demostración conectando clientes a la red por vpn

5/13/2018 Demostración Conectando Clientes a la Red por VPN - slidepdf.com

http://slidepdf.com/reader/full/demostracion-conectando-clientes-a-la-red-por-vpn 1/63

Demostración Conectando Clientes a la Red por VPN –Windows Server 2008-R2 y Windows 7 – Parte 1 por PPTP

veremos de manera sencilla cómo podemos configurar un Windows Server 2008-R para permitir elacceso remoto a nuestra red usando VPNs (Virtual Private Network).

Veremos la configuración de conexión usando dos de los protocolos clásicos: primero PPTP yluego con L2TP+IPSec en la siguiente nota.

Para usar una estructura lo más simple posible, en este caso no utilizaré ambiente de Dominio,sino simplemente 3 máquinas en grupo de trabajo.

La segunda parte en Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 2 por L2TP-IPSec, SSTP y IKEv2

SRV1: Windows Server 2008-R2, servidor Interno de nuestra red al que deseamos acceder remotamente.Interfaz de Red: IP 192.168.1.1/24 Puerta de Enlace: 192.168.1.254

VPN1: Windows Server 2008-R2, servidor VPN con dos interfaces de red una interna y otra externaconectada a la supuesta “Internet”Interfaz interna: 192.168.1.254/24

Interfaz externa: 131.107.0.1/16CL1: Windows 7, cliente que se conectará remotamenteInerfaz de Red: 131.107.0.2/16

Un diagrama para que sea más claro

Lo primero que haré, será compartir en SRV1 una carpeta que usaré como prueba de conexión delcliente remoto.

http://windowserver.wordpress.com/2011/10/02/demostracin-conectando-clientes-a-la-red-por-vpn-windows-server-2008-r2-y-windows-7-parte-2-por-l2tp-ipsec-sstp-y-ikev2/







Y luego en el Network and Sharing Center, hacemos click en Public Network y seleccionamos quees una Work Network



Para asegurarnos que todo está correcto podemos verificar el compartido desde VPN1 haciendoun simple NET VIEW \SRV1

Ahora vamos a configurar el servidor VPN1 como servidor de acceso remoto. Para eso abrimos elServer Manager y seguimos el procedimiento de acuerdo a las figuras siguientes

http://srv1/

http://srv1/



Ahora vamos a configurar el servidor VPN y para eso abrimos Administrative Tools / Routing andRemote Access Con botón derecho sobre el servidor elegimos Configure and Enable Routing andRemote Access



Y seguimos el asistente



Es importante que seleccionemos adecuadamente la interfaz externa, pues el sistemimplementará filtrado de paquetes permitiendo únicamente el ingreso por VPN. No podremosni siquiera hacer un simple PING desde el exterior.



Elgiré asignar un rango específico de direcciones IP para la VPN



No usaremos Radius

Y finalizamos, aceptando luego el aviso sobre el DGCP Relay Agent



A los efectos de la práctica crearé en VPN1 un usuario normal de prueba al cual le otorgaré elpermiso de acceso remoto

Desde Administrative Tools / Computer Management



Y como método adicional de seguridad configuraremos la interfaz externa, dejando conectado sóloTCP/IPv4, y deshabilitaremos todo lo que corresponda a NetBIOS

Teniendo ya configurado el servidor VPN, ahora vamos al cliente CL1, que recuerdo estáconectado a la red externa emulando Internet.

Vamos al Network and Sharing Center y elegimos Setup a New Connection or Network



Y seguimos el asistente



si queremos optimizar la velocidad de conexión vamos a las propiedades de la interfaz yseleccionamos que directamente use PPTP sin probar otros métodos



Y nos conectamos



Si queremos podemos ver los detalles de la conexión



Ahora ya podremos conectarnos a los recursos compartidos de la red, aunque hay algo muyimportante y no por todos conocido.Debemos recordar que localmente en CL1 hemos iniciado sesión con un usuario, llamémoslo“LocalUser”.Luego hicimos la conexión a VPN1 usando el usuario “VPNUser”Cuando tratemos de conectarnos a un recurso de un servidor, en este caso SRV1, el sistema usapara autenticar el nombre/contraseña de “LocalUser” el cual no es válido en el servidor que tiene el

recurso.Y por lo tanto cuando vamos a hacer la primera conexión a un servidor debemos especificar unnombre/contraseña válidos en el mismo.En el siguiente ejemplo, yo estoy usando la cuenta Administrator con su correspondientecontraseña válidos en SRV1

Con esto hemos demostrado la conexión VPN usando protocolo PPTP.

Si observamos en el Status de la conexión, ficha Details, veremos que nos hemos conectadousando protocolo PPTP, la autenticación es MS-CHAPv2 y el cifrado es MPPE-128 (MPPE =Microsoft Point to Point Encryption)



Demostración Conectando Clientes a la Red por VPN –Windows Server 2008-R2 y Windows 7 – Parte 2 por L2TP-IPSec, SSTP y IKEv2En esta segunda nota continuaremos con la configuración para conectar clientes a la red por VPN,completando los tres protocolos adicionales: L2TP+IPSec, SSTP y IKEv2.

