expo_svr_vpn.pptx

Marco Xavier Rojas VivancoManuel Agustín Valarezo Salinas

UNIVERSIDAD NACIONAL DE LOJAÁrea de la Energía, las Industrias y los Recursos Naturales no Renovables

Ingeniería en Sistemas

“IMPLEMENTACION DE UN SERVIDOR VPN QUE PERMITA LA MOVILIDAD DE USUARIOS DE LA RED DE DATOS DE LA UNIVERSIDAD NACIONAL DE LOJA Y SU INTEGRACIÓN CON EL SERVIDOR DE VoIP. “

S E R V I D O R V P N

INTRODUCCIÓN

El presente proyecto de desarrollo ha sido efectuado en vista a la eminente demanda de tecnología y soluciones informáticas, enfocadas al máximo aprovechamiento de los recursos y servicios que brinda la red de datos de la Universidad Nacional de Loja y a la implementación de un servidor de Redes Privadas Virtuales (VPN´s) como una herramienta fundamental para lograr el acceso a la red con las seguridades suficientes como para garantizar la integridad de datos y así mismo certificar que éstos no puedan ser vulnerados.


OBJETIVOS

OBJETIVO GENERAL

Implementar un servidor VPN que permita el acceso de usuarios externos a la red de datos de la Universidad Nacional de Loja y el uso de telefonía IP.


OBJETIVOS

OBJETIVO GENERAL


OBJETIVOS ESPECÍFICOS

* Realizar un estudio que permita el conocimiento de conceptos, requerimientos, tipos de red privada virtual (VPN).


OBJETIVOS

OBJETIVO GENERAL



* Realizar un estudio comparativo de las diferentes tecnologías que se pueden utilizar para implementar un servidor VPN y, seleccionar la tecnología que mejor se adapte a las condiciones de la red de datos de la Universidad Nacional de Loja.


OBJETIVOS

OBJETIVO GENERAL



* Obtener, Instalar y Configurar el software para que cumpla con la función de servidor VPN y, configurar clientes VPN.


OBJETIVOS

OBJETIVO GENERAL



* Lograr que cinco clientes VPN puedan ser autenticados en el servidor de Voz sobre IP para que puedan hacer uso del servicio de Telefonía IP.


METODOLOGÍA

Según Carlos Sabino en su libro “El Proceso de Investigación” existen cuatro momentos en una investigación, los cuales hemos aplicado en nuestro proyecto de desarrollo:

1 LÓGICO

Se ordenan las preguntas, se organiza la información, se definen los sujetos y objetos.

Aplicado principalmente al momento de realizar el análisis de los componentes activos de la red de datos universitaria.


METODOLOGÍA

Según Carlos Sabino en su libro “El Proceso de Investigación” existen cuatro momentos en una investigación, los cuales hemos aplicado en nuestra investigación:

2 METODOLÓGICO

Se fijan las estrategias y formula un modelo operativo.

Utilizado en el momento de obtener, instalar y configurar el software que cumpla como servidor VPN


METODOLOGÍA


3 TÉCNICO

Se recolecta y organiza la información.

Necesario al momento de realizar las comparaciones entre las diferentes tecnológias existentes para dar cumplimiento con el objetivo general.


METODOLOGÍA


4 ANÁLISIS Y REFORMULACIÓN TEÓRICA

Se analizan los resultados, se aceptan o rechazan las hipótesis y se confirma las teorías.

Momento aplicado para la elaboración del documento de tésis.


FUNDAMENTACIÓN TEÓRICA

DESCRIPCIÓN DE LA RED INTERNA DE LA UNIVERSIDAD NACIONAL DE LOJA Y SUS SERVICIOS




INTRODUCCIÓN

La Universidad Nacional de Loja se ha visto inmersa en procesos de modernización tanto en su estructura organizacional como en el soporte tecnológico a las diferentes actividades académico administrativas, lo que ha dado paso a la implementación de una red de datos que permite la comunicación de los usuarios, así como la necesidad de estar inmersos en el mundo de la información global como Internet.

Teniendo en cuenta la necesidad de comunicación de los usuarios el presente proyecto propone la implementación de un servidor de redes privadas virtuales.




ADMINISTRACIÓN CENTRAL

La Jefatura de Informática es el punto central de la red universitaria.

