Manual Infraestructura VPN Segura

  • Published on
    10-Jun-2015

  • View
    4.829

  • Download
    1

Embed Size (px)

Transcript

<p>INFRAESTRUCTURA VPN SEGURA PROYECTO SEGURIDAD</p> <p>Integrantes: CARLOS MARLON CORDOBA CASTILLO MARCELO ESTEBAN HENAO HENAO JOLMAN ALEXANDER ROBLEDO HERRERA JHONNY ALEXANDER RIOS RIOS DANIEL DE JESUS VALENCIA GARCIA</p> <p>Instructor MAURICIO ORTIZ CESGE</p> <p>ADMINISTRACION DE REDES SENA</p> <p>MEDELLIN 01-04-2009</p> <p>1</p> <p>INTRODUCCION</p> <p>En este manual veremos una breve explicacin sobre como implementar una infraestructura de vpn segura. Dicha infraestructura la integraremos con un servicio de directorio (active directory) para la validacin de los clientes vpn, tambin trabajaremos e implementaremos el conjunto de protocolos de ipsec; en el cual realizaremos una autenticacin por medio de llaves pre compartidas y certificados digitales. La integracin de este proyecto ser implementada sobre un sistema operativo Windows server Enterprise 2003</p> <p>2</p> <p>CONTENIDO</p> <p>OBJETIVOS DEFINICIONES CONFIGURACION CONFIGURACION DE ENRUTAMIENTO Y ACCESO REMOTO</p> <p>4 5 7 36</p> <p>CONFIGURACION EN LA CUENTA DEL USUARIO PARA PERMITIR ACCESO REMOTO 53 CONFIGURACION DEL CLIENTE VPN CREACION DE UNA CONEXIN VPN CONCLUSIONES BIBLIOGRAFIA 57 61 73 74</p> <p>3</p> <p>OBJETIVOS</p> <p>OBJETIVO GENERAL Implementar una vpn segura sobre ipsec y active directory en el sistema Windows server 2003 Enterprise para poder acceder a conexiones seguras</p> <p>OBJETIVOS ESPECIFICOS Implementacin de vpn sobre ipsec Crear una conexin segura</p> <p>4</p> <p>DEFINICIONES</p> <p>IPSEC: Es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el protocolo de internet (ip) autenticando o cifrando cada paquete ip en un flujo de datos , ipsec autentica los equipos y cifra los datos para su transmisin entre hosts en una red intranet o extranet . ESP: (encapsulating security payload) Protocolo de carga de seguridad de encapsulacin que proporciona privacidad a los datos mediante el cifrado de paquetes ip. AH: (Authentication header) proporciona integridad, autenticacin y no repudio si se elijen los algoritmos apropiados ISAKMP: (internet security association and key management protocol) se usa para intercambiar y administrar dinamicamente claves cifradas entre los equipos que se comunican para la negociacin de la seguridad dinmica VPN: (virtual prvate network) es una tecnologa de red que permite una extensin de la red local sobre una red publica o no controlada, como por ejemplo la internet. Bsicamente existen 2 tipos de conexin vpn1- Vpn de acceso remoto: es quizs el modelo mas utilizado actualmente</p> <p>y consiste en usuarios o proveedores que se conectan con empresas desde sitios remotos utilizando internet como vinculo de acceso; una ves autentificados tienen un nivel de acceso muy similar al que tiene en la red local de dicha empresa</p> <p>2- Vpn punto a punto: este esquema se utiliza para conectar oficinas</p> <p>remotas con las cede central de la organizacin. El servidor vpn que posee un vinculo permanente a internet, acepta las conexiones va internet provenientes de los sitios y establece un tnel vpn.</p> <p>Esta tecnologa proporciona un medio para aprovechar un canal publico de internet como un canal privado o propio para comunicar datos que son privados, con un mtodo de codificacin y encapsulamiento, una vpn bsica crea un camino privado a travs de internet. Esto reduce el trabajo y riesgo en una gestin de red.5</p> <p>Tipos de conexiones:1- Conexin de acceso remoto. Una conexin de acceso remoto que es</p> <p>realizada por un cliente o un usuario de una computadora que se conecta a una red privada, los paquetes enviados a travs de la conexin vpn son originados al cliente de acceso remoto y este se autentica al servidor de acceso remoto al servidor y el servidor se autentica ante el cliente.2- Conexin