VPN ROAD WARRIOR EN WINDOWS 2003 IMPLEMENTADO CON ISASERVER 2006

POR: Maicol Muoz.

INSTRUCTOR: Andres Mauricio Ortiz.

Gestin de la seguridad de la red.

Tecnlogo en administracin de redes Informticas. 35442.

Servicio nacional de aprendizaje (SENA) Antioquia

Centro de Servicios y Gestin Empresarial. (CESGE) 2011

INTRODUCCION.
La seguridad es la principal defensa que puede tener una Organizacin si desea conectarse a Internet, dado que expone su informacin privada y arquitectura de red a los intrusos de Internet. El Firewall ofrece esta seguridad, mediante: Polticas de seguridad, determinando que servicios de la red pueden ser acezados y quienes pueden utilizar estos recursos, manteniendo al margen a los usuarios no-autorizados. En este trabajo les dar a conocer como implementar y configurar una VPN Road Warrior con ISA server en Windows 2003.

MARCO TEORICO.
VPN o Red Privada Virtual: Estos son tneles los cuales sirven para comunicar redes LAN o privadas a travs de redes sobre las que los sysadmins no tenemos control como las redes WAN. Una VPN punto a punto sirve para comunicar 2 redes LAN a travs de la WAN, creando entre estas un tnel mediante el cual se cifra el trafico que circule a travs de este. Wikipedia define una VPN punto a punto como un esquema que se utiliza para conectar oficinas remotas con la sede central de la organizacin. Usando como medio de transporte la conexin prestada por un ISP mediante banda ancha permitiendo as disminuir costos de canales punto a punto fsicos o dedicados, sobre todo en las comunicaciones internacionales. Road Warrior: Este tipo de VPN es muy utilizada ya que bsicamente consiste en brindar acceso a la LAN a travs de internet a usuarios que no estn presentes fsicamente en esta; es decir; por ejemplo hay un empleado de una empresa y necesita acceder a los recursos de dicha empresa, pero el empleado no est ubicado geogrficamente en ella, lo que puede hacer es acceder a esta a travs de la WAN y mediante la direccin publica de la empresa podr acceder a los recursos de la LAN. ISA Server: Este es un Firewall statefull capaz de analizar los paquetes IP en capas 3, 4 y 7 del modelo OSI, tambin funciona como VPN y proxy.

Desarrollando.
En este caso el servidor VPN ser ISA Server, adems para poder realizar esta prctica tambin les recomiendo tener conocimientos previos sobre reglas de NAT y Firewall, adems el manejo bsico de ISA Server 2006, para ello recomiendo visitar los siguientes enlaces: CONFIGURANDO FIREWALL Y NAT EN ISA SERVER 2006 FILTRO DE CONTENIDOS Y PROXY TRANSPARENTE EN ISA SERVER 2006 Comenzaremos creando un grupo y agregando los usuarios, que sern quienes se autentiquen con el servidor VPN.

A manera de prueba este ser mi nico usuario del grupo, si ustedes lo desean agregan mas segn sus requerimientos.

Ahora configuraremos directamente las opciones de la VPN, ISA Server recomienda seguir 5 pasos bsicos los cuales estn mostrados en la siguiente imagen, comenzamos editando el mtodo de asignacin de direcciones.

Ahora elegimos el pool de direcciones que se le asignara a los clientes VPN, el pool de direcciones debe ser una red diferente a todas la redes (interna y externa) o si no se nos creara un conflicto de direcciones a la hora da a ver una conexin vpn.

En este caso vamos a utilizar autenticacin mediante clave precompartida por medio del protocolo L2TP o Protocolo de tnel de capa 2.

Ahora continuamos con el siguiente link.

Aqu especificaremos el nmero mximo de usuarios que podrn estar conectados a la vpn.

All agregamos el grupo de usuarios creado anteriormente ya que estos son los que se pueden autenticar en la VPN.

Elegimos el protocolo y guardamos los cambios de nuestro firewall.

Ahora creamos una regla de Firewall que permita el acceso de los clientes VPN a la LAN (y a la DMZ si as lo deseramos).

Le especificamos un nombre fcil de reconocer de las dems reglas.

Le especificamos que la regla sea permitir.

Elegimos todo el trfico saliente.

Le especificamos que la regla se aplique a todos los usuarios y finalizar.

Ahora debemos crear una regla que traduzca las direcciones publicas de la VPN a las direccin interna.

Le especificamos el nombre fcil de distinguir.

Le especificamos la traduccin a realizar VPN-Internas.

Aqu lo que tenemos que realizar es escoger la opcin traduccin de NAT y por ultimo finalizar.

Bueno les explicare un poco lo hecho anteriormente. Para que los clientes de la VPN puedan tener direcciones internas y comunicarse entre las diferentes redes deben existir reglas de enmascaramiento o traduccin de direcciones (NAT), para esto creamos la regla anterior. Sin embargo tan solo con esta regla el podr reconocer su Gateway dentro de la red interna mas no podr comunicarse con otras subredes, para lograr esto deben existir reglas de nateo desde el cliente VPN hasta las subredes con las que se vaya a comunicar; es decir; que si quisiera dar un ping a la LAN deber tener creada dicha regla para que el paquete ICMP se enmascare con una IP dentro de la LAN y el ping sea exitoso. El siguiente es un ejemplo de regla de NAT para que los clientes VPN se comuniquen con la LAN y la DMZ. Tambin debemos tener en cuenta que el Firewall debe permitir reglas entre los clientes VPN y las redes deseadas, es decir que dicho ping enviado desde el cliente VPN hasta la LAN tambin deber estar permitido en las reglas de Firewall. Ahora lo que deberemos hacer es configurar un cliente de internet a la vpn. La prueba se har desde una maquina xp. Nos paramos en conexiones de rede y le damos red nueva.

Elegimos conectarnos a la red de trabajo.

Ahora elegimos conexin a red privada virtual.

Le pondremos un nombre a la conexin.

Y luego nos pedir la IP a la que queremos conectarnos, es decir, la IP publica de la red. (WAN de mi ISA server)

Ahora vamos a las propiedades de la conexin.

Y configuraremos las opciones de IPSec.

En este campo definimos la clave precompartida igual que en el servidor.

Finalmente nos autenticamos con el usuario que creamos y su contrasea.

Y listo ya nos podremos conectar remotamente a nuestra empresa.

Glosario:

DMZ: Una DMZ es una red con seguridad perimetral, lo que se hace es ubicar una subred entre la LAN y la WAN. LAN: Una red de rea local. WAN: Las Redes de rea amplia.

Router: Enrutador, encaminador. Dispositivo hardware o software para interconexin de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. El Router interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la informacin de la capa de red.

SDM: SDM es la abreviatura de Cisco Router and Security Device Manager. Una herramienta de mantenimiento basada en una interfaz web desarrollada por Cisco. No es simplemente una interfaz web. Es una herramienta java accesible a travs del navegador. Esta herramienta soporta un amplio nmero de routers Cisco IOS. En la actualidad se entrega preinstalado en la mayora de los routers nuevos de Cisco.

SSH: SSH (Secure SHell, en espaol: intrprete de rdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a mquinas remotas a travs de una red. Permite manejar por completo la computadora mediante un intrprete de comandos, y tambin puede redirigir el trfico de X para poder ejecutar programas grficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo.

JAVA: Java es un lenguaje de programacin. Existe un gran nmero de aplicaciones y sitios Web que no funcionan a menos que Java est instalado, y muchas ms que se crean a diario. Java es rpido, seguro y fiable. De porttiles a centros de datos, de consolas de juegos a sper equipos cientficos, de telfonos mviles a Internet, Java est en todas partes.

NAT: En las redes de computadoras, NAT es el proceso de modificacin de la direccin IP de informacin en los encabezados de paquetes IP, mientras que en trnsito a travs de un trfico de dispositivos de enrutamiento El tipo ms simple de NAT proporciona una traduccin a una de las direcciones IP.

DNS: Es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia informacin variada con nombres de dominios asignados a cada uno de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente.

TCP: s uno de los principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicacin, posibilita la administracin de datos que vienen del nivel ms bajo del modelo, o van hacia l, (es decir, el protocolo IP). Cuando se proporcionan los datos al protocolo IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6 (para que sepa con anticipacin que el protocolo es TCP). TCP es un protocolo orientado a conexin, es decir, que permite que dos mquinas que estn comunicadas controlen el estado de la transmisin.

UDP: UDP son las siglas de Protocolo de Datagrama de Usuario (en ingls User Datagram Protocol) un protocolo sin conexin que, como TCP, funciona en redes IP. UDP/IP proporciona muy pocos servicios de recuperacin de errores, ofreciendo en su lugar una manera directa de enviar y recibir datagramas a travs una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisin de la informacin, por ejemplo, RealAudio utiliza el UDP. El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de Protocolo de Transferencia de Archivos Triviales (en ingls Trivial File Transfer Protocol), y puesto que es trivial, perder algo de informacin en la transferencia no es crucial

Stateless: Crear reglas de ida y de respuesta.

Statefull: Crear reglas de ida y las reglas de respuestas son automticas no hay que crearlas.

Mascara wildcard: Una mscara wildcard es sencillamente una agrupacin de 32 bits dividida en cuatro bloques de ocho bits cada uno (octetos). La apariencia de una mscara wildcard le recordar probablemente a una mscara de subred. Salvo esa apariencia, no existe otra relacin entre ambas. Por ejemplo, una mscara wildcard puede tener este aspecto: 192.168.1.0 mascara normal 255.255.255.0 mascara wildcard 0.0.0.255. Mascara normal 255.255.0.0 mascara wildcard 0.0.255.255 mascara normal 255.0.0.0 mascara wildcard 0.255.255.255

ISA server: ISA Server es un Gateway integrado de seguridad Perimetral que protege su entorno de IT frente a amenazas basadas en Internet y permite a los usuarios un acceso remoto rpido y seguro a las aplicaciones y los datos. Servidor: En informtica, un servidor es una computadora que, formando parte de una red, provee servicios a otras computadoras denominadas clientes.

WPAD: Web Proxy Automatic Discovery es un metodo usado por los navegadores para encontrar los proxys automticamente, es decir que cuando configuramos un navegador para que detecte automticamente el proxy, el se dirigir al DNS buscando cual es la IP que responda al nombre de WPAD y con dicha respuesta sabr cual es el proxy al que debe conectarse. Red privada virtual (VPN): Una red privada virtual, RPV, o VPN de las siglas en ingls de Virtual Private Network, es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo Internet. Ejemplos comunes son la posibilidad de conectar dos o ms sucursales de una empresa utilizando como vnculo Internet, permitir a los miembros del equipo de soporte tcnico la conexin desde su casa al centro de cmputo, o que un usuario pueda acceder a su equipo domstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.