Elementos activos principales:1 Router Cisco 18001 Switch D-Link, Gigabit1 Switch D-Link des-1016r1 Switch principal Intel Express 410T Standalone1 Firewall (192.188.49.5)1 Servidor Web1 Servidor de Correo1 Servidor de Telefonía IP (Asterisk) (172.16.32.5)1 Servidor DHCP




ADMINISTRACIÓN CENTRAL

La Jefatura de Informática es el punto central de la red universitaria.

Elementos activos secundarios:

1 Switch catalyst 29501 Switch 3com 3300 2 Switch des – 3624 1 Transaiver mc102xl fast Ethernet media converter 2 Transaiver d-link def-855




ÁREA AGROPECUARIA Y RECURSOS NATURALES RENOVABLES

La interconexión con esta área es por intermedio de fibra óptica

1 caja multimedia1 transaiver d-link def-8551 Switch 3Com1 switch D-link de 16 puertos (Switch Principal).1 servidor Proxy




ÁREA DE ENERGÍA,LAS INDUSTRIAS Y LOS RECURSOS NATURALES NO RENOVABLES

La conexión hacia ésta área es por medio de fibra óptica

1 Caja multimedia1 Transceiver1 servidor Proxy




ÁREA DE EDUCACIÓN,ARTE Y COMUNICACIÓN


Biblioteca del Área Educativa:

2 Cajas multimedia2 Un transaiver d-link def-8551 switch D-Link de 8 puertos1 Switch 3Com de 16 puertos (Switch Principal)1 Servidor Proxy




ÁREA DE EDUCACIÓN,ARTE Y COMUNICACIÓN


Centro de Cómputo del Área Educativa:

3 cajas multimedia donde llega la fibra óptica1 transaiver d-link def-8551 switch D-Link de 8 puertos (Switch Principal)




ÁREA JURÍDICASOCIAL Y ADMINISTRATIVA


Biblioteca del Área Jurídica:

1 caja multimedia2 transaiver D-Link def-8551 switch D-Link1 Servidor Proxy




ÁREA JURÍDICASOCIAL Y ADMINISTRATIVA


Nivel de Postgrado del Área Jurídica, Social y Administrativa

2 cajas multimedia donde llega la fibra óptica.1 transaiver d-link def-8551 Switch D-Link




ÁREA DE LA SALUD HUMANA

Con el área de la Salud Humana se tiene una conexión inalámbrica

2 BackHoul Canopy1 switch 3Com (Switch Principal)1 Servidor Proxy



RED PRIVADA VIRTUAL

RED PRIVADA VIRTUAL



INTRODUCCIÓN

La Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada , como por ejemplo Internet.

Las VPN’s representan una enorme ventaja de negocios para las empresas. Una VPN ayuda a las empresas a reducir costos de capital y operación ya que convergen redes tradicionales heterogéneas en una VPN, y aumentan la productividad soportando aplicaciones como VoIP, mensajería unificada, videoconferencias, y aplicaciones de servicio para los clientes.

RED PRIVADA VIRTUAL



INTRODUCCIÓN

Topología de una Red Privada Virtual

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL

Definición

Una VPN es una red privada desplegada sobre una infraestructura pública compartida que proporciona niveles de privacidad, seguridad, QoS, y administración en forma similar a las redes construidas sobre instalaciones dedicadas, arrendadas o que son propiedad privada.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL

Arquitecturas de conexión VPN:

VPN de sitio-a-sitio

Conectan las instalaciones de la oficina central y de las sucursales sobre una infraestructura compartida de un proveedor de servicios o a través de Internet utilizando

una conexión siempre activa

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL

Arquitecturas de conexión VPN:

VPN de acceso remoto

Consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales,

domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de acceso.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL

Requisitos básicos de una VPN

AUTENTIFICACIÓN DE USUARIOS

Verificar la identidad de los usuarios, para poder restringir el acceso a la VPN solo a los usuarios autorizados.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL


AUTENTIFICACIÓN DE USUARIOS

ADMINISTRACIÓN DE DIRECCIONES

Debe asignar una dirección del cliente sobre la red privada, y asegurar que las direcciones privadas se mantienen

privadas.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL


AUTENTIFICACIÓN DE USUARIOS ADMINISTRACIÓN DE DIRECCIONES

ENCRIPTACIÓN DE DATOS

los datos que viajan por la red pública, deben ser transformados para que sean ilegibles para los usuarios no autorizados.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL



ENCRIPTACIÓN DE DATOS

ADMINISTRACIÓN DE CLAVES

Debe mantener un almacenamiento de claves de encriptación para los clientes y los servidores.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL



ENCRIPTACIÓN DE DATOSADMINISTRACIÓN DE CLAVES

SOPORTE MULTIPROTOCOLO

Capaz de manejar protocolos comunes, usando las red pública, por ejemplo IPX, IP, etc.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL

Protocolos

Han sido implementados varios protocolos de red para el uso de las VPN. Estos protocolos continúan compitiendo por la aceptación, ya que ninguno de ellos ha sido más admitido que otro.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL

Protocolos

Han sido implementados varios protocolos de red para el uso de las VPN. Estos protocolos continúan compitiendo por la aceptación, ya que ninguno de ellos ha sido más admitido que otro.

Point-to-Point Tunneling Protocol (PPTP)Layer Two Tunneling Protocol (L2TP)Internet Protocol Security (Ipsec)VPN SSL

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL

Protocolos implementados sobre capa 2

POINT-TO-POINT TUNNELING PROTOCOL (PPTP)

El PPTP es un protocolo de Nivel 2 que encapsula las tramas del PPP en datagramas del IP para transmisión sobre una

red IP, como la de Internet. También se puede utilizar el PPTP en una red privada de LAN a LAN.

Protocolo de túnel de punto a punto (PPTP) utiliza una conexión TCP para mantenimiento del túnel y tramas del PPP encapsuladas por medio de Encapsulación de enrutamiento genérico (GRE) para datos de túnel.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL


POINT-TO-POINT TUNNELING PROTOCOL (PPTP)

Se pueden encriptar y/o comprimir las cargas útiles de las tramas del PPP encapsulado.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL


LAYER TWO TUNNELING PROTOCOL (L2TP)

L2TP es una combinación del PPTP y L2F. Sus diseñadores esperan que el L2TP represente las mejores funciones del PPTP y L2F.

L2TP es un protocolo de red que encapsula las tramas del PPP que se enviarán sobre redes IP, X.25, Frame Relay o modo de transferencia asíncrona (ATM).

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL


LAYER TWO TUNNELING PROTOCOL (L2TP)

Cuando está configurado para utilizar al IP como su transporte de datagrama, L2TP se puede utilizar como un protocolo de túnel sobre Internet.

El L2TP también utiliza UDP para enviar tramas del PPP encapsuladas del L2TP como los datos enviados por el túnel.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL


INTERNET PROTOCOL SECURITY (IPSEC)

Modo del túnel de seguridad de protocolo para Internet (IPsec)

El IPSec es un estándar de protocolo de Nivel 3 que da soporte a la transferencia protegida de información a través de una red IP

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL



Un túnel IPSec consiste en un cliente de túnel y un servidor de túnel, ambos configurados para utilizar los túneles IPSec y un mecanismo negociado de encriptación.

El modo del túnel del IPSec utiliza el método de seguridad negociada (de existir) para encapsular y encriptar todos los paquetes IP para una transferencia segura a través de una red privada o pública IP.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL



Tiene algunas limitaciones y funciones:

* Sólo da soporte a tráfico IP* Funciona en el fondo de la pila IP* Controlado por una política de seguridad* Espera la existencia de tráfico.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL



Seguridad

La IPSec define dos funciones que aseguran la confidencialidad: encriptación de datos e integridad de datos:

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL



Seguridad

* Encabezado de autenticación (AH)

Para proporcionar la autenticación e integridad de la fuente sin encriptación.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL



Seguridad

* Carga útil de seguridad encapsulada (ESP)

Para proporcionar la autenticación y la integridad junto con la encriptación

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL



Seguridad

Con la Seguridad IP, sólo el remitente y el receptor conocen las llaves de seguridad.

Si los datos de autenticación son válidos, el receptor sabe que la comunicación provino del remitente, y que no se cambió en su tránsito.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL


Es posible establecer túneles en la capa de aplicación .

Algunas soluciones son SSL6 y TLS7.

El usuario accede a la VPN de la organización a través de un browser iniciando la conexión en un sitio web seguro (HTTPS-Secured website).

