Red Privada Virtual

Curso: Gestin de Servidores Equipo de Profesores del Curso

Logro del Curso

Al termino del curso, el alumno implementa y administra sistema de proteccin de datos RAID y LVM, servidores de seguridad de red Firewall, Proxy y VPN sobre el sistema operativo GNU/Linux.

Logro de la Unidad
Al termino de la Unidad, el alumno comprende el funcionamiento de una Red Privada Virtual (VPN), identifica los tipos de VPN e implementa un VPN en el sistema.

Temario
Introduccin Tipos de VPN Implementacin del servidor VPN

Introduccin
Una VPN (Virtual Private Network o Red Privada Virtual), es la tecnologa que nos permite extender una red privada LAN haca la red WAN, mediante un proceso de encapsulacin (tunneling) y en su caso de encriptacin, de tal manera que desde cualquier lugar podremos conectarnos a nuestra red local y trabajar de manera similar tal como si estuvisemos fsicamente dentro de ella, para ello es necesario una conexin a internet.

Tipos de VPN
VPN de Acceso Remoto (roadwarrior). Este tipo de VPN es el ms usado actualmente y consiste en usuarios que se conectan con la empresa desde sitios remotos utilizando un acceso a Internet. El cliente de un acceso a Internet se autentica al servidor VPN y este desde una conexin a Internet se autentica ante el cliente. Una vez autenticados los clientes tienen un nivel de acceso muy similar al que tienen en la red local de la empresa.

Tipos de VPN
VPN Punto a Punto (site to site). Este esquema se utiliza para conectar oficinas remotas con la sede central de la organizacin. El servidor VPN que posee un vnculo permanente a Internet, acepta las conexiones va Internet provenientes de los sitios y establece el tnel VPN. La tcnica de tunneling consiste en encapsular un protocolo de red sobre otro protocolo de red (encapsulador) creando un tnel dentro de una red de equipos.

Implementacin del Servidor VPN

Instalacin de OpenVPN Desde la pagina oficial de OpenVPN se hace referencia a la direccin Web http://openvpn.net donde se descarga OpenVPN para realizar la instalacin en el sistema.
rpm -i pkcs11-helper-1.08-1.el5.rf.i386.rpm rpm -i lzo-2.04-1.el5.rf.i386.rpm openvpn-2.2.0-3.el5.rf.i386.rpm

Implementacin del Servidor VPN

Creamos el directorio /etc/openvpn/easy-rsa mkdir /etc/openvpn/easy-rsa Copiamos el directorio /usr/share/doc/openvpn2.2.0/easy-rsa/2.0/ hacia /etc/openvpn/easy-rsa
cp -rvf /usr/share/doc/openvpn-2.2.0/easy-rsa/2.0/* /etc/openvpn/easy-rsa Se accede al directorio /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa

Implementacin del servidor VPN

Se define los permisos de ejecucin en los scripts. chmod a+x vars clean-all build-* whichopensslcnf pkitool inherit-inter revoke-full sign-req list-crl
Inicializamos las variables para poder trabajar con los scripts para la generacin de las variables.

source ./vars
Inicializamos el directorio de las claves. ./clean-all

Implementacin del servidor VPN

Procedemos a generar el certificado de la Autoridad Certificadora. sh build-ca
Country Name (2 letter code) [US]:PE State or Province Name (full name) [CA]:LIMA Locality Name (eg, city) [SanFrancisco]:LIMA Organization Name (eg, company) [Fort-Funston]:System Organizational Unit Name (eg, section) []:Administracion Common Name (eg, your name or your server's hostname) [Fort-Funston CA]:server01 Email Address [me@myhost.mydomain]:admin@system.com

Implementacin del servidor VPN

Generacin del certificado y de la clave de encriptacin para el servidor.
sh build-key-server server
Country Name (2 letter code) [US]:PE State or Province Name (full name) [CA]:LIMA Locality Name (eg, city) [SanFrancisco]:LIMA Organization Name (eg, company) [Fort-Funston]:system Organizational Unit Name (eg, section) []:Administracion Common Name (eg, your name or your server's hostname) [server]:server Email Address [me@myhost.mydomain]:admin@system.com Certificate is to be certified until Jul 8 21:36:50 2021 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y

Implementacin del servidor VPN

El paso anterior nos genero dos archivos en el directorio /etc/openvpn/easy-rsa/keys/ que se copiaran dentro del mismo servidor hacia /etc/openvpn. cd keys cp server.crt server.key /etc/openvpn
Generando certificados y claves privadas para los clientes.

Cada cliente debe tener su propio certificado y clave privada.

