Redes Privadas Virtuales

REDES DE COMPUTADORES 2 Practica 5

Realizado por Rommel Chocho Miriam Lupercio

Redes de Computadores 2
2012

VPN

Contenido

REDES PRIVADAS VIRTUALES

1.

OBJETIVOS Crear una VPN entre 2 equipos que esten conectados a la misma red LAN. Tratar de acceder desde otro equipo que este en la misma LAN pero que no sea cliente VPN Mostrar la forma en como viajan los datos por la red

2.

I TRODUCCIO 2.1. Concepto VP na red privada virtual !VPN Virtual Private Net"or#$ es una tecnolo%&a de red que permite una e'tensi(n se%ura de la red local so)re una red p*)lica o no controlada. +jemplos comunes son la posi)ilidad de conectar dos o m,s 2 de 9

Redes de Computadores 2
2012

VPN

sucursales de una empresa utili-ando como v&nculo .nternet/ permitir a los miem)ros del equipo de soporte t0cnico la cone'i(n desde su casa al centro de c(mputo/ etc. Todo ello utili-ando la infraestructura de .nternet.

2.2.

Venta!a" de la" VP # 1e%uridad2 Por medio de una VPN podemos crear t*neles en los cuales pasan la informaci(n encriptada entre los clientes por lo cual e'iste una inte%ridad se%ura de los datos. Autenticaci(n 3 autori-aci(n2 1olo se permiten conectarse a los equipos autori-ados/ por medio de certificados de autenticaci(n/ llaves encriptadas 3 usuarios4contrase5as. Velocidad2 Cuando enviamos o solicitamos informaci(n por medio de una red VPN es comprimida 3 descomprimida entre los 2 clientes de la VPN/ esto hace que la VPN funcione mas velo- en la transferencia de informaci(n. Administraci(n del ancho de )anda2 +s posi)le solicitar a nuestros .1P un ancho de )anda especifico para nuestra red VPN. Costos2 n VPN nos ahorra en costo de los equipos 3 otros servicios que se est0n ofreciendo dentro de la red locales.

Tipo" de VP Para poder implementar una red VPN tendremos que sa)er que tipos de VPN e'isten para poder instalarla 3 confi%urarle en nuestra red local. +'isten 6 tipos de redes VPN2 1. 7ost to 7ost2 +ste el m0todo mas sencillo de implementar/ nos permite la comunicaci(n entre dos m,quinas de las cuales solo tienen cone'i(n entre ellos/ esto quiere decir que solo e'ista la comunicaci(n por medio de la VPN entre estos 2 equipos 3 pueden estar dentro de una red local o en internet. 2. Road 8arrior2 Permitir un conjunto de m,quina 3a sean de la red local o de internet se conecten dentro de la red VPN/ e'istiendo un servidor en el controle las cone'iones/ todas estas cone'iones se reali-an mediante certificados de autenticaci(n. 3. Net to Net2 Mediante esta forma conectamos varias redes LAN en lu%ares f&sica apartados/ la cone'i(n entre las redes viajara encriptada/ con esto podremos acceder a cualquier recursos de la red que se encuentre en el otro e'tremo de la VPN.

2.3.

Al$orit%o DI&&IE'(ELLMA +l al%oritmo de 9iffie:7ellman permite acordar una clave secreta entre dos m,quinas/ a trav0s de un canal inse%uro 3 enviando *nicamente dos mensajes. La clave secreta 3 de 9

2.4.

Redes de Computadores 2
2012

VPN

resultante no puede ser descu)ierta por un atacante/ aunque 0ste o)ten%a los dos mensajes enviados por el protocolo. La principal aplicaci(n de este protocolo es acordar una clave sim0trica con la que posteriormente cifrar las comunicaciones entre dos m,quinas. 9e)e ser utili-ado conjuntamente con al%*n sistema que autentique los mensajes. Adem,s de contener los mensajes de 9iffie:7ellman/ estos de)en estar firmados di%italmente. P)*lic +e, In-ra"tr)ct)re na infraestructura de clave p*)lica es una com)inaci(n de hard"are 3 soft"are pol&ticas 3 procedimientos de se%uridad que permiten la ejecuci(n con %arant&as de operaciones cripto%r,ficas como el cifrado/ la firma di%ital o el no repudio de transacciones electr(nicas. +l t0rmino P;. se utili-a para referirse tanto a la autoridad de certificaci(n 3 al resto de componentes/ como para referirse/ de manera m,s amplia 3 a veces confusa/ al uso de al%oritmos de clave p*)lica en comunicaciones electr(nicas. +ste *ltimo si%nificado es incorrecto/ 3a que no se requieren m0todos espec&ficos de P;. para usar al%oritmo de clave p*)lica.

2.5.

3.

MATERIALES

.#/# (ard0are 9os PC1 Ca)les +thernet

.#2# So-t0are 1istema operativo L.N <2 @penVPN @pen11L

= NT

>?.>?

CO E1I2 DEL (AR3ARE Conectar los equipos la red Lan con ca)les ethernet atrves de un s"itch.

4.

4 de 9

Redes de Computadores 2
2012

VPN

5# TOPOLO4IA DE LA RED

Tenemos 6 equipos un servidor 3 2 clientes dentro de la Red LAN >A2.>B.>CA.? 1ervidor2 .P >A2.>B.>CA.BC 2DD.2DD.2DD.? VPN >?.E.?.> Cliente A2 .P >A2.>B.>CA.>?? Vpn >?.E.?.2 Cliente = .P >A2.>B.>CA.22> No VPN 5# I STALACIO DE OPE VP .nstalar soft"are @P+NVPN apt:%et install openvpn Copiar los scripts de confi%uraci(n de ejemplo al directorio 4etc4openvpn2 cd 4usr4share4doc4openvpn4e'amples4eas3:rsa cp :a 2.?4 4etc4openvpn4eas3:rsa cd 4etc4openvpn4eas3:rsa +stos scripts permiten la creaci(n autom,tica de una autoridad certificante !CA$ autofirmada/ lo cual simplifica mucho la instalaci(n. Fa que @penVPN est, )asado en 11L/ se utili-a openssl para la autenticaci(n mutua de clientes 3 servidores. La CA se utili-a para e'pedir certificados para el servidor de VPN 3 los clientes. 5 de 9

Redes de Computadores 2
2012

VPN

Confi%urar varia)les de entorno que se encuentra en vars nano vars Modificar el script "hichopensslcnf para que funcione correctamente. nano "hichopensslcnf +liminar todas las apariciones de la si%uiente cadena GG2alnum2HH Ienerar el certificado 3 clave para la Autoridad Certificante !CA$2 . .4vars .4clean:all .4)uild:ca +l script )uild:ca crea el certificado de la CA utili-ando los par,metros confi%urados en vars. Verificar que los par,metros entre corchetes est0n correctos/ modificar en caso contrario. Lue%o es posi)le %enerar el certificado 3 clave para el servidor de VPN2 .4)uild:#e3:server server +l CN !Common Name$ de)e ser JserverJ/ responder K3K dos veces para firmar 3 commit del certificado. Ienerar los certificados para los clientes conL .4)uild:#e3 client> Responder K3K dos veces para firmar 3 commit del certificado. Minalmente se de)en %enerar los par,metros 9iffie:7ellman2 .4)uild:dh 6# ARC(IVOS DE CO &I4URACI2 PARA EL SERVIDOR 7 CLIE TES Lue%o de construir nuestra P;. !Pu)lic ;e3 .nfrastructure$/ es decir nuestra infraestructura de autenticaci(n 3 encriptaci(n mediante clave p*)lica/ se de)en copiar los archivos de confi%uraci(n de ejemplo al directorio 4etc4openvpn2 cp :a 4usr4share4doc4openvpn4e'amples4sample:confi%:files4 4etc4openvpn4 6#/# Con-i$)raci8n del "er9idor 9escomprimir el archivo de confi%uraci(n del servidor2 cd 4etc4openvpn4sample:confi%:files4 %un-ip server.conf.%+ditar el archivo de confi%uraci(n del servidor2

6 de 9

Redes de Computadores 2
2012

VPN

nano server.conf Modificar las si%uientes l&neas2 proto tcp Lproto udp ca eas3:rsa4#e3s4ca.crt cert eas3:rsa4#e3s4server.crt #e3 eas3:rsa4#e3s4server.#e3 N This file should )e #ept secret dh eas3:rsa4#e3s4dh>?2C.pem server >?.E.?.? 2DD.2DD.2DD.? 9e esta forma el servidor dar, acceso a la red >?.E.?.?42C 3 tomar, la direcci(n .P >?.E.?.> !los clientes tendr,n una .P en el ran%o >?.E.?.2 a >?.E.?.2DC$. Por *ltimo copiar el archivo de confi%uraci(n al directorio 4etc4openvpn2 cp server.conf ..4 cd 4etc4openvpn 6#2# Con-i$)raci8n de lo" cliente" +ditar el archivo de confi%uraci(n de los clientes2 cd 4etc4openvpn4sample:confi%:files nano client.conf Modificar las si%uientes l&neas2 proto tcp Lproto udp remote direccion:.P:servidor >>OC +n este ejemplo la direcci(n .P >O2.>BE.>22.>BO es la direcci(n en la cual el servidor escucha pedidos de cone'i(n a la VPN >?.E.?.?42C en el puerto >>OC. +mpaquetar el archivo de confi%uraci(n junto con los certificados 3 clave2 cd 4etc4openvpn m#dir client> cp sample:confi%:files4client.conf client>4 cp eas3:rsa4#e3s4ca.crt client>4 cp eas3:rsa4#e3s4client>.crt client>4client.crt cp eas3:rsa4#e3s4client>.#e3 client>4client.#e3 -ip :P deflate :r client>.-ip client>4Q

7 de 9

Redes de Computadores 2
2012

VPN

:# I ICIAR EL SERVIDOR PARA VERI&ICAR LA CO ECTIVIDAD Antes de iniciar el servidor de)e ha)ilitarse .P for"ardin% para que funcione el ruteo de paquetes. 7a)ilitar .P for"ardin%2 echo > R 4proc4s3s4net4ipvC4ipSfor"ard .niciar el servidor de VPN2 cd 4etc4openvpn4 openvpn server.conf

;# PRUEBAS DE CO ECTIVIDAD Pin% al cliente dir .P >?.E.?.B

8 de 9

Redes de Computadores 2
2012

VPN

/<# CO CLUSIO ES 1e lo%ro confi%urar una VPN entre 2 equipos haciendo uso del soft"are @P+NVPN/ este a3uda a confi%urar tanto el servidor como al cliente/ %enerando claves para que se pueda esta)lecer cone'i(n se%ura entre los 2 equipo/ el al%oritmo 9iffiel:7ellman nos a3uda para la encriptaci(n de los mensajes que viajaran por la red. Para las prue)as se uso otro equipo dentro de la misma red 3 se envio pro)o cone'i(n con la red que se esta)leci( para el t*nel 3 no reconoci( a la red. //# BIBLIO4RA&IA http244""".linu'ito.com.ar4%nu:linu':24nivel:alto4>2>:instalacion:3:confi%uracion:de: openvpn

9 de 9