Manual VPN

  • Published on
    25-Jul-2015

  • View
    29

  • Download
    1

Embed Size (px)

Transcript

<p>Curso de VPN en GNU/Linux (20 horas)Teora, Gua de prcticas y ejercicios</p> <p>Pgina 1 de 33</p> <p>ndice de contenido Redes Privadas Virtuales, VPN...............................................................................3 Objetivos del curso..............................................................................................3 Requisitos.........................................................................................................3 Introduccin........................................................................................................3 Acceso mediante Internet y VPNs.......................................................................5 Usos de las VPN's................................................................................................5 Implementacin de VPN......................................................................................5 Diagramas de conexin:......................................................................................6 De Cliente a Servidor:......................................................................................7 De Cliente a Red Interna:................................................................................7 De Red Interna a Red Interna:.........................................................................8 Requerimientos para el armado de una VPN..................................................8 Protocolos............................................................................................................9 Seguridad en VPN.............................................................................................11 Encriptacin asimtrica con SSL/TLS...........................................................13 Seguridad SSL/TLS........................................................................................14 Ventajas y Desventajas de OpenVPN.................................................................14 Ventajas .........................................................................................................14 Desventajas ...................................................................................................16 Comparacin entre OpenVPN e IPsec VPN.......................................................16 Instalando OpenVPN.........................................................................................17 Casos prcticos de construccin de VPNs............................................................18 Configuracin de las direcciones IP de la VPN :...............................................18 Caso 1: Tnel simple sin seguridad...............................................................18 Caso 2: Tnel usando claves pre-compartida. Encriptacin simtrica .........19 Caso 3: Tnel con full seguridad basada en TLS. Encriptacin asimtricaPgina 2 de 33</p> <p>con SSL/TLS...................................................................................................19 Construccin de los certificados y claves RSA..................................................19 Archivo de configuracin del servidor TLS....................................................22 Archivo de configuracin para el cliente TLS................................................23 Caso 4. Enrutamiento....................................................................................24 Caso 4. Firewall ................................................................................................25 Anexo A..................................................................................................................27 IPTABLES Bsico...............................................................................................27 Ejercicios con IPTABLES...............................................................................29 Indica las reglas que debes aadir a IPTABLES en cada uno de los siguientes casos..............................................................................................................30</p> <p>Pgina 3 de 33</p> <p>Redes Privadas Virtuales, VPN Objetivos del curso Configurar accesos seguros desde Internet a nuestra red interna por medio de redes privadas virtuales (VPN). Requisitos Profesionales con experiencia previa en comunicaciones. Requiere conocimientos bsicos sobre GNU/Linux, TCP/IP y de Seguridad en Internet (firewall/iptables). Introduccin VPN (Virtual Private Network) es una extensin de una red local y privada que utiliza como medio de enlace una red publica como por ejemplo, Internet. Tambin es posible utilizar otras infraestructuras WAN (Redes de rea amplia) tales como Frame Relay, ATM (Modo de Transferencia Asncrona), etc.</p> <p>Este mtodo permite enlazar dos o mas redes simulando una nica red privada permitiendo as la comunicacin entre computadoras como si fuera punto a punto.</p> <p>Tambin un usuario remoto se puede conectar individualmente a una LAN utilizando una conexin VPN, y de esta manera utilizar aplicaciones, enviar datos, etc. de manera segura.