VPN Road Warrior en Appliance Pfsense.

5/10/2018 VPN Road Warrior en Appliance Pfsense. - slidepdf.com

http://slidepdf.com/reader/full/vpn-road-warrior-en-appliance-pfsense 1/21

VPN ROAD WARRIOR EN APPLIANCE

PFSENSE.

POR: Maicol Muñoz.

INSTRUCTOR:Andrés Mauricio Ortiz.

Gestión de la seguridad de la red.

Tecnólogo en administración de redesInformáticas.

35442.

Servicio nacional de aprendizaje (SENA) –AntioquiaCentro de Servicios y Gestión Empresarial.

(CESGE) 2011



INTRODUCCION.La seguridad es la principal defensa que puede tener una organizaciónsi desea conectarse a Internet, dado que expone su información

privada y arquitectura de red a los intrusos de Internet.El Firewall ofrece esta seguridad, mediante: Políticas de seguridad,determinando que servicios de la red pueden ser acezados y quienespueden utilizar estos recursos, manteniendo al margen a los usuariosno-autorizados.Pfsense es una distribución personalizada de FreeBSD adaptado para

su uso como Firewall y Router. Se caracteriza por ser de código

abierto, puede ser instalado en una gran variedad de ordenadores, y

además cuenta con una interfaz web sencilla para su configuración.



MARCO TEORICO.

VPN o Red Privada Virtual: Estos son túneles los cuales sirven paracomunicar redes LAN o privadas a través de redes sobre las que lossysadmins no tenemos control como las redes WAN.Una VPN punto a punto sirve para comunicar 2 redes LAN a través dela WAN, creando entre estas un túnel mediante el cual se cifra eltrafico que circule a través de este. Wikipedia define una VPN punto apunto como un esquema que se utiliza para conectar oficinas remotascon la sede central de la organización. Usando como medio detransporte la conexión prestada por un ISP mediante banda ancha

permitiendo así disminuir costos de canales punto a punto físicos odedicados, sobre todo en las comunicaciones internacionales.

Road Warrior: Este tipo de VPN es muy utilizada ya que básicamente

consiste en brindar acceso a la LAN a través de internet a usuarios

que no están presentes físicamente en esta; es decir; por ejemplo hay

un empleado de una empresa y necesita acceder a los recursos de

dicha empresa, pero el empleado no está ubicado geográficamente en

ella, lo que puede hacer es acceder a esta a través de la WAN ymediante la dirección publica de la empresa podrá acceder a los

recursos de la LAN.



Desarrollando.En este caso el servidor VPN Pfsense, además para poder realizar

esta práctica también les recomiendo tener conocimientos previossobre reglas de NAT y Firewall, además el manejo básico de Pfsense,para ello recomiendo visitar los siguientes enlaces:

Configurando firewall en appliance Pfsense.

VPN con llaves pre compartidas.

Primero no paramos sobre vpn y habilitamos el ipsec.

Ahora vamos a configurar los parámetros para la conexión de vpn de

nuestros clientes.

http://maicolqm.blogspot.com/2011/10/configurando-firewall-en-appliances.html





Procedemos entonces a crear a nuestro clave pre compartido.



Ya con todo lo anterior hemos terminado la configuración para nuestra

vpn, ahora desde un cliente de internet intentaremos conectarnos por

medio de un software vpn o cliente vpn aquí les mostrare de dondedescargarlo.

http://www.shrew.net/download/vpn

Ya instalado procederemos a instalarlo y a crear una nueva conexión

con todos los parámetros que especificamos en nuestra appliance.

Nota:

No equivocarse un ninguno de los parámetros para que no hayan

errores de conexión.






Aquí especificamos la ip a la cual nos vamos a conectar (WAN de la

appliance o ip publica de mi red), además especifico el rango de

direccionamiento ip que va a tener mi vpn (recordar que este

direccionamiento tiene que ser diferente a todas las demás WAN y

LAN).



Aquí procedemos a especificar las opciones del firewall.



Aquí especificaremos la autenticación y los métodos de identidad tanto

local como remota.



Y aquí deberemos de poner la clave pre compartida que creamos en la

appliance.



Ahora solo bastara con especificar cada uno de los parámetros que

especificamos en nuestra appliance.



Y Para terminar con la configuracio0n de la conexión especificamos la

red interna a la cual va tener acceso nuestra conexión vpn.



En nuestra appliance deberemos crear una regla en nuestro ipsec en

la cual especificaremos acceso a todo, aunque si quieren especificar a

que solo se puede acceder en la conexión vpn lo pueden hacer comocreando las reglas de firewall.

Ahora solo bastara con una maquina de internet para realizar nuestraprueba.



Y aquí vemos que hay conexión vpn por que estamos dentro del rango

que le especificamos y además le puedo hacer un ping a mi red LAN.



Glosario:

DMZ:

Una DMZ es una red con seguridad perimetral, lo que se hace es

ubicar una subred entre la LAN y la WAN.

LAN:

Una red de área local.

WAN:Las Redes de área amplia.

Router:

Enrutador, encaminador. Dispositivo hardware o software para

interconexión de redes de computadoras que opera en la capa tres

(nivel de red) del modelo OSI. El Router interconecta segmentos de

red o redes enteras. Hace pasar paquetes de datos entre redes

tomando como base la información de la capa de red.

SDM:

SDM es la abreviatura de Cisco Router and Security Device Manager.

Una herramienta de mantenimiento basada en una interfaz web

desarrollada por Cisco. No es simplemente una interfaz web. Es una

herramienta java accesible a través del navegador.

Esta herramienta soporta un amplio número de routers Cisco IOS. En

la actualidad se entrega preinstalado en la mayoría de los routers

nuevos de Cisco.



SSH:

SSH (Secure SHell, en español: intérprete de órdenes segura) es el

nombre de un protocolo y del programa que lo implementa, y sirvepara acceder a máquinas remotas a través de una red. Permite

manejar por completo la computadora mediante un intérprete de

comandos, y también puede redirigir el tráfico de X para poder ejecutar

programas gráficos si tenemos un Servidor X (en sistemas Unix y

Windows) corriendo.

JAVA:

Java es un lenguaje de programación.

Existe un gran número de aplicaciones y sitios Web que no funcionan

a menos que Java esté instalado, y muchas más que se crean a diario.

Java es rápido, seguro y fiable. De portátiles a centros de datos, de

consolas de juegos a súper equipos científicos, de teléfonos móviles a

Internet, Java está en todas partes.

NAT:

En las redes de computadoras, NAT es el proceso de modificación de

la dirección IP de información en los encabezados de paquetes IP,

mientras que en tránsito a través de un tráfico de dispositivos de

enrutamiento

El tipo más simple de NAT proporciona una traducción a una de las

direcciones IP.

DNS:

Es un sistema de nomenclatura jerárquica para computadoras,

servicios o cualquier recurso conectado a Internet o a una red privada.

Este sistema asocia información variada con nombres de dominios

asignados a cada uno de los participantes. Su función más importante,

es traducir (resolver) nombres inteligibles para los humanos en



identificadores binarios asociados con los equipos conectados a la red,

esto con el propósito de poder localizar y direccionar estos equipos

mundialmente.

TCP:s uno de los principales protocolos de la capa de transporte del

modelo TCP/IP. En el nivel de aplicación, posibilita la administración

de datos que vienen del nivel más bajo del modelo, o van hacia él, (es

decir, el protocolo IP). Cuando se proporcionan los datos al protocolo

IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6

(para que sepa con anticipación que el protocolo es TCP). TCP es un

protocolo orientado a conexión, es decir, que permite que dos

máquinas que están comunicadas controlen el estado de latransmisión.

UDP:

UDP son las siglas de Protocolo de Datagrama de Usuario (en inglés

User Datagram Protocol) un protocolo sin conexión que, como TCP,

funciona en redes IP. UDP/IP proporciona muy pocos servicios de

recuperación de errores, ofreciendo en su lugar una manera directa de

enviar y recibir datagramas a través una red IP. Se utiliza sobre todocuando la velocidad es un factor importante en la transmisión de la

información, por ejemplo, RealAudio utiliza el UDP. El FTP utiliza

TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de

Protocolo de Transferencia de Archivos Triviales (en inglés Trivial File

Transfer Protocol), y puesto que es trivial, perder algo de información

en la transferencia no es crucial .

Stateless:

Crear reglas de ida y de respuesta.



Statefull:

Crear reglas de ida y las reglas de respuestas son automáticas no hay

que crearlas.

Mascara wildcard:

Una máscara wildcard es sencillamente una agrupación de 32 bits

dividida en cuatro bloques de ocho bits cada uno (octetos). La

apariencia de una máscara wildcard le recordará probablemente a una

máscara de subred. Salvo esa apariencia, no existe otra relación entre

ambas. Por ejemplo, una máscara wildcard puede tener este aspecto:

192.168.1.0 mascara normal 255.255.255.0 mascara wildcard

0.0.0.255.

Mascara normal 255.255.0.0 mascara wildcard 0.0.255.255 mascara

normal 255.0.0.0 mascara wildcard 0.255.255.255

ISA server:

ISA Server es un Gateway integrado de seguridad Perimetral que

protege su entorno de IT frente a amenazas basadas en Internet y

permite a los usuarios un acceso remoto rápido y seguro a las

aplicaciones y los datos.

Servidor:

En informática, un servidor es una computadora que, formando parte

de una red, provee servicios a otras computadoras denominadas

clientes.

WPAD:

Web Proxy Automatic Discovery es un metodo usado por los

navegadores para encontrar los proxys automáticamente, es decir que



cuando configuramos un navegador para que detecte

automáticamente el proxy, el se dirigirá al DNS buscando cual es la IP

que responda al nombre de WPAD y con dicha respuesta sabrá cual

es el proxy al que debe conectarse.

Red privada virtual (VPN):

Una red privada virtual, RPV, o VPN de las siglas en inglés de Virtual

Private Network, es una tecnología de red que permite una extensión

de la red local sobre una red pública o no controlada, como por

ejemplo Internet.

Ejemplos comunes son la posibilidad de conectar dos o más

sucursales de una empresa utilizando como vínculo Internet, permitir a

los miembros del equipo de soporte técnico la conexión desde su casa

al centro de cómputo, o que un usuario pueda acceder a su equipo

doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello

utilizando la infraestructura de Internet.

Ipsec:

Ipsec (abreviatura de Internet Protocol security) es un conjunto de

protocolos cuya función es asegurar las comunicaciones sobre

el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete

IP en un flujo de datos. Ipsec también incluye protocolos para

el establecimiento de claves de cifrado.

VPN Road Warrior en Appliance Pfsense.

Documents

Transcript of VPN Road Warrior en Appliance Pfsense.