VPN

INTEGRANTES

VIVIANA HINCAPIÉ HERRERAHARRISON GONZALEZ CARMONA

SERGIO ANDRÉS RAMÍREZ CORREAANDRÉS FELIPE MUÑOZ SANTA

TECNOLOGÍA EN ADMINISTRACION DE REDES DE COMPUTADORES.

FICHA176052

SERVICIO NACIONAL DE APRENDIZAJE SENA

CENTRO DE SERVICIO Y GESTIÓN EMPRESARIAL

MEDELLÍN.

2012.

Introducción a VPN

1. Definición, descripción general y finalidad.

VPN red privada virtual, tecnología de red que permite una extensión de la red local sobre una red pública o no controlada.

Realmente una VPN no es más que una estructura de red corporativa implantada sobre una red de recursos de carácter público, pero que utiliza el mismo sistema de gestión y las mismas políticas de acceso que se usan en las redes privadas, al fin y al cabo no es más que la creación en una red pública de un entorno de carácter confidencial y privado que permitirá trabajar al usuario como si estuviera en su misma red local.

Para hacer posible un VPN es necesario proporcionar medios que garanticen autenticación e integridad de la comunicación.

Autenticación y autorización: usuario y equipo de quien este del otro lado.Integridad: que los datos enviados no hayan sufrido alteraciones.Confidencialidad: solo puede ser interpretada por los destinatarios de la misma.No repudio: mensaje firmado, para que el que lo envío no niegue que lo envío.

Un VPN requiere como mínimo una identificación de usuarios, codificación de datos, administración de claves, y algoritmo de seguridad.

Existen tres tipos de arquitectura VPN:

VPN de acceso remoto: Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa.

VPN punto a punto: Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicional (realizados comúnmente mediante conexiones de cable físicas entre los nodos), sobre todo en las comunicaciones internacionales.

VPN over LAN: Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna.

2. Ventajas de VPN.

Integridad, confidencialidad y seguridad de datos, Las VPN reducen los costos y son sencillas de usar, Facilita la comunicación entre dos usuarios en lugares distantes.

Tipos de conexión VPN.

Conexión de acceso remoto: Una conexión de acceso remoto es realizada por un cliente o un usuario de una computadora que se conecta a una red privada, los paquetes enviados a través de la conexión VPN son originados al cliente de acceso remoto, y éste se autentifica al servidor de acceso remoto, y el servidor se autentifica ante el cliente.

Conexión VPN router a router: Una conexión VPN router a router es realizada por un router, y este a su vez se conecta a una red privada. En este tipo de conexión, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentifica ante el router que responde y este a su vez se autentica ante el router que realiza la llamada y también sirve para la Intranet.

Conexión VPN firewall a firewall: Una conexión VPN firewall a firewall es realizada por uno de ellos, y éste a su vez se conecta a una red privada. En este tipo de conexión, los paquetes son enviados desde cualquier usuario en Internet. El firewall que realiza la llamada se autentifica ante el que responde y éste a su vez se autentifica ante el llamante.

3. Glosario.

Isa Server: Es un gateway integrado de seguridad perimetral que contribuye a la protección del un entorno de TI frente a amenazas procedentes de Internet, y además ofrece a los usuarios un acceso remoto rápido y seguro a sus aplicaciones y datos corporativos.

Internet: conjunto descentralizado de redes de comunicación interconectadas que utilizan la familia de protocolos TCP/IP, garantizando que las redes físicas heterogéneas que la componen funcionen como una red lógica única, de alcance mundial.

Red LAN: red de área local es la interconexión de una o varias computadoras y periféricos.

Cliente: es una aplicación informática o un computador que accede a un servicio remoto en otro computador, conocido como servidor, normalmente a través de una red de telecomunicaciones.

Conexión: punto donde se realiza un enlace entre dispositivos.

