Академический Документы
Профессиональный Документы
Культура Документы
TALLER VPN
www.mikrotikxperts.cl
Alejandro Teixeira G.
Francisco Mendez
ateixeira@mkx.cl
fmendez@mkx.cl
MikroTik Certified Trainer
Instructor
2
Telecommunications Engineer
Venezuela
CCNA/CCAI/CCNA Security
Shareholder of Widuitcorp
Shareholder of Mikrotik Xperts Colombia
Specialist
Networking
Wireless
Security
Routing
Instructor
3
Telecommunications Engineer
Venezuela
Master in Business Engineering (MBE)
Chile
Shareholder of Austro Internet S.A.
Shareholder of Mikrotik Xperts
Specialist
Networking
Wireless
Security
Virtualization
Tpicos (1/3)
4
Tpicos (2/3)
5
Tipos de tneles
GRE
EoIP
IPIP
Tpicos (3/3)
6
Ejemplos
Interconexin de oficinas + OSPF
Bonding sobre tneles/vpn
Laboratorios
7
PPTP Server
Windows / Linux / Apple PPTP Client
Usar proxy-arp (mismo segmento de red)
Creacin de certificados
CA
Server / Client
OpenVPN Server
Usarcertificado server
Levantar cliente Windows / Linux / Apple
MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve
MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve
Laboratorios
8
9 Tipos de VPN
VPN
10
Tipos de VPN
VPN
Siteto Site
Client to Site
Tipos de VPN
PPP
Tneles
Tipos de VPN
12
PPP
PPPTP
PPPoE
L2TP
SSTP
OpenVPN
PPP (modem)
Tneles
EoIP
GRE
IPIP
Conceptos
13
MTU
Maximum Transmission Unit
MRU
Maximum Receive Unit
MSS
Maximum segment size
Conceptos
14
OVERHEAD
PPTP
15
PPTP
16
SOLO ENCAPSULADO
PPTP
17
SOLO ENCAPSULADO
PPTP
18
SERVIDOR CLIENTE
Ventajas
Cliente embebido en casi todos las plataformas
Fcil de configurar
Rpido
Desventajas
No es seguro ( la vulnerabilidad de autenticacin
MS CHAPv2 es todava la ms comun en uso)
Definifivamente comprometido por la NSA
L2TP
20
L2TP
21
SERVIDOR CLIENTE
Ventajas
Fcilde configurar
Disponible en todas las plataformas modernas
Desventajas
Probablemente comprometido por la NSA
Delicado con firewalls restrictivos
23 LAB
PPTP Server
2 4
SSTP
30
SSTP
31
SSTP
32
CLIENTE
SERVIDOR
Ventajas
Muy seguro (depende del cifrado, pero usualmente
muy fuerte con AES)
Completamente integrado en Windows (Vista SP1,
W7, W8)
Soporte completo de Microsoft
Puede baypasear la mayora de los firewalls.
Desventajas
Soporte limitado a Windows,Algunos Linux y
RouterOS
Estandard propietario de Microsoft por lo que no
puede ser auditado de forma independiente.
OpenVPN
34
OpenVPN
Cdigo abierto
Puerto / Protocolo: 443 / TCP-UDP (configurable)
MikroTik no tiene soporte an para OPVPN UDP
Permite "saltar firewalls" (trfico https)
Auntenticacin
OpenSSL
Validacin de certificados cliente y servidor
Encriptacin
OpenSSL
AES, Blowfish, 3DES, CAST-128, Camellia y otros
OpenVPN
35
OpenVPN
36
CLIENTE
SERVIDOR
Ventajas
Muy customizable
Muy seguro (probablemente en contra de la NSA)
Puede baypasear firewalls
Puede usar un rango amplio de algoritmos de
encriptaciones.
Cdigo libre (por lo tanto puede ser revisado fcilmente
para puertas traseras y otras manipulaciones estilo NSA)
Desventajas
Necesita de software de terceros.
Incmodo para configurar.
Tiene soporte para dispositivos mviles pero no es tan
bueno como el cliente de escritorio.
Certificate authority
41
Certificate authority
42
VeriSign
GeoTrust
Comodo
Digicert
Thawte
GoDaddy
Certificate authority
43
OpenVPN / SSTP
44
Requisitos MikroTik
46
Servidor
Instalar certificado raiz (CA)
Instalar certificado server (se recomienda wildcard) +
llave privada
NTP cliente activo y sincronizado
Hora y fecha sincronizadas
Cliente
Instalar certificado raz (CA)
Instalar certificado cliente (solo si aplica) + llave
privada
NTP cliente activo y sincronizado
Hora y fecha sincronizadas
OpenSSL
47
Cdigo abierto
Los certificados creados NO son vlidos
por los CA de confianza
VeriSign
CACert
48
Creacin de certificados
Cliente
Servidor
OPENSSL
50 LAB
Creacin de certificados
OpenVPN Server
Generar CA (raz)
Generar Server Key
Wildcard: *.xxxx.cl
Generar Cliente Key
Sub-dominio
Ejemplo:
Server key: *.mkx.cl
Client key: ateixeira.mkx.cl
Cargar certificados
CA
Server + key
Crear PPP profile
Crear PPP secret
Levantar servicio OpenVPN
Usar Server + key
PPPoE
57
PPPoE
58
CLIENTE
SERVIDOR
PPP
59
Protocolo de encapsulamiento
Transportar paquetes IP
Sobre enlaces punto a punto
60 Tipos de tneles
EoIP
61
Ethernet Over IP
Protocolo propietario de MikroTik
Crea tneles Ethernet (capa 2) sobre un link capa
3
Usa el protocolo GRE
EoIP aade por lo menos 42 Bytes de overhead ( 8
Bytes GRE+ 14 Bytes Ethernet + 20 Bytes IP)
No provee autenticacin sin embargo se puede
usar en combinacin con tneles dinmicos
IPSEC
EoIP
62
EoIP
63
IPIP
64
Simple de usar
IPIP
65
IPIP
66
SITE 1 SITE 2
GRE
67
GRE
68
GRE
69
BCP
71
Servidor BCP
72
Cliente BCP
73
74 Usos ms comunes
76 Ejemplos
82 LAB
Interconexin de sucursales (capa 3)
L2TP
SSTP + certificados
Server
Cliente
2
1
Usando SSTP
Agregar certificados
89 LAB
Interconexin de sucursales (capa 2)
BCP
EoIP
Balancear
Sumar ancho de banda
3 enlaces de 10 Mbps NACIONAL = 30 Mbps
1 enlace de 100 Mbps INTERNACIONAL
10 Mbps
100 Mbps
LAN
MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve
MikroTik Xperts Chile / cursos@mkx.cl / cursos@academyxperts.com.ve