INFRAESTRUCTURA VPN SEGURA PROYECTO SEGURIDAD

Integrantes: CARLOS MARLON CORDOBA CASTILLO MARCELO ESTEBAN HENAO HENAO JOLMAN ALEXANDER ROBLEDO HERRERA JHONNY ALEXANDER RIOS RIOS DANIEL DE JESUS VALENCIA GARCIA

Instructor MAURICIO ORTIZ CESGE

ADMINISTRACION DE REDES SENA

MEDELLIN 01-04-2009

INTRODUCCION

En este manual veremos una breve explicacin sobre como implementar una infraestructura de vpn segura. Dicha infraestructura la integraremos con un servicio de directorio (active directory) para la validacin de los clientes vpn, tambin trabajaremos e implementaremos el conjunto de protocolos de ipsec; en el cual realizaremos una autenticacin por medio de llaves pre compartidas y certificados digitales. La integracin de este proyecto ser implementada sobre un sistema operativo Windows server Enterprise 2003

CONTENIDO

OBJETIVOS DEFINICIONES CONFIGURACION CONFIGURACION DE ENRUTAMIENTO Y ACCESO REMOTO

4 5 7 36

CONFIGURACION EN LA CUENTA DEL USUARIO PARA PERMITIR ACCESO REMOTO 53 CONFIGURACION DEL CLIENTE VPN CREACION DE UNA CONEXIN VPN CONCLUSIONES BIBLIOGRAFIA 57 61 73 74

OBJETIVOS

OBJETIVO GENERAL Implementar una vpn segura sobre ipsec y active directory en el sistema Windows server 2003 Enterprise para poder acceder a conexiones seguras

OBJETIVOS ESPECIFICOS Implementacin de vpn sobre ipsec Crear una conexin segura

DEFINICIONES

IPSEC: Es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el protocolo de internet (ip) autenticando o cifrando cada paquete ip en un flujo de datos , ipsec autentica los equipos y cifra los datos para su transmisin entre hosts en una red intranet o extranet . ESP: (encapsulating security payload) Protocolo de carga de seguridad de encapsulacin que proporciona privacidad a los datos mediante el cifrado de paquetes ip. AH: (Authentication header) proporciona integridad, autenticacin y no repudio si se elijen los algoritmos apropiados ISAKMP: (internet security association and key management protocol) se usa para intercambiar y administrar dinamicamente claves cifradas entre los equipos que se comunican para la negociacin de la seguridad dinmica VPN: (virtual prvate network) es una tecnologa de red que permite una extensin de la red local sobre una red publica o no controlada, como por ejemplo la internet. Bsicamente existen 2 tipos de conexin vpn
1- Vpn de acceso remoto: es quizs el modelo mas utilizado actualmente

y consiste en usuarios o proveedores que se conectan con empresas desde sitios remotos utilizando internet como vinculo de acceso; una ves autentificados tienen un nivel de acceso muy similar al que tiene en la red local de dicha empresa

2- Vpn punto a punto: este esquema se utiliza para conectar oficinas

remotas con las cede central de la organizacin. El servidor vpn que posee un vinculo permanente a internet, acepta las conexiones va internet provenientes de los sitios y establece un tnel vpn.

Esta tecnologa proporciona un medio para aprovechar un canal publico de internet como un canal privado o propio para comunicar datos que son privados, con un mtodo de codificacin y encapsulamiento, una vpn bsica crea un camino privado a travs de internet. Esto reduce el trabajo y riesgo en una gestin de red.
5

Tipos de conexiones:
1- Conexin de acceso remoto. Una conexin de acceso remoto que es

realizada por un cliente o un usuario de una computadora que se conecta a una red privada, los paquetes enviados a travs de la conexin vpn son originados al cliente de acceso remoto y este se autentica al servidor de acceso remoto al servidor y el servidor se autentica ante el cliente.
2- Conexin vpn router a router. Una conexin vpn router a router es

realizada por un router y este a su vez se conecta a una red privada, en este tipo de conexin, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentica ante el router que responde y esta a su vez se autentica ante el router que realiza la llamada y tambin sirve para la intranet.
3- Conexin vpn firewall asa a firewall asa. Esta conexin es realizada

por uno de los firewall y este a su vez se conecta a una red privada. En este tipo de conexin los paquetes son enviados desde cualquier usuario en internet. El firewall que realiza la llamada se autentica ante el que responde y este a su vez se autentica ante el llamante.

