Interconexión segura entre redes locales



Documentos relacionados
Notificaciones Telemáticas Portal del Ciudadano MANUAL DE USUARIO. Versión 1.2

Instalación y Configuración de la interfaz de TPV.

Registro de Autorización Empresa Venta y Asistencia Técnica de Comunidades Autónomas

GUÍA RÁPIDA DE USO. Requisitos tecnológicos para el correcto funcionamiento de Bot PLUS 2.0.

Realizar copias de seguridad de archivos

TUTORIAL SOBRE CARGA DE REGISTROS EN KOHA KOBLI. (Importación de registros en MARC 21)

Telealta de Abonados. Guía de Telealta en CST BIOINGENIERÍA ARAGONESA S.L. Índice. Vivienda del Abonado. Central de CST

Servicio de Registro de Solicitud de Acreditaciones para Dirigir u Operar Instalaciones de Radiodiagnóstico Médico

Servicio de Solicitud de Inscripción en el Registro Oficial de Empresas Externas del Consejo de Seguridad Nuclear

Manual de usuario para la Publicación de Becas a través de la página web institucional

ecompetició Inscripciones Para acceder: > Serveis Fecapa > Intranet ecompetició

PRÁCTICA 5: REDES LOCALES

Plataforma de formación. Guía de navegación

Guía de integración del módulo de Redsys en WooCommerce

Web Biblioteca Complutense 2006: Manual del Gestor de Contenidos. Versión 1.1. Mayo 2006

MANUAL DE USUARIO DEL VISOR URBANÍSTICO

UD 3: Instalación y administración de servicios de nombres de dominio

Cómo configurar el aula en Moodle?

AVANCE SOLUCIONES INFORMÁTICAS. Preguntas Frecuentes SGTaller. Cómo respaldo la información del programa?

Al acceder la primera vez al eroom, desde la invitación o directamente, si la invitación ha caducado, en la dirección

Es importante destacar que el uso de cookies no proporciona datos personales del usuario, que de cara a Supercoaching permanece anónimo.

COMPUCLOUD S.A.P.I. DE C.V.

Procedimiento P7-SIS Revisión

C.I.T. - Customer Interface Technology EXPRESS SHIPPER INSTALACIÓN

Guía General Central Directo. Ingreso a la Plataforma

Guía de Instalación. char utile online

Navegación y Administración en egela (Moodle 2.5)

Guía del Firewall Router ECI B-FOCuS. - Apertura de puertos - DMZ

Perceptrón Adaline. ( Desarrollado en el entorno Eclipse en el lenguaje JAVA ) Jose Alberto Benítez Andrades A

El agente de software de Dr.Web SaaS

LABORATORIO #1 MONITORIZACIÓN DE SERVICIOS DE DATOS CON PRTG NETWORK MONITOR Y ANÁLISIS DE PROTOCOLOS CON WIRESHARK

INTRODUCCIÓN A BSCW CFIE VALLADOLID I (Mayo de 2003)

Modelo de Garantía Antifraude

Manipulador de Alimentos

Manual para instalación de Teléfono Virtual: X Lite.

TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN APLICADAS A LA ACTIVIDAD FÍSICA Y EL DEPORTE CURSO 2009/2010

BUEN USO DEL CORREO ELECTRÓNICO

Manual breve para la incorporación de sesiones de videoconferencia dentro de cursos de Moodle.

Plataforma de formación. Guía de navegación

EL ESCRITORIO DE WINDOWS Y LA BARRA DE TAREAS

SGNTJ INTCF. Manual de Solicitud de Alta en el Sistema de Relación de Empresas (SRE) del Instituto Nacional de Toxicología y Ciencias Forenses (INTCF)

Para instalar Hoteldruid, utilizaremos easyphp, cuya instalación ya se ha descrita en el vídeo de instalación de FacturaScripts

CASO 9187 Se corrige falla que borra el SLA de los casos relacionados entre sí luego de que se ejecute una regla que modifique casos relacionados.

TELEFONÍA CLOUD IPLAN

MANUAL MANUAL. DE MICROSOFT PowerPoint 2007

Wimba Pronto. Guía de instalación de laboratorio informático

API PASARELA SMS HTTP

Conjunto de servicios de los módulos funcionales. Entre los servicios que se ofrecen, destacamos:

Guía de integración del módulo de Redsys en Magento

BUZONES DE VOZ ÍNDICE

Administración Local Soluciones

Procedimiento: Diseño gráfico y reproducción de medios impresos y/o digitales Revisión No. 00 Fecha: 06/10/08

Eurowin 8.0 SQL. Manual de EW-LOG. Revisión de incidencias

Inicio. En este sitio encontrarás las indicaciones para aprender a crear una wiki en Google Sites.