Dirección IP: Es una etiqueta numérica que identifica, de manera lógica y jerárquica, a un interfaz (elemento de comunicación/conexión) de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP.

Firewall: es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Autenticación: es el acto de establecimiento o confirmación de algo (o alguien) como auténtico, es decir que reclama hecho por, o sobre la cosa son verdadero.

Confidencialidad: es la propiedad de la información, por la que se garantiza que está accesible únicamente a personal autorizado a acceder a dicha información.

Router: Es un dispositivo de hardware usado para la interconexión de redes informáticas que permite asegurar el direccionamiento de paquetes de datos entre ellas o determinar la mejor ruta que deben tomar.

OpenVPN: Es una solución de conectividad basada en software: SSL. OpenVPN ofrece conectividad punto-a-punto con validación jerárquica de usuarios y host conectados remotamente, resulta una muy buena opción en tecnologías Wi-Fi (redes inalámbricas EEI 802.11) y soporta una amplia configuración, entre ellas balanceo de cargas. Está publicado bajo la licencia GPL, de software libre.

Frame Relay: Es una técnica de comunicación mediante retransmisión de tramas para redes de circuito virtual

Acceso remoto: Es acceder de una red diferente a otra, por medio de un tunel que se hace en el VPN.

Cliente VPN: Nos sirve para poder conectarnos a otras redes.

Modo de funcionamiento VPN.

Una red privada virtual se basa en un protocolo denominado protocolo de túnel, es decir, un protocolo que cifra los datos que se transmiten desde un lado de la VPN hacia el otro.

La palabra "túnel" se usa para simbolizar el hecho que los datos estén cifrados desde el momento que entran a la VPN hasta que salen de ella y, por lo tanto, son incomprensibles para cualquiera que no se encuentre en uno de los extremos de la VPN, como si los datos viajaran a través de un túnel. En una VPN de dos equipos, el cliente de VPN es la parte que cifra y descifra los datos del lado del usuario y el servidor VPN (comúnmente llamado servidor de acceso remoto) es el elemento que descifra los datos del lado de la organización.

De esta manera, cuando un usuario necesita acceder a la red privada virtual, su solicitud se transmite sin cifrar al sistema de pasarela, que se conecta con la red remota mediante la infraestructura de red pública como intermediaria; luego transmite la solicitud de manera cifrada. El equipo remoto le proporciona los datos al servidor VPN en su red y éste envía la respuesta cifrada. Cuando el cliente de VPN del usuario recibe los datos, los descifra y finalmente los envía al usuario.

Protocolos de túnel

Los principales protocolos de túnel son:

PPTP (Protocolo de túnel punto a punto) es un protocolo de capa 2 desarrollado por Microsoft, 3Com, Ascend, US Robotics y ECI Telematics.

L2F (Reenvío de capa dos) es un protocolo de capa 2 desarrollado por Cisco, Northern Telecom y Shiva. Actualmente es casi obsoleto.

L2TP (Protocolo de túnel de capa dos), el resultado del trabajo del IETF (RFC 2661), incluye todas las características de PPTP y L2F. Es un protocolo de capa 2 basado en PPP.

IPSec es un protocolo de capa 3 creado por el IETF que puede enviar datos cifrados para redes IP.

Protocolo PPTP: El principio del PPTP (Protocolo de túnel punto a punto) consiste en crear tramas con el protocolo PPP y encapsularlas mediante un datagrama de IP.

Por lo tanto, con este tipo de conexión, los equipos remotos en dos redes de área local se conectan con una conexión de igual a igual (con un sistema de autenticación/cifrado) y el paquete se envía dentro de un datagrama de IP.De esta manera, los datos de la red de área local (así como las direcciones de los equipos que se encuentran en el encabezado del mensaje) se encapsulan dentro de un mensaje PPP, que a su vez está encapsulado dentro de un mensaje IP.