CONFIGURACION
En esta parte empezaremos con la instalacin del protocolo ipsec cabe resaltar que tambin debemos tener instalado el active directory para la validacin de los usuarios vpn ante el servicio de directorio. Primero empezaremos con la creacin de la consola de administracin de ipsec.

En inicio ejecutar agregamos el comando mmc para aadir la consola de administracin damos aceptar. Una vez ejecutemos este comando nos aparecer la siguiente consola.

En esta consola procederemos a crear la consola administrativa del ipsec. En la pestaa archivo, agregar o quitar complemento para dicho procedimiento y luego nos aparecer esta otra consola

Damos clic en agregar para elegir el complemento que estamos requiriendo.

En nuestro caso agregaremos administrador de las directivas de seguridad ip y clic en agregar

En esta parte seleccionaremos la opcin de equipo local para que las directivas se apliquen en nuestro equipo y luego finalizar.

10

Agregaremos tambin la opcin de monitor de seguridad para ver los procesos que realiza el ipsec luego aceptar

11

Una vez terminemos este proceso nos aparecer esta consola en la cual se muestra los complementos que hemos seleccionado anterior mente y para terminar damos clic en aceptar.

Esta es la consola de administracin del ipsec en la cual configuraremos lo siguiente.

12

Nos paramos sobre las directivas de seguridad ip luego damos clic derecho y elegimos la opcin de crear nueva directiva de seguridad ip.

Nos aparecer el asistente para la creacin de las nuevas directivas y damos clic en siguiente.
13

Luego de esto nos aparecer el pantallazo en el cual debemos ingresar el nombre y la descripcin para la directiva de seguridad que en nuestro caso sern regla proyecto vpn y prueba proyecto vpn en su respectivo orden. Ahora le daremos clic en siguiente.

14

Activamos la casilla que dice activar la regla de respuesta predeterminada para responder a los equipos remotos que solicitan seguridad cuando no se puede aplicar ninguna otra regla. Para comunicarse con seguridad el equipo debe responder a las peticiones para la comunicacin segura. Luego damos clic en siguiente.

Como trabajaremos con claves pre compartidas seleccionaremos la opcin de clave previamente compartida y seguidamente ingresamos la clave, y por ultimo clic en siguiente.

15

Aqu nos aparecer el asistente de finalizacin de las directivas de seguridad, seleccionamos la casilla editar propiedades y seguidamente hacemos clic en finalizar Aqu nos aparecer el asistente de finalizacin de las directivas de seguridad, seleccionamos la casilla editar propiedades y seguidamente hacemos clic en finalizar.

16

En esta parte agregaremos la regla que va a utilizar nuestra directiva de seguridad. Marcamos usar asistente para agregar y luego le damos agregar.

17

Nos aparecer el asistente para las reglas de seguridad ip y le damos clic en siguiente.

En este pantallazo elegiremos el modo de comunicacin que vamos a utilizar, como no utilizaremos el modo tnel elegiremos la opcin que dice esta regla no especifica un tnel. Luego clic en siguiente.

18

Bueno ahora procederemos a elegir el tipo de red al cual vamos a aplicar la regla de seguridad nosotros elegiremos la opcin que dice todas las conexiones de red y luego clic en siguiente.

19

Aqu agregaremos a la lista de filtros el filtro que utilizaremos para el trafico ip que aplicaremos a nuestra directiva. Para agregar nuestro filtro nos pararemos en la casilla agregar.

En este pantallazo daremos un nombre y una descripcin para nuestro filtro, seleccionamos la casilla que dice usar asistente para agregar y luego clic en agregar.

20

Aqu nos aparece el asistente para los filtros ip. Le damos clic en siguiente

En este pantallazo se nos pedir la descripcin que daremos a nuestro filtro en nuestro caso ser filtro proyecto seguridad vpn despus procederemos a elegir
21

la opcin de reflejado que hace coincidir paquetes con las direcciones de origen y destino opuestas exactas y por ultimo clic en siguiente.

En esta parte especificaremos la direccin de origen del trafico ip nosotros le daremos mi direccin ip y luego siguiente.

22

Aqu especificaremos la direccin de trafico ip de destino que en nuestro caso ser cualquier direccin ip ya que la ip del destino puede ser modificada. Despus de esto damos clic en siguiente.

23

En esta opcin elegiremos el tipo de protocolo que utilizaremos para la comunicacin nosotros elegiremos que utilice cualquiera y clic en siguiente.

Aparecer el asistente para terminar la configuracin del filtro damos la opcin de modificar las propiedades y luego finalizar.

24

Despus de finalizar el asistente, nos mostrara las propiedades del filtro en caso de que necesitemos cambiar algo. Ahora si todo esta debidamente configurado le daremos clic en aceptar.

25

Ahora nuestro filtro aparecer en la lista anteriormente mencionada, y luego damos clic en aceptar.

Vemos que nuestro filtro aparece en dicha lista, lo seleccionamos y damos clic en siguiente.

26

En esta opcin agregaremos la accin de filtrado para la regla de seguridad. Ahora marcamos usar asistente para agregar y luego clic en agregar.

Aparecer el asistente para agregar las acciones de filtrado que nos permitir establecer requisitos de seguridad para la transferencia de datos. Cabe decir
27

que el cliente o destino debe tener los mismos mtodos de seguridad para la transferencia de datos. Ahora clic en siguiente.

Aqu le daremos el nombre y la descripcin nuestra accin de filtrado y luego damos clic en siguiente.

28

Luego establecemos como debe comportarse la accin de filtrado. En nuestro caso elegiremos la opcin negociar la seguridad y luego le damos clic en siguiente.

En esta parte estableceremos la compatibilidad de la comunicacin con los que equipos queremos hacer nuestra comunicacin. Nosotros elegiremos la opcin de no comunicarse con otros equipos que no son compatibles con ipsec. Luego de esto damos clic en siguiente.

29

Aqu especificaremos el mtodo de seguridad para el trafico ip. Nosotros elegiremos el protocolo esp que nos brinda integridad y cifrado, Luego siguiente.

Luego de esto aparecer el asistente para la finalizacin de las acciones de filtrado de seguridad ip. Damos modificar propiedades y luego finalizar.
30

En este pantallazo aparecen las propiedades de la accin que acabamos de crear, vemos que todo este debidamente bien configurado y luego damos clic en aceptar.

31

Una vez terminamos de configurar nuestra accin la seleccionamos y damos clic en siguiente.

32

Aqu volvemos a ingresar la clave pre compartida que le habamos establecido anteriormente. Luego de esto le damos clic en siguiente.

Luego de todo este proceso por fin nos aparece el asistente de la finalizacin de las reglas de seguridad, y por ltimo damos clic en finalizar.

33

En esta parte vemos que todo el filtro este debidamente bien configurado y una vez terminemos esto le damos clic en aceptar.

34

Vemos que en la consola de administracin de las directivas de seguridad ip aparece la regla que acabamos de crear.

Nos paramos sobre dicha regla damos clic derecho y seleccionamos asignar para que esta regla se aplique al equipo.

35

Por ultimo la regla aparecer con la palabra si en frente lo cual nos quiere decir que se ha aplicado o asignado la regla correctamente. Y as concluimos con la instalacin y configuracin del ipsec.