Implementacin del servidor VPN

El parmetro de Diffie-Hellman debemos generarlo. sh build-dh Se copia los siguientes ficheros hacia el directorio /etc/openvpn.

cd keys cp ca.crt ca.key dh1024.pem /etc/openvpn

Implementacin del servidor VPN

Generacin del certificado y la clave de encriptacin para el cliente.
sh build-key cliente1
Country Name (2 letter code) [US]:PE State or Province Name (full name) [CA]:LIMA Locality Name (eg, city) [SanFrancisco]:SanIsidro Organization Name (eg, company) [Fort-Funston]:system Organizational Unit Name (eg, section) []:Administracion Common Name (eg, your name or your server's hostname) [cliente1]:cliente1 Email Address [me@myhost.mydomain]:admin@system.com Certificate is to be certified until Jul 8 21:46:07 2021 GMT (3650 days) Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1

Implementacin del servidor VPN

Se copia los archivos del cliente en un directorio. mkdir /home/user1/claves cd /etc/openvpn/easy-rsa/keys cp cliente1.crt cliente1.key ca.crt /home/user1/claves Se comprime el directorio y se debe enviar de forma segura hacia el cliente.
cd /home/user1 zip -rv claves.zip claves

Implementacin del servidor VPN

Configuracin del servidor VPN. Se genera el archivo /etc/openvpn/server.conf y se agrega lo siguiente:
Especifica puerto de escucha del servicio VPN. port 1194 Protocolo de transporte del tnel. proto udp
Dispositivo tun dinmico utilizado por la VPN. dev tun Certificado de la Autoridad Certificadora CA. ca ca.crt Certificado del servidor VPN. cert server.crt

Implementacin del servidor VPN

Configuracin del servidor VPN.
Clave privada del servidor VPN. key server.key Se especifica el fichero Diffie Hellman utilizado durante la fase de autenticacin por los participantes de la comunicacin. dh dh1024.pem
Se define el rango de direcciones IP virtuales asignado a los clientes que se conectan al servidor VPN server 172.16.1.0 255.255.255.0 Se especifica la ruta para que los clientes alcance la red local del servidor VPN. push "route 192.168.1.0 255.255.255.0

Implementacin del servidor VPN

Configuracin del servidor VPN.
Detectar cadas de la conexin cada 10 segundos y transcurrido 120 segundos sigue sin recibirse ningn dato, se intenta establecer la conexin. keepalive 10 120 Activar la compresin lzo. comp-lzo Especifica el usuario y grupo que ejecuta el servicio OpenVPN. user nobody group nobody
Permite que las claves no tenga que ser reledas cuando es reiniciado el servicio OpenVPN. persist-key

Implementacin del servidor VPN

Configuracin del servidor VPN
Permite que el tnel no tenga que ser cerrado cuando se reinicia el servicio OpenVPN. persist-tun
Se especifica el fichero donde se guarda informacin del estado del tnel. status openvpn-status.log

Nivel de informacin. verb 3

Implementacin del servidor VPN

Se realiza la comprobacin del servicio openvpn. cd /etc/openvpn openvpn --config server.conf
Nivel de ejecucin del servicio openvpn. chkconfig openvpn on

Inicio del servicio openvpn. service openvpn start

Implementacin del Cliente VPN

Instalacin del cliente OpenVPN Windows.
Desde la pagina oficial de OpenVPN se hace referencia a la direccin Web http://openvpn.net donde se descarga OpenVPN Windows para realizar la instalacin en el sistema.

Se ejecuta el programa openvpn-2.2.1-install.exe para instalar OpenVPN.

Implementacin del Cliente VPN

Configuracin del cliente VPN. Se procede a copiar los siguientes ficheros al directorio c:\Archivos de programa\OpenVPN\config del sistema. ca.crt cliente1.crt cliente1.key
Copia el fichero de configuracin ubicado en c:\Archivos de programa\OpenVPN\sample-config\client.ovpn hacia el directorio c:\Archivos de programa\OpenVPN\config

Implementacin del Cliente VPN

Configuracin del cliente VPN. Se edita el archivo /etc/openvpn/cliente.ovpn y se agrega lo siguiente:
Especifica que este equipo actuar como cliente. client Dispositivo tun dinmico utilizado por la VPN. dev tun Protocolo de transporte del tnel. proto udp Especifica que equipo se tiene que conectar para establecer el tnel y utilizando el puerto 1194. remote 10.40.32.68 1194

Implementacin del Cliente VPN

Configuracin del cliente VPN.
El cliente intenta de manera indefinida resolver la direccin IP y nombre del equipo servidor VPN. resolv-retry infinite
Especifica que no acta como servidor VPN. nobind Se comenta las directivas user y group para cliente windows. user nobody group nobody persist-key persist-tun

Implementacin del Cliente VPN

Configuracin del cliente VPN.
Certificado de la Autoridad Certificadora CA. ca ca.crt Certificado del cliente VPN. cert cliente1.crt Clave privada del cliente VPN. key cliente1.key
Activar la compresin lzo. comp-lzo Nivel de informacin verb 3

Implementacin del Cliente VPN

Conexin al servidor VPN.
Se procede a ejecutar la aplicacin OpenVPN GUI el cual estar disponible en nuestro Escritorio, donde aparecer en la barra de tareas un nuevo icono desde el que controlaremos el funcionamiento de OpenVPN. Se presiona con el botn derecho del mouse el icono OpenVPN GUI, desplegaremos el siguiente men y luego selecciona la opcin connect para iniciar una conexin al servidor VPN. Si en la seccin conexiones de red no se ha generado la interface TAP-Win32. Se debe ir al menu Inicio - Programas Openvpn - Utilities - Add a new TAP virtual ethernet adapter, se agrega una interface TAP-Win32 virtual.

Preguntas