openvpn como solución de redes privadas virtuales corporativas

Download OpenVPN como solución de Redes Privadas Virtuales Corporativas

If you can't read please download the document

Upload: rommel-leon

Post on 12-Jun-2015

7.080 views

Category:

Technology


0 download

DESCRIPTION

http://www.oaxrom.com

TRANSCRIPT

  • 1. Encuentro Nacional de Linux 2012 Seguridad CorporativaMediante redes Privadas Virtuales con OpenVPN Filein Rommel Len MndezBlog: http://blog.oaxrom.com

2. Qu es una Red Privada Virtual ?Una Red Privada Virtual es una red segura y encriptada que seestablece entre 2 puntos remotos dentro de otra red LAN, WAN,GSM/GPRS, Internet, etc. 3. Para que sirve una VPN ?Conectarse de forma remota y segura a una aplicacincorporativa, por ejemplo aplicacin web, base de datos, etc., sintener que exponer el puerto de la aplicacin directamente eninternet y tener latente un ataque de crackers que quieran obteneracceso.Extensiones VoIP remotas: Podemos conectarnos a un servidor detelefona usando el protocolo SIP o IAX2 desde un softphonetodo esto a travs de una VPN por lo que evitamos los bloqueosde puertos de telefona IP en redes 3G, as como exponemostener nuestro conmutador abierto ante posibles ataques yobtencin de acceso de extraos que nos generen llamadas aCuba, Afganistan, Irn, Liberia, etc. 4. Para que sirve una VPN ?Permitir a computadoras remotas conectarse desde cualquier accesode internet a los servicios de la intranet sin exponer passwords eninternet pblicos ante la presencia de posibles sniffers.Conectar 2 redes remotas a travs de una VPN cmo siestuvieran en la misma red local para comparticin de recursos ycomunicacin entre las computadoras de las 2 redes.Acceso a computadoras remotas a toda la red local y serviciosinternos que estn detrs del firewall y servidor VPN. 5. Qu es OpenVPN ? OpenVPN es una solucin Open Sourcemultiplataforma de conectividad empresarialpara redes virtuales, que permite establecerVPNs de forma segura, encriptada, fcil,rpida y con mltiples caractersticas para usodiversos en implementacin de redes virtualescorporativas basadas en SSL(Secure SocketLayer ). OpenVPN comenz a desarrollarse a partir del2001 y se puede obtener desdehttp://www.openvpn.org 6. Caractersticas de OpenVPNConexiones capa 2 o 3Estndares SSL/TSLMultiplataforma (Linux & Unix, Windows, MacOS X, Android,iOS, Windows Mobile.Encriptacin por claves estticas, certificados & claves RSAFuncionamiento en modo Road Warrior (PC to LAN)Funcionamiento en modo Bridge (LAN to LAN)Transporte de protocolos no-IP como IPX o broadcast.Asignacin de IP Virtuales esttica o dinmica 7. Ventajas de OpenVPNSolo se establece un puerto de red TCP o UDP Pblico, por loque no se expone todos los servicios internos de la redempresarial para acceso remoto.Conexiones VPN remotas son establecidas a travs de casicualquier firewall sin necesidad de abrir puertos en el clienteremoto.Permite la integracin de reglas del firewall sobre una interfaztun0, tun1, etc.Todos los conceptos de reglas, reenvo, NAT, se puedenestablecer sobre un Tunel VPN.Soporte transparente para Ips dinmicas. 8. Ventajas de OpenVPNNingn problema de NAT, incluso en una misma red local todospuedes estar trabajando con una ip virtual.Configuracin sencilla tanto para el servidor como para el cliente.Proteccin de usuarios remotos para evitar conexiones entre si.Deployment de configuracin y llaves, rpida y sencilla.Es software Libre! 9. Desventajas de OpenVPNIncompatibilidad con Ipsec, que es el protocolo estndar de laindustria para soluciones VPN.Falta de Masa CrticaExisten apenas contadas soluciones de hardware que soportenOpenVPN como solucin VPN. 10. Modos de funcionamiento de OpenVPNModo Road Warrior: Servidor Multipunto Interfaz TunPermite conectar mltiples clientes remotos al servidor VPN enmodo punto-multipunto.Computadoras se conectan desde internet al servidor de internet ytienen acceso a la red local detrs del servidor VPN.Clientes VPN por configuracin pueden o no comunicarse entre sServidor VPN 11. Modos de funcionamiento deOpenVPNModo Bridge: LAN To LAN - Interfaz TAPPermite conectar clientes remotos que pueden distribuir la conexin aotros equipos de la red remota permitiendo establecer redes virtualesLAN to LANUn LAN to LAN es como llevar un cable de red de nuestra LAN atravs de internet por un tunel seguro, conectarlo a un Router VPNswitch y de ah conectar otros equipos a este switch para cascadearla red virtual. 12. Como instalamos OpenVPN ?Debian & Ubuntu sudo apt-get install openvpnRed Hat, Cent OS & Fedora yum install opevpnCdigo fuenteRouter WRT54GL con firmware DDWRT con soporte Open VPN 13. Que necesitamos paraimplementar OpenVPN ?Certificados de Seguridad del Servidor VPNLlave Pblica & Privada del ServidorArchivo de configuracin del servidorLlave del cliente remoto.Configuracin del cliente remotoTener instalado el software de OpenVPN en el cliente remoto. 14. Preparemos los ingredientesInstalamos OpenVPN la distribucin de Linux es al gusto sudo apt-get install openvpnCopiamos el ejemplo para crear los certificados de seguridad delservidor para la versin de OpenVPN 2.X :sudo cp /usr/share/doc/openvpn/examples/easy-rsa/2.0/etc/openvpncd /etc/openvpn/2.0cp openssl-1.0.0.cnf openssl.cnfEditamos los datos para crear el certificado de seguridadsudo nano varsEditamos los valores de KEY_* 15. Creando los certificados & llavesdel servidorNos validamos como root suPreparamos las variables de entorno . ./vars sh clean allCreamos el certificado CA: sh build-caCreamos las Llaves del Servidor: sh build-key-server OAXROM-SERVER 16. Creamos las llaves de los clientesPodemos crear una llave por cada cliente VPN y definir en elarchivo de configuracin del servidor que cada cliente VPNtendr su propia llave o permitir que todos los clientes VPN usenla misma llave sudo sh buil-key CLIENTE1 sudo sh buil-key CLIENTE2Creamos los parmetros Diffie Hellman para el servidor sudo sh build-dhEl protocolo criptogrfico Diffie-Hellman, es un protocolo de establecimiento de claves entre partesque no han tenido contacto previo, utilizando un canal inseguro, y de manera annima (noautenticada) 17. Archivos ResultantesNos crea los archivos generados en /etc/openvpn/2.0/keys ca.crt : certificado de seguridad ca.key: llave del certificado de seguridad OAXROM-SERVER.crt: Certificado del servidor OAXROM-SERVER.key: Llave privada delservidor dh1024.pem: Archivo Diffie Hellman CLIENTE1.key: llave p blica del cliente CLIENTE1.crt: Certificado del cliente 18. Archivo de Configuracin del Servidor Modo RoadWarriorsudo nano /etc/openvpn/servidor.cnfport 1190proto udpdev tunca "/etc/openvpn/keys/ca.crt"cert "/etc/openvpn/keys/OAXROM-SERVER.crt"key "/etc/openvpn/keys/OAXROM-SERVER.key"dh"/etc/openvpn/keys/dh1024.pem"server 192.168.26.0 255.255.255.0ifconfig-pool-persist ipp.txt#push "dhcp-option DNS 208.67.222.222"#push "dhcp-option WINS 192.168.26.1" 19. Archivo de Configuracin delServidor Modo RoadWarriorclient-to-client#push "route 192.168.100.0 255.255.255.0"duplicate-cncomp-lzomax-clients 60persist-keypersist-tunverb 3status openvpn-status.logkeepalive 10 120suppress-timestamps 20. Ejecutamos el servidorsudo openvpn config /etc/openvpn/servidor.cnfAl iniciar si la configuracin y las llaves son correctas, al final deejecutar el servidor veramos algo como los siguiente:IFCONFIG POOL: base=192.168.26.4 size=62, ipv6=0Initialization Sequence CompletedPara verificar hacemos un ifconfig y deberamos ver la interfaz deltunel virtual con la direccin IP 192.168.26.1 asignadatun1Link encap:UNSPEC direcci nHW 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00Direc. inet:192.168.26.1 P-t-P:192.168.26.2M sc:255.255.255.255 21. Archivo de Configuracin delCliente de OpenVPNclientproto udpdev tunremote SERVIDORIPOPENVPN.homeip.net 1190resolv-retry infinitenobindpersist-keypersist-tunca"/home/cloudvoox/clientevpn/ca.crt"cert "/home/cloudvoox/clientevpn/CLIENTE1.crt"key "/home/cloudvoox/clientevpn/CLIENTE1.key"comp-lzoverb 3 22. Ejecucin del cliente VPNsudo openvpn config /home/user/clientevpn/cliente.ovpnSi la ejecucin fue correcta al final de ejecutarlo veramos InitializationSequence CompletedPreviamente veramos la IP que nos asign el servidor VPN y las rutasde red que mand crear el servidor en el cliente para el ruteo desegmentos de red.Thu Oct 25 01:17:32 2012 /sbin/ifconfig tun0 192.168.26.58 pointopoint192.168.26.57 mtu 1500Thu Oct 25 01:17:32 2012 /sbin/route add -net 192.168.100.0 netmask255.255.255.0 gw 192.168.26.57Thu Oct 25 01:17:32 2012 /sbin/route add -net 192.168.26.0 netmask255.255.255.0 gw 192.168.26.57 23. OpenVPN modo Bridge Lan 2 LanEn la configuracin del cliente y servidor solo se cambian las interfaces deTun a Tap.Se crean reglas de firewall para el ruteo entre el segmento real de lared interna y el segmento virtual de la VPN 24. Preguntas ?Filein Rommel Len Mndez http://blog.oaxrom.com