vpn router a router. Una conexin vpn router a router es</p> <p>realizada por un router y este a su vez se conecta a una red privada, en este tipo de conexin, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentica ante el router que responde y esta a su vez se autentica ante el router que realiza la llamada y tambin sirve para la intranet.3- Conexin vpn firewall asa a firewall asa. Esta conexin es realizada</p> <p>por uno de los firewall y este a su vez se conecta a una red privada. En este tipo de conexin los paquetes son enviados desde cualquier usuario en internet. El firewall que realiza la llamada se autentica ante el que responde y este a su vez se autentica ante el llamante.</p> <p>6</p> <p>CONFIGURACIONEn esta parte empezaremos con la instalacin del protocolo ipsec cabe resaltar que tambin debemos tener instalado el active directory para la validacin de los usuarios vpn ante el servicio de directorio. Primero empezaremos con la creacin de la consola de administracin de ipsec.</p> <p>En inicio ejecutar agregamos el comando mmc para aadir la consola de administracin damos aceptar. Una vez ejecutemos este comando nos aparecer la siguiente consola.</p> <p>7</p> <p>En esta consola procederemos a crear la consola administrativa del ipsec. En la pestaa archivo, agregar o quitar complemento para dicho procedimiento y luego nos aparecer esta otra consola</p> <p>8</p> <p>Damos clic en agregar para elegir el complemento que estamos requiriendo.</p> <p>9</p> <p>En nuestro caso agregaremos administrador de las directivas de seguridad ip y clic en agregar</p> <p>En esta parte seleccionaremos la opcin de equipo local para que las directivas se apliquen en nuestro equipo y luego finalizar.</p> <p>10</p> <p>Agregaremos tambin la opcin de monitor de seguridad para ver los procesos que realiza el ipsec luego aceptar</p> <p>11</p> <p>Una vez terminemos este proceso nos aparecer esta consola en la cual se muestra los complementos que hemos seleccionado anterior mente y para terminar damos clic en aceptar.</p> <p>Esta es la consola de administracin del ipsec en la cual configuraremos lo siguiente.</p> <p>12</p> <p>Nos paramos sobre las directivas de seguridad ip luego damos clic derecho y elegimos la opcin de crear nueva directiva de seguridad ip.</p> <p>Nos aparecer el asistente para la creacin de las nuevas directivas y damos clic en siguiente.13</p> <p>Luego de esto nos aparecer el pantallazo en el cual debemos ingresar el nombre y la descripcin para la directiva de seguridad que en nuestro caso sern regla proyecto vpn y prueba proyecto vpn en su respectivo orden. Ahora le daremos clic en siguiente.</p> <p>14</p> <p>Activamos la casilla que dice activar la regla de respuesta predeterminada para responder a los equipos remotos que solicitan seguridad cuando no se puede aplicar ninguna otra regla. Para comunicarse con seguridad el equipo debe responder a las peticiones para la comunicacin segura. Luego damos clic en siguiente.</p> <p>Como trabajaremos con claves pre compartidas seleccionaremos la opcin de clave previamente compartida y seguidamente ingresamos la clave, y por ultimo clic en siguiente.</p> <p>15</p> <p>Aqu nos aparecer el asistente de finalizacin de las directivas de seguridad, seleccionamos la casilla editar propiedades y seguidamente hacemos clic en finalizar Aqu nos aparecer el asistente de finalizacin de las directivas de seguridad, seleccionamos la casilla editar propiedades y seguidamente hacemos clic en finalizar.</p> <p>16</p> <p>En esta parte agregaremos la regla que va a utilizar nuestra directiva de seguridad. Marcamos usar asistente para agregar y luego le damos agregar.</p> <p>17</p> <p>Nos aparecer el asistente para las reglas de seguridad ip y le damos clic en siguiente.</p> <p>En este pantallazo elegiremos el modo de comunicacin que vamos a utilizar, como no utilizaremos el modo tnel elegiremos la opcin que dice esta regla no especifica un tnel. Luego clic en siguiente.</p> <p>18</p> <p>Bueno ahora procederemos a elegir el tipo de red al cual vamos a aplicar la regla de seguridad nosotros elegiremos la opcin que dice todas las conexiones de red y luego clic en siguiente.</p> <p>19</p> <p>Aqu agregaremos a la lista de filtros el filtro que utilizaremos para el trafico ip que aplicaremos a nuestra directiva. Para agregar nuestro filtro nos pararemos en la casilla agregar.</p> <p>En este pantallazo daremos un nombre y una descripcin para nuestro filtro, seleccionamos la casilla que dice usar asistente para agregar y luego clic en agregar.</p> <p>20</p> <p>Aqu nos aparece el asistente para los filtros ip. Le damos clic en siguiente</p> <p>En este pantallazo se nos pedir la descripcin que daremos a nuestro filtro en nuestro caso ser filtro proyecto seguridad vpn despus procederemos a elegir21</p> <p>la opcin de reflejado que hace coincidir paquetes con las direcciones de origen y destino opuestas exactas y por ultimo clic en siguiente.</p> <p>En esta parte especificaremos la direccin de origen del trafico ip nosotros le daremos mi direccin ip y luego siguiente.</p> <p>22</p> <p>Aqu especificaremos la direccin de trafico ip de destino que en nuestro caso ser cualquier direccin ip ya que la ip del destino puede ser modificada. Despus de esto damos clic en siguiente.</p> <p>23</p> <p>En esta opcin elegiremos el tipo de protocolo que utilizaremos para la comunicacin nosotros elegiremos que utilice cualquiera y clic en siguiente.</p> <p>Aparecer el asistente para terminar la configuracin del filtro damos la opcin de modificar las propiedades y luego finalizar.</p> <p>24</p> <p>Despus de finalizar el asistente, nos mostrara las propiedades del filtro en caso de que necesitemos cambiar algo. Ahora si todo esta debidamente configurado le daremos clic en aceptar.</p> <p>25</p> <p>Ahora nuestro filtro aparecer en la lista anteriormente mencionada, y luego damos clic en aceptar.</p> <p>Vemos que nuestro filtro aparece en dicha lista, lo seleccionamos y damos clic en siguiente.</p> <p>26</p> <p>En esta opcin agregaremos la accin de filtrado para la regla de seguridad. Ahora marcamos usar asistente para agregar y luego clic en agregar.</p> <p>Aparecer el asistente para agregar las acciones de filtrado que nos permitir establecer requisitos de seguridad para la transferencia de datos. Cabe decir27</p> <p>que el cliente o destino debe tener los mismos mtodos de seguridad para la transferencia de datos. Ahora clic en siguiente.</p> <p>Aqu le daremos el nombre y la descripcin nuestra accin de filtrado y luego damos clic en siguiente.</p> <p>28</p> <p>Luego establecemos como debe comportarse la accin de filtrado. En nuestro caso elegiremos la opcin negociar la seguridad y luego le damos clic en siguiente.</p> <p>En esta parte estableceremos la compatibilidad de la comunicacin con los que equipos queremos hacer nuestra comunicacin. Nosotros elegiremos la opcin de no comunicarse con otros equipos que no son compatibles con ipsec. Luego de esto damos clic en siguiente.</p> <p>29</p> <p>Aqu especificaremos el mtodo de seguridad para el trafico ip. Nosotros elegiremos el protocolo esp que nos brinda integridad y cifrado, Luego siguiente.</p> <p>Luego de esto aparecer el asistente para la finalizacin de las acciones de filtrado de seguridad ip. Damos modificar propiedades y luego finalizar.30</p> <p>En este pantallazo aparecen las propiedades de la accin que acabamos de crear, vemos que todo este debidamente bien configurado y luego damos clic en aceptar.</p> <p>31</p> <p>Una vez terminamos de configurar nuestra accin la seleccionamos y damos clic en siguiente.</p> <p>32</p> <p>Aqu volvemos a ingresar la clave pre compartida que le habamos establecido anteriormente. Luego de esto le damos clic en siguiente.</p> <p>Luego de todo este proceso por fin nos aparece el asistente de la finalizacin de las reglas de seguridad, y por ltimo damos clic en finalizar.</p> <p>33</p> <p>En esta parte vemos que todo el filtro este debidamente bien configurado y una vez terminemos esto le damos clic en aceptar.</p> <p>34</p> <p>Vemos que en la consola de administracin de las directivas de seguridad ip aparece la regla que acabamos de crear.</p> <p>Nos paramos sobre dicha regla damos clic derecho y seleccionamos asignar para que esta regla se aplique al equipo.</p> <p>35</p> <p>Por ultimo la regla aparecer con la palabra si en frente lo cual nos quiere decir que se ha aplicado o asignado la regla correctamente. Y as concluimos con la instalacin y configuracin del ipsec.</p> <p>Ahora veremos que al hacer la prueba los paquetes empiezan a negociar la seguridad para establecer la comunicacin.</p> <p>36</p> <p>Instalacin y configuracin de enrutamiento y acceso remoto (VPN).</p> <p>Para empezar abriremos la consola de administracin de enrutamiento y acceso remoto de la siguiente manera: inicio- herramientas administrativaenrutamiento y acceso remoto.</p> <p>37</p> <p>Ahora procedemos a configurar y habilitar el enrutamiento y acceso remoto dando clic derecho sobre el servidor que aparece en pantalla y seguidamente elegimos la opcin de configurar y habilitar enrutamiento y acceso remoto.</p> <p>38</p> <p>Una vez hecho lo anterior nos aparecer el asistente para la instalacin del servidor de enrutamiento y acceso remoto. A continuacin damos clic en siguiente.</p> <p>39</p> <p>En este pantallazo seleccionaremos el modo de configuracin que utilizaremos. Nosotros utilizaremos una conexin personalizada. Ahora clic en siguiente.</p> <p>40</p> <p>Aqu habilitaremos el servicio de acceso de VPN para nuestro servidor luego daremos clic en siguiente.</p> <p>41</p> <p>Luego de esto nos aparecer el la finalizacin del asistente para la instalacin del servidor de enrutamiento y acceso remoto. Luego finalizar.</p> <p>Ahora nos preguntara si deseamos iniciar el servicio de enrutamiento y acceso remoto como es de esperarse le daremos que si.</p> <p>Aqu nos muestra el proceso de inicio del servidor.</p> <p>42</p> <p>Seguidamente procederemos a configurar nuestro servidor. Nos paramos en el servidor y damos clic derecho y luego propiedades.</p> <p>43</p> <p>Ahora en la pestaa general de las propiedades del servidor seleccionamos servidor de acceso remoto y desmarcamos la opcin de enrutador ya no enrutaremos.</p> <p>44</p> <p>Ahora en la pestaa de seguridad configuraremos los mtodos de autenticacin y activamos la casilla permitir las directivas personalizada de ipsec para las conexiones L2TP e ingresamos la clave pre compartida que configuramos anteriormente en el ipsec.</p> <p>45</p> <p>En la misma pestaa de seguridad damos clic en los mtodos de autenticacin y sealaremos autenticacin cifrada de Microsoft version2 (MS-CHAP v2) y la autenticacin cifrada (MS-CHAP). Luego de esto damos clic en aceptar.</p> <p>Ahora en la pestaa IP habilitaremos el modo de asignacin de direcciones ip. En nuestro caso ser protocolo de configuracin dinmica de host (dhcp). Pero tambin esta la opcin de dar un rango de direcciones estticas para los cliente del vpn.</p> <p>46</p> <p>Luego en la pestaa PPP (protocolo punto a punto) dejamos la configuracin que viene por defecto.</p> <p>47</p> <p>En la pestaa inicio de sesiones elegiremos la opcin registrar errores y advertencias de los proceso del VPN. Aplicamos la configuracin y aceptamos. Ahora ya tenemos lista la configuracin de acceso remoto y procederemos a crear las directivas de acceso remoto.</p> <p>48</p> <p>En las directivas de acceso remoto le damos clic derecho y nueva directiva de acceso remoto.</p> <p>Ahora nos aparecer el asistente para la nueva directiva de acceso remoto y le damos clic en siguiente.49</p> <p>En este pantallazo configuraremos el mtodo de la configuracin de la direct...</p>