continuación se mostrara la configuración de un túnel virtual para conectarse con una red LAN desde un Host en la WAN, por medio de OpenVPN y una conexión virtual con IPsec.Se utilizara para la creación de esto endian firewall.Para el cliente se utilizara The green bow, que es un software que ofrece soluciones de seguridad, este se instalara en el cliente remoto en la WAN.openVPN es un software que permite una conectividad punto-a-punto con validación jerárquica de usuarios y host conectados remotamente, se implementara en el servidor y el cliente para clientes fuera de la LAN.
VPN.
Una VPN (Virtual Private Network) conecta hosts de una red a otra red. Virtualmente se genera un túnel atravesando Internet, permitiendo la comunicación entre ambas redes, con la misma seguridad disponible en una red privada. Cuando un túnel se genera los hosts de un extremo pueden establecer contacto directo con los hosts del otro extremo.
Una vez establecido el túnel, la seguridad es similar a la encontrada en una red privada (LAN), esto se logra gracias a la encriptación y autentificación.
Ipsec.
es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.
DIRECCIONES.
LAN: 192.168.190.0/24WAN: 192.168.10.0 /24Rango OpenVPN: 192.168.190.20 - 192.168.190.30
Endian Firewall VPN Gateway LAN: 192.168.190.1Endian Firewall VPN Gateway WAN: 192.168.10.1Cliente Servidor en LAN: 192.168.190.2Cliente remoto IP WAN: 192.168.10.125
CONFIGURACIONES.
OpenVPN.
En el menú de endian ingresamos a VPN.
En el servidor openVPN activaremos el servidor, y le daremos el rango de IP disponibles de la LAN para entregar al cliente VPN.
Ingresamos a cuentas, donde crearemos el usuario con el que nos conectaremos, asignándole nombre y contraseña.
Una vez creado nuestro usuario podemos observar en la cofiguracion de la cuenta, el link para descargar el certiicado CA, este lo copiamos a una maquina cliente VPN .
En la pestaña avanzado configuraremos el puertos (1194), y el protocolo (UDP), guardamos y reiniciamos.
En la configuración de autenticación le diremos que es tipo PSK (usuario/contraseña), guardar y reiniciar.
Ahora desde la maquina cliente descargaremos y configuraremos OpenVPN para la conexión,lo podemos descargar de: http://openvpn.net/index.php/open-source/downloads.html
Ahora nos dirigimos a a MI PC, disco local C, archivos de programa, openVPN, simple-config. Allí buscaremos el archivo client, y lo copiamos a la carpeta config, este archivo lo editaremos con wordpad.
El archivo queda asi.
En la conexión suele surgir un problema de falla de conexión, es porque falta generar la llave, ingresaremos a Inicio, todos los programas, OpenVPN, utilities, Generate a static OpenVPN key.
Estos nos genera una llave llamada key en la carpeta config, Ahora abriremos el OpenVPN GUI y nos saldrá un icono en la barra inferior del equipo le damos click derecho, Connect.
Nos logemos con el usuario y la contraseña configurados anteriormente en el endian.
Ahora tenemos la conexión mediante el servidor openVPN
Para verificarlo ingresamos a la consola de administración y hacemos un ipconfig, veremos cómo nos asigno un nuevo adaptador de red con la ip del rango que asignamos al principio la 192.168.190.10
La conexión es exitosa.
Tunel IPSEC.
Ingresamos a IPsec y activamos el servicio, le damos guardar.
En Estado y control de conexión añadiremos un nuevo túnel.
El tipo de conexión será VPN tipo host-to-net (roadwarrior).
En la configuración solo agregaremos el nombre y lo activaremos los demás parámetros los dejamos como están.
En Autenticación la haremos por palabra clave compartida, la primera opción.
En avanzadas, podemos elegir el tipo de encriptación, los grupos IKE entre otros parámetros de cifrado.
Estado del túnel.
Configuración del cliente.
Es en esta parte donde requerimos del software the green Bow, el vpn cliente se puede descargar de acá.http://www.thegreenbow.com/es/vpn_down.html
Esta instalación no requiere configuración. Después de finalizar la instalación nos creara el acceso directo en el escritorio, lo abrimos y vemos que nos despliega un icono en la barra inferior de nuestra maquina, le damos clic derecho e ingresamos al panel de configuración, En este panel agregaremos las fases, que son como las reglas para el VPN y el túnel, le damos clic derecho en Configuración de VPN, Nueva Fase1.
Esto nos creara una Fase llamada Gateway, allí configuraremos en la opción Gateway Remoto la dirección del Gateway del servidor por el que sale a la WAN la 192.168.10.125 este es el Gateway, en Autenticación seleccionamos la opción Llave secreta y pondremos la palabra clave que pusimos en la configuración de la autenticación de la conexión, nuestra palabra es 123456789, y en el IKE el tipo de criptografía que seleccionamos también en las opciones avanzadas de la configuración de la conexión.
Ahora crearemos el túnel, le damos en Gateway clic derecho, Nueva Fase2.
Esto nos creara la segunda fase llamada Túnel, el tipo de Dirección le diremos Dirección IP de Red, en Dirección de LAN remota, como su nombre lo especifica pondremos el Gateway del servidor endian de la LAN la 192.168.190.1 con su respectiva mascara, y en PFS el grupo ya sea el DH2 o el DH5 (esto lo seleccionamos en la configuración avanzada de la conexión en el servidor endian VPN).
Creadas las dos fases guardamos y aplicamos.
Vamos al icono de la barra inferior, y le damos Abrir túnel 'Gateway-Túnel'.Si nuestras configuraciones están bien, y no tenemos problemas de conectividad entre maquinas, tendremos éxito en la conexión por IPsec, y nos saldrá Túnel abierto.
En endian verificamos que la conexión este abierta.
Si queremos ver los registros, los joggings, etc., ingresamos a Registros en la barra de menú, Una vez allí, vemos una tabla con todos los registros que podemos ver, buscaremos el de OpenVPN.
Hacemos clic en Muestra este registro únicamente, y vemos el registro.
Dificultades.
1. Muchas veces en el OpenVPN no agregamos el KEY el cual es necesario para la autenticación.2. Verificar que la contraseña y los usuarios sean la correcta ya que la conexión puede fallar por esto.3. Verificar el nombre del certificado CA sea el correcto en la configuración del archivo cliente.