INDICE. Servicios Informáticos. Guía básica del usuario de Symantec Endpoint Protection Windows Página 1 de 11

CompeGPS Pocket PRO. (Addenda al manual CompeGPS Pocket Land) Manual CompeGPS Pocket PRO. CompeGPS Team S.L.

PISIS Cliente Neo. Guía de Instalación y Uso Versión del documento: 1.8 Fecha: Octubre 10 de 2014

MINISTERIO DE EDUCACIÓN PÚBLICA IPEC Santa Bárbara de Heredia Software de Aplicación Accesorio Paint

Cómo tomar ebooks en préstamo

1. Objetivo de la aplicación

GUÍA FÁCIL CLAVE Y USUARIO PERSONA JURÍDICA

Sistema Integral de Gestión y Evaluación

efactura Red Eléctrica

Phontage. En este documento se explica cómo utilizar la herramienta Phontage desde un PC y aplicaciones de backup y grabación de conversaciones.

Filtro de Correo Electrónico

ATTEST. Manual de usuario. Gestión LOPD 1 - ÍNDICE

Inicio rápido: Configurar Adobe Flash Media Live Encoder para eventos en directo

Servicios Relacionados con el Pago Telemático de Tasas

encriptación de clave pública que utilizan los navegadores y servidores web para transmitir información importante.

La actividad. Día del Fundador: Haz tu buena acción

Envío 141 de ACTUALIZACIÓN

HOWTO: Cómo configurar el túnel VPN SLL oficina remota (gateway) a oficina remota

REPRESENTACIÓN GRÁFICA DE FUNCIONES REALES

HOTEL RURAL. Taller de modelado de objetos. Ingeniería del Software Curso Salamanca, 16-XI Trabajo realizado por:

/07/2008. Descripción: Conceptos básicos. Objetivos:

1.- ESCRITORIO GNOME 2.- SISTEMA: PREFERENCIAS 3.- SISTEMA: ADMINISTRACIÓN

QUÉ ES LO QUE DEBE SABER SOBRE EL CONTRATO EN PRÁCTICAS?

Carga de Facturas desde hoja Excel

Tendencia tecnológica y tecnología emergente. Yesenia Gutiérrez Bello Juan Rubén Vázquez Sánchez Marco Antonio Galindo Vallejo

GUIA REGISTRO USUARIOS PARA CONSULTA REPORTES PAGINA WEB APPUCE

Cartas de presentación

Importación de facturas desde Excel

Instalación y configuración de SAE-Móvil

SERVIDOR VIRTUAL IPLAN

MEFFLiveUpdate Configuración MANUAL DE USUARIO

LIBRO DE CLASES ELECTRÓNICO Manual de Usuario Administrativo OTEC ACEPTA S.A.

ACTIVIDADES PARA MIGRAR EL CORREO ELECTRÓNICO DE LA SECRETARÍA DE EDUCACIÓN CLIENTES WEB MAIL

Instalación de Trend Micro para MAC

Continuo Aleatorio. Gaps. Valores iguales Cantidades Iguales

UTILIDAD DE LA PÁGINA WEB COMO GUÍA PARA TRABAJO PRESENCIAL Y NO PRESENCIAL EN LA ASIGNATURA ELECTROTERAPIA, TERMOTERAPIA E HIDROTERAPIA

DNS. Regularmente, todos los equipos que están en Internet o una Intranet tienen una dirección IP única que las identifica,

BRC (BRITISH RETAIL CONSORTIUM)

Guía buscador de licitaciones MercadoPublico.cl

/07/2008. Descripción: Copias de seguridad y Exportar/Importar datos. Objetivos:

Preguntas Frecuentes de ebanking

Documento de Entrega de Servicio ADSL. Router ADSL Zyxel P660HW y P650HW

Curso Windows XP. Aprender los conceptos generales del Sistema operativo Windows XP.

SISTEMAS OPERATIVOS. Pág. 1

Cómo realizar una renovación desde la intranet con cambio de foto? Fotos... 6 Cómo se realiza el Proceso de cambio de fotos?...