Esta nota supone que está disponible y funcionando correctamente lo ya descripto en la primeraparte Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 1 por PPTP

Además, considerando que para configurar los otros protocolos necesitamos una infraestructuraque simula Internet, donde tendremos disponible el servicio DNS y una Autoridad Certificadora,antes de comenzar se deberán completar los procedimientos detallados en Preparación de simulación de Internet para Demostraciones

Recordemos lo que configuramos en la primera parte:

En la preparación de la simulación de Internet agregamos a la red marcada como Internet en lafigura anterior, un servidor (inet-srv.isp.com) que tiene configurado:

• Servidor DNS, con la zona correspondiente a guillermod.com.ar (representativa de lapresencia en Internet de la empresa), con el registro A correspondiente avpn.guillermod.com.ar que apunta a la interfaz externa de VPN1

•

Autoridad Certificadora de tipo Raíz llamada Comercial-CADado que los protocolos que usan certificados necesitan resolución de nombres, debemosconfigurar en CL1 al servidor DNS que resolverá los nombres. En nuestro caso será 131.107.0.100(inet-srv.isp.com)

http://windowserver.wordpress.com/2011/07/09/demostracin-conectando-clientes-a-la-red-por-vpn-windows-server-2008-r2-y-windows-7-parte-1-pptp-2/


http://windowserver.wordpress.com/2011/10/01/preparacin-de-la-simulacin-de-internet/









De la nota anterior ya tenemos configurado el acceso por PPTP, en esta comenzaremos creandoen el cliente tres conexiones más, usando cada uno de los tres protocolos restantes.

Comenzamos por crear la conexión que usará L2TP+IPSec

Para eso en el Network and Sharing Center, elegimos Setup a New Connection or Network, y

seguimos el asistente usando como nombre un identificador del protocolo que usará, en este caso“Conexión L2TP+IPSec”



En las propiedades de la conexión específicamente marcamos que se usará L2TP+IPSec



Siguiendo el mismo procedimiento, crearemos dos conexiones más, pero especificando en una elprotocolo SSTP, y en la otra IKEv2



Quedando finalmente la conexión de red local y las cuatro de VPN ya configuradas



Para que no tengamos dudas, que ninguna funcionará sin configuración adicional podemosprobarlas



Visto lo anterior, podemos sacar la primera conclusión

CONCLUSIÓN 1: PPTP es la más fácil de implementar

Es fácil darnos cuenta que al usar protocolos que utilizan certificados, necesitaremos como primeramedida obtener un certificado digital de máquinapara el servidor VPN1



Como el asistente de configuración de VPN ha colocado filtros tanto de entrada como de salida enla interfaz externa, debemos momentáneamente permitir tráfico para poder acceder a solicitar einstalar el correspondiente certificado.Para no hacer más compleja esta demostración, simplemente permitiré todo el tráfico tanto deentrada como de salida en la interfaz externa.

Para esto en VPN1, en Routing and Remote Access, vamos a las propiedades de esta interfaz, y

agregamos permitir el tráfico a todos los protocolos. Las siguientes figuras muestran elprocedimiento. Repetiremos el procedimiento tanto para Inbound Filters como para OutboundFilters.



Y por último reiniciamos el servicio para asegurarnos que tome la configuración



La última configuración preparatoria que haremos es agregar en la interfaz externa de VPN1 ladirección de nuestro servidor DNS de “Internet”



Los procesos que ejecutaremos a continuación, y que aparentemente complejizan estademostración, están determinados por tres causas fundamentales:

1. Las mejoras de seguridad de Internet Explorer

2. El hecho de estar utilizando una Autoridad Certificadora propia, no comercial, que no formaparte del programa de Microsoft

3. Las mejoras de seguridad en el manejo de certificados digitales, que se instalarán por usuario, aunque sean certificados de máquina

Así que dispongámonos a “trabajar” :-)

En VPN1, en la configuración de seguridad de Internet Explorer, agregaremos a nuestra autoridadcertificadora, como parte de nuestra Local Intranet, y debemos bajar el nivel predeterminado deseguridad al mínimo.



Siguiente nos conectaremos por HTTP al sitio web de la Autoridad Certificadora (en adelante laCA) para descargar el certificado de la CA, que dejaré sobre el Desktop



De esta misma página descargamos además la última Base CRL que dejaremos también sobre elDesktop (Agregarle la extensión de archivo CRL a mano)

A continuación, crearemos una consola (MMC) donde cargaremos los complementos Certificatespara “My user” y “Local Computer”

Importamos el certificado de la CA en Trusted Root Certification Authorities de la parte de máquina



Con botón derecho sobre el archivo CRL que dejamos sobre el Desktop elegimos “Install CRL”



Está CRL quedará instalada en Certificates – Current User / Intermediate Certification Authorities /Certificate Revocation List.Con Copiar/Pegar la agregaremos en el mismo lugar pero en la parte deCertificates (Local Computer)



Por último, solicitaremos el certificado de máquina



Atención con la pantalla que sigue. Debemos especificar el nombre que utilizará el cliente paraacceder a la máquina, independientemente del nombre que tenga localmente, en este caso“vpn.guillermod.com.ar”También prestar especial atención que se trata de un certificado para Server Authentication, y quedebemos marcar que se pueda exportar la clave privada

Al estar usando una CA de tipo stand-alone, debemos ir a la consola de administración de lamisma en la máquina inet-srv.isp.com y otorgar el certificado solicitado.



Ahora nuevamente desde VPN1, vemos el estado del pedido e instalaremos el certificado otorgado



Llegados a este punto, si deseamos podemos ir a Enrutamiento y Acceso Remoto y eliminar losfiltros de seguridad que habíamos hecho provisoriamente para permitir el tráfico de obtención decertificados.Lo mismo para restaurar la configuración por omisión de Internet Explorer.

Nos falta lo últimio. Como aunque es un certificado de máquina, el sistema lo ha instalado en laparte de usuario, debemos exportarlo de una parte para importarlo en la otra



Si volvemos a CL1 y volvemos a probar las cuatro conexiones que hicimos anteriormentepodremos verificar que:

• PPTP: sigue conectándose sin problemas

• L2TP+IPSec: no se conecta, se requiere certificado de máquina en el cliente

• SSTP: sigue sin conectarse, ya que no puede verificar el certificado del servidor VPN

• IKEv2: sigue sin conectarse, ya que no puede verificar el certificado del servidor VPN

Ante esto es evidente lo que nos falta. Si estuviéramos utilizando una autoridad certificadoracomercial adherida al programa de MIcrosoft ya tendríamos resuelta la conectividad por SSTP yIKEv2.

Como estamos en un ambiente de laboratorio propio deberemos hacer la configuraciónmanualmente.Análogamente como hicimos con VPN, debemos instalar en CL1 el certificado de la autoridadcertificadora (CA) y su correspondiente CRL. Es el mismo procedimiento ya realizado, sólo queahora es en CL1 y por eso no agregaré más figuras, pero entiendo que es sencillo siguiendo losmismos pasos

Hecho lo anterior podemos verificar que ya se puede hacer la conexión por SSTP y IKEv2.Lo que todavía no funciona es L2TP+IPSec. Para que este último se pueda utilizar es necesario

que en CL1 se obtenga un certificado de máquina.Esto se hace en forma análoga como hicimos con VPN, incluyendo la exportación desde la partede usuario a la parte de máquina, a partir de lo cual CL1 se podrá conetar por L2TP+IPSec

CONCLUSIÓN 2: Tanto para SSTP como para IKEv2, sólo es necesario uncertificado de máquina en el servidor VPN otorgado por una Autoridad Certificadoraconfiable. No es un costo excesivo

Ahora que ya podemos conectarnos usando los cuatro protocolos podemos observar qué métodosde autenticación y cifrado utiza cada uno de ellos



CONCLUSIÓN 3: Aunque PPTP es sencilla de implementar hay métodos másseguros

CONCLUSIÓN 4: La seguridad de SSTP está dada por los certificados digitalesutilizados ya que usa TLS, encapsulando PPP en HTTPS

CONCLUSIÓN 5: La ventaja de SSTP está dada por usar HTTPS (TCP 443) quegeneralmente es un puerto abierto en los cortafuegos empresariales

CONCLUSIÓN 6: La encriptación más segura está dada por IKEv2 que utiliza AES-256

Y aún hay una ventaja más usando IKEv2, que Microsoft identifica como “VPN Reconnect”

Hagamos la siguiente prueba, conectémonos con IKEv2, bajemos el cortafuegos en SRV1, yhagamos un “ping continuo” (PING -t 192.168.1.1) desde CL1

Ahora, supongamos que con nuestra portátil (CL1) nos desplazamos y cambiamos de Access Point

y por lo tanto la dirección de red de la placa real.En las siguientes figuras podemos observar si mientras seguimos con PING cambiamos ladirección IP de la placa real, en este caso de 131.107.0.2 a 131.107.0.20



Como resumen podemos afirmar que:

CONCLUSIÓN 1: PPTP es la más fácil de implementar

CONCLUSIÓN 2: Tanto para SSTP como para IKEv2, sólo es necesario un certificado demáquina en el servidor VPN otorgado por una Autoridad Certificadora confiable. No es uncosto excesivo

CONCLUSIÓN 3: Aunque PPTP es sencilla de implementar hay métodos más seguros

CONCLUSIÓN 4: La seguridad de SSTP está dada por los certificados digitales utilizadosya que usa TLS, encapsulando PPP en HTTPS

CONCLUSIÓN 5: La ventaja de SSTP está dada por usar HTTPS (TCP 443) quegeneralmente es un puerto abierto en los cortafuegos empresariales

CONCLUSIÓN 6: La encriptación más segura está dada por IKEv2 que utiliza AES-256

Conclusión 7: El protocolo IKEv2 además de ser relativamente sencillo de implementar y

ofrecer la mejor seguridad, agrega la reconexión automática ante cualquier cambio dedirección IP

demostración conectando clientes a la red por vpn

Documents