La seguridad es lograda mediante cifrado del tráfico usando mecanismos SSL/TLS.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL

Implementación OpenVPN

OpenVPN es una excelente nueva solución para VPN que implementa conexiones de capa 2 o 3, usa los estándares de la industria SSL/TLS para cifrar y combina todos las características mencionadas anteriormente en las otras soluciones VPN.

Su principal desventaja por el momento es que hay muy pocos fabricantes de hardware que lo integren en sus soluciones.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL

Clientes y Servidor VPN

SERVIDOR

Un servidor VPN debe estar siempre conectado y esperando a que clientes VPN se conecten a él.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL

Cliente y Servidor en una VPN

SERVIDOR

Un servidor VPN debe estar siempre conectado y esperando a que clientes VPN se conecten a él.

CLIENTE

Un Cliente VPN es en la mayoría de los casos un componente software

Un cliente realiza una llamada al servidor y se conecta.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL

Ventajas y Desventajas

VENTAJAS

* Bajo coste de implementación de una VPN* Escalabilidad de las VPN

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL

Ventajas y Desventajas

VENTAJAS

DESVENTAJAS

* Una VPN requiere conocimientos de seguridad en redes* Dependen de un área externa a la organización y sus políticas de seguridad* Las diferentes tecnologías VPN no podrían trabajar bien juntas * Las VPN`s necesitan diferentes protocolos que los de IP

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL

Seguridad con VPN

Uno de los sistemas más utilizados por las empresas para garantizar el secreto de las comunicaciones con empleados remotos son las Redes Privadas Virtuales.

VPN tiene dos modos considerados seguros, uno basado en claves estáticas precompartidas y otro en SSL/TLS usando certificados y claves RSA.

Si bien SSL/TLS + claves RSA es por lejos la opción más segura, las claves estáticas cuentan con la ventaja de la simplicidad.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL

Encriptación de Tráfico

ENCRIPTACIÓN SIMÉTRICA (Claves pre-compartidas)

Ambos lados usan la misma clave para encriptar y desencriptar los datos.

Cualquiera que posea la clave podrá desencriptar el tráfico, por lo que si un atacante la obtuviese comprometería el tráfico completo de la organización ya que tomaría parte como un integrante más de la VPN

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL


ENCRIPTACIÓN SIMÉTRICA (Claves pre-compartidas)

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL


ENCRIPTACIÓN ASIMÉTRICA (SSL/TLS)

SSL/TLS usa una de las mejores tecnologías de encriptación para asegurar la identidad de los integrantes de la VPN.

Cada cliente tiene 2 claves: 1 pública y 1 privada.

La pública es distribuida y usada por cualquiera para encriptar los datos que serán enviados.

La privada es la única que sirve para desencriptar los datos.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL



Secure Sockets Layer (SSL) -- Protocolo de Capa de Conexión Segura -- y Transport Layer Security (TLS)-- Seguridad de la Capa de Transporte--, su sucesor, son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL



SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía.

SSL implica una serie de fases básicas:

* Negociar entre las partes el algoritmo que se usará en la comunicación

RED PRIVADA VIRTUAL



RED PRIVADA VIRTUAL



SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía.

SSL implica una serie de fases básicas:

* Intercambio de claves públicas y autenticación basada en certificados digitales.* Cifrado del tráfico basado en cifrado simétrico.

OpenVPN



OpenVPN

Introducción

OpenVPN, es un excelente producto de software creado por James Yonan en el año 2001 y que ha estado siendo mejorado desde entonces.

OpenVPN es una solución de conectividad basada en software: SSL (Secure Sockets Layer) VPN Virtual Private Network (red virtual privada).

Está publicado bajo la licencia GPL, de software libre.

OpenVPN



OpenVPN

Ventajas / Desventajas

VENTAJAS

* OpenVPN provee seguridad, estabilidad y comprobados mecanismos de cifrado.

* Se puede implementar en capa 2 o 3. * Protección de usuarios remotos.* Conexión a través de casi cualquier firewall.* Soporte para Proxy* Sólo requiere un puerto* Las interfaces virtuales permiten reglas de iptables específicas.

OpenVPN



OpenVPN


VENTAJAS

* Alta flexibilidad y posibilidades de extensión mediante scripting.