Transcripción:

Intercnexión segura entre redes lcales Redes privadas virtuales (VPN) ebx Unified Threat Manager y las entrañas de ebx Las redes privadas virtuales se idearn tant para permitir el acces a la red crprativa pr usuaris remts a través de Internet cm para unir redes dispersas gegráficamente. Es frecuente que haya recurss necesaris para nuestrs usuaris en nuestra red, per que dichs usuaris, al encntrarse fuera de nuestras instalacines n puedan cnectarse directamente a ella. La slución bvia es permitir la cnexión a través de Internet. Est ns puede crear prblemas de seguridad y cnfiguración, ls cuales se tratan de reslver mediante el us de las redes privadas virtuales. La slución que frece una VPN (Virtual Private Netwrk) a este prblema es el us de cifrad para permitir sól el acces a ls usuaris autrizads (de ahí el adjetiv privada). Para facilitar el us y la cnfiguración, las cnexines aparecen cm si existiese una red entre ls usuaris (de ahí l de virtual). La utilidad de las VPN n se limita al acces remt de ls usuaris; una rganización puede desear cnectar entre sí redes que se encuentran en sitis distints. Pr ejempl, ficinas en distintas ciudades. Antes, la slución a este prblema estaba en la cntratación de líneas dedicadas para cnectar dichas redes, este servici es csts y lent de desplegar. Sin embarg, el avance de Internet prprcinó un medi barat y ubicu, per insegur. De nuev las características de autrización y virtualización de las VPN resultarn la respuesta adecuada a dich prblema. A este respect, ebx frece ds mds de funcinamient. Permite funcinar cm servidr para usuaris individuales y también cm cnexión entre ds más redes gestinadas cn ebx. Infraestructura de clave pública (PKI) cn una autridad de certificación (CA) La VPN que usa ebx para garantizar la privacidad e integridad de ls dats transmitids utiliza cifrad prprcinad pr tecnlgía SSL. La tecnlgía SSL está extendida y lleva larg tiemp en us, así que pdems estar raznablemente segurs de su eficacia. Sin embarg, td mecanism de cifrad tiene el prblema de cóm distribuir las claves necesarias a ls usuaris, sin que estas puedan ser interceptadas pr tercers. En el cas de las VPN, este pas es necesari cuand un nuev participante ingresa en la red privada virtual. La slución adptada es el us de una infraestructura de clave pública (Public Key Infraestructure PKI). Esta tecnlgía ns permite la utilización de claves en un medi insegur, cm es el cas de Internet, sin que sea psible la interceptación de la clave pr bservadres de la cmunicación. La PKI se basa en que cada participante genera un par de claves: una pública y una privada. La pública es distribuida y la privada guardada en secret. Cualquier participante que quiera cifrar un mensaje puede hacerl cn la clave pública del destinatari, per el mensaje sól puede ser descifrad cn la clave privada del mism. Cm esta última n debe ser cmunicada a nadie ns asegurams que el mensaje sól pueda ser descifrad pr el destinatari. N bstante, esta slución engendra un nuev prblema. Si cualquiera puede presentar una clave pública, cóm garantizams que un participante es realmente quien dice ser y n está suplantand una identidad que n le crrespnde?. Para reslver este prblema, se crearn ls certificads. [1]

[1] Existe mucha dcumentación sbre el cifrad basad en clave pública. Este enlace puede ser un cmienz: http://en.wikipedia.rg/wiki/public key_encryptin Cifrad cn clave pública Firmad cn clave pública Ls certificads aprvechan tra capacidad de la PKI: la psibilidad de firmar fichers. Para firmar fichers se usa la prpia clave privada del firmante y para verificar la firma cualquiera puede usar la clave pública. Un certificad es un ficher que cntiene una clave pública, firmada pr un participante en el que cnfiams. A este participante en el que depsitams la cnfianza de verificar las identidades se le denmina autridad de certificación (Certificatin Authrity CA).

Expedición de un certificad Cnfiguración de una Autridad de Certificación cn ebx ebx tiene integrada la gestión de la Autridad de Certificación y del cicl de vida de ls certificads expedids pr esta para tu rganización. Utiliza las herramienta de cnsla OpenSSL [2] para este servici. [2] OpenSSL The pen surce tlkit fr SSL/TLS <http://www.penssl.rg/>. Primer, es necesari generar las claves y expedir el certificad de la CA. Este pas es necesari para firmar nuevs certificads, así que el rest de funcinalidades del módul n estarán dispnibles hasta que las claves de la CA se generen y su certificad, que es aut firmad, sea expedid. Téngase en cuenta que este módul es independiente y n necesita ser activad en Estad del Módul.

Accederems a Autridad de Certificación General y ns encntrarems ante el frmulari para expedir el certificad de la CA tras generar autmáticamente el par de claves. Se requerirá el Nmbre de la Organización y el Númer de Días para Expirar. A la hra de establecer la duración hay que tener en cuenta que su expiración revcará tds ls certificads expedids pr esta CA, prvcand la parada de tds ls servicis que dependan de ests certificads. También es psible dar ls siguientes dats de manera pcinal: Códig del País Ciudad Un acrónim de ds letras que sigue el estándar ISO 3166. Estad Región

Una vez que la CA ha sid creada, serems capaces de expedir certificads firmads pr esta CA. Para hacer est, usarems el frmulari que aparece ahra en Autridad de Certificación General. Ls dats necesaris sn el Nmbre Cmún del certificad y ls Días para Expirar. Este últim dat está limitad pr el hech de que ningún certificad puede ser válid durante más tiemp que la CA. En el cas de que estems usand ests certificads para un servici cm pdría ser un servidr web un servidr de crre, el Nmbre Cmún deberá cincidir cn el nmbre de dmini del servidr. De tdas maneras, se puede pner cualquier númer de Nmbres alternativs para el sujet [3] para el certificad para, pr ejempl, establecer tr nmbre cmún a un dmini virtual HTTP [4] una dirección IP inclus una dirección de crre para firmar ls mensajes de crre electrónic. [3] [4] Para tener más infrmación sbre ls nmbres alternativs para un sujet, visita http://www.penssl.rg/dcs/apps/x509v3_cnfig.html#subject_alternative_name Para más infrmación sbre ls dminis virtuales en HTTP, investiga en la sección Dminis virtuales para btener más detalles. Una vez el certificad haya sid cread, aparecerá en la lista de certificads y estará dispnible para ls móduls de ebx que usen certificads y para las demás aplicacines externas. Además, a través de la lista de certificads pdems realizar distintas accines cn ells:

Descargar las claves pública, privada y el certificad. Renvar un certificad. Revcar un certificad. Si renvams un certificad, el certificad actual será revcad y un nuev cn la nueva fecha de expiración será expedid junt al par de claves. Si revcams un certificad n pdrems utilizarl más ya que esta acción es permanente y n se puede deshacer. Opcinalmente pdems seleccinar la razón para revcarl: unspecified Mtiv n especificad keycmprmise CACmprmise La clave privada ha sid cmprmetida La clave privada de la autridad de certificación ha sid cmprmetida affilliatinchanged superseded Se ha prducid un cambi en la afiliación de la clave pública firmada hacia tra rganización. El certificad ha sid renvad y pr tant reemplaza al emitid. cessatinofoperatin certificatehld Cese de peracines de la entidad certificada. Certificad suspendid. remvefrmcrl Actualmente sin implementar da sprte a ls CRLs delta diferenciales.

Si se renueva la CA, tds ls certificads se renvarán cn la nueva CA tratand de mantener la antigua fecha de expiración, si est n es psible debid a que es psterir a la fecha de expiración de la CA, entnces se establecerá la fecha de expiración de la CA. Cuand un certificad expire, el rest de móduls serán ntificads. La fecha de expiración de cada certificad se cmprueba una vez al día y cada vez que se accede al listad de certificads. Certificads de Servicis En Autridad de Certificación Certificads de Servicis pdems encntrar la lista de móduls de ebx usand certificads para sus servicis. Pr misión ests sn generads pr cada módul, per si estams usand la CA pdems remplazar ests certificads aut firmads pr un expedid pr la CA de nuestra rganización. Para cada servici pdems definir el Nmbre Cmún del certificad y si n hay un certificad cn ese Nmbre Cmún, la CA expedirá un. Para frecer este par de claves y el certificad firmad al servici deberems Activar el certificad para ese servici.

Cada vez que un certificad se renueva se frece de nuev al módul de ebx per es necesari reiniciar ese servici para frzarl a usar el nuev certificad. Ejempl práctic A Crear una autridad de certificación (CA) válida durante un añ, después crear un certificad llamad servidr y crear ds certificads para clientes llamads cliente1 y cliente2. 1. Acción: En Autridad de Certificación General, en el frmulari Expedir el Certificad de la Autridad de Certificación rellenams ls camps Nmbre de la Organización y Días para Expirar cn valres raznables. Pulsams Expedir para generar la Autridad de Certificación. El par de claves de la Autridad de Certificación es generads y su certificad expedid. La nueva CA se mstrará en el listad de certificads. El frmulari para crear la Autridad de Certificación será sustituid pr un para expedir certificads nrmales. 2. Acción: Usand el frmulari Expedir un Nuev Certificad para expedir certificads, escribirems servidr en Nmbre Cmún y en Días para Expirar un númer de días menr igual que el puest en el certificad de la CA. Repetirems ests pass cn ls nmbres cliente1 y cliente2. Ls nuevs certificads aparecerán en el listad de certificads, lists para ser usads. Cnfiguración de una VPN cn ebx El prduct seleccinad pr ebx para crear las VPN es OpenVPN [5]. OpenVPN psee las siguientes ventajas: Autenticación mediante infraestructura de clave pública. Cifrad basad en tecnlgía SSL. Clientes dispnibles para Windws, MacOS y Linux. Códig que se ejecuta en espaci de usuari, n hace falta mdificación de la pila de red (al cntrari que cn IPSec). Psibilidad de usar prgramas de red de frma transparente. [5] OpenVPN: An pen surce SSL VPN Slutin by James Ynan http://penvpn.net. Cliente remt cn VPN Se puede cnfigurar ebx para dar sprte a clientes remts (cncids familiarmente cm Rad Warrirs). Est es, una máquina ebx trabajand cm puerta de enlace y cm servidr OpenVPN, que tiene una red de área lcal (LAN) detrás, permitiend a clientes en Internet (ls rad warrirs) cnectarse a dicha red lcal vía servici VPN.

La siguiente figura puede dar una visión más ajustada: ebx y clientes remts de VPN Nuestr bjetiv es cnectar al cliente 3 cn ls trs 2 clientes lejans (1 y 2) y ests últims entre sí. Para ell, necesitams crear una Autridad de Certificación y certificads para ls ds clientes remts. Tenga en cuenta que también se necesita un certificad para el servidr OpenVPN. Sin embarg, ebx creará este certificad autmáticamente cuand cree un nuev servidr OpenVPN. En este escenari, ebx actúa cm una Autridad de Certificación. Una vez tenems ls certificads, deberíams pner a punt el servidr OpenVPN en ebx mediante Crear un nuev servidr. El únic parámetr que necesitams intrducir para crear un servidr es el nmbre. ebx hace que la tarea de cnfigurar un servidr OpenVPN sea sencilla, ya que establece valres de frma autmática. Ls siguientes parámetrs de cnfiguración sn añadids autmáticamente pr ebx, y pueden ser mdificads si es necesari: una pareja de puert/prtcl, un certificad (ebx creará un autmáticamente usand el nmbre del servidr OpenVPN) y una dirección de red. Las direccines de la red VPN se asignan tant al servidr cm a ls clientes. Si se necesita cambiar la dirección de red ns deberems asegurar que n entra en cnflict cn una red lcal. Además, las redes lcales, es decir, las redes cnectadas directamente a ls interfaces de red de la máquina, se anunciarán autmáticamente a través de la red privada. Cm vems, el servidr OpenVPN estará escuchand en tdas las interfaces externas. Pr tant, debems pner al mens una de nuestras interfaces cm externa vía Red Interfaces. En nuestr escenari sól se necesitan ds interfaces, una interna para la LAN y tra externa para el lad clcad hacia Internet. Es psible cnfigurar nuestr servidr para escuchar en las interfaces internas, activand la pción de Netwrk Address Translatin (NAT), per de mment la vams a ignrar. Si querems que ls clientes puedan cnectarse entre sí usand su dirección de VPN, debems activar la pción Permitir cnexines entre clientes. El rest de pcines de cnfiguración las pdems dejar cn sus valres pr defect.

Tras crear el servidr OpenVPN, debems habilitar el servici y guardar ls cambis. Psterirmente, se debe cmprbar en Dashbard que un servidr OpenVPN está funcinand. Tras ell, debems anunciar redes, dichas redes serán accesibles pr ls clientes OpenVPN autrizads. Hay que tener en cuenta que ebx anunciará tdas las redes internas autmáticamente. Pr supuest, pdems añadir eliminar las rutas que necesitems. En nuestr escenari, se habrá añadid autmáticamente la red lcal para hacer visible el cliente 3 a ls trs ds clientes. Una vez hech est, es mment de cnfigurar ls clientes. La frma más sencilla de cnfigurar un cliente OpenVPN es utilizand nuestrs bundles. Ests están dispnibles en la tabla que aparece en VPN Servidres, pulsand el icn de la clumna Descargar bundle del cliente. Se han cread ds bundles para ds tips de sistema perativ. Si se usa un entrn cm MacOS GNU/Linux, se debe elegir el sistema Linux. Al crear un bundle se seleccinan aquells certificads que se van dar al cliente y se establece la dirección IP externa a la cual ls clientes VPN se deben cnectar. Si el sistema seleccinad es Windws, se incluye también un instaladr de OpenVPN para Win32. Ls bundles de cnfiguración ls descargará el administradr de ebx para distribuirls a ls clientes de la manera que crea más prtuna.

