VPN en Ipcop
-
Upload
renato-martin-ferreghini -
Category
Documents
-
view
944 -
download
2
Transcript of VPN en Ipcop
Introduccin a los servicios de Red Privada VirtualManuel Vilas Paz Roberto Garca Fernndez Xabiel Garca Paeda David Melendi Palacio
VPN (Red Privada Virtual) Ofrecer un servicio que permita a los clientes, situados en puntos distantes de una red de comunicaciones, tener la impresin de compartir la misma red independientemente de su situacin Autorizacin de acceso Proteccin de los datosInfraestructura comn
Tnel encriptado
Los clientes remotos de la VPN sern considerados igual que los clientes internos de la red
Tnel IPDatos 192.168.100.1 192.168.101.1 Datos 192.168.100.1 192.168.101.1
192.168.100.0/24
192.168.101.0/24
10.10.10.1
10.10.10.2
Utilizando el campo de datos del paquete IP, se transmite un nuevo paquete IP, identificando origen y destino dentro de la VPN 192.168.100.1 192.168.101.1
Cabecera IP externa utilizada para encaminar el trfico entre los extremos de la VPN dentro de la red del operador 10.10.10.1 10.10.10.2
Adems, los datos en el tnel de una VPN suele ir encriptados
VPN Host a Servidor (Host) Dos equipos se conectan de forma remota estableciendo un tnel entre ellos Son tiles cuando el usuario solo quiere acceder a recursos locales del otro extremo
Conexin punto a punto entre dos elementos
VPN Host a Sede Un equipo remoto se conecta a la red de su empresa a travs de una red pblica de telecomunicaciones Un extremo del tnel es, por ejemplo, el Firewall de entrada a la oficina El otro extremo es el PC del cliente El usuario necesita saber de la presencia de la VPN
Solo los clientes autorizados y con los protocolos de encriptacin adecuados podrn conectarse mediante VPN
VPN Sede a Sede Dos oficinas remotas se conectan directamente a travs de una infraestructura comn Ahora, los dos extremos del tnel pueden ser, por ejemplo, los firewall de entrada a la red Para los clientes de la red es totalmente transparenteAhora, los clientes ven sus respectivos Firewall como su router de salida IP.
Los equipos Firewall son los que establecen el tnel entre ellos Oficina 1 Oficina 2
Servidores de Mediacin (Hamachi LogMeIn)1. 2. Los clientes seleccionan una clave pblica y una privada. Los clientes establecen una conexin con un servidor de mediacin, le comunican su clave pblica y se les asigna un IP virtual. 3. Los usuarios definen redes en las que pueden participar solo un grupo de usuarios. Los clientes establecen un tnel directo, que gracias a la ayuda del servidor de mediacin puede atravesar Firewalls, NAT/PAT,
4.
Tipos de tneles IPSec Extensin segura del protocolo IP Muy potente pero de alta complejidad y costo computacional
TLS/SSL (Transport Layer Security / Secure Socket Layer) VPN Surge a partir de los protocolos seguros de navegacin web Se basa en encapsular trfico sobre sesiones SSH
Solucin ms simple ya que no altera la pila de protocolos, haciendo la implementacin independiente del ncleo del sistema operativo
IPSec Conjunto de protocolos que permiten extender las funcionalidades de IP: establecer claves de forma dinmica encriptar y autenticar cada unidad de datos
Dos modos: modo de transporte Solo el campo de datos se codifica Tpico en las comunicaciones host a host
modo tunel Un paquete IP entero se encapsula en IPSec Ha de aadirse una nueva cabecera para que el routing siga funcionando Utilizado en comunicaciones sede a sede, host a sede y host a host
IPSec. Protocolos ISKMP (Internet Security Association and Key Management Protocol) Permite el establecimiento de SA (Security Agreement) entre los elementos participantes en la comunicacin Gestiona las claves de sesin de forma que estas se mantienen secretas Autentifica la fuente y verifica la integridad de los datos Protocolo IP 51 Verifica la integridad de los datos y garantiza el secreto de los mismos Protocolo IP 50
IKE (Internet Key Exchange)
AH (Authetication Header) Protocol ESP (Encapsulation Header Protocol)
Cabecera IP
AH Header Permite verificar los campos no variables de la cabecera IP (la fuente) y la integridad de los datos
TCP/UDP Segment
Cabecera IP
ESP Header
TCP/UDP Segment
ESP Trailer
ESP Auth Permite autentificar todos los campos anteriores
Encriptacin de datos
Tipos de VPNs IPSec PSK o certificados Las claves utilizadas en la encriptacin basada en certificados son ms largas 1024 bits y escogidas de forma que los protocolos se comporten de una forma especialmente robusta La clave precompartida (PSK) se elige de forma que sea fcilmente recordable Demasiado corta? Ataques por diccionario?
El despliegue basado en PSK es ms sencillo Los especialistas en seguridad recomiendan utilizar las VPNs basadas en PSK solo para comprobar que el despliegue es viable (encaminamiento, firewall,) y posteriormente migrar a certificados.
Criptografa de clave pblica y privadaSe basan en operaciones de aritmtica modular que son de clculo sencillo pero de muy difcil inversin
Clave pblicaConocida por todo el mundo
Clave privadaConocida solo por su propietario
Mensaje
Mensaje Encriptado
Mensaje
Algoritmo
AlgoritmoSolo el poseedor de la clave privada puede desencriptar los mensajes El resto tendran que implementar un ataque por fuerza bruta, que, con las capacidades de computo actuales y la seleccin correcta de las claves es inviable Permite la firma de mensajes garantizando su autenticidad
Despliegue de VPNs basadas en IPCopHost a Sede
Manuel Vilas Paz Roberto Garca Fernndez Xabiel Garca Paeda David Melendi Palacio
Elementos VPN Host a Sede
Internet
192.168.101.0/24IP Pblica del clienteEl cliente tiene que conocer el rango de direcciones remoto para poder decidir si meter el trfico por el tnel VPN o enviarlo directamente a Internet
Tipo de autentificacin y encriptacin de datos
IP Pblica del Servidor de VPNs
Red privada detrs del servidor de VPNs
Disponemos de, al menos, dos mecanismos de autentificacin: Autentificacin bsica basada en secreto compartido (clave alfanumrica) Autentificacin avanzada basada en certificados
Configuracin de VPNs Activacin Pestaa VPNs Seleccionar casilla Activo Pulsar en Guardar Zona comn
VPNs definidas en el equipo
Configuracin de VPN cliente a sede basada en secreto compartido Pulsar en botn Agregar Seleccionar el Tipo de VPN Anfitrin-a-red = Host a Sede Remota Red a Red = Sede a Sede
Pulsar nuevamente Agregar
Configuracin de VPN basada en secreto compartido en la sede Se basan en una clave alfanumrica compartidaNombre descriptivo. Su nica utilidad es diferenciar las distintas VPNs en la interfaz grfica de IPCop
Direcciones IP internas que queramos que sean encaminables desde la IP remota
Limitar los host que se pueden conectar con esa VPN
Seleccionar este campo
Clave pre-compartida Clave pre-compartida
Configuracin de VPN en el cliente El soporte para IPSec de Microsoft es complejo de gestionar y soporte con asistentes no incluye algunas funcionalidades del protocolo Recurriremos a clientes de terceros para conectarnos a la sede desde un cliente Windows LinSys Ipsec Tool Interfaz grfico y soporte para funcionalidades avanzadas de Ipsec PFS (Perfect Forward Secrecy)
Incluye aplicacin para importar certificados creados desde un Linux Disponible desde: http://sourceforge.net/projects/lsipsectool/
Shrew Soft VPN Access Manager http://www.shrew.net/
Linsys IPSec ToolDireccin IP pblica a utilizar en el extremo cliente del tnel IPSec
Red interna que estamos utilizando Direccin IP pblica del otro extremo del tnel IPSec Direccin IP remota para monitorizar el estado del tunel IPSec (pings peridicos)
Tipo de autentificacin
Red remota detrs del tnel IPSec. Necesario para encaminar
Clave precompartida
Monitorizacin y resolucin de problemas del tnel IPSecMonitorizacin: En el IPCop entrando por ssh al puerto 222: tail f /var/log/messages El intercambio de mensajes, en caso de finalizar correctamente el establecimiento, tiene que terminar en SA Established Botn derecho sobre el icono de la barra de tareas Ver Log
En el Linsys IPSec
Resolucin de problemas: 1. Botn de reinicio de VPN 2. Entrar en la lnea de comandos del equipo y reiniciar el servicio: /etc/rc.d/ipsec restart 3. Si nada de lo anterior funciona REINICIAR EL EQUIPO!!!!
VPN Cliente a Sede basada en certificados En el IPCop objetivo de las VPNs vamos a generar un certificado Raz y uno de Host Desde la pantalla inicial de VPNs Generar certificados Host/Raz Crea dos ficheros hostcert.pem y cacert.pem
Se utilizarn en este caso para: Autentificacin del IPCop contra los clientes Autenticidad de los certificados de Host y Clientes
El IPCop tiene que poder autentificar al cliente (conocer su clave pblica) y poder verificar su la autenticidad del certificado (conocer la clave pblica de la autoridad de certificacin)
El cliente tiene que poder autentificar al cliente (conocer su clave pblica) y poder verificar su la autenticidad del certificado (conocer la clave pblica de la autoridad de certificacin)
Certificado IPCop1 emitido por CA1(firmado digitalmente por CA1)
Certificado cliente emitido por CA1(firmado digitalmente por CA1)
Certificado CA1
Configuracin de VPNs cliente a sede basadas en certificados Ahora, la encriptacin y autentificacin se basar en certificados
Nombre del certificado de cliente y contrasea para importarlo
Exportar el certificado creado Conectarse a la interfaz web Pulsar en el icono Descargar Certificado Certificados PKCS12: Combinan el certificado de clave pblica, clave privada y la autoridad certificadora en un solo certificado Simplifica el proceso de manipulacin de ficheros e intercambio de los mismo con los clientes Solo es necesario manipular un fichero e interpretarlo
Grabar el certificado en algn lugar del disco local del cliente de VPN Importarlo desde Linsys IPSec: Opciones IPSec certificados Certificados personales Seleccionar fichero Con clave la que se indic en Fichero de contrasea en la interfaz del IPCop
Pulsar en la flecha para aceptar los cambios
Despliegue de VPNs basadas en IPCopSede a Sede
Manuel Vilas Paz Roberto Garca Fernndez Xabiel Garca Paeda David Melendi Palacio
Elementos de VPN sede a sedeInternet
192.168.100.0/24
IPCop1
IPCop2
192.168.101.0/24
Red privada detrs del servidor 1 de VPNs
IP Pblica del Servidor 1 de VPNs
Tipo de autentificacin y encriptacin de datos
IP Pblica del Servidor 2 de VPNs
Red privada detrs del servidor 2 de VPNs
Cada equipo debe saber las direcciones detrs del otro extremo del tnel para tomar decisiones de qu trfico enviar a Internet y qu trfico enviar por el Tunel VPN
Configuracin de VPNs Sede a Sede basadas en secreto compartidoNombre (alfanumrico) IP del otro extremo de la VPN
Subred remota detrs del otro extremo. No se pueden solapar!!
Clave pre-compartida En caso de que en el primer intento no funcione: 1. 2. 3. Botn de reinicio de VPN Entrar en la lnea de comandos del equipo y reiniciar el servicio: /etc/rc.d/ipsec restart Si nada de lo anterior funciona REINICIAR EL EQUIPO!!!!
Configuracin de VPNs Sede a Sede basadas en secreto compartido
IPCop1
IPCop2
Red privada detrs del servidor 1
IP Pblica del Servidor 1
IP Pblica del Servidor 2
Red privada detrs del servidor 2
Clave compartida
Elementos de VPN Sede a Sede basada en certificadosCertificado CA1
Autoridad certificadora (CA)Entidad confiable que garantiza la autenticidad de los certificados de emitidos
Certificado CA2
Red privada IPCop1
IPCop1
IPCop2
Red privada IPCop2
Certificado IPCop1 emitido por CA1(firmado digitalmente por CA1) IPCop1, para garantizar la identidad de IPCop2 necesita disponer del certificado de IPCop2 y conocer el certificado de su autoridad certificadora. De esta manera puede comprobar la autenticidad del certificado.
Certificado IPCop2 emitido por CA2(firmado digitalmente por CA2) IPCop2, para garantizar la identidad de IPCop1 necesita disponer del certificado de IPCop1 y conocer el certificado de su autoridad certificadora. De esta manera puede comprobar la autenticidad del certificado.
VPN Sede a Sede basada en certificados. Importar certificado CA remota En cada IPCop vamos a generar un certificado Raz y uno de Host Desde la pantalla inicial de VPNs Generar certificados Host/Raz Crea dos ficheros hostcert.pem y cacert.pem
Descargar certificados a equipo local desde el navegador Debemos dar un nombre nico a estos ficheros para diferenciar los de los dos IPCops Para IPCop1 hostcert-1.pem, cacert-1.pem Para IPCop2 hostcert-2.pem, cacert-2.pem
Cargar en cada IPCop el certificado de la CA del otro En Autoridades Certificadoras introducir el nombre del otro IPCop En IPCop1 cargar cacert-2.pem En IPCop2 cargar cacert-1.pem
IPCop1
IPCop2
/var/ipcop/ca/cacert.pem /var/ipcop/ca/NombreCARemotacert.pem
VPN Sede a Sede basada en certificados. Importar certificado IPCop remoto Crear una VPN Net-to-Net Dentro de Conexin Agregar nueva VPN tipo Net-to-Net En Remote Host/IP introducir la IP pblica del otro IPCop En Remote Subnet introducir la red privada detrs del otro IPCop
Dentro de Autentificacin Seleccionar Cargar un certificado Cargar el certificado del otro extremo de la VPN En IPCop1 hostcert-2.pem En IPCop2 hostcert-1.pem IPCop1 IPCop2
Situacin de los certificados de host: /var/ipcop/certs/hostcert.pem /var/ipcop/certs/NombreVPNcert.pem