CONFIGURACION DE UNA RED VPN OPENVPN+CA

2010

Sergio Andrés Quintero SENA

20/11/2010

2

CONTENIDO

Introducción……………………………………………………………………….. 3 Marco Teórico…………………………………………………………………….. 4 Desarrollo…………………………………………………………………………. 6 Configuración de VPN con OpenVpn…………………………………………... 6 Instalación y Configuración del cliente VPN en Windows………………… 14 Configuración del Cliente………………………………………………………... 16 Instalación y configuración Webmin…………………………………………. 22 Instalación y configuración de firewall shorewall…………………………… 22 Instalación y configuración de openvpn+CA en Webmin………………...... 26 Instalación y configuración de cliente openvpn…………………………….. 36 Conclusiones……………………………………………………………………… 43

3

INTRODUCCION

En la extendida red del área geográfica del internet a miles de computadores interconectados permitiendo a miles de usuarios hacer utilidad de cada uno de los servicios que ofrecen, pero como se conectan las empresas que son de una misma organización, que están a diferentes distancias y se quien comunicar de una forma segura sin que nadie tenga acceso a su información. ? Para este tipo de conexiones existe una solución las redes virtuales que son las que hoy en día nos garantiza mayor seguridad de las comunicaciones entre organizaciones o usuarios.

En este pequeño documento vamos a ver como se configuran este tipo de redes.

4

MARCO TEORICO

VPN: Es la red que permite la conexión de redes locales utilizando una redes publica como lo es internet, haciendo utilidad de túneles garantizando mayor seguridad de transferencias de datos.

COEXION REMOTA: Es una tecnología que nos permite acceder a mi ordenador así este fuera de nuestro alcance. SEGURIDAD PERIMETRAL: Se encarga de controlar y proteger todo el tráfico o contenido de los puntos de entrada y salida de una conexión. ROAD WARRIOR: Acceso remoto, conexión de usuarios o proveedores con la empresa remotamente desde cualquier lugar. TUNNELING: Consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel dentro de una red de computadoras. Haciendo que el contenido de los paquetes no se pueda ver. SSL VPN: Permite que las conexiones por internet sean seguras, este actúa sobre la capa de transporte. VPN appliance: es un equipo de seguridad con características de seguridad mejoradas que es mas cono sida como SSL. VYATTA: Vyatta esta bajo Linux, preparado especialmente para realizar funciones de routeo, vpn, firewall e incluso para trabajar como maquina virtual. PFSENSE: Firewall, router, punto de acceso inalámbrico, DHCP servidor, DNS del servidor, VPN. IPCOP: Es un firewall de una distribución de Linux. SMOOTHWALL: Es una distribución de Linux que nos permite proporcionar un firewall. ISA SERVER: Permite proteger su las redes de las amenazas de Internet, además de proporcionar a los usuarios un acceso remoto seguro a las aplicaciones y datos corporativos. CERTIFICADOS DIGITALES: Es un documento que esta registrado ante un tercero que autoriza la vinculación entre una entidad de un sujeto, una entidad y su calve publica. PKI: Es una combinación de hardware y software, políticas y procedimientos de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas, permite a los usuarios autenticarse frente a otros usuarios y usar la información de los certificados de identidad, para cifrar y descifrar mensajes, firmar digitalmente información, garantizar el no repudio de un envío, y otros usos.

5

L2TP: Crea un túnel utilizando PPP para enlaces telefónicos, este asegura nada mas los puntos de finales del túnel, sin asegurar los datos del paquete. IPSEC: Asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando o cifrando cada paquete IP en un flujo de datos. INTRUSO INFORMATICO: Son aquellos que pretenden invadir la privacidad de nuestro datos de la red o de mi ordenador. MODELOS OSI: Es un marco de referencia para la definición de arquitecturas de interconexión de sistemas de comunicaciones. NMAP: Es una herramienta open source, diseñada para explorar y para realizar auditorias de seguridad en una red de computadoras. ACL: Se trata de los permisos de acceso a determinados objetos o aplicaciones, este controla el tráfico de las redes informáticas. PAT: Es una característica de una red de dispositivo que traduce TCP o UDP comunicaciones entre los hosts de una red privada y los hosts en una red pública. NAT: Traducciones de direcciones IP que permite la transición de datos entre redes diferentes. FORWARDING: Permite el reenvió de correo de una dirección a otra. PPTP: Es un protocolo que fue diseñado para la implementación de un red privada asegurando la conexión punto a punto. SSH: protocolo que permite acceder a una maquina remota de una red. WIRESHARK: Es un analizador de protocolos permite analizar el tráfico de una red y solucionar problemas. Webmin: Es una herramienta administrativa vía que nos permite la configuración de varios servicios de red tales como firewall, servidor de correo, base de datos MYSQL, DHCP, DNS entre otros y muchos que puede soportar Webmin. Enmascaramiento: Es una serie de normas que permite el envió y filtrado de datos entre dos redes. Shorewall: Es una herramienta de código abierto cortafuegos para Linux que se basa en el Netfilter (iptables / ipchains) sistema integrado en el kernel de Linux, por lo que es más fácil de manejar esquemas de configuración más compleja.

6

Netfilter/iptables: Herramienta libre que crear cortafuegos para Linux El componente más popular construido sobre Netfilter es iptables, una herramientas de cortafuegos que permite no solamente filtrar paquetes, sino también realizar traducción de direcciones de red (NAT).

DESARROLLO

CONFIGURACION DE VPN CON OPENVPN

Primero descargamos el paquete con el siguiente comando como lo muestra la imagen. > Apt-get install openvpn

El directorio de vpn que da en la siguiente ruta >cd /etc/openvpn/ Cuando damos ls vemos que no hay ningún archivo de configuración

7

Entonces vamos a una un directorio de ejemplos de pvn y copiemos los las siguientes carpetas. > cd /user/share/doc/openvpn/examples/

Luego vamos a copiar los archivos de configuración del nuestra vpn. > cp -r easy-rsa /etc/openvpn/ >cp -r server.conf.gz /etc/openvpn/

Vamos al directorio de openvpn y descomprimimos el archivo server.conf.gz >gunzip server.conf.gz

Vemos que ya tenemos el archivo de configuración de nuestro servidor

8

Vamos a al directorio > cd easy-rsa/2.0 Para generar las variables que nos permiten crear nuestra entidad certificadora y los certificados para el servidor y el cliente

a continuación vamos a ejecutar las siguientes variables para borrar otros registros y comenzar uno nuevo. > ./clean-all >. ./vars

Ahora vamos a ejecutar la variable que nos permite crear nuestra entidad certificadora >./build.ca

Ahora vamos a llenar los datos que nos piden, como lo muestra la siguiente imagen.

9

Vamos a crear los certificados, a continuación creamos el cerficado del servidor con >./build-key-server nom_server Como lo muestra la imagen

Aquí nos muestra un resumen del certificado y nos va a preguntar que si estamos seguros de la configuración y que si esta creado correctamente aceptamos con una y.

10

Luego creamos el certificado del cliente Ejecutamos la variable >./build-key nom_client Llenamos los datos que nos piden como lo muestra la siguiente imagen

11

Aquí nos muestra el resumen de el certificado y aceptamos las preguntas que nos aparece.

También vamos a generar el siguiente archivo que es el que nos permite generar cada uno de los certificados creados. >./build-dh

Vamos al directorio >/etc/openvpn/easy-rsa/2.0/keys/ y damos >ls para ver los certificados como lo muestro en la imagen.

12

Vamos a copiar los certificados del servidor en el directorio de openvpn y los certificados del cliente los pasamos al cliente marce.crt, marce.key y ca.crt >cp -r diana.crt diana.key ca.crt /etc/openvpn/

También copiamos el siguiente archivo >cp dh1024.pem /etc/openvpn/

Vamos al directorio del openvpn y damos >ls para ver los archivos que copiamos

Ahora vamos a modificar el archivo de configuración del openvpn. Ejecutamos el comando >nano server.conf

El archivo de configuración tiene más líneas pero en este caso solo deje las líneas que necesitamos para la configuración, entonces solo modificamos las líneas que nuestros en la imagen

13

y ahora vamos a comprobar que nos quedo correctamente con el siguiente comando. El cual nos permite ver cada una de las líneas que hemos configurado. >openvpn - -config server.conf

No nos salió ningún error. Reiniciamos el servicio de openvpn con: >servicie openvpn restart

Al dar >ifconfig vemos que nos aparece una nueva interfaz llama tun esa es la interfaz de

14

túnel de nuestra VPN.

INSTALACION Y CONFEGURACION DEL CLIENTE VPN EN WINDOWS

Vamos a descargar el cliente vpn para nuestro Windows http://sourceforge.net/projects/securepoint/ Después de la descarga procedemos a la instalación

15

Damos siguiente y captamos la licencias y siguiente.

Seleccionamos el all user y damos siguiente

16

De aquí en adelante damos siguiente por que cada una de las configuraciones viene por

defecto. Esperamos que instale

17

Y vamos al final nos aparcera una ventana que nos dice que si queremos crear un nuevo cliente y damos que si y ya hemos terminado con nuestra instalación.

CONFIGURACION DEL CLIENTE

Ya después de la instalación nos a perece una ventana para crear en nuevo cliente vpn

18

En esta ventana damos en New para configurar la conexión con el servidor. Vamos a poner la dirección del servidor vpn el puerto y el protocolo

Vamos a exportar los certificados. Nota: este cliente reconoce solo los archivos en formato .cert .pem entonces debemos cambiarle la extensión a nuestros certificados.

19

Entonces damos en examinar y buscamos los certificados con la extensión que le dimos.

Quitamos la selección de ingreso con autenticación y damos siguiente.

En la siguiente imagen siguiente nos muestra el resumen de la configuración que le hicimos a nuestro cliente luego de esto damos en finalizar y que da la configuración de nuestros cliente.

20

Luego damos en conectar y cuando nos conecte nos muestra la dirección ip que le asignamos a nuestro túnel vpn.

21

Para terminar de establecer nuestra conexión vpn vamos a comprobar que nuestro cliente vea el servidor vpn dándole un ping a la dirección del servidor >ping 10.11.0.1

Como podemos ver ya tenemos una conexión por VPN.

22

INSTALACIÓN Y CONFIGURACIÓN WEBMIN

DIAGRAMA SIMPLE DE LA RED

PC LAN

IP: 172.16.10.20

WANLANCliente VPN

IP:192.168.1.54

DIRECTORIO ACTIVO

DNS

DHCP

IP: 172.16.10.1

CENTOS + WEBMIN

FIREWALL

VPN

IP WAN

192.168.1.50IP LAN

172.16.10.99

CONEXIÓN VPN

IP TUNEL VPN

10.0.8.11

La instalación de webmin podemos descargan el paquete de la pagina oficial http://www.webmin.com/download.html que necesitemos según la distribución que estemos utilizando en nuestro caso centos el paquete correspondiente es .rpm cuando haya acabado la instalación podemos ingresar a webmin vía web con la dirección del servidor o un localhost por el puerto 10000 por donde escucha por defecto. Para ingresar entramos con el usuario de sistema y su respetiva contraseña.

INSTALACION Y CONFIGURACION DE FIREWALL SHOREWALL Para la descargar de firewall shorewall desde la terminal ejecutamos los siguientes comandos. wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-4.0.11-

2.noarch.rpm

wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-perl-4.0.11-

2.noarch.rpm

wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-shell-4.0.11-

2.noarch.rpm

luego este comando para la instalación de de los paquetes descargados .

23

rpm -ivh shorewall-perl-4.0.11-2.noarch.rpm shorewall-shell-4.0.11-2.noarch.rpm shorewall-4.0.11-

2.noarch.rpm Luego de haber instalado los paquetes de firewall shorewall ingresamos a webmin para su configuración. Cuando ingresamos en red cortafuego shorewall podemos ver las opciones que podemos modificar.

Ingresamos a zona de red le damos en editar manualmente nombramos las zonas de nuestro firewall salvamos y regresamos al menú principal del shorewall.

Ahora en interfaces de red a las zonas creadas anteriormente le asignaremos una interfaz de red disponible en nuestro equipo salvar y regresar al menú de shorewall.

24

Ahora en políticas por defecto aremos una cuantas como lo muestra la siguiente imagen.

Por el momento en reglar de cortafuego agregaremos una sola regla de acceso para permitir las conexiones de los clientes vpn que se aran por el protocolo UDP y por el puerto 1194 otras peticiones que se hagan al firewall por cualquier puerto y protocolo serán denegadas las peticiones por las políticas por defecto.

25

Enmascaramientos de las interfaces red.

26

INSTALACION Y CONFIGURACION DE OPENVPN+CA Lo primero que debemos hacer es descargar los paquetes necesarios para la instalación y configuración de este. Las librerías de openvpn el instalador .rpm y el modulo de webmin para openvpn.gz. Luego de la instalación del paquete rpm de openvpn ingresamos vía web a webmin los la dirección del o con un localhost:10000 puerto por donde escucha. Podes encontrar lo archivos necesarios en esta url http://cid-32f370d43eacab36.office.live.com/self.aspx/Webmin-.Openvpn/webmin%20openvpn.tar

Cargaremos el modulo de la siguiente forma en webmin/configuración de webmin módulos de webmin.

27

Buscamos el modulo de openvpn para webmin que anteriormente hemos descargado y clic en instalar

Instalación correcta, salimos de webmin dándole en view module’s logs o reiniciar webmin.

Ingresar a webmin en servidores/openvpn+CA primero crearemos Certificación Authority List .

28

Llenamos los campos con las debías parámetros se pueden hacer keys zize (bits) de 1024,2048 y 4096 clic en salvar

29

Luego de esperar un buen rato por fin Certification Authority list damos en keys list.

Creamos la Key del servidor seleccionamos key Server server podemos por un tiempo adecuado de expiración de la key en días y le damos salvar.

30

Creamos la key del cliente adicionalmente podemos poner una password a esta key server seleccionamos client.

31

Lista de llaves de entidad certificadora.

32

Clic en regresar a openvpn administration y ingresamos a VPN List clic en New VPN Server.

Aquí se define servidor de vpn colocándole en el nombre y el puerto por donde va escuchar las peticiones el modo si va hacer túnel o modo puente, asignarle el rango de dirección ip que le va dar a nuestros clientes VPN y las de mas configuraciones las podemos hacer a nuestro gusto según lo que necesitemos le puede otorgar mas seguridad a nuestra conexión VPN. Dándole yes o no las opciones que nos ofrece de configuración con estas se

33

34

Salvar y se creara nuestra VPN Server List clic en client List para crear nuestros usuarios VPN.

New client podemos la dirección externa de nuestro servidor y salvar

35

Lista de clientes vpn dándole exportar nos dará un archivo .ZIP de todo lo necesario que necesita el usuario para conectarse desde la extranet a la LAN de nuestra empresa.

Ahora para la entrega de este archivo hay varias formar una de ellas es entregarla personalmente a cada unos de los usuarios y hacer varias talleres de cómo se debe instalar y configurar el cliente VPN en la maquina que lo utilizaran o en cualquier otra, Enviarlo por correo a los usuarios y anterior mente a verles explicado su uso adicional mandarles adjunto un manual paso a paso de lo que deben hacer para conectarse exitosamente a el PC de la empresa, uno de los métodos que se nos ocurrió era montar un ftp y hay montar los archivos de cada cliente aunque es un poco inseguro por un ataque así el y robarse estos archivos una de las opciones menos seguras es permitir desde la extranet que puedan ingresar vía web a webmin y que cada usuario entre y baje su certificado pero en caso de ataque a esta

36

podrían tomar control de varios de nuestros servicios claro esta si los tenemos configurado en el webmin en si son muchas posibilidades de entregar a cada usuario este .zip pero todos abra un gran o pequeño riesgo nosotros optamos por enviarlo por correo claro ya que esto lo hacemos en modo de prueba no creo que pase algo raro. Bueno luego de a ver enviado los certificados a los cliente no se nos puede olvidar iniciar nuestro servicio de openvpn+CA dando start OpenVPN.

Emplo de envio certificado al cliente.

Configuración del cliente VPN Al recibir el correo junto a las indicaciones que hay que seguir procedemos a la ejecución de estas.

37

Primero descargar openvpn de la url que nos enviaron descargamos en install.exe

Al descargar lo ejecutamos y procedemos a la instalación en en mensaje de bienvenidad clic en next.

Aceptamos los términos de la licencia clic en I Agree.

38

Los componentes que deseamos instalar en nuestro caso los que aparecen por defecto todo .

39

Segundo paso descargar el archivo comprimido con nuestro nombre y le damos extraer

Lo podemos extraer directamente a la siguiente ruta Mipc/archivos de programas/openvpn/config o también copiando la carpeta que sale del .Zip en inicio/todosprogramas/openvpn/shortcuts/openvpn configuration file directory Sho rtcuts

40

Ya como tenemos instalado el openvpn en el icono del escritorio le damos doble clic para iniciar el servicio.

Al iniciar el servicio aparece un nuevo icono en la barra de herramientas damos clic derecho conectar.

41

Ahora nos pide la contraseña que le pusimos a la key de dicho usuario.

“Súper segura” Y conectado exitosamente

Una prueba de fuego a ver si nuestra configuración esta correcta intentar conectarnos remotamente a un equipo que se encuentra al otro lado de firewall

Y afortunadamente se conecto a nuestro equipo en la LAN iniciamos sesión

42

Y podemos trabajar tranquilamente desde la casa o desde cualquier parte del mundo.

43

CONCLUSIONES

Las conexiones vpn es una forma de permitir a usuarios de nuestra red que no están constantemente en las oficinas de trabajo, y necesitan acceder a su información desde cualquier parte de una forma segura y confiable en la que no expongan sus datos a terceros.

También las VPN nos ayudan con la seguridad de nuestros datos de la empresa ya que podemos hacer que solo se permitan conexiones remotas (VPN) y no exponer nuestros servidores a internet.

Es más fácil y práctico hacer la instalación de openvpn con webmin ya que tiene una interfaz grafica más amigable para administración y gestión de los usuarios VPN.

Se recomienda entrar de una forma segura los certificados de los usuarios.