Acceso remoto a la red corporativa Página 1 de 20 Procedimiento de instalación y Configuración del cliente VPN en Windows Acceso remoto a la red corporativa Este documento es propiedad de la Dirección General de Telecomunicaciones y Nuevas Tecnologías y se le ha establecido un nivel de seguridad acorde a la Normativa clasificación de la seguridad de la documentación de CiberCentro. En ningún caso el documento, o cualquiera de sus partes, que no sea clasificado de carácter público, deberá ser distribuido a terceros sin el consentimiento explícito, por escrito o correo electrónico firmado, por parte del personal autorizado de la Dirección General de Telecomunicaciones y Nuevas Tecnologías. Asimismo, ninguna de las partes del documento puede ser copiada, fotografiada, fotocopiada, transmitida electrónicamente, almacenada en un sistema de gestión documental o reproducida mediante cualquier otro mecanismo ajeno a la Dirección General de Telecomunicaciones y Nuevas Tecnologías sin autorización previa, por escrito o correo electrónico firmado, por parte del personal autorizado de la misma. Rev. Fecha Descripción 15 25/03/2013 Actualización del procedimiento, cliente SSL AnyConnect y autenticación LDAP 16 05/04/2013 Se elimina apartado de instalación de certificados digitales de las CAs 17 17/04/2013 Se modifica el apartado 6.2 18 21/06/2013 Se eliminan capturas de pantalla innecesarias Documento : Ubicación: Procedimiento de Instalación y Configuración del cliente VPN en Windows.doc http://www.gobiernodecanarias.net/cibercentro/documentos/documentos-desoporte.html http://www.gobiernodecanarias.org/cpj/temas/cibercentro/ciber_soporte.html Nivel de Seguridad Público Preparado por Revisado por Aprobado por Cibercentro Jose Damián Ferrer Jose Damián Ferrer Fecha: 21/06/2013 Fecha: 21/06/2013 Fecha: 21/06/2013
Acceso remoto a la red corporativa Página 2 de 20 INDICE 1 INTRODUCCIÓN... 3 2 ÁMBITO... 3 3 REQUISITOS PARA INICIAR EL TRÁMITE DE ALTA EN EL SERVICIO Y PARA LA POSTERIOR CONFIGURACIÓN Y FUNCIONAMIENTO DEL SISTEMA... 3 4 TRÁMITE DE LA SOLICITUD DE ALTA EN EL SERVICIO EN TRASOS... 3 5 SOLICITUD DE ALTA EN EL SERVICIO VPN ACEPTADA... 4 6 INSTALACIÓN Y CONFIGURACIÓN DE LA VPN... 4 6.1 INSTALACIÓN DEL CERTIFICADO DIGITAL PERSONAL... 4 6.1.1 Comprobación... 11 6.2 CONFIGURACIÓN DEL SOFTWARE CLIENTE... 13 6.3 FINALIZAR LA CONEXIÓN... 18 7 CONSIDERACIONES DE USO DE LA VPN... 19 8 CONTACTOS... 20
Acceso remoto a la red corporativa Página 3 de 20 1 Introducción La Dirección General de Telecomunicaciones y Nuevas Tecnologías (D.G.T.N.T.) del Gobierno de Canarias facilita el servicio de acceso remoto a la Red Corporativa a usuarios y colaboradores externos mediante el establecimiento de una Red Privada Virtual sobre SSL. El presente documento describe el método de instalación y configuración en un PC o portátil con el CLIENTE de CISCO AnyConnect que permite establecer una conexión segura desde fuera de la red corporativa a los servicios autorizados dentro de la red de Gobierno de Canarias. 2 Ámbito Sólo usuarios y colaboradores autorizados. 3 Requisitos para iniciar el trámite de alta en el servicio y para la posterior configuración y funcionamiento del sistema Los requisitos son los siguientes: Sistemas Operativos Soportados: Windows XP SP3, Windows Vista, Windows 7. Certificado digital personal de la FNMT o e-dni (para el trámite de la solicitud de acceso al servicio). Para poder proveer el servicio de VPN, el PC desde donde se vaya a instalar y utilizar este software, deberá disponer de acceso a Internet, además de tener instalado un antivirus actualizado. Se aconseja deshabilitar todo tipo de software basado en soluciones firewall y de restricción de conectividad, que se tenga instalado en el equipo. Si esto no fuera posible, a continuación se detallan los puertos y protocolos que utilizará la conexión y que deben estar permitidos en su Firewall: Puerto 443 TCP (SSL): Establecimiento de la comunicación segura. 4 Trámite de la solicitud de alta en el Servicio en TRASOS Para acceder de forma remota a la Red Corporativa de Gobierno de Canarias mediante una Red Privada Virtual o VPN, es indispensable realizar la solicitud a través de la Web: https://www.gobiernodecanarias.org/dgtnt/trasos/index.jsp, para lo cual es necesario disponer de un certificado digital FNMT o e-dni.
Acceso remoto a la red corporativa Página 4 de 20 5 Solicitud de Alta en el Servicio VPN aceptada Una vez que la solicitud ha sido aceptada se le enviará de un mensaje de correo electrónico remitido desde CiberCentro con los datos para la obtención del certificado digital de acceso VPN. Asunto: Autoridad Certificadora del Gobierno de Canarias Con la información que contiene el correo que ha recibido podrá: Generar el certificado digital para el acceso VPN Descargar los certificados de la entidad certificadora. Se debe garantizar que se dispone de toda esta información antes de seguir adelante. En caso de que no se disponga de alguno de los elementos indicados, se deberá solicitar a CiberCentro, a través del correo electrónico cibercentro@gobiernodecanarias.org o vía telefónica a través del 902111912, ya que son elementos necesarios para acceder a la Red Corporativa del Gobierno de Canarias. 6 Instalación y configuración de la VPN 6.1 Instalación del certificado digital personal Se deberá importar el certificado digital de usuario, cuya forma de obtención habrá sido comunicada por correo electrónico desde CiberCentro:
Acceso remoto a la red corporativa Página 5 de 20 Con este correo, y a partir de la URL también especificada en el mismo, y aquí expuesta: http://www.gobiernodecanarias.net/cibercentro/pki/publicweb/apply/apply_main.jsp, se deberá hacer uso de las credenciales proporcionadas (usuario y contraseña), para obtener el certificado personal: Paso 1: Se debe colocar en los campos <usuario> y <contraseña> los datos que se ha recibido en el correo, y seleccionar la opción <Generar>.
Acceso remoto a la red corporativa Página 6 de 20 Paso 2: En la pantalla que se muestra se debe seleccionar la opción de <Obtener>. Paso 3: A partir de este punto se procederá a la instalación del certificado personal tal y como se muestra a continuación: En la pantalla que aparece se selecciona la opción de <Guardar>.
Acceso remoto a la red corporativa Página 7 de 20 Se selecciona el lugar donde se desee guardar el certificado y se debe pulsar en <Guardar>. Cuando se ha guardado, se selecciona la opción <Abrir>
Acceso remoto a la red corporativa Página 8 de 20 En este momento se inicia la instalación del certificado personal. Se indicará la ruta donde se encuentre el certificado, previamente guardado, y se pulsa en <Siguiente>.
Acceso remoto a la red corporativa Página 9 de 20 En la pantalla que aparece, se debe colocar la contraseña que se ha recibido en el correo, marcando la casilla de hacerlo como exportable: Tras esto, se pulsa <Siguiente> y <Finalizar>.
Acceso remoto a la red corporativa Página 10 de 20 En el caso de que aparezca la siguiente pantalla, se selecciona <SÍ> y finalmente <Aceptar>. El certificado de usuario se ha quedado instalado en el PC.
Acceso remoto a la red corporativa Página 11 de 20 6.1.1 Comprobación Para comprobar que la importación se ha realizado correctamente, se accede al Gestor de Certificados del navegador: Herramientas - Opciones de Internet pestaña Contenido. Se entra en la opción <Certificados> y se accede a la pestaña de Personal. Una vez allí se deberá encontrar el certificado personal recién importado.
Acceso remoto a la red corporativa Página 12 de 20
Acceso remoto a la red corporativa Página 13 de 20 6.2 Configuración del Software cliente Cisco AnyConnect, es una aplicación que permite conectarnos mediante una red privada virtual (VPN) de manera segura mediante nuestro certificado desde fuera de la red corporativa al servicio de la Red de Gobierno de Canarias que tenga autorizado. Para instalar el software, siga los siguientes pasos: 1. Cierre todas las aplicaciones que se estén ejecutando, ya que pueden interferir con la instalación. 2. Para descargar el software AnyConnect acceda al siguiente vínculo a través de su navegador. https://vpn.gobiernodecanarias.org 3. Una vez que su navegador cargue, se le solicitará que elija el certificado con el que validará su acceso. Seleccionamos el certificado que vamos a utilizar para acceder a la red de Gobierno de Canarias y presionamos en el botón <Aceptar>. 4. En la siguiente ventana le aparecerá una solicitud de validación, allí pondrá el usuario y contraseña de Gestión de Identidades (GDI). NOTA IMPORTANTE: No confundir con el usuario y contraseña que se envió por correo para descargar el certificado, se trata del usuario y contraseña de acceso a la red corporativa. En el
Acceso remoto a la red corporativa Página 14 de 20 caso de usuarios del Gobierno de Canarias se utilizará el usuario y clave con el que se accede a los servicios de la red corporativa. En el caso de personal no perteneciente a Gobierno de Canarias,, estos datos le serán proporcionados por CiberCentro. 5. El sistema detectará automáticamente el sistema operativo del equipo para proceder a la instalación. Puede darse el caso de que no sea capaz de detectarlo, apareciendo la siguiente ventana.
Acceso remoto a la red corporativa Página 15 de 20 Lo cual Significa que el sistema no está reconociendo el sistema operativo. Se debe seleccionar el enlace: Windows 7/Vista/64/XP. 6. A continuación, en la barra superior del navegador aparecerá un mensaje indicando que para seguir con la instalación se necesita un ActiveX, nos pondremos encima del mensaje y seleccionaremos Install ActiveX Control
Acceso remoto a la red corporativa Página 16 de 20 7. Comenzará la instalación del cliente VPN AnyConnect.
Acceso remoto a la red corporativa Página 17 de 20 8. Una vez instalado el cliente, nos aparecerá una ventana emergente en la que debemos introducir el usuario y contraseña de Gestión de Identidades (GDI). NOTA IMPORTANTE: No confundir con el usuario y contraseña que se envió por correo para descargar el certificado, se trata del usuario y contraseña de acceso a la red corporativa. En el caso de usuarios del Gobierno de Canarias se utilizará el usuario y clave con el que se accede a los servicios de la red corporativa. En el caso de personal no perteneciente a Gobierno de Canarias, estos datos le serán proporcionados por CiberCentro. 9. Cuando se establezca la conexión VPN nos saldrá un icono en la parte inferior derecha que nos indicará que estamos conectados. 10. Cuando deseemos volver a conectarnos a nuestra VPN tendremos que ir a Inicio - Todos los programas - VPN SSL Gobierno de Canarias - Cisco AnyConnect Secure Mobility Client - Cisco AnyConnect Secure Mobility Client
Acceso remoto a la red corporativa Página 18 de 20 Pulsamos en <Connect> En este punto, se encuentra dentro de la Red Corporativa del Gobierno de Canarias. 6.3 Finalizar la conexión Si se desea salir de la VPN y de la Red Corporativa de Gobierno de Canarias, sólo se tiene que hacer clic en el icono que se encuentra en la barra inferior de su escritorio y seleccionar <<Disconnect>>
Acceso remoto a la red corporativa Página 19 de 20 7 Consideraciones de uso de la VPN Una vez iniciada la sesión VPN: La sesión se desconectará automáticamente tras 30 minutos de inactividad. El tiempo máximo de sesión activa es de 24 horas.
Acceso remoto a la red corporativa Página 20 de 20 8 Contactos Persona de contacto CiberCentro Teléfono interno 912 Teléfonos 902 111 912-922 922 912-928 117 912 Fax red interna 922 474 880 (24880) - 928 307 880 (87880) Fax 902 345 880 Correo electrónico cibercentro@gobiernodecanarias.org