Protocolo L2TP: L2TP es un protocolo de túnel estándar (estandarizado en una

RFC, solicitud de comentarios) muy similar al PPTP. L2TP encapsula tramas PPP,

que a su vez encapsulan otros protocolos (como IP, IPX o NetBIOS).

Protocolo IPSec: IPSec es un protocolo definido por el IETF que se usa para

transferir datos de manera segura en la capa de red. En realidad es un protocolo

que mejora la seguridad del protocolo IP para garantizar la privacidad, integridad y

autenticación de los datos enviados.

IPSec se basa en tres módulos:

Encabezado de autenticación IP (AH), que incluye integridad, autenticación y protección contra ataques de REPLAY a los paquetes.

Carga útil de seguridad encapsulada (ESP), que define el cifrado del paquete. ESP brinda privacidad, integridad, autenticación y protección contra ataques de REPLAY.

Asociación de seguridad (SA) que define configuraciones de seguridad e intercambio clave. Las SA incluyen toda la información acerca de cómo procesar paquetes I (los protocolos AH y/o ESP, el modo de transporte o túnel, los

algoritmos de seguridad utilizados por los protocolos, las claves utilizadas, etc.). El intercambio clave se realiza manualmente o con el protocolo de intercambio IKE (en la mayoría de los casos), lo que permite que ambas partes se escuchen entre sí.

Ventajas de una VPN para una organización

-Extensiones de conectividad a nivel geográfico-Mejoras de la seguridad-Reduce costos al ser instalado frente a las redes WAN más utilizadas-Mejora la productividad-Simplifica la o topología de red-Proporciona oportunidades de comunicaciones adicionales

4. Esquema.

5. Tutorial VPN desarrollado en ISA Server.

Para configurar VPN en Isa Server se deben tener conocimientos previos de reglas de NAT y Firewall, la finalidad de VPN es básicamente brindar a un cliente externo acceso a los recursos de la LAN, que ya debe estar previamente en funcionamiento y en conexión con el servidor de firewall o ISA Server.

En primer lugar se creará un usuario y un grupo, este usuario será quien se autentique con el servidor VPN.

Para esto nos vamos a Inicio → MI PC → Clic derecho → Administrar.Una en administración de equipos hacer Clic → Usuarios y grupos locales.

Ahora escogemos la opción Usuarios → Clic derecho → Usuario nuevo.

Definimos el nombre de usuario y la contraseña con la que nos autenticaremos con el servidor VPN. Clic → Crear.

Aquí aparece el usuario ya creado

Ahora agregamos el usuario que acabamos de crear a un grupo nuevo.Grupos → Clic derecho → Grupo nuevo.

Le asignamos un nombre al grupo y luego Clic → Agregar esto es para agregar el usuario creado anteriormente.

Para buscar el usuario hacemos Clic → Avanzadas...

Clic → Buscar ahora.

Este es el usuario creado anteriormente y le damos clic para elegirlo → Aceptar.

Aquí ya el usuario ha sido elegido Clic → Aceptar

Una vez elegido el usuario Clic → Crear

Este es el grupo ya creado.

Ahora configuraremos directamente las opciones de la VPN, ISA Server recomienda seguir 5 pasos básicos los cuales están mostrados en la siguiente imagen, comenzamos editando el método de asignación de direcciones.Redes privadas virtuales (VPN) → Configurar método de asignación de direcciones.

En este caso vamos a utilizar autenticación mediante clave precompartida por medio del protocolo L2TP o Protocolo de túnel de capa 2. estas opciones los encontramos en → Autenticación en esta opción vamos a poner la clave del usuario VPN creado anteriormente con contraseña incluida.

Ahora elegimos el pool de direcciones que se le asignara a los clientes VPN, cabe resaltar que aunque los clientes VPN quedaran dentro de nuestra red interna el pool de direcciones debe ser una red diferente.→ asignación de direcciones agregar → Agregar.

Una vez asignado el pool de direcciones IP clic → Aceptar

Ahora solo hay que aceptar y aplicar los cambios.