* Soporte transparentes para IP`s dinámicas.* Compatibilidad con NAT* Instalación y uso relativamente fácil.

OpenVPN



OpenVPN


DESVENTAJAS

* No tiene compatibilidad con IPsec * Todavía existe poca gente que conoce cómo usar

OpenVPN* Actualmente sólo se puede conectar a otras computadoras.* Falta de maza crítica.

OpenVPN



OpenVPN

OpenVPN vs IPSec

IPsec OpenVPN

Estándar de la tecnología VPNAún desconocida y no compatible con IPsec

Plataformas de hardware (dispositivos, aparatos)

Solo en computadoras, pero en todos los sistemas operativos disponibles

OpenVPN



OpenVPN

OpenVPN vs IPSec

Tecnología conocida y probadaTecnología nueva y aún en

crecimiento

Muchas interfaces gráficas

disponibles

Sin interfaces gráficas

profesionales, aunque ya existen

algunos proyectos prometedores

Modificación compleja del stack

IPTecnología sencilla

OpenVPN



OpenVPN

OpenVPN vs IPSec

Necesidad de modificaciones

críticas al kernel

Interfaces de red y paquetes

estandarizados

Necesidad de permisos de

administrador

Ejecuta en el espacio del usuario

y puede ser chroot-ed

Diferentes implementaciones de

distintos proveedores pueden ser

incompatibles entre si

Tecnologías de cifrado

estandarizadas

OpenVPN



OpenVPN

OpenVPN vs IPSec

Configuración compleja y

tecnología compleja

Facilidad, buena estructuración,

tecnología modular y facilidad de

configuración

Curva de aprendizaje muy

pronunciada

Fácil de aprender y éxito rápido

para principiantes

Necesidad de uso de muchos

puertos y protocolos en el firewallUtiliza solo un puerto del firewall

OpenVPN



OpenVPN

OpenVPN vs IPSec

Problemas con direcciones

dinámicas en ambas puntas

Trabaja con servidores de

nombres dinámicos como

DynDNS o No-IP con

reconecciones rápidas y

transparentes

Problemas de seguridad de las

tecnologías IPsec

SSL/TLS como estándar de

criptografía

OpenVPN



OpenVPN

OpenVPN vs IPSec

* Control de tráfico (Traffic shaping)

* Velocidad (más de 20 Mbps en máquinas de 1Ghz)

* Compatibilidad con firewall y proxies

*Ningún problema con NAT

OpenVPN



OpenVPN

Formas de Conexión

HOST a HOST

* Es el método mas simple de conexión.

* Permite encriptar la comunicación entre dos PC las cuales deberán solamente tener conexión entre sí o alcanzables desde Internet.

* En el caso de una conexión host a host, podemos sencillamente generar una clave compartida en el servidor, y copiarla hacia el cliente.

OpenVPN



OpenVPN

Formas de Conexión

ROAD WARRIOR

* Es el método de conexión más usado.

* Permite encriptar la comunicación entre una o varias máquinas a un servidor VPN. Una vez autenticados los clientes VPN podrán hacer uso de los servicios de la red

* Para esta conexión necesitamos una serie de claves y certificados para la autentificación y encriptación de datos desde y hacia cliente / servidor

OpenVPN



OpenVPN

Formas de Conexión

RED a RED

* Mediante ésta forma dos redes separadas en el espacio pueden comunicarse como si estuvieran unidas por un cable virtual.

* Se emplea casi las mismas configuraciones de cliente y servidor de la forma de conexión Road Warrior.

OpenVPN



OpenVPN

Relación con Iptables

Hay que habilitar el tráfico hacia las interfaces TUN/TAP para que se conecten las máquinas sin problema alguno.

-- Permitir el tráfico por el tunel --iptables -A INPUT -i tun+ -j ACCEPTiptables -A FORWARD -i tun+ -j ACCEPTiptables -A INPUT -i tap+ -j ACCEPTiptables -A FORWARD -i tap+ -j ACCEPT

-- permitir el trafico openvpn protocolo UDP puerto 1194 --iptables -A INPUT -p udp --dport 1194 -j ACCEPT

OpenVPN



OpenVPN

Windows - Linux

OpenVPN puede trabajar tanto como cliente o como servidor en máