INFRAESTRUCTURA VPN SEGURA

PROYECTO SEGURIDAD

Integrantes:

CARLOS MARLON CORDOBA CASTILLO

MARCELO ESTEBAN HENAO HENAO

JOLMAN ALEXANDER ROBLEDO HERRERA

JHONNY ALEXANDER RIOS RIOS

DANIEL DE JESUS VALENCIA GARCIA

Instructor

MAURICIO ORTIZ

CESGE

ADMINISTRACION DE REDES

SENA

MEDELLIN

01-04-2009

1

INTRODUCCION

En este manual veremos una breve explicación sobre como implementar una infraestructura de vpn segura.

Dicha infraestructura la integraremos con un servicio de directorio (active directory) para la validación de los clientes vpn, también trabajaremos e implementaremos el conjunto de protocolos de ipsec; en el cual realizaremos una autenticación por medio de llaves pre compartidas y certificados digitales.

La integración de este proyecto será implementada sobre un sistema operativo Windows server Enterprise 2003

2

CONTENIDO

OBJETIVOS 4

DEFINICIONES 5

CONFIGURACION 7

CONFIGURACION DE ENRUTAMIENTO Y ACCESO REMOTO 36

CONFIGURACION EN LA CUENTA DEL USUARIO PARA PERMITIR ACCESO REMOTO 53

CONFIGURACION DEL CLIENTE VPN 57

CREACION DE UNA CONEXIÓN VPN 61

CONCLUSIONES 73

BIBLIOGRAFIA 74

3

OBJETIVOS

OBJETIVO GENERAL

Implementar una vpn segura sobre ipsec y active directory en el sistema Windows server 2003 Enterprise para poder acceder a conexiones seguras

OBJETIVOS ESPECIFICOS

Implementación de vpn sobre ipsec

Crear una conexión segura

4

DEFINICIONES

IPSEC: Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el protocolo de internet (ip) autenticando o cifrando cada paquete ip en un flujo de datos , ipsec autentica los equipos y cifra los datos para su transmisión entre hosts en una red intranet o extranet .

ESP: (encapsulating security payload) Protocolo de carga de seguridad de encapsulación que proporciona privacidad a los datos mediante el cifrado de paquetes ip.

AH: (Authentication header) proporciona integridad, autenticación y no repudio si se elijen los algoritmos apropiados

ISAKMP: (internet security association and key management protocol) se usa para intercambiar y administrar dinamicamente claves cifradas entre los equipos que se comunican para la negociación de la seguridad dinámica

VPN: (virtual prívate network) es una tecnología de red que permite una extensión de la red local sobre una red publica o no controlada, como por ejemplo la internet.

Básicamente existen 2 tipos de conexión vpn

1- Vpn de acceso remoto: es quizás el modelo mas utilizado actualmente y consiste en usuarios o proveedores que se conectan con empresas desde sitios remotos utilizando internet como vinculo de acceso; una ves autentificados tienen un nivel de acceso muy similar al que tiene en la red local de dicha empresa

2- Vpn punto a punto: este esquema se utiliza para conectar oficinas remotas con las cede central de la organización. El servidor vpn que posee un vinculo permanente a internet, acepta las conexiones vía internet provenientes de los sitios y establece un túnel vpn.

Esta tecnología proporciona un medio para aprovechar un canal publico de internet como un canal privado o propio para comunicar datos que son privados, con un método de codificación y encapsulamiento, una vpn básica crea un camino privado a través de internet. Esto reduce el trabajo y riesgo en una gestión de red.

5

Tipos de conexiones:

1- Conexión de acceso remoto. Una conexión de acceso remoto que es realizada por un cliente o un usuario de una computadora que se conecta a una red privada, los paquetes enviados a través de la conexión vpn son originados al cliente de acceso remoto y este se autentica al servidor de acceso remoto al servidor y el servidor se autentica ante el cliente.

2- Conexión vpn router a router. Una conexión vpn router a router es realizada por un router y este a su vez se conecta a una red privada, en este tipo de conexión, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentica ante el router que responde y esta a su vez se autentica ante el router que realiza la llamada y también sirve para la intranet.

3- Conexión vpn firewall asa a firewall asa. Esta conexión es realizada por uno de los firewall y este a su vez se conecta a una red privada. En este tipo de conexión los paquetes son enviados desde cualquier usuario en internet. El firewall que realiza la llamada se autentica ante el que responde y este a su vez se autentica ante el llamante.

6

CONFIGURACION

En esta parte empezaremos con la instalación del protocolo ipsec cabe resaltar que también debemos tener instalado el active directory para la validación de los usuarios vpn ante el servicio de directorio.

Primero empezaremos con la creación de la consola de administración de ipsec.

En inicio ejecutar agregamos el comando mmc para añadir la consola de administración damos aceptar. Una vez ejecutemos este comando nos aparecerá la siguiente consola.

En esta consola procederemos a crear la consola administrativa del ipsec. En la pestaña archivo, agregar o quitar complemento para dicho procedimiento y luego nos aparecerá esta otra consola

7

Damos clic en agregar para elegir el complemento que estamos requiriendo.

8

En nuestro caso agregaremos administrador de las directivas de seguridad ip y clic en agregar

9

En esta parte seleccionaremos la opción de equipo local para que las directivas se apliquen en nuestro equipo y luego finalizar.

Agregaremos también la opción de monitor de seguridad para ver los procesos que realiza el ipsec luego aceptar

10

Una vez terminemos este proceso nos aparecerá esta consola en la cual se muestra los complementos que hemos seleccionado anterior mente y para terminar damos clic en aceptar.

11

Esta es la consola de administración del ipsec en la cual configuraremos lo siguiente.

Nos paramos sobre las directivas de seguridad ip luego damos clic derecho y elegimos la opción de crear nueva directiva de seguridad ip.

12

Nos aparecerá el asistente para la creación de las nuevas directivas y damos clic en siguiente.

13

Luego de esto nos aparecerá el pantallazo en el cual debemos ingresar el nombre y la descripción para la directiva de seguridad que en nuestro caso serán regla proyecto vpn y prueba proyecto vpn en su respectivo orden.

Ahora le daremos clic en siguiente.

Activamos la casilla que dice activar la regla de respuesta predeterminada para responder a los equipos remotos que solicitan seguridad cuando no se puede aplicar ninguna otra regla. Para comunicarse con seguridad el equipo debe responder a las peticiones para la comunicación segura. Luego damos clic en siguiente.

14

Como trabajaremos con claves pre compartidas seleccionaremos la opción de clave previamente compartida y seguidamente ingresamos la clave, y por ultimo clic en siguiente.

15

Aquí nos aparecerá el asistente de finalización de las directivas de seguridad, seleccionamos la casilla editar propiedades y seguidamente hacemos clic en finalizar

Aquí nos aparecerá el asistente de finalización de las directivas de seguridad, seleccionamos la casilla editar propiedades y seguidamente hacemos clic en finalizar.

En esta parte agregaremos la regla que va a utilizar nuestra directiva de seguridad. Marcamos usar asistente para agregar y luego le damos agregar.

16

Nos aparecerá el asistente para las reglas de seguridad ip y le damos clic en siguiente.

17

En este pantallazo elegiremos el modo de comunicación que vamos a utilizar, como no utilizaremos el modo túnel elegiremos la opción que dice esta regla no especifica un túnel. Luego clic en siguiente.

Bueno ahora procederemos a elegir el tipo de red al cual vamos a aplicar la regla de seguridad nosotros elegiremos la opción que dice todas las conexiones de red y luego clic en siguiente.

18

Aquí agregaremos a la lista de filtros el filtro que utilizaremos para el trafico ip que aplicaremos a nuestra directiva. Para agregar nuestro filtro nos pararemos en la casilla agregar.

19

En este pantallazo daremos un nombre y una descripción para nuestro filtro, seleccionamos la casilla que dice usar asistente para agregar y luego clic en agregar.

Aquí nos aparece el asistente para los filtros ip. Le damos clic en siguiente

20

En este pantallazo se nos pedirá la descripción que daremos a nuestro filtro en nuestro caso será filtro proyecto seguridad vpn después procederemos a elegir la opción de reflejado que hace coincidir paquetes con las direcciones de origen y destino opuestas exactas y por ultimo clic en siguiente.

21

En esta parte especificaremos la dirección de origen del trafico ip nosotros le daremos mi dirección ip y luego siguiente.

Aquí especificaremos la dirección de trafico ip de destino que en nuestro caso será cualquier dirección ip ya que la ip del destino puede ser modificada. Después de esto damos clic en siguiente.

22

En esta opción elegiremos el tipo de protocolo que utilizaremos para la comunicación nosotros elegiremos que utilice cualquiera y clic en siguiente.

23

Aparecerá el asistente para terminar la configuración del filtro damos la opción de modificar las propiedades y luego finalizar.

Después de finalizar el asistente, nos mostrara las propiedades del filtro en caso de que necesitemos cambiar algo. Ahora si todo esta debidamente configurado le daremos clic en aceptar.

24

Ahora nuestro filtro aparecerá en la lista anteriormente mencionada, y luego damos clic en aceptar.

Vemos que nuestro filtro aparece en dicha lista, lo seleccionamos y damos clic en siguiente.

25

En esta opción agregaremos la acción de filtrado para la regla de seguridad. Ahora marcamos usar asistente para agregar y luego clic en agregar.

Aparecerá el asistente para agregar las acciones de filtrado que nos permitirá establecer requisitos de seguridad para la transferencia de datos. Cabe decir

26

que el cliente o destino debe tener los mismos métodos de seguridad para la transferencia de datos. Ahora clic en siguiente.

Aquí le daremos el nombre y la descripción nuestra acción de filtrado y luego damos clic en siguiente.

27

Luego establecemos como debe comportarse la acción de filtrado. En nuestro caso elegiremos la opción negociar la seguridad y luego le damos clic en siguiente.

En esta parte estableceremos la compatibilidad de la comunicación con los que equipos queremos hacer nuestra comunicación. Nosotros elegiremos la opción de no comunicarse con otros equipos que no son compatibles con ipsec. Luego de esto damos clic en siguiente.

28

Aquí especificaremos el método de seguridad para el trafico ip. Nosotros elegiremos el protocolo esp que nos brinda integridad y cifrado, Luego siguiente.

Luego de esto aparecerá el asistente para la finalización de las acciones de filtrado de seguridad ip. Damos modificar propiedades y luego finalizar.

29

En este pantallazo aparecen las propiedades de la acción que acabamos de crear, vemos que todo este debidamente bien configurado y luego damos clic en aceptar.

30

Una vez terminamos de configurar nuestra acción la seleccionamos y damos clic en siguiente.

31

Aquí volvemos a ingresar la clave pre compartida que le habíamos establecido anteriormente. Luego de esto le damos clic en siguiente.

Luego de todo este proceso por fin nos aparece el asistente de la finalización de las reglas de seguridad, y por último damos clic en finalizar.

32

En esta parte vemos que todo el filtro este debidamente bien configurado y una vez terminemos esto le damos clic en aceptar.

33

Vemos que en la consola de administración de las directivas de seguridad ip aparece la regla que acabamos de crear.

Nos paramos sobre dicha regla damos clic derecho y seleccionamos asignar para que esta regla se aplique al equipo.

34

Por ultimo la regla aparecerá con la palabra “si” en frente lo cual nos quiere decir que se ha aplicado o asignado la regla correctamente. Y así concluimos con la instalación y configuración del ipsec.

Ahora veremos que al hacer la prueba los paquetes empiezan a negociar la seguridad para establecer la comunicación.

35

Instalación y configuración de enrutamiento y acceso remoto (VPN).

Para empezar abriremos la consola de administración de enrutamiento y acceso remoto de la siguiente manera: inicio- herramientas administrativa- enrutamiento y acceso remoto.

36

Ahora procedemos a configurar y habilitar el enrutamiento y acceso remoto dando clic derecho sobre el servidor que aparece en pantalla y seguidamente elegimos la opción de configurar y habilitar enrutamiento y acceso remoto.

37

Una vez hecho lo anterior nos aparecerá el asistente para la instalación del servidor de enrutamiento y acceso remoto. A continuación damos clic en siguiente.

38

En este pantallazo seleccionaremos el modo de configuración que utilizaremos. Nosotros utilizaremos una conexión personalizada. Ahora clic en siguiente.

39

Aquí habilitaremos el servicio de acceso de VPN para nuestro servidor luego daremos clic en siguiente.

40

Luego de esto nos aparecerá el la finalización del asistente para la instalación del servidor de enrutamiento y acceso remoto. Luego finalizar.

Ahora nos preguntara si deseamos iniciar el servicio de enrutamiento y acceso remoto como es de esperarse le daremos que si.

Aquí nos muestra el proceso de inicio del servidor.

41

Seguidamente procederemos a configurar nuestro servidor. Nos paramos en el servidor y damos clic derecho y luego propiedades.

42

Ahora en la pestaña general de las propiedades del servidor seleccionamos servidor de acceso remoto y desmarcamos la opción de enrutador ya no enrutaremos.

43

Ahora en la pestaña de seguridad configuraremos los métodos de autenticación y activamos la casilla permitir las directivas personalizada de ipsec para las conexiones L2TP e ingresamos la clave pre compartida que configuramos anteriormente en el ipsec.

44

En la misma pestaña de seguridad damos clic en los métodos de autenticación y señalaremos autenticación cifrada de Microsoft version2 (MS-CHAP v2) y la autenticación cifrada (MS-CHAP). Luego de esto damos clic en aceptar.

Ahora en la pestaña IP habilitaremos el modo de asignación de direcciones ip. En nuestro caso será protocolo de configuración dinámica de host (dhcp). Pero también esta la opción de dar un rango de direcciones estáticas para los cliente del vpn.

45

Luego en la pestaña PPP (protocolo punto a punto) dejamos la configuración que viene por defecto.

46

En la pestaña inicio de sesiones elegiremos la opción registrar errores y advertencias de los proceso del VPN. Aplicamos la configuración y aceptamos.

Ahora ya tenemos lista la configuración de acceso remoto y procederemos a crear las directivas de acceso remoto.

47

En las directivas de acceso remoto le damos clic derecho y nueva directiva de acceso remoto.

Ahora nos aparecerá el asistente para la nueva directiva de acceso remoto y le damos clic en siguiente.

48

En este pantallazo configuraremos el método de la configuración de la directiva, en nuestro caso señalaremos utilizar este asistente para configurar una directiva típica par un escenario común y seguidamente le daremos un nombre a la directiva y luego siguiente.

49

Ahora elegiremos el método de acceso de nuestra directiva de acceso en nuestro caso será VPN y clic en siguiente.

En este pantallazo elegiremos el método de acceso si por grupos o usuarios, en nuestro caso el acceso será por usuarios, esto se configurara en la cuenta del usuario. Luego de definir esto damos clic en siguiente.

50

Elegiremos los métodos de autenticación con los que será compatible nuestra directiva. Ahora le daremos clic en siguiente.

Aquí configuraremos el nivel de cifrado que tendrá nuestra directiva nosotros seleccionamos las tres opciones y luego damos clic en siguiente.

51

Por ultimo aparece la finalización del asistente para la nueva directiva de acceso remoto. Como es de esperar clic en finalizar.

Ahora vemos que nuestras directivas están debidamente bien configuradas. Cave recordar que la directiva de mayor prioridad es la que esta ubicada arriba de las demás.

52

Configuración en la cuenta del usuario para permitir acceso remoto.

Ya teniendo un usuario creado en el directorio damos clic derecho al usuario y vamos a las propiedades.

53

En la pestaña miembros de podemos observar que este usuario pertenece a los usuarios del dominio y procederemos s hacerlo miembro de usuarios de escritorio remoto. Damos agregar y nos aparecerá la siguiente pantalla.

Seleccionamos la opción avanzada y aparecerá la siguiente pantalla.

En esta opción daremos buscar ahora y nos aparecerá lo siguiente.

54

Aquí seleccionaremos el grupo de usuarios de escritorio remoto al que pertenecerán los usuarios que accederán remotamente a nuestro servidor.

55

Ahora como podemos ver nuestro usuario ya pertenece al grupo de usuarios de acceso remoto. Damos aplicar y aceptar.

Ahora en la pestaña marcado seleccionaremos permitir acceso para nuestra red privada virtual y ya tenemos un usuario que puede acceder remotamente mediante VPN a nuestro servidor. Por ultimo aplicar y aceptar.

56

Configuración del cliente VPN

Ahora veremos como configurar un cliente VPN de acceso remoto para poder realizar esto debemos seguir los siguientes pasos.

Para empezar debemos hacer que el equipo cliente pertenezca a nuestro controlador de dominio para ello nos vamos hacia mi PC damos clic derecho y nos paramos en la opción propiedades.

57

Estando ya en las propiedades del sistema nos paramos en la pestaña que dice “nombre de equipo” y damos clic en la opción cambiar.

58

En este pantallazo haremos que el equipo cliente pertenezca a nuestro dominio. Para ello, marcamos la opción dominio y damos el nombre del controlador de dominio. Cabe destacar que antes de hacer que este equipo pertenezca al dominio, debemos poner el DNS del servidor VPN al cliente como predeterminado para que pueda unirse sin ningún problema al dominio. Ahora damos clic en aceptar.

Para podernos unir al dominio damos el usuario y contraseña del PDC para que nos permita unirnos a este, posteriormente damos clic en aceptar.

59

Aquí vemos que el equipo cliente ya esta unido al dominio, para seguir damos clic en aceptar.

Para que los cambios que hemos hecho tengan efecto debemos reiniciar el equipo de modo pues que damos clic en aceptar.

Creación de una nueva conexión VPN

60

Para crear una nueva conexión VPN nos vamos a inicio, panel de control, conexiones de red y asistente para nueva conexión.

Una vez hecho lo anterior nos aparecerá el asistente para una conexión nueva, para proseguir damos clic en siguiente.

61

En este pantallazo se nos pregunta que es lo que queremos hacer con nuestra red , en nuestro caso queremos conectarnos a la red de nuestro lugar de trabajo, ahora clic en siguiente.

Bueno en este pantallazo nos preguntara de que modo no queremos conectar a la red en nuestro lugar de trabajo, nosotros elegiremos una conexión VPN, y de nuevo clic en siguiente.

62

Aquí especificaremos un nombre para esta conexión, podemos escribir cualquier nombre pero es preferible un nombre que sea fácil de recordar y que tenga que ver con la red o con nuestra oficina. Ahora siguiente.

63

Ahora ingresaremos el nombre o la dirección del servidor VPN a quien queremos conectarnos, en nuestro caso definimos una dirección ip, y terminamos con clic en siguiente.

Bueno en esta pantalla elegiremos la disponibilidad de la conexión, si queremos que sea para el uso de cualquier persona o solo para nuestro uso exclusivo. Para nosotros será solo para nuestro uso exclusivo, ahora clic en siguiente.

64

Bueno ahora una vez terminamos con la configuración de la nueva conexión para el cliente VPN aparece el asistente para la finalización de la conexión, en el marcaremos la casilla que dice “agregar en mi escritorio un acceso directo a esta conexión” y por ultimo damos clic en finalizar.

65

Ahora ingresaremos a las propiedades de la conexión para terminar con la configuración de nuestra conexión.

En esta pantalla en pestaña opciones configuraremos las opciones de marcado que vamos a establecer en nuestra conexión.

66

Luego de haber terminado lo anterior nos ubicamos en la pestaña de seguridad en la cual podremos establecer las opciones de seguridad, si queremos que sea una configuración típica para una configuración recomendada o avanzada para una configuración personalizada. Ahora damos clic en configuración.

67

Esta es la pantalla de configuración de seguridad avanzada. En esta estableceremos que el cifrado de datos sea un requerimiento y si no acepta se desconectara del servidor; también configuraremos los protocolos de autenticación que en este caso serán CHAP (MS-CHAP) y CHAP versión2 (MS-CHAP v2). Por ultimo clic en aceptar.

En esta misma pestaña de seguridad daremos la clave pre compartida del ipsec al usuario VPN para la VPN que utilizaremos (L2TP/IPSEC). Ahora aceptamos.

68

En la pestaña funciones de red configuraremos el tipo de VPN que utilizaremos en nuestro caso será L2TP/IPSEC. Ahora nos paramos en configuración.

Ahora configuraremos el protocolo punto a punto señalando las tres opciones que nos aparecen y luego de esto damos clic en aceptar.

En las propiedades del protocolo de internet como no usamos un rango de direcciones estáticas en el servidor lo dejaremos por DHCP.

69

Después de que aceptamos la configuración de las propiedades de la conexión esta empieza a autenticarse en el servidor automáticamente.

Bueno ahora vamos nos vamos a conectar a un escritorio remoto, para realizar esto lo que debemos hacer es ir a inicio, todos los programas, accesorios, comunicaciones y por ultimo a conexión de escritorio remoto.

Nos aparecerá un pantallazo en el cual introduciremos la dirección ip del equipo al cual queremos acceder remotamente.

70

Como podemos ver en esta imagen el escritorio remoto nos esta pidiendo un usuario y una contraseña que están registrados en el directorio activo para poder ingresar a el.

En esta pantalla podemos observar que ya estamos dentro del escritorio remoto del servidor y que ya podemos empezar a trabajar como un usuario mas de este servidor.

71

CONCLUSIONES

Podemos denotar que la seguridad de una red es muy importante para el manejo de los datos ya que si no implementamos dicha seguridad podríamos llegar a perder información que podría ser de gran valor para las empresas o entidades.

Es necesario adquirir gran conocimiento en el manejo de la seguridad en las redes para poder llevar a cabo un buen manejo de la red y no sufrir ningún tipo de inconveniente o pérdida de datos

72

BIBLIOGRAFIA

http://modseguridad.blogspot.com/http://www.elguille.info/sistema/escritorioremoto.htm#conectar

http://networkmax.blogspot.com/

http://enchufado.com/?p=181http://www.mundoprogramacion.com/sistema/firmas_juansa_Escritorio_Remoto_VPN.htm

http://translate.google.com.co/translate?hl=es&sl=en&u=http://www.tjhsst.edu/admin/livedoc/index.php/IPSec_VPN&ei=C1zBSbmvIpyOmQeZ5P2wDw&sa=X&oi=translate&resnum=8&ct=result&prev=/search%3Fq%3Dmanual%2Bvpn%2Bcon%2Bipsec%2B%2Ben%2B%2Bdebian%2Betch%26hl%3Des%26sa%3DN%26start%3D10

73