Ahora En la opción Redes privadas virtuales (VPN) → Habilitar acceso a los clientes VPN vamos a hacer la configuración para los clientes VPN.

Grupos → Agregar Allí agregamos el grupo de usuarios creado anteriormente ya que estos son los que se pueden autenticar en la VPN.

Aquí aparece el grupo que fue creado anteriormente.

Ahora definimos la cantidad máxima de clientes VPN permitidos, teniendo en cuenta que no puede ser mayor a el numero de direcciones IP a asignar en el pool que creamos.

Elegimos el protocolo.

Ahora creamos una regla de Firewall que permita el acceso de los clientes VPN a la LAN.

Elegimos todo el tráfico saliente.

Para el tráfico de origen elegimos → Clientes de VPN.

Para trafico de destino elegimos → Interna es la LAN

Ahora debemos crear una REGLA DE RED que traduzca las direcciones públicas de la VPN a una dirección interna ya asignada 192.168.13.0.

Para que los clientes de la VPN puedan tener direcciones internas y comunicarse entre las diferentes redes deben existir reglas de enmascaramiento o traducción de direcciones (NAT), para esto creamos la siguiente regla.

Una vez creada esta regla de red se deben aplicar los cambios.

Para lograr que los clientes VPN puedan comunicarse con otras subredes que no sean internas deben existir reglas de nateo desde el cliente VPN hasta las subredes con las que se vaya a comunicar; es decir; que si quisiera dar un ping a la LAN deberá tener creada dicha regla para que el paquete ICMP se enmascare con una IP dentro de la LAN y el ping sea exitoso.

La siguiente regla de NAT es para que los clientes VPN se comuniquen con la LAN y la DMZ.

En la siguiente imagen les muestro las tarjetas de red del ISA Server, observamos la IP de la LAN y la de la WAN.La dirección 192.168.10.160 será la IP por la que los clientes VPN se conectaran.

A continuación mostrare los dos equipos que use como clientes.

Cliente LAN.

Cliente VPN. Este cliente aun no ha realizado la conexión VPN.

Para configurar el cliente VPN primero hay que crear una conexión nueva.→ Inicio → Panel de control.

→ Conexiones de red e internet.

→ Conexiones de red.

→ Crear conexión nueva.

Ahora empezamos a crear la conexión.

→ Siguiente.

En esta opción elegimos → conectarse a la red de mi lugar de trabajo para poder conectarnos a la WAN.

→ Conexión de red privada virtual.

En mi caso el nombre de la organización es VPN.

Nos pide la IP a la que queremos conectarnos, es decir, la IP publica de la red.

Una vez finalizada la conexión debe aparecer un adaptador con el nombre que se le haya puesto a la vpn creada, y una ventana que pedirá usuario y contraseña. Antes de autenticarse debemos hacer algunas configuraciones y para eso nos vamos a → Propiedades.

Configuraremos las opciones de IPSec.

En este campo definimos la clave igual que en el servidor, es decir, la que le dimos al servidor VPN cuando lo estábamos configurando.

Nos autenticamos con el usuario que creamos y su contraseña.

Así nos aparecerá si la conexión fue exitosa.

Esta una nueva tarjeta de red con dirección IP dentro del pool que determinamos. En nuestro caso fue 192.169.13.2 → 192.168.13.10.

Esta es la prueba para verificar que efectivamente hay conexión entre el cliente LAN y el cliente VPN.

Problemas.

En mi caso solo ocurrió un problema que fue el de la contraseña, este error se dio cuando le di una diferente al usuario y otra para autenticar. A la hora de realizar la conexión surgió un error y por tanto hubo que corregirlo.

Otros problemas o errores que pueden ocurrir son:

Poner el mismo rango de IP que tiene la red LAN a el pool de direcciones para el VPN.Ejemplo: en lugar de poner 192.168.13.2 → 192.168.13.10 como es mi caso, yo hubiera puesto la red de mi LAN que es 192.168.12.0 (192.168.12.2 → 192.168.12.10)

Permitir una cantidad clientes VPN superior a número de IP asignadas en pool de direcciones.Ejemplo: en mi pool de direcciones solo permití de la IP 2 → 10, y en el máximo de cliente solo permití 5. Hubiera estado mal si en lugar de 5 hubiera puesto 11 o 20 clientes VPN.

Confundir a la hora de crear las reglas el

tráfico de destino con el tráfico do origen o viceversa.

No ponerle la dirección IP correcta al cliente VPN para generar la conexión.Ejemplo: no ponerle la IP publica y en su lugar poner la de la LAN o la DMZ.

No poner el usuario correcto que es el creado en el servidor VPN y en su lugar dejar el aparece generalmente por defecto (hay que cambiarlo).

6. Tutorial VPN desarrollado en Endian.

Windows XP (Es donde administramos el Endian gráficamente y simulamos la LAN)

IP: 192.168.20.4/24

Endian (Servidor de VPN, firewall y proxy )IP o Gateway interno 192.168.20.2/24IP o Gateway externo 192.168.10.151/24

Windows XP-Cliente (Cliente para las conexiones OpenVPN y Ipsec )IP: 192.168.10.179/24

Diagrama de red VPN

Configuración del servidor VPN en ENDIAN

Configuramos el servidor OpenVPN, colocamos el modo activo y damos un rango de direcciones para que sea entregada a los clientes, descargaremos el certificado, hacemos clic en guardar y reiniciar.

Nos dirigimos a la pestaña cuentas.

Pasamos a crear el usuario con su respectiva contraseña. Hacemos clic en guardar.

El usuario “harry” se ha creado correctamente.

Nos dirigimos a la pestaña “avanzado”.

En configuración avanzada decidimos cual es el puerto y protocolo del servidor.

En esta parte dejamos por defecto la configuración.

La autenticación se hará mediante usuario y contraseña.

Este es el sistema del Endian, en la parte de interfaces de red nos saldrá una interfaz tap0 esa es la conexión de VPN.

El enlace activo principal debe de estar arriba como lo muestra en la imagen.

Configuración del cliente OpenVPN

En este link pueden descargar el OpenVPN: http://openvpn.net/index.php/open-source/downloads.html

Después de descargar e instalar el software, nos permitimos hacer uso del mismo. Para ello damos clic en el acceso directo que crea el programa

Este es el software ya instalado OpenVPN. Hacemos doble clic en el software, y nos debe de aparecer el icono del adaptador de red para poderse comunicar con la LAN. En estos momentos está apagado el adaptador, porque no le hemos hecho las configuraciones necesarias.

Vamos a inicio, y hacemos clic en MI PC.

Hacemos clic en el disco local C.

Hacemos clic en archivos de programa.

Entramos a la carpeta del OpenVPN.

Entramos a la carpeta sample-config.

Vamos a editar algunas líneas de configuración en este archivo client, lo mas recomendado es utilizar la aplicación wordpad.

Cambiaremos algunos parámetros de este archivo:

Colocamos el nombre tal cual del certificado que descargamos en el Endian. Luego colocar este certificado en la carpeta “config”.

Nota: la configuración de este archivo es sumamente muy importante, deben de mirar muy bien todo el archivo de configuración línea por línea.

Después de haber editado el archivo de configuración, procederemos a crear la llave, vamos a inicio, todos los programas, OpenVPN, utilities y por ultimo hacemos clic en ( generate a static OpenVPN key), para poder que el cliente pueda tener conexión en la LAN.

Ingresamos a la carpeta “config”.

En esta carpeta deben de estar, la llave que en el paso anterior la habíamos creado, el certificado que descargamos en el endian, y el client donde editamos las líneas de configuración.