Un bundle incluye el ficher de cnfiguración y ls fichers necesaris para cmenzar una cnexión VPN. Pr ejempl, en Linux, simplemente se descmprime el archiv y se ejecuta, dentr del recientemente cread directri, el siguiente cmand: penvpn cnfig filename Ahra tenems acces al cliente 3 desde ls ds clientes remts. Hay que tener en cuenta que el servici lcal de DNS de ebx n funcina a través de la red privada a n ser que se cnfiguren ls clientes remts para que usen ebx cm servidr de nmbres. Es pr ell que n pdrems acceder a ls servicis de las máquinas de la LAN pr nmbre, únicamente pdrems hacerl pr dirección IP. Es mism curre cn el servici de NetBIOS [6] para acceder a recurss cmpartids pr Windws, para navegar en ls recurss cmpartids desde la VPN se deben explícitamente permitir el tráfic de difusión del servidr SMB/CIFS. [6] Para más infrmación sbre cmpartición de fichers ir a la sección Servici de cmpartición de fichers y de autenticación Para cnectar entre sí ls clientes remts, necesitams activar la pción Permitir cnexines cliente acliente dentr de la cnfiguración del servidr OpenVPN. Para cmprbar que la cnfiguración es crrecta, bservar en la tabla de rutas del cliente dnde las nuevas redes anunciadas se han añadid al interfaz virtual tapx. Ls usuaris cnectads actualmente al servici VPN se muestran en el Dashbard de ebx. Ejempl práctic B En este ejercici vams a cnfigurar un servidr de VPN. Cnfigurarems un cliente en un rdenadr residente en una red externa, cnectarems a la VPN y a través de ella accederems a una máquina residente en una red lcal a la que sl tiene acces el servidr pr medi de una interfaz interna. Para ell:

1. Acción: Acceder a ebx, entrar en Estad del módul y activar el módul OpenVPN, para ell marcar su casilla en la clumna Estad. ebx slicita permis para realizar algunas accines. 2. Acción: Leer las accines que se van a realizar y trgar permis a ebx para hacerl. Se ha activad el btón Guardar cambis. 3. Acción: Acceder a la interfaz de ebx, entrar en la sección VPN Servidres, pulsar sbre Añadir nuev, aparecerá un frmulari cn ls camps Habilitad y Nmbre. Intrducirems un nmbre para el servidr. El nuev servidr aparecerá en la lista de servidres. 4. Acción: Pulsar en Guardar cambis y aceptar tds ls cambis. El servidr está activ, pdems cmprbar su estad en la sección Dashbard. 5. Acción: Para facilitar la cnfiguración del cliente, descargar el bundle de cnfiguración para el cliente. Para ell, pulsar en el icn de la clumna Descargar bundle de cliente y rellenar el frmulari de cnfiguración. Intrducir las siguientes pcines: Tip de cliente: seleccinar Linux, ya que es el SO del cliente. Certificad del cliente: elegir cliente1. Si n está cread este certificad, crearl siguiend las instruccines del ejercici anterir. Dirección del servidr: aquí intrducir la dirección pr la que el cliente puede alcanzar al servidr VPN. En nuestr escenari cincide cn la dirección de la interfaz externa cnectada a la misma red que el rdenadr cliente. Al cumplimentar el frmulari, bajarems un archiv cn el bundle para el cliente. Será un archiv en frmat cmprimid.tar.gz. 6. Acción: Cnfigurar el rdenadr del cliente. Para ell descmprimir el bundle en un directri. Observar que el bundle cntenía ls fichers cn ls certificads necesaris y un ficher de cnfiguración cn la extensión.cnf. Si n han existid equivcacines en ls pass anterires ya tenems tda la cnfiguración necesaria y n ns queda más que lanzar el prgrama.