Ahora veremos que al hacer la prueba los paquetes empiezan a negociar la seguridad para establecer la comunicacin.

36

Instalacin y configuracin de enrutamiento y acceso remoto (VPN).

Para empezar abriremos la consola de administracin de enrutamiento y acceso remoto de la siguiente manera: inicio- herramientas administrativaenrutamiento y acceso remoto.

37

Ahora procedemos a configurar y habilitar el enrutamiento y acceso remoto dando clic derecho sobre el servidor que aparece en pantalla y seguidamente elegimos la opcin de configurar y habilitar enrutamiento y acceso remoto.

38

Una vez hecho lo anterior nos aparecer el asistente para la instalacin del servidor de enrutamiento y acceso remoto. A continuacin damos clic en siguiente.

39

En este pantallazo seleccionaremos el modo de configuracin que utilizaremos. Nosotros utilizaremos una conexin personalizada. Ahora clic en siguiente.

40

Aqu habilitaremos el servicio de acceso de VPN para nuestro servidor luego daremos clic en siguiente.

41

Luego de esto nos aparecer el la finalizacin del asistente para la instalacin del servidor de enrutamiento y acceso remoto. Luego finalizar.

Ahora nos preguntara si deseamos iniciar el servicio de enrutamiento y acceso remoto como es de esperarse le daremos que si.

Aqu nos muestra el proceso de inicio del servidor.

42

Seguidamente procederemos a configurar nuestro servidor. Nos paramos en el servidor y damos clic derecho y luego propiedades.

43

Ahora en la pestaa general de las propiedades del servidor seleccionamos servidor de acceso remoto y desmarcamos la opcin de enrutador ya no enrutaremos.

44

Ahora en la pestaa de seguridad configuraremos los mtodos de autenticacin y activamos la casilla permitir las directivas personalizada de ipsec para las conexiones L2TP e ingresamos la clave pre compartida que configuramos anteriormente en el ipsec.

45

En la misma pestaa de seguridad damos clic en los mtodos de autenticacin y sealaremos autenticacin cifrada de Microsoft version2 (MS-CHAP v2) y la autenticacin cifrada (MS-CHAP). Luego de esto damos clic en aceptar.

Ahora en la pestaa IP habilitaremos el modo de asignacin de direcciones ip. En nuestro caso ser protocolo de configuracin dinmica de host (dhcp). Pero tambin esta la opcin de dar un rango de direcciones estticas para los cliente del vpn.

46

Luego en la pestaa PPP (protocolo punto a punto) dejamos la configuracin que viene por defecto.

47

En la pestaa inicio de sesiones elegiremos la opcin registrar errores y advertencias de los proceso del VPN. Aplicamos la configuracin y aceptamos. Ahora ya tenemos lista la configuracin de acceso remoto y procederemos a crear las directivas de acceso remoto.

48

En las directivas de acceso remoto le damos clic derecho y nueva directiva de acceso remoto.

Ahora nos aparecer el asistente para la nueva directiva de acceso remoto y le damos clic en siguiente.
49

En este pantallazo configuraremos el mtodo de la configuracin de la directiva, en nuestro caso sealaremos utilizar este asistente para configurar una directiva tpica par un escenario comn y seguidamente le daremos un nombre a la directiva y luego siguiente.

50

Ahora elegiremos el mtodo de acceso de nuestra directiva de acceso en nuestro caso ser VPN y clic en siguiente.

En este pantallazo elegiremos el mtodo de acceso si por grupos o usuarios, en nuestro caso el acceso ser por usuarios, esto se configurara en la cuenta del usuario. Luego de definir esto damos clic en siguiente.

51

Elegiremos los mtodos de autenticacin con los que ser compatible nuestra directiva. Ahora le daremos clic en siguiente.

Aqu configuraremos el nivel de cifrado que tendr nuestra directiva nosotros seleccionamos las tres opciones y luego damos clic en siguiente.
52

Por ultimo aparece la finalizacin del asistente para la nueva directiva de acceso remoto. Como es de esperar clic en finalizar.

Ahora vemos que nuestras directivas estn debidamente bien configuradas. Cave recordar que la directiva de mayor prioridad es la que esta ubicada arriba de las dems.
53

Configuracin en la cuenta del usuario para permitir acceso remoto.

Ya teniendo un usuario creado en el directorio damos clic derecho al usuario y vamos a las propiedades.

54

En la pestaa miembros de podemos observar que este usuario pertenece a los usuarios del dominio y procederemos s hacerlo miembro de usuarios de escritorio remoto. Damos agregar y nos aparecer la siguiente pantalla.

Seleccionamos la opcin avanzada y aparecer la siguiente pantalla.

En esta opcin daremos buscar ahora y nos aparecer lo siguiente.

55

Aqu seleccionaremos el grupo de usuarios de escritorio remoto al que pertenecern los usuarios que accedern remotamente a nuestro servidor.

56

Ahora como podemos ver nuestro usuario ya pertenece al grupo de usuarios de acceso remoto. Damos aplicar y aceptar.

Ahora en la pestaa marcado seleccionaremos permitir acceso para nuestra red privada virtual y ya tenemos un usuario que puede acceder remotamente mediante VPN a nuestro servidor. Por ultimo aplicar y aceptar.

57

Configuracin del cliente VPN Ahora veremos como configurar un cliente VPN de acceso remoto para poder realizar esto debemos seguir los siguientes pasos.

Para empezar debemos hacer que el equipo cliente pertenezca a nuestro controlador de dominio para ello nos vamos hacia mi PC damos clic derecho y nos paramos en la opcin propiedades.

58

Estando ya en las propiedades del sistema nos paramos en la pestaa que dice nombre de equipo y damos clic en la opcin cambiar.

59

En este pantallazo haremos que el equipo cliente pertenezca a nuestro dominio. Para ello, marcamos la opcin dominio y damos el nombre del controlador de dominio. Cabe destacar que antes de hacer que este equipo pertenezca al dominio, debemos poner el DNS del servidor VPN al cliente como predeterminado para que pueda unirse sin ningn problema al dominio. Ahora damos clic en aceptar.

Para podernos unir al dominio damos el usuario y contrasea del PDC para que nos permita unirnos a este, posteriormente damos clic en aceptar.
60

Aqu vemos que el equipo cliente ya esta unido al dominio, para seguir damos clic en aceptar.

Para que los cambios que hemos hecho tengan efecto debemos reiniciar el equipo de modo pues que damos clic en aceptar.

Creacin de una nueva conexin VPN

61

Para crear una nueva conexin VPN nos vamos a inicio, panel de control, conexiones de red y asistente para nueva conexin.

62

Una vez hecho lo anterior nos aparecer el asistente para una conexin nueva, para proseguir damos clic en siguiente.

En este pantallazo se nos pregunta que es lo que queremos hacer con nuestra red , en nuestro caso queremos conectarnos a la red de nuestro lugar de trabajo, ahora clic en siguiente.
63

Bueno en este pantallazo nos preguntara de que modo no queremos conectar a la red en nuestro lugar de trabajo, nosotros elegiremos una conexin VPN, y de nuevo clic en siguiente.

64

Aqu especificaremos un nombre para esta conexin, podemos escribir cualquier nombre pero es preferible un nombre que sea fcil de recordar y que tenga que ver con la red o con nuestra oficina. Ahora siguiente.

Ahora ingresaremos el nombre o la direccin del servidor VPN a quien queremos conectarnos, en nuestro caso definimos una direccin ip, y terminamos con clic en siguiente.

65

Bueno en esta pantalla elegiremos la disponibilidad de la conexin, si queremos que sea para el uso de cualquier persona o solo para nuestro uso exclusivo. Para nosotros ser solo para nuestro uso exclusivo, ahora clic en siguiente.

66

Bueno ahora una vez terminamos con la configuracin de la nueva conexin para el cliente VPN aparece el asistente para la finalizacin de la conexin, en el marcaremos la casilla que dice agregar en mi escritorio un acceso directo a esta conexin y por ultimo damos clic en finalizar.

Ahora ingresaremos a las propiedades de la conexin para terminar con la configuracin de nuestra conexin.

67

En esta pantalla en pestaa opciones configuraremos las opciones de marcado que vamos a establecer en nuestra conexin.

68

Luego de haber terminado lo anterior nos ubicamos en la pestaa de seguridad en la cual podremos establecer las opciones de seguridad, si queremos que sea una configuracin tpica para una configuracin recomendada o avanzada para una configuracin personalizada. Ahora damos clic en configuracin.

69

Esta es la pantalla de configuracin de seguridad avanzada. En esta estableceremos que el cifrado de datos sea un requerimiento y si no acepta se desconectara del servidor; tambin configuraremos los protocolos de autenticacin que en este caso sern CHAP (MS-CHAP) y CHAP versin2 (MS-CHAP v2). Por ultimo clic en aceptar.

En esta misma pestaa de seguridad daremos la clave pre compartida del ipsec al usuario VPN para la VPN que utilizaremos (L2TP/IPSEC). Ahora aceptamos.

70

En la pestaa funciones de red configuraremos el tipo de VPN que utilizaremos en nuestro caso ser L2TP/IPSEC. Ahora nos paramos en configuracin.

Ahora configuraremos el protocolo punto a punto sealando las tres opciones que nos aparecen y luego de esto damos clic en aceptar. En las propiedades del protocolo de internet como no usamos un rango de direcciones estticas en el servidor lo dejaremos por DHCP.

71

Despus de que aceptamos la configuracin de las propiedades de la conexin esta empieza a autenticarse en el servidor automticamente.

Bueno ahora vamos nos vamos a conectar a un escritorio remoto, para realizar esto lo que debemos hacer es ir a inicio, todos los programas, accesorios, comunicaciones y por ultimo a conexin de escritorio remoto.

Nos aparecer un pantallazo en el cual introduciremos la direccin ip del equipo al cual queremos acceder remotamente.

72

Como podemos ver en esta imagen el escritorio remoto nos esta pidiendo un usuario y una contrasea que estn registrados en el directorio activo para poder ingresar a el.

En esta pantalla podemos observar que ya estamos dentro del escritorio remoto del servidor y que ya podemos empezar a trabajar como un usuario mas de este servidor.

73

CONCLUSIONES
Podemos denotar que la seguridad de una red es muy importante para el manejo de los datos ya que si no implementamos dicha seguridad podramos llegar a perder informacin que podra ser de gran valor para las empresas o entidades. Es necesario adquirir gran conocimiento en el manejo de la seguridad en las redes para poder llevar a cabo un buen manejo de la red y no sufrir ningn tipo de inconveniente o prdida de datos

74

BIBLIOGRAFIA

http://modseguridad.blogspot.com/ http://www.elguille.info/sistema/escritorioremoto.htm#conectar http://networkmax.blogspot.com/ http://enchufado.com/?p=181 http://www.mundoprogramacion.com/sistema/firmas_juansa_Escritorio_Rem oto_VPN.htm http://translate.google.com.co/translate?hl=es&sl=en&u=http://www.tjhsst. edu/admin/livedoc/index.php/IPSec_VPN&ei=C1zBSbmvIpyOmQeZ5P2wDw& sa=X&oi=translate&resnum=8&ct=result&prev=/search%3Fq%3Dmanual% 2Bvpn%2Bcon%2Bipsec%2B%2Ben%2B%2Bdebian%2Betch%26hl%3Des%2 6sa%3DN%26start%3D10

75