Para conectarnos debemos de ir al icono de OpenVPN y hacerle clic derecho, y hacemos otro clic en Connect

.

Colocamos el nombre de usuario y la contraseña, este es el mismo usuario que creamos en el Endian, hacemos clic en OK.

El usuario se conecto exitosamente a la red LAN.

Esta es la dirección IP que fue entregada por parte del servidor (192.168.20.1/24).

Así debe de quedar el adaptador de red para la comunicación con la red LAN.

Configuración en el cliente para Ipsec

En este link podemos descargar el “thegreenbow” para el cliente ipsec:

http://www.thegreenbow.com/vpn_down.html

Nos dirigimos en Ipsec y lo vamos activar, hacemos clic en guardar.

Ahora vamos añadir una conexión, hacemos clic en añadir.

El tipo de conexión va ser “roadwarrior”, hacemos clic en añadir.

En este paso únicamente vamos a colocar el nombre de la conexión, ya que también podemos cambiar la acción del túnel cuando se cae, ya sea reiniciar o que se elimine como en este caso.

En este paso vamos a usar como autenticación una llave compartida, hacemos clic en guardar.

Estos son los parámetros de conexión avanzada, para llevar al cabo la seguridad de la carga de red. Hacemos clic en guardar.

Después de haber configurado el ipsec en el servidor y descargar el cliente ipsec, ahora pasamos a instalar y configurar “thegreenbow”.

Hacemos clic derecho en configuración de VPN para crear la fase 1.

Pasamos a configurar los parámetros de la fase 1, en el Gateway remoto colocamos la dirección ip de la WAN del servidor Endian que en este caso es 192,168,10,151, después colocamos la llave secreta, y cambiamos la criptografía con que van a viajar los datos por el túnel.

En este paso vamos a crear la fase 2 dentro del Gateway como lo muestra la imagen.

Pasamos a configurar los parámetros de la fase 2, en el tipo de dirección colocamos (dirección IP de red), en dirección de LAN remota colocamos la dirección ip del servidor que es la 192.168.20.2 con la máscara 255.255.255.0, y la criptografía debe ser los mismos parámetros que en la fase 1 (Gateway).

Hacemos clic para guardar los cambios.

Después de haber configurado el cliente IPsec, nos dirigimos al icono del IPsec hacemos clic derecho, y por ultimo realizamos otro clic en donde dice (abrir túnel”Gateway-Tunnel”).

El túnel ya sea abierto, osea, que el cliente IPsec está funcionando satisfactoriamente.

Ahora pasamos a mirar en el servidor Endian, y el estado y control de conexión está abierto.

Problemas

En esta imagen como lo pueden observar no me aparecía el icono de connect. Entonces lo que hice fue mirar en la carpeta (config), y deducid que era porque no tenía el archivo del client, es decir, el archivo de configuración dentro de la carpeta (config). Luego coloque el archivo de configuración (client) en la carpeta (config) y se me soluciono el problema.

Cuando me iba a conectar a la red LAN me mostraba este error, que nos dice que en el archivo de configuración no encuentra el certificado, entonces por esto no deja ingresar los datos del usuario. Entonces mire muy bien las líneas de configuración y me encuentro que la línea del certificado esta comentada (#), entonces des comente la línea y me dirigí al icono del OpenVPN y me intente conectar nuevamente y ya me pedía las credenciales del usuario.

En este problema fue que confundí la contraseña del usuario, puse una contraseña diferente en el servidor y cuando me iba autenticar para la conexión puse una diferente, no me acordaba de la contraseña que había puesto en el servidor.

Acá tuve un problema con el cliente IPsec, que no puse bien la contraseña, es decir, la llave secreta, osea que tuve que ir al servidor para ver cómo era la llave secreta para poder que el túnel me abriera la conexión.

En el cliente del IPsec tuve un problema de direccionamiento por qué no coloque la dirección IP de la red LAN, entonces nunca iba haber conexión con la red LAN.