Para lanzar el cliente ejecutar el siguiente cmand dentr del directri: penvpn cnfig [ nmbre_del_ficher.cnf ] Al lanzar el cmand en la ventana de terminal se irán imprimiend las accines realizadas pr el prgrama. Si td es crrect, cuand la cnexión esté lista se leerá en la pantalla Initializatin Sequence Cmpleted; en cas cntrari se leerán mensajes de errr que ayudarán a diagnsticar el prblema. 7. Acción: Antes de cmprbar que existe cnexión entre el cliente y el rdenadr de la red privada, debems estar segurs que este últim tiene ruta de retrn al cliente VPN. Si estams usand ebx cm puerta de enlace pr defect, n habrá prblema, en cas cntrari necesitarems añadir una ruta al cliente. Primer cmprbarems que existe la cnexión cn el cmand ping, para ell ejecutarems el siguiente cmand: ping c 3 [ dirección_ip_del_tr_rdenadr ] Para cmprbar que n sól hay cmunicación sin que pdems acceder a ls recurss del tr rdenadr, iniciar una sesión de cnsla remta, para ell usams el siguiente cmand desde el rdenadr del cliente: ssh [ dirección_ip_del_tr_rdenadr ] Después de aceptar la identidad del rdenadr e intrducir usuari y cntraseña, accederems a la cnsla del tr rdenadr. Cliente remt NAT cn VPN Si querems tener un servidr VPN que n sea la puerta de enlace de la red lcal, es decir, la máquina n psee interfaces externs, entnces necesitarems activar la pción de Netwrk Address Translatin. Cm es una pción del crtafuegs, tendrems que asegurarns que el módul de crtafuegs está activ, de l cntrari n pdrems activar esta pción. Cn dicha pción, el servidr VPN se encargará de actuar cm representante de ls clientes VPN dentr de la red lcal. En realidad, l será de tdas las redes anunciadas, para asegurarse que recibe ls paquetes de respuesta que psterirmente reenviará a través de la red privada a sus clientes. Esta situación se explica mejr cn el siguiente gráfic:

Cnexión desde un cliente VPN a la LAN cn VPN usand NAT Intercnexión segura entre redes lcales En este escenari tenems ds ficinas en diferentes redes que necesitan estar cnectadas a través de una red privada. Para hacerl, usarems ebx en ambas cm puertas de enlace. Una actuará cm cliente OpenVPN y tra cm servidra. La siguiente imagen trata de aclarar la situación: ebx cm servidr OpenVPN vs. ebx cm cliente OpenVPN Nuestr bjetiv es cnectar al cliente 1 en la LAN 1 cn el cliente 2 en la LAN 2 cm si estuviesen en la misma red lcal. Pr tant, debems cnfigurar un servidr OpenVPN cm hacems en el Ejempl práctic B. Sin embarg, se necesita hacer ds pequeñs cambis habilitand la pción Permitir túneles ebx a ebx para intercambiar rutas entre máquinas ebx y cntraseña túnel ebx a ebx para establecer la cnexión en un entrn más segur entre las ds ficinas. Hay que tener en cuenta que deberems anunciar la red LAN 1 en Redes anunciadas. Para cnfigurar ebx cm un cliente OpenVPN, pdems hacerl a través de VPN Clientes. Debes dar un nmbre al cliente y activar el servici. Se puede establecer la cnfiguración del cliente manualmente

autmáticamente usand el bundle dad pr el servidr VPN, cm hems hech en el Ejempl práctic B. Si n se usa el bundle, se tendrá que dar la dirección IP y el par prtcl puert dnde estará aceptand peticines el servidr. También será necesaria la cntraseña del túnel y ls certificads usads pr el cliente. Ests certificads deberán haber sid creads pr la misma autridad de certificación que use el servidr. Cuand se guardan ls cambis, en el Dashbard, se puede ver un nuev demni OpenVPN en la red 2 ejecutándse cm cliente cn la cnexión bjetiv dirigida a la tra ebx dentr de la LAN 1.

Cuand la cnexión esté cmpleta, la máquina que tiene el papel de servidr tendrá acces a tdas las rutas de las maquinas clientes a través de la VPN. Sin embarg, aquellas cuy papel sea de cliente sól tendrán acces a aquellas rutas que el servidr haya anunciad explícitamente. Ejempl práctic C El bjetiv de este ejercici es mntar un túnel entre ds redes que usan servidres ebx cm puerta de enlace hacia una red externa, de frma que ls miembrs de ambas redes se puedan cnectar entre sí. 1. Acción: Acceder a la interfaz Web de ebx que va a tener el papel de servidr en el túnel. Asegurarse de que el módul de VPN está activad y activarl si es necesari. Una vez en la sección VPN Servidres, crear un nuev servidr. Usar ls siguientes parámetrs de cnfiguración: Puert: elegir un puert que n esté en us, cm el 7766. Dirección de VPN: intrducir una dirección privada de red que n esté en us en ninguna parte de nuestra infraestructura, pr ejempl 192.168.77.0/24. Habilitar Permitir túneles ebx a ebx. Esta es la pción que indica que va a ser un servidr de túneles. Intrducir una cntraseña para túneles ebx a ebx. Finalmente, desde la selección de Interfaces dnde escuchará el servidr, elegir la interfaz externa cn la que pdrá cnectar la ebx cliente. Para cncluir la cnfiguración del servidr se deben anunciar redes siguiend ls misms pass que en ejempls anterires. Anunciar la red privada a la que se quiere que tenga acces el cliente. Cnviene recrdar que este pas n va a ser necesari en el cliente, el cliente suministrará tdas sus rutas autmáticamente al servidr. Ns resta habilitar el servidr y guardar cambis. Una vez realizads tds ls pass anterires tendrems al servidr crriend, pdems cmprbar su estad en el Dashbard. 2. Acción: Para facilitar el prces de cnfiguración del cliente, btener un bundle de cnfiguración del cliente, descargándl del servidr. Para descargarl, acceder de nuev a la interfaz Web de ebx y en la sección VPN Servidres, pulsar en Descargar bundle de cnfiguración del cliente en nuestr servidr. Antes de pder descargar el bundle se deben establecer alguns parámetrs en el frmulari de descarga: Tip de cliente: elegir Túnel ebx a ebx. Certificad del cliente: elegir un certificad que n sea el del servidr ni esté en us pr ningún cliente más. Sin se tienen suficientes certificads, seguir ls pass de ejercicis anterires para crear un certificad que pueda usar el cliente. Dirección del servidr: aquí se debe intrducir la dirección pr la que el cliente pueda cnectar cn el servidr, en nuestr escenari la dirección de la interfaz externa cnectada a la red visible tant pr el servidr cm el cliente será la dirección adecuada. Una vez intrducids tds ls dats pulsams el btón de Descargar. Descargams un archiv tar.gz cn ls dats de cnfiguración necesaris para el cliente.

3. Acción: Acceder a la interfaz Web del servidr ebx que va a tener el papel de cliente. Cmprbar que el módul VPN está activ, ir a la sección VPN Clientes. En esta sección se ve una lista vacía de clientes, para crear un pulsar sbre Añadir cliente e intrducir un nmbre para él. Cm n está cnfigurad n se pdrá habilitar, así que se debe vlver a la lista de clientes y pulsar en el apartad de cnfiguración crrespndiente a nuestr cliente. Dad que se tiene un bundle de cnfiguración de cliente, n se necesita rellenar las seccines a man. Usarems la pción Subir bundle de cnfiguración del cliente, seleccinar el archiv btenid en el pas anterir y pulsar sbre Cambiar. Una vez cargada la cnfiguración, se puede retrnar a la lista de clientes y habilitar nuestr cliente. Para habilitarl, pulsar en el icn de Editar, que se encuentra en la clumna de Accines. Aparecerá un frmulari dnde pdrems marcar la pción de Habilitad. Ahra tenems el cliente ttalmente cnfigurad y sól ns resta guardar ls cambis. Una vez guardads ls cambis, tendrems el cliente activ cm pdrems cmprbar en el Dashbard. Si tant la cnfiguración del servidr cm del cliente sn crrectas, el cliente iniciará la cnexión y en un instante tendrems el túnel list. 4. Acción: Ahra se cmprbará que ls rdenadres en las redes internas del servidr y del cliente pueden verse entre sí. Además de la existencia del túnel serán necesaris ls siguientes requisits: Ls rdenadres deberán cncer la ruta de retrn a la tra red privada. Si, cm en nuestr escenari, ebx está siend utilizad cm puerta de enlace n habrá necesidad de intrducir rutas adicinales. El crtafuegs deberá permitir cnexines entre las rutas para ls servicis que utilicems. Una vez cmprbads ests requisits pdrems pasar a cmprbar la cnexión, para ell entrarems en un de ls rdenadres de la red privada del servidr VPN y harems las siguientes cmprbacines: Ping a un rdenadr en la red del cliente VPN. Tratar de iniciar una sesión SSH en un rdenadr de la red del cliente VPN. Terminadas estas cmprbacines, las repetirems desde un rdenadr de la red del cliente VPN, eligiend cm bjetiv un rdenadr residente en la red del servidr VPN.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback