UNIVERSIDAD NACIONAL AUTONOMA DE NICARAGUA UNAN-MANAGUA RECINTO UNIVERSITARIO RUBEN DARIO FACULTAD DE CIENCIAS E INGENIERIA INGENIERIA ELECTRONICA

TEMA: CONEXIONES VPN BAJO SERVIDOR LINUX DEBIAN

ELABORADO POR:

Antonio Jos Monjarrez Rayo lvaro Jos Rodrguez Gmez Gerardo Jos Martnez Gavarrete Eliezer Alexander Avendao Cruz

DOCENTE:
Msc. Reynaldo Altamirano

11 de Noviembres del 2011 UNAN-MANAGUA

I. OBJETIVOS
Conocer los conceptos Bsicos asociados a las VPN: Tneles VPN, tipos de VPN, encriptacin y autenticacin. Demostrar alternativas OPEN SOURCE en la implementacin de VPN a un costo accesible en infraestructuras y posterior mantenimiento, pero al mismo tiempo proteger la seguridad de la red con protocolos de encriptacin y autenticacin. Configurar los parmetros de un Tnel VPN Site to Site por medio de Servidores LINUX/Debian. Establecer las ventajas y desventajas de implementar las VPNs basadas en HARDWARE o a travs de SOFTWARE

II. INTRODUCCION
Cuando se trata de Conexiones se necesitan conocer elementos bsicos sobre conexiones e implementaciones de redes, la comprensin de cmo funciona una red es el primer paso para entender el enrutamiento y la conmutacin que se establecen cuando se implementa una red. La red funciona mediante la conexin de equipos y perifricos a travs de dos dispositivos: switches, routers, servidores, estaciones de trabajos, etc. Los switches y los routers, elementos esenciales de las redes, permiten que los dispositivos que estn conectados a la red se comuniquen entre s y con otras redes. Aunque parecen bastante similares, los routers y los switches realizan funciones muy diferentes en una red. Elementos bsicos de las redes: Switches Los switches se usan para conectar varios dispositivos en la misma red dentro de un edificio o campus. Por ejemplo, un switch puede conectar los equipos, impresoras y servidores, creando una red de recursos compartidos. El switch, un elemento bsico de las redes, servira como un controlador, lo que permitira que varios dispositivos compartieran informacin y se comunicaran entre s. Al compartir informacin y asignar recursos, los switches ahorran dinero y aumentan la productividad.

Elementos bsicos de las redes: Routers

Los routers, el segundo componente bsico esencial de las redes, se usan para unir varias redes. Por ejemplo, se usara un router para conectar los equipos en red a Internet y, por tanto, para compartir una conexin de Internet entre muchos usuarios. El router actuara como un remitente de peticin, eligiendo la mejor ruta para que viaje la informacin de manera que la reciba rpidamente. Los routers analizan los datos que se envan por una red, cambian la manera en que se empaquetan y los envan a otra red o por un tipo diferente de red. Conectan la empresa con el mundo exterior, protegen la informacin de las amenazas de seguridad y pueden incluso decidir qu equipos tienen prioridad sobre otros. En funcin de su empresa y sus planes de red, puede elegir entre routers con distintas caractersticas. Entre ellas se pueden incluir elementos bsicos de red como:

o o o

Firewall: Software especializado que examina los datos entrantes y protege su red empresarial contra ataques. Red privada virtual (VPN): Una manera de permitir que los empleados remotos accedan de forma segura a la red de manera remota. Red telefnica IP: Combinacin del equipo informtico y la red de telefona de la empresa mediante el uso de la tecnologa de voz y conferencias para simplificar y unificar las comunicaciones.

Las redes en general, consisten en "compartir recursos", y uno de sus objetivo es hacer que todos los programas, datos y equipo estn disponibles para cualquiera de la red que as lo solicite, sin importar la localizacin fsica del recurso y del usuario. En otras palabras, el hecho de que el usuario se encuentre a 1000 km de distancia de los datos, no debe evitar que este los pueda utilizar como si fueran originados localmente. Para esto existen tipos de redes de acuerdo al tamao y a la utilidad en la cual queremos implementar una. Dentro las ms importantes estn las Redes VPN, La cual hablaremos a continuacin.

Introduccin a las Redes VPN (Virtual Private Networks)

Las redes VPN (Virtual Private Networks) estn llamando la atencin de muchas organizaciones que buscan ampliar las capacidades de sus redes de computadoras y reducir sus costos. Las redes virtuales privadas pueden encontrarse en los lugares de trabajo y en la casa y permiten a los empleados conectarse con seguridad a las redes de la empresa. Los teletrabajadores y aquellos que viajan con frecuencia, encuentran que las redes VPN son una forma ms conveniente de permanecer conectados con la Intranet corporativa. Sin importar el grado de participacin actual en las redes VPN, es bueno conocer esta tecnologa. Aqu conocers algunos aspectos de los protocolos de red, de seguridad en Internet y de los estndares de la industria. Para atender los requerimientos de redes VPN se necesitan conceptos Bsicos sobre las conexiones de Redes de Computadora.

III. MARCO TEORICO

Consideraciones generales: Concepto de VPN: VPN (Virtual Private Network) es una extensin de una red local y privada que utiliza como medio de enlace una red pblica como por ejemplo, Internet. Tambin es posible utilizar otras infraestructuras WAN tales como Frame Relay, ATM, etc. Este mtodo permite enlazar dos o ms redes simulando una nica red privada permitiendo as la comunicacin entre computadoras como si fuera punto a punto. Tambin un usuario remoto se puede conectar individualmente a una LAN utilizando una conexin VPN, y de esta manera utilizar aplicaciones, enviar datos, etc. de manera segura. Las Redes Privadas Virtuales utilizan tecnologa de tnel (tunneling) para la transmisin de datos mediante un proceso de encapsulacin y en su defecto de encriptacin, esto es importante a la hora de diferenciar Redes Privadas Virtuales y Redes Privadas, ya que esta ltima utiliza lneas telefnicas dedicadas para formar la red. Mas adelante explicare mas en profundidad el funcionamiento del tnel. Una de las principales ventajas de una VPN es la seguridad, los paquetes viajan a travs de infraestructuras pblicas (Internet) en forma encriptado y a travs del tnel de manera que sea prcticamente ilegible para quien intercepte estos paquetes. Esta tecnologa es muy til para establecer redes que se extienden sobre reas geogrficas extensas, por ejemplo diferentes ciudades y a veces hasta piases y continentes. Por ejemplo empresas que tienen oficinas remotas en puntos distantes, la idea de implementar una VPN hara reducir notablemente los costos de comunicacin, dado que las llamadas telefnicas (en caso de usar dial-up) seran locales(al proveedor de Internet) o bien utilizar conexiones DSL, en tanto que de otra manera habra que utilizar lneas dedicadas las cuales son muy costosas o hacer tendidos de cables que seran ms costosos aun.

Diagrama lgico de una VPN

1.2- VENTAJAS DE UNA VPN:

Seguridad: provee encriptacin y encapsulacin de datos de manera que hace que estos viajen codificados y a travs de un tnel.

Costos: ahorran grandes sumas de dinero en lneas dedicadas o enlaces fsicos. Mejor administracin: cada usuario que se conecta puede tener un numero de IP fijo asignado por el administrador, lo que facilita algunas tareas como por ejemplo mandar impresiones remotamente, aunque tambin es posible asignar las direcciones IP dinmicamente si as se requiere.

Facilidad para los usuarios con poca experiencia para conectarse a grandes redes corporativas transfiriendo sus datos de forma segura.

1.3 TIPOS DE VPN:

Las formas en que pueden implementar las VPNs pueden ser basadas en HARDWARE o a travs de SOFTWARE, pero lo ms importante es el protocolo que se utilice para la implementacin. Las VPNs basadas en HARDWARE utilizan bsicamente equipos dedicados como por ejemplo los routers, son seguros y fciles de usar, ofreciendo gran rendimiento ya que todos los procesos estn dedicados al funcionamiento de la red a diferencia de un sistema operativo el cual utiliza muchos recursos del procesador para brindar otros servicios, en sntesis, los equipos dedicados son de fcil implementacin y buen rendimiento, solo que las desventajas que tienen son su alto costo y que poseen sistemas operativos propios y a veces tambin protocolos que son PROPIETARIOS. Existen diferentes tecnologas para armar VPNs:

DLSW: Data Link Switching(SNA over IP) IPX for Novell Netware over IP GRE: Generic Routing Encapsulation ATMP: Ascend Tunnel Management Protocol IPSEC: Internet Protocol Security Tunnel Mode PPTP: Point to Point Tunneling Protocol L2TP: Layer To Tunneling Protocol

Entre los ms usados y con mejor rendimiento estaran Ipsec y PPTP, aunque a este ltimo se le conocen fallas de seguridad. A continuacin se detallan su funcionamiento: IPSEC (Internet Protocol Secure): Es un protocolo de seguridad creado para establecer comunicaciones que proporcionen confidencialidad e integridad de los paquetes que se transmiten a travs de Internet. IPsec puede utilizar dos mtodos para brindar seguridad, ESP (Encapsulating Security Payload) o AH (Authentication Header). La diferencia entre ESP y AH es que el primero cifra los paquetes con algoritmos de cifrado definidos y los autentica, en tanto que AH solo los autentica. AH firma digitalmente los paquetes asegurndose la identidad del emisor y del receptor. Ipsec tiene dos tipos de funcionamiento, uno es el modo transporte en el cual la encriptacin se produce de extremo a extremo, por lo que todas las mquinas de la red deben soportar Ipsec, y el otro es el modo tnel, en el cual la encriptacin se produce solo entre los routers de cada red. Esta ltima forma seria la ms ordenada de organizar una red VPN basada en Ipsec. Existen diferentes productos para implementar VPN con Ipsec en GNU/Linux, pero sin dudas el ms utilizado es el Stromwang PPTP (Point to Point Tunneling Protocol): Este es uno de los protocolos ms populares y fue originalmente diseado para permitir el transporte (de modo encapsulado) de protocolos diferentes al TCP/IP a travs de Internet. Fue desarrollado por el foro PPTP, el cual est formado por las siguientes empresas: Ascend Communications, Microsoft Corporations, 3 Com, E.C.I. Telematics y U.S. Robotics (ahora 3 Com). Bsicamente, PPTP lo que hace es encapsular los paquetes del protocolo punto a punto PPP(Point to Point Protocol) que a su vez ya vienen encriptados en un paso previo para poder enviarlos a traves de la red. El proceso de encriptacin es gestionado por PPP y luego es recibido por PPTP, este ultimo utiliza una conexin TCP llamada conexin de control para crear el tnel y una versin modificada de la Encapsulacin de Enrutamiento Generico (GRE, Generic Routing

encapsulation) para enviar los datos en formato de datagramas IP, que seran paquetes PPP encapsulados, desde el cliente hasta el servidor y viceversa. El proceso de autenticacin de PPTP utiliza los mismos mtodos que usa PPP al momento de establecer una conexin, como por ejemplo PAP (Password Authenticaction Protocol) y CHAP (Challenge-Handshake Authentication Protocol). El mtodo de encriptacion que usa PPTP es el Microsoft Point to Point Encryption, MPPE, y solo es posible su utilizacin cuando se emplea CHAP (o MS-CHAP en los NT) como medio de autenticacin. MPPE trabaja con claves de encriptacin de 40 o 128 bits, la clave de 40 bits es la que cumple con todos los estndares, en cambio la de 128 bits esta diseada para su uso en Norte Amrica. Cliente y servidor deben emplear la misma codificacin, si un servidor requiere de mas seguridad de la que soporta el cliente, entonces el servidor rechaza la conexin. NOTA: Es posible establecer conexiones mediante tneles sin encriptacin, es decir, realizar solamente la Encapsulacin, pero esto no est considerado que sea una VPN ya que los datos viajan de forma insegura a travs de la red.

1.4- DIAGRAMAS: Hay varias posibilidades de conexiones VPN, esto ser definido segn los requerimientos de la organizacin, por eso es aconsejable hacer un buen relevamiento a fin de obtener datos como por ejemplo si lo que se desea enlazar son dos o mas redes, o si solo se conectaran usuarios remotos. Las posibilidades son: DE CLIENTE A SERVIDOR (Client to Server): Un usuario remoto que solo necesita servicios o aplicaciones que corren en el mismo servidor VPN.

En aos recientes, muchas organizaciones han aumentado la movilidad de sus colaboradores, permitiendo que ms empleados teletrabajen. Los empleados que viajan se enfrentan a una creciente necesidad de permanecer conectados a las redes de su oficina. Una VPN puede establecerse para soportar acceso remoto protegido a las oficinas corporativas a travs de la Internet. Una solucin VPN con Internet utiliza un diseo cliente / servidor como sigue: 1. Un huesped remoto (Cliente) que desea ingresar a la red de la empresa, se conecta en primer lugar con un proveedor de servicio de Internet (ISP). 2. En seguida, el huesped inicia una conexin VPN con el servidor VPN de la empresa. Esta conexin se hace va un software cliente VPN instalado en el huesped remoto. 3. Una vez establecida la conexion, el cliente remoto puede comunicarse con los sistemas internos de la empresa a travs de la Internet, tal como si fuera un huesped local... Antes de las VPN, los trabajadores remotos accesaban las redes emresariales por medio de lineas privadas rentadas o a travs de marcado telefnico a servidores remotos. Si bien es cierto que los clientes y servidores VPN requieren de una instalacin cuidadosa de hardware y software, una VPN con Internet constituye una solucin superior en muchos casos. DE CLIENTE A RED INTERNA (Client to LAN): Un usuario remoto que utilizara servicios o aplicaciones que se encuentran en uno o ms equipos dentro de la red interna.

DE RED INTERNA A RED INTERNA (LAN to LAN): Esta forma supone la posibilidad de unir dos intranets a travs de dos enrutadores, el servidor VPN en una de las intranets y el cliente VPN en la otra. Aqu entran en juego el mantenimiento de tablas de ruteo y enmascaramiento.

1.5- REQUERIMIENTOS PARA EL ARMADO DE UNA VPN Para el correcto armado de una VPN, es necesario cumplir con una serie de elementos y conceptos que a continuacion se detallan:

Tener una conexin a Internet: ya sea por conexin IP dedicada, ADSL o dial-up. Servidor VPN: bsicamente es una pc conectada a Internet esperando por conexiones de usuarios VPN y si estos cumplen con el proceso de autenticacin, el servidor aceptara la conexin y dar acceso a los recursos de la red interna.

Cliente VPN: este puede ser un usuario remoto o un enrutador de otra LAN, tal como se especifica en la seccin 1.4 (Diagramas).

o o o o

Asegurarse que la VPN sea capaz de: Encapsular los datos Autentificar usuarios. Encriptar los datos. Asignar direcciones IP de manera estatica y/o dinamica. 2- IMPLEMENTANDO VPNs CON GNU/LINUX. Esta seccin del documento pretende ayudarlo a configurar un servidor VPN bajo GNU/Linux y a establecer una conexin desde un cliente windows de manera simple. Para este ejemplo de configuracin me basare en el protocolo PPTP utilizando la distribucin Debian. Para la gestin de Redes Privadas Virtuales con PPTP bajo GNU/Linux existen diferentes herramientas, obviamente libres, pero sin duda el ms usado es el PPTPD (Point to Point Tunneling Protocol Daemon http://www.poptop.org) que oficia de servidor VPN y puede ser accesado tanto por clientes que corran windows como tambien GNU/Linux. En tanto que para los clientes GNU/Linux, el programa a usar es el pptp-linux, que sirve para acceder a servidores VPN corriendo GNU/Linux , Windows NT o 2000 Server. Los pasos a tratar son:

Soporte del kernel para strongswan. Configurar de strongswan. Administracin de usuarios. Filtrado de paquetes (bsico). Conexin de clientes.

CONCLUSION

En conclusin nuestro pequeo laboratorio lo realizamos con el fin de mostrar una alternativa a la hora de implementar conexiones VPN en una empresa con un bajo casto siempre y cuando respetando la seguridad y los parmetros de autenticacin en la transferencia de datos, a comparacin a dispositivos fsicos que existe en el mercado con un costo altsimo los cuales son casi imposible adquirir a empresas pequeas con bajos recurso la cual quiera implementar VPN para interconectar sus sucursales