Manual De Vpn (red Privada Virtual)

CONFIGURACIÓN DE UNA VPN EN WINDOWS 2003 SERVER

Autor: Hidalgo Lache, Carlos

SINFOCORP www.sinfocorp.com

SINFOCORP

FUNDAMENTO TEORICO

-

Red Privada Virtual

Se refiere a una red en la cual algunas partes se conectan usando Internet público, pero los datos enviados por Internet se cifran de manera que toda la red es "virtualmente" privada. Un ejemplo típico será la red de una compañía donde hay dos oficinas en ciudades diferentes. Usando Internet, las dos oficinas fusionan sus redes en una sóla, pero se une el tráfico de encripción que usa Internet. [URL001]

Las Redes Privadas Virtuales, VPNs, son redes que funcionan sobre una infraestructura de red pública, con la misma seguridad, administración y políticas de calidad de servicio que se aplican para las redes privadas. Los beneficios de utilizar VPNs incluyen ahorros en costos y ampliación de la conectividad para teletrabajadores, usuarios móviles y oficinas remotas, así como para nuevos participantes, como clientes, proveedores y socios. [URL002]

Una VPN es la extensión de una red privada que abarque enlaces a través de redes compartidas o públicas tales como Internet. Una VPN le permite enviar datos entre dos computadoras a través de una internetwork compartida o pública de tal manera que emule las características y propiedades de un enlace privado punto a punto. En esencia, hace de la computadora remota “virtualmente” parte de la red privada haciendo un túnel encriptado a través del Internet público. El acto de configurar y de crear una VPN se conoce como “virtual private networking”. [URL003]

Para emular un enlace punto a punto, los datos se encapsulan, con una cabecera que proporcione la información de encaminamiento, permitiendo que los datos atraviesen el tránsito de la red pública o compartida, para poder alcanzar su punto final. Para emular un enlace privado, los datos que son enviados se encriptan por cuestión de confidencialidad. Los paquetes que se interceptan en la red pública o compartida son indescifrables sin la llave de encriptación. La porción de la conexión en la cual se encapsulan los datos confidenciales se conoce como “túnel”. La porción de la conexión en la cual se encriptan los datos confidenciales se conoce como la conexión VPN. La Figura siguiente muestra la conexión VPN.

Autor: Carlos Hidalgo Lache

2

SINFOCORP

Las conexiones VPN permiten a usuarios que trabajan en casa o en otro lugar distinto a la oficina conectarse de manera segura con un servidor remoto de la organización usando la infraestructura de encaminamiento proporcionada por una internetwork pública (tal como el Internet). Desde la perspectiva del usuario, la conexión VPN es una conexión de punto a punto entre la computadora del usuario y el servidor de una organización. La naturaleza de la internetwork intermediaria es irrelevante al usuario porque aparece como si los datos se están enviando a través de un enlace privado dedicado.

La tecnología VPN también permite que una corporación se conecte con las sucursales o con otras compañías sobre una internetwork pública (tal como el Internet) mientras que se mantiene una comunicación segura. La conexión de VPN a través del Internet funciona lógicamente como un enlace de red de área amplia (WAN) entre los sitios interconectados.

En ambos de estos casos, la conexión segura a través de la internetwork aparece al usuario como comunicación privada de la red, a pesar del hecho de que esta comunicación ocurre sobre una internetwork pública, por lo tanto el nombre de red privada virtual. La tecnología de VPN se diseña para direccionar tópicos que rodean la tendencia del negocio actual hacia la teleconmutación creciente y las operaciones globales extensamente distribuidas, donde los trabajadores deben poder conectarse con los recursos centrales y deben poder comunicarse de uno a otro.

Autor: Carlos Hidalgo Lache

3

SINFOCORP

-

Tipos de VPNs •

Acceso Remoto a través de Internet VPNs proporciona el acceso remoto a los recursos de una organización sobre el Internet público, mientras que mantiene la privacidad de la información. La Figura siguiente muestra una conexión de VPN usada para conectar a un cliente de acceso remoto con la Intranet de una organización. Esto se conoce como conexión de acceso remoto VPN.

Usando una conexión VPN para conectar a un cliente de acceso remoto con una intranet de una organización.

En vez de hacer una llamada de larga distancia al servidor de una organización o a un servidor de acceso de red externo, los usuarios discan un ISP local. Usando la conexión al ISP local, el cliente de VPN crea una conexión de VPN entre la computadora del acceso remoto y el servidor de VPN de la organización a través del Internet.

•

Punto a Punto. Los dos métodos tradicionales de conectar oficinas remotas con la red corporativa de la organización eran tener conexiones dial-up que trabajen sobre la red de teléfono pública conmutada(PSTN) o al uso dedicado de enlaces WAN alquilados usando Frame Relay o Circuitos Síncronos bajo el protocolo de Punto a Punto (PPP). Estos métodos toman una gran cantidad de tiempo en la administración y además son costosos mantener. Un típico circuito T1 que pueda manejar Frame Relay, PPP, o líneas múltiples de PSTN pueden llegar a costar millares de dólares por mes, y recurrir en un costo significativo para la compañía.

Autor: Carlos Hidalgo Lache

4

SINFOCORP

Hay dos métodos (ilustrados en la Figura 6-3) para usar VPNs para conectar redes de área local en los sitios remotos:




Always-On VPN Networking. Usar líneas dedicadas para conectar una sucursal con la red de área local (LAN) de una organización. En vez de usar un costoso circuito dedicado de larga distancia entre una sucursal

y

la

corporación,

ambos

la

sucursal

y

los

routers

corporativos pueden utilizar un circuito dedicado local y una ISP local para conectarse a Internet. El software de VPN utiliza las conexiones locales de la ISP y el Internet para crear un VPN entre la el router de la sucursal y el router corporativo.




Demand-Dial VPN Networking.

Usar una línea dial-up para

conectar una sucursal a Internet. En vez de tener un router en una sucursal que haga una llamada de larga distancia a un NAS corporativo o externo, el router en la sucursal puede llamar a un ISP local. El router de la sucursal utiliza la conexión al ISP local para crear una conexión de VPN entre el router de la sucursal y el router corporativo a través del Internet.

Usando una conexión VPN para conectar dos sitios remotos.

Autor: Carlos Hidalgo Lache

5

SINFOCORP

•

Connecting Computers over an Intranet—Internal Site-to-Site VPN Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi). Un ejemplo muy clásico es un servidor con información sensible, como las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el agregado del cifrado, haciendo posible que sólo el personal de RRHH habilitado pueda acceder a la información.

Usando una conexión VPN para conectarse a una red segura u oculta.

-

Requerimientos de VPN Una solución de VPN debe proporcionar todo lo siguiente:

•

Autenticación Del Usuario.

La solución debe verificar la identidad del

cliente VPN y conceder el acceso a la VPN sólo a los usuarios autorizados. Debe también proporcionar registros de auditoria y de cuentas de usuario que muestren quién se conectó y por cuánto tiempo.

•

Administración de Direcciones. La solución debe asignar a un cliente de VPN una dirección en la Intranet y asegurarse de que las direcciones usadas en el Intranet se mantengan privadas. También, cierta información para permitir que el cliente tenga acceso a recursos en la red protegida necesita ser proporcionada. Por ejemplo, la información de encaminamiento, la resolución del nombre del recurso, y la seguridad de la cuarentena pueden ser proporcionados tan bien como los filtros de seguridad para asegurar la protección de datos internos contra el uso desautorizado.

Autor: Carlos Hidalgo Lache

6

SINFOCORP

•

Encriptación de los Datos. Los datos que son trasladados sobre la red pública deben ser absolutamente ilegibles a cualquier persona excepto al cliente y al servidor de VPN. Para hacer que esto suceda, la tecnología de encriptación debe ser utilizada entre el cliente y el servidor de VPN.

•

Administración de las Llaves.

Para utilizar la encriptación, la solución

VPN necesita proporcionar una cierta clase de mecanismo de “llave de encriptación” para crear el túnel de la sesión. La solución debe generar y restaurar las llaves de encriptación para los datos encriptados en una base periódica mutuamente convenida de manera tal que la seguridad y la privacidad se mantengan.

Una solución de Internet VPN basada en PPTP o L2TP/IPSec resuelve todos estos

requisitos

básicos y se aprovecha de la amplia disponibilidad del

Internet. Otras soluciones, incluyendo el modo de túnel de IPSec (IPSec TM), resuelven solamente algunos de estos requisitos, sin embargo siguen siendo útiles para algunas situaciones específicas.

-

Tunneling Tunneling es un método que usa una infraestructura de red intermedia para transferir los datos de una red hacia otra red mientras que se mantiene la privacidad y el control sobre los datos originales. Los datos que se transferirán (payload o carga útil) pueden ser las tramas (o paquetes) de otro protocolo. En vez de enviar una trama tal y como fue originada, el protocolo de tunneling

encapsula la trama en una cabecera adicional. La

cabecera adicional proporciona la información de encaminamiento de modo que la carga útil encapsulada pueda atravesar la red intermedia.

Los paquetes encapsulados son luego encaminados entre los puntos finales del túnel a través de la internetwork. La trayectoria lógica a través de la cual los paquetes encapsulados viajan por la internetwork se conoce como túnel. Una

vez

que

las

tramas

encapsuladas

alcancen

su

destino

en

la

internetwork, la trama es desencapsulada y enviada a su destino final. Tunneling

incluye

todo

este

proceso

(encapsulación,

transmisión,

y

desencapsulación de paquetes). La siguiente imagen nos muestra el proceso de tunneling.

Autor: Carlos Hidalgo Lache

7

SINFOCORP

Tunneling Tipos Del Túnel Los túneles pueden ser creados de varias maneras. Los dos tipos de túneles son:

o

Túneles Voluntarios: Una computadora del usuario o del cliente puede publicar una petición VPN de configurar y de crear un túnel voluntario. En este caso, la computadora del usuario es un punto final del túnel y actúa como el túnel del cliente. Éste es el método estándar para el acceso remoto VPN.

o

Túneles obligatorios: Un servidor de acceso dial--up VPN, configura y crea un túnel obligatorio. Con un túnel obligatorio, la computadora del usuario no es un punto final del túnel. Otro dispositivo, el servidor de acceso dial-up, entre la computadora del usuario y el servidor del túnel es el punto final del túnel y actúa como el cliente del túnel.

-

Ventajas de una VPN (Red Privada Virtual) -

Una de sus ventajas más importantes es su integridad, confidencialidad y datos.

-

Las VPN´s reducen costos y son sencillas de usar.

-

Su instalación es sencilla en cualquier PC.

-

Su control de acceso esta basado en políticas de la organización.

-

Los algoritmos de compresión que utiliza una VPN optimizan el tráfico del usuario.

-

Las VPN´s evitan el alto costo de las actualizaciones y mantenimiento de PC's remotas.

-

Las

VPN´s

ahorran

en

costos

de

comunicaciones

y

en

costes

operacionales. -

Los trabajadores, mediante el uso de las VPN´s, pueden acceder a los servicios de la compañía sin necesidad de llamadas.

Autor: Carlos Hidalgo Lache

8

SINFOCORP

-

Una organización puede ofrecer servicios a sus socios mediante VPN´s, ya que éstas permiten acceso controlado y brindan un canal seguro para compartir la información de las organizaciones.

Autor: Carlos Hidalgo Lache

9

SINFOCORP

Configuración e Instalación

Configuración en el Servidor Las pantallas que a continuación se presentaran son los pasos que se tiene que seguir para realizar la implementación y configuración de una VPN tipo Host to Net. Inicio / Herramientas Administrativas / Administre su servidor Eliges el rol Acceso Remoto / VPN Server según el grafico.

Autor: Carlos Hidalgo Lache

10

SINFOCORP

Para nuestro caso elegir la tercera opción y das clic en siguiente:

Aquí

aligeremos

que tarjeta estará conectada hacia afuera de tu red para que

reciba las peticiones de VPN.

Autor: Carlos Hidalgo Lache

11

SINFOCORP

Luego sale para que identifiques la tarjeta interna.

Click en siguiente y te preguntara si usas DHCP, esta opción te dará tus Ips de forma automática y lo mas importante esta opción es aceptable elegirla cuando queremos conectar numerosas Ips , para varios usuarios .

Autor: Carlos Hidalgo Lache

12

SINFOCORP

En nuestro caso escogemos definiremos

la segunda opción, que indica que nosotros

el rango de Ips las cuales

asignaremos

a nuestros

clientes Vpn

cuando se conecten. Es importante resaltar que este rango que se definirá no debe estar siendo usado en la red y tampoco en el futuro pues solo se asignaran a las conexiones de Vpn.

Especificar el rango según tus ips y luego continúas:

Autor: Carlos Hidalgo Lache

13

SINFOCORP

Luego especificaras la interfaz que compartirá Internet

Autor: Carlos Hidalgo Lache

14

SINFOCORP

Ahora elijes el método de autenticación, para hacerlo más sencillo elijes el que dice que NO, use Routing, que vendría a ser la primera opción

Luego darás click en Finalizar

Autor: Carlos Hidalgo Lache

15

SINFOCORP

Ahora finalizas esas pantallas y vas a Inicio / Programas / Herramientas Administrativas y elijes usuarios y equipos de Active Directory para agregar los usuarios remotos: Das botón derecho sobre el dominio y elijes nuevo / unidad organizativa y de nombre le colocas usuarios Vpn

Ahora das click botón derecho sobre usuarios Vpn y elijes nuevo y elijes usuario. Le das nombre apellido, inicio de sesión que son los datos más importantes le asignas clave, luego entras a las propiedades del usuario y verificas su configuración Verifica que permita conexiones remotas.

Autor: Carlos Hidalgo Lache

16

SINFOCORP

Finalmente probaremos si realmente existe acceso al cliente desde el vpn servidor haciendo un ping a su direccion IP.

Autor: Carlos Hidalgo Lache

17