</p> <p>Las Redes Privadas Virtuales utilizan tecnologa de tnel (tunneling) para la transmisin de datos mediante un proceso de encapsulacin y en su defecto de encriptacin, esto es importante a la hora de diferenciar Redes Privadas Virtuales y Redes Privadas, ya que esta ultima utiliza lneas telefnicas dedicadas para formar la red. Mas adelante se explicar en profundidad el funcionamientoPgina 4 de 33</p> <p>del tnel.</p> <p>Diagrama lgico de una VPN La necesidad de mejorar la interconexin e intercambio de informacin entre sedes de diferentes instituciones y empresas ha conducido a soluciones mas eficientes y econmicas a las tradicionales como, por ejemplo, telnet, correo, fax, etc. Existen factores que hacen necesaria la implementacin de soluciones ms sofisticadas de conectividad entre las oficinas de las organizaciones a lo largo del mundo. Dichos factores son:</p> <p>La aceleracin de los procesos de negocios y su consecuente aumento en la necesidad de intercambio flexible y rpido de informacin.</p> <p>Pgina 5 de 33</p> <p>Muchas organizaciones tienen varias sucursales en diferentes ubicaciones quienes necesitan intercambiar informacin sin ninguna demora, como si estuvieran fsicamente juntos.</p> <p>La necesidad de las redes de computacin de cumplir altos estndares de seguridad que aseguren la autenticidad, integridad y disponibilidad.</p> <p>Con el alto trfico vehicular caraqueo y ciudades satlites con dificultad de transporte, trabajar desde casa conectado va segura, el ahorro y productividad sera considerable.</p> <p>Acceso mediante Internet y VPNs Con la llegada de Internet y la baja de costos en conectividad se desarrollaron nuevas tecnologas. Surgi entonces la idea de utilizar a Internet como medio de comunicacin entre los diferentes sitios de la organizacin. Surge as la idea de las VPN's que son Virtuales y Privadas. Virtuales porque no son redes directas reales entre partes, sino solo conexiones virtuales provistas mediante software sobre la red Internet. Adems son privadas porque solo la gente debidamente autorizada puede leer los datos transferidos por este tipo de red logrando la seguridad mediante la utilizacin de modernos mecanismos de criptografa. Usos de las VPN's Las VPN's se usan generalmente para: </p> <p>Conexin entre diversos puntos de una organizacin a travs de Internet Conexiones de trabajadores domsticos o de campo con IP's dinmicas Soluciones extranet para clientes u organizaciones asociadas con los cuales se necesita intercambiar cierta informacin en forma privada pero no se les debe dar acceso al resto de la red interna.</p> <p>Pgina 6 de 33</p> <p>Implementacin de VPN Supongamos que se tienen dos sitios de una organizacin conectados a Internet. En ambos se contar con un equipo de conexin a la red de redes que cumplir la funcin de ruteo hacia y desde Internet as como firewall para protegerse de accesos no autorizados. El software VPN debe estar instalado en ese firewall o algn dispositivo protegido por l. Una de los sitios ser el servidor y ser el sitio que contiene la informacin y sistemas que queremos compartir, mientras que al otro lo llamaremos cliente. El servidor ser entonces configurado para aceptar conexiones desde el cliente (y viceversa). Llegado este punto habremos logrado tener dos sitios comunicados como en una red directa real pero an no es una VPN dado que falta implementar la privacidad, pues cualquier nodo intermedio de Internet puede leer la informacin que viaja sin proteccin. Lo que se debe hacer seguidamente es establecer mecanismos de encriptacin que mediante uso de claves aseguren que solo equipos o personas dueos de esas claves puedan acceder a los datos enviados por la VPN. Todos los datos enviados del punto A al B debern ser encriptados antes de ser enviados y desencriptados en el otro extremo para posteriormente ser entregados normalmente a su destinatario final. Uno de los factores que diferencian a una implementacin de VPN de otra, son los mecanismos que utilicen para encriptar y distribuir claves a todos los integrantes de dicha red.</p> <p>Diagramas de conexin: Hay varias posibilidades de conexiones VPN, esto ser definido segn los requerimientos de la organizacin, por eso es aconsejable hacer un buen levantamiento a fin de obtener datos como por ejemplo si lo que se desea enlazar son dos o mas redes, o si solo se conectaran usuarios remotos.</p> <p>Las posibilidades son:</p> <p>Pgina 7 de 33</p> <p>De Cliente a Servidor: Un usuario remoto que solo necesita servicios o aplicaciones que corren en el mismo servidor VPN. Caso tpico para los administradores de Seguridad.</p> <p>De Cliente a Red Interna: Un usuario remoto que utilizar servicios o aplicaciones que se encuentran en uno o mas equipos dentro de la red interna. Caso tpico para conexiones remotas desde casa, es decir, los tele trabajadores.</p> <p>Pgina 8 de 33</p> <p>De Red Interna a Red Interna: Esta forma supone la posibilidad de unir dos intranets a travs de dos enrutadores, el servidor VPN en una de las intranets y el cliente VPN en la otra. Aqu entran en juego el mantenimiento de tablas de ruteo y enmascaramiento.</p> <p>Requerimientos para el armado de una VPN Para el correcto armado de una VPN, es necesario cumplir con una serie de elementos y conceptos que a continuacin se detallan:</p> <p>Tener una conexin a Internet: ya sea por conexin IP dedicada, ADSL o dial-up.</p> <p>Servidor VPN: bsicamente es una pc conectada a Internet esperando por conexiones de usuarios VPN y si estos cumplen con el proceso de autenticacin, el servidor aceptara la conexin y dar acceso a los recursosPgina 9 de 33</p> <p>de la red interna.</p> <p>Cliente VPN: este puede ser un usuario remoto o un enrutador de otra LAN.</p> <p>Asegurarse que la VPN sea capaz de: -Encapsular los datos -Autentificar usuarios. -Encriptar los datos. -Asignar direcciones IP de manera esttica y/o dinmica</p> <p>Protocolos Las soluciones de VPN pueden ser implementadas a diferentes niveles del modelo OSI de red. Implementaciones de capa 2 - Enlace El encapsulamiento a este nivel ofrece ciertas ventajas ya que permite transferencias sobre protocolos no-IP, como por ejemplo IPX4 de Netware Systems. Tericamente, las tecnologas implementadas en capa 2 pueden tunelizar cualquier tipo de paquetes y en la mayora de los casos lo que se hace es establecer un dispositivo virtual PPP5 con el cual se establece la conexin con el otro lado del tnel. Algunos ejemplos de estas tecnologas:</p> <p>PPTP: Point to Point Tunneling Protocol. Desarrollado por Microsoft, es una extensin de PPP. Su principal desventaja es que solo puede establecer un tnel por vez entre pares. Poca seguridad.</p> <p>L2F:</p> <p>Layer</p> <p>2</p> <p>Forwarding.</p> <p>Desarrollado</p> <p>por</p> <p>la</p> <p>empresa</p> <p>Cisco</p> <p>principalmente, ofrece mejores posibilidades que PPTP principalmente en el uso de conexiones simultneas.Pgina 10 de 33</p> <p>L2TP: Layer 2 Tunneling Protocol. Usado por Cisco y otros fabricantes, se ha convertido en estndar de la industria y combina las ventajas de PPTP y L2F. Dado que esta solucin no ofrece mecanismos de seguridad, para su uso</p> <p>deber ser combinada con otros mecanismos generalmente implementados en capa 3 del modelo OSI.</p> <p>L2Sec: Layer 2 Security Protocol. Desarrollado para proveer una solucin con seguridad, utiliza para ellos SSL/TLS aunque impone una sobrecarga bastante grande en la comunicacin para lograrlo.</p> <p>Implementaciones de capa 3 - Red IPsec es la tecnologa ms aceptada en este punto y fue desarrollada como un estndar de seguridad de Internet en capa 3. IPsec se puede utilizar para encapsular cualquier trfico de capa 3 pero no el trfico de capas inferiores, por lo que no se podr utilizar para protocolos no-IP como IPX o mensajes de broadcast. Su principal ventaja es que puede ser usado prcticamente en cualquier plataforma existiendo una gran variedad de soluciones tanto de software como de hardware. Existen dos mtodos principales usados por IPsec:</p> <p>Modo Tunnel. Todos los paquetes IP son encapsulados en un nuevo paquete y enviados a travs del tnel siendo desempaquetados en el otro extremo y posteriormente dirigidos a su destinatario final. En este modo, se protegen las direcciones IP de emisor y receptor as como el resto de los metadatos de los paquetes.</p> <p>Modo Transporte. Solo la carga til (payload) de la seccin de datos es encriptada y encapsulada. La sobrecarga entonces, es sensiblemente menor que en el caso anterior, pero se exponen los metadatos a posibles atacantes que podrn ver quien se est comunicando con quien.Pgina 11 de 33</p> <p>Implementacin OpenVPN OpenVPN es una excelente nueva solucin para VPN que implementa conexiones de capa 2 o 3, usa los estndares de la industria SSL/TLS ( Secure Sockets Layer / Transport Layer Security) para encriptar y combina todos las caractersticas mencionadas anteriormente en las otras soluciones VPN. Su principal desventaja por el momento es que hay muy pocos fabricantes de hardware que lo integren en sus soluciones. De todos modos no hay que preocuparse siempre que contemos con un Linux en el cual podremos implementarlo sin ningn problema mediante software.</p> <p>Seguridad en VPN Para encriptar datos se usan Passwords o claves de encriptacin. OpenVPN tiene dos modos considerados seguros, uno basado en claves estticas pre-compartidas y otro en SSL/TLS usando certificados y claves RSA. RSA es una empresa dedicada a la criptografa.</p> <p>Cuando ambos lados usan la misma clave para encriptar y desencriptar los datos, estamos usando el mecanismo conocido como clave simtrica y dicha clave debe ser instalada en todas las mquinas que tomarn parte en la conexin VPN. Si bien SSL/TLS + claves RSA es por lejos la opcin ms segura, las claves estticas cuentan con la ventaja de la simplicidad. Veremos a continuacin ese mtodo y otros que aporta mayor seguridad y facilidad de distribucin.</p> <p>Pgina 12 de 33</p> <p>Encriptacin simtrica y claves pre-compartidas Ver aplicacin en el Caso 2 discutido ms adelante.</p> <p>Cualquiera que posea la clave podr desencriptar el trfico, por lo que si un atacante la obtuviese comprometera el trfico completo de la organizacin ya que to...</p>