Академический Документы
Профессиональный Документы
Культура Документы
SEGUNDO PREVIO
PRESENTADO POR:
PRESENTADO A:
FACULTAD DE INGENIERIAS
2016
Contenido
INTRODUCCIÓN .................................................................................................................. 3
RED PRIVADA VIRTUAL ............................................................................................................... 4
CARACTERISTICAS .................................................................................................................. 4
TIPOS ..................................................................................................................................... 5
Cómo configurar un servidor OpenVPN en Ubuntu 14.04 .................................................... 7
Requisitos previos .................................................................................................................. 7
Paso 1 - Instalar y Configurar entorno de servidor de OpenVPN .................................... 7
Configuración de OpenVPN................................................................................................... 7
Reenvío de paquetes........................................................................................................... 10
Configuracion del Firewall (UFW)......................................................................................... 11
Paso 2 - Creación de Certificados y llaves por el lado del servidor .............................. 14
Configurar y construir la autoridad de certificación................................................................ 14
Generar un certificado y clave para el servidor ..................................................................... 17
Mover los certificados de servidor y claves........................................................................... 17
Paso 3 - Generar certificados y claves para los clientes ................................................ 19
Clave y Certificado de construcción ..................................................................................... 19
La transferencia de certificados y claves a los dispositivos cliente ........................................ 21
Paso 4 - Creación de un perfil de OpenVPN Unificado de Sistemas Cliente .............. 23
Paso 5 - Instalación del perfil de cliente............................................................................ 25
Windows.............................................................................................................................. 25
Android ................................................................................................................................ 27
Paso 6 - Comprobación de la conexión VPN ................................................................... 30
REFERENCIAS ........................................................................................................................... 31
INTRODUCCIÓN
OpenVPN es una solución VPN con todas las funciones de código abierto Secure
Socket Layer (SSL) que se adapta a una amplia gama de configuraciones. En este
tutorial, vamos a configurar un servidor OpenVPN en una gotita y luego configurar
el acceso a la misma desde Windows, OS X, iOS y Android. En este tutorial se
mantendrá la instalación y los pasos de configuración lo más simple posible para
estas configuraciones.
RED PRIVADA VIRTUAL
Una red privada virtual, RPV, o VPN de las siglas en inglés de Virtual Private
Network, es una tecnología de red que permite una extensión segura de la red
local (LAN) sobre una red pública o no controlada como Internet. Permite que la
computadora en la red envíe y reciba datos sobre redes compartidas o públicas
como si fuera una red privada con toda la funcionalidad, seguridad y políticas de
gestión de una red privada.Esto se realiza estableciendo una conexión virtual
punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación
de ambos métodos.
CARACTERISTICAS
Integridad: de que los datos enviados no han sido alterados. Para ello se
utiliza funciones de Hash. Los algoritmos de hash más comunes son los
Message Digest (MD2 y MD5) y el Secure Hash Algorithm (SHA-1).
Este esquema se utiliza para conectar oficinas remotas con la sede central de la
organización. El servidor VPN, que posee un vínculo permanente a Internet,
acepta las conexiones vía Internet provenientes de los sitios y establece el túnel
VPN. Los servidores de las sucursales se conectan a Internet utilizando los
servicios de su proveedor local de Internet, típicamente mediante conexiones de
banda ancha. Esto permite eliminar los costosos vínculos punto a punto
tradicionales (realizados comúnmente mediante conexiones de cable físicas
entre los nodos), sobre todo en las comunicaciones internacionales.
Tunneling
Este esquema es el menos difundido pero uno de los más poderosos para utilizar
dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de
utilizar Internet como medio de conexión, emplea la misma red de área local
(LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta
capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad
de las redes inalámbricas (WiFi).
Cómo configurar un servidor
OpenVPN en Ubuntu 14.04
Requisitos previos
Tener un Ubuntu 14.04 y en funcionamiento.
Haber configurado el Ubuntu 14.04 con un servidor ssh, para hacer la
administración remota
Iniciar sesión con la cuenta de root, para esto debemos haberla configurado
para poder iniciar de este modo(solo es agregar una contraseña al usuario
root, y una línea a las opciones de arranque.
Configuración de OpenVPN
Antes de instalar cualquier paquete, en primer lugar vamos a actualizar las listas de
repositorios de Ubuntu.
apt-get update
nano /etc/openvpn/server.conf
Hay varios cambios que hacer en este archivo. Verá una sección con este aspecto:
dh2048.pem
Este será el doble de la longitud de la clave RSA usada cuando se generan las
claves de servidor y cliente.
Descomentar tanto user nobody y group nogroup. Se debe tener este aspecto
cuando se hace:
user nobody
group nogroup
Reenvío de paquetes
Se trata de un sysctl configuración que le dice el núcleo del servidor para reenviar
el tráfico desde dispositivos cliente a Internet. De lo contrario, el tráfico se detendrá
en el servidor. Habilitar el reenvío de paquetes en tiempo de ejecución mediante la
introducción de este comando:
Tenemos que hacer que este reenvió sea permanente por lo que editaremos el
archivo sysctl.conf y para que se ejecute siempre desde el inicio.
nano /etc/sysctl.conf
Este tutorial se utilizará OpenVPN a través de UDP, por lo que UFW también debe
permitir el tráfico UDP a través del puerto 1194.
nano /etc/default/ufw
DEFAULT_FORWARD_POLICY="ACCEPT"
nano /etc/ufw/before.rules
Hacer que la parte superior de su before.rules archivo se parece a
continuación. La zona en rojo son las NORMAS openVPN que hay que añadir al
archivo:
#
# rules.before
#
# Rules that should be run before the ufw command line added rules.
Custom
# rules should be added to one of these chains:
# ufw-before-input
# ufw-before-output
# ufw-before-forward
#
ufw enable
ufw status
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
1194/udp ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
1194/udp (v6) ALLOW Anywhere (v6)
Paso 2 - Creación de Certificados y llaves por
el lado del servidor
OpenVPN utiliza certificados para cifrar el tráfico.
cp -r /usr/share/easy-rsa/ /etc/openvpn
mkdir /etc/openvpn/easy-rsa/keys
Easy-RSA tiene un archivo de las variables que podemos modificar para crear
certificados exclusivos para nuestra empresa o cualquier entidad que elijamos. Esta
información se copia en los certificados y claves, y ayudará a identificar las claves
más tarde.
nano/etc/openvpn/easy-rsa/vars
export KEY_COUNTRY="CO"
export KEY_PROVINCE="NdS"
export KEY_CITY="Cucuta"
export KEY_ORG="UFPS-ASOR"
export KEY_EMAIL="asorhvm@ufps.edu.co"
export KEY_OU="VPN-ASOR-HVM"
export KEY_NAME="server"
cd /etc/openvpn/easy-rsa
. ./vars
./clean-all
./build-ca
Sólo tiene que pulsar ENTER para pasar a través de cada símbolo. Si algo debe ser
cambiado, puede hacerlo desde dentro del símbolo. Se usa enter para usar los
valores predeterminados que definimos anteriormente al inicio del paso 2.
Generar un certificado y clave para el servidor
Todavía trabajando desde /etc/openvpn/easy-rsa, ahora introduzca el
comando para construir la clave del servidor. Donde se ve server marcada en rojo
es la export KEY_NAME variable que pusimos en Easy-RSA vars el archivo
anterior que editamos en el paso 2.
./build-key-server server
Ambos deben dejarse en blanco, por lo que sólo tiene que pulsar ENTER para pasar
a través de cada uno.
/etc/openvpn
ls /etc/openvpn
Para crear las credenciales de autenticación por separado para cada dispositivo que
desea conectar a la VPN, debe completar este paso para cada dispositivo, pero
cambiar el nombre cliente1 siguientes por algo diferente,
como client2 o iphone2 . Con credenciales separadas por dispositivo, que más
tarde se pueden desactivar en el servidor de forma individual, si es necesario. Los
ejemplos que usaremos en este tutorial utilizarán cliente1 como nombre de nuestro
ejemplo de dispositivo cliente.
Como lo hicimos con la clave del servidor, ahora construimos una para
nuestra cliente1 ejemplo. Todavía se debe trabajar sobre /etc/openvpn/easy-
rsa.
./build-key client1
Una vez más, se le pedirá cambiar o confirmar las variables de nombre completo y
estas dos indicaciones que deben dejarse en blanco. Pulse ENTER para aceptar los
valores predeterminados.
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf
/etc/openvpn/easy-rsa/keys/client.ovpn
En este ejemplo, nuestra cliente1 dispositivo requiere su certificado y una clave, que
se encuentra en el servidor en:
/etc/openvpn/easy-rsa/keys/client1.crt
/etc/openvpn/easy-rsa/keys/client1.key
El ca.crt y client.ovpn los archivos son los mismos para todos los
clientes. Descarga estos dos archivos, así; teniendo en cuenta que el archivo
ca.crt está en un directorio diferente al de los demás.
/etc/openvpn/easy-rsa/keys/client.ovpn
/etc/openvpn/ca.crt
Sabiendo cuales son los archivos que necesitaran nuestros clientes, procederemos
a copiarlos en la carpeta de configuración del cliente.
WinSCP
Filezilla
Al final de esta sección, asegúrese de que tiene estos cuatro archivos en el
dispositivo de su cliente :
client1.crt
client1.key
client.ovpn
ca.crt
Paso 4 - Creación de un perfil de OpenVPN
Unificado de Sistemas Cliente
Existen varios métodos para la gestión de los archivos del cliente pero la más fácil
utiliza un perfil unificado. Esto se crea mediante la modificación del archivo
client.ovpn de plantilla para incluir Autoridad al servidor de certificados, y el
certificado del cliente y su clave. Una vez fusionados, sólo el único client.ovpn
perfil tiene que ser importado en aplicación OpenVPN del cliente.
La zona que figura a continuación necesita las tres líneas que son el certificado del
cliente, el ca del servidor y la llave del cliente, tiene que quedar descomentadas:
# SSL/TLS parms.
# . . .
ca ca.crt
cert client.crt
key client.key
y cambiamos los nombre de cliente.crt y cliente.key , por los que
generamos anteriormente, en este caso quedaria asi:
# SSL/TLS parms.
# . . .
ca ca.crt
cert client1.crt
key client1.key
Recuerde que la conexión se denomina nombre que haya elegido el archivo .ovpn.
Windows
Instalación
C:\Program Files\OpenVPN\config
OpenVPN se debe ejecutar como administrador cada vez que se usa, incluso por
las cuentas administrativas. Para hacer esto sin tener que hacer clic derecho y
seleccione Ejecutar como administrador cada vez que utilice la VPN, puede
predefinir esto, pero hay que hacerlo desde una cuenta administrativa. Esto también
significa que los usuarios estándar tendrán que introducir la contraseña del
administrador para utilizar OpenVPN. Por otro lado, los usuarios estándar no
pueden conectarse correctamente al servidor OpenVPN en menos que el cliente
tiene derechos de administrador, por lo que los privilegios son necesarios.
Conexión
Cada vez que inicie el OpenVPN GUI, Windows le preguntará si desea permitir que
el programa para realizar cambios en el equipo. Haga clic en Sí . El lanzamiento de
la aplicación cliente OpenVPN sólo pone el applet de la bandeja del sistema para
que el de la VPN puede ser conectado y desconectado, según sea necesario; en
realidad no hacen la conexión VPN.
Una vez que se inicia OpenVPN, iniciar una conexión por entrar en la miniaplicación
de la bandeja del sistema y haga clic en el icono del applet OpenVPN. Esto abre el
menú contextual. Seleccionar Conectar en la parte superior del menú .
Conexión
https://www.digitalocean.com/community/tutorials/how-to-set-up-
an-openvpn-server-on-ubuntu-14-04
http://www.comoinstalarlinux.com/centos-ssh-para-acceder-a-tu-
servidor-linux/
http://somebooks.es/habilitar-y-deshabilitar-la-cuenta-de-root-en-
ubuntu-14-04-lts/
https://fedoraproject.org/wiki/Openvpn#OpenVPN
https://github.com/OpenVPN/easy-
rsa/blob/master/easyrsa3/vars.example
https://tryapi.wordpress.com/2014/02/26/howto-openvpn-server-
using-easy-rsa3-to-create-keys-and-certs/
https://docs.fedoraproject.org/es-
ES/Fedora/11/html/Security_Guide/sect-Security_Guide-Firewalls-
FORWARD_and_NAT_Rules.html
http://www.linux-party.com/index.php/57-seguridad/1318-
configuracion-paso-a-paso-de-una-nat-con-los-iptables
https://support.hidemyass.com/hc/en-us/articles/202721486-Using-
Linux-Virtual-Machine-instead-of-a-router-for-VPN
http://strongvpn.com/setup-fedora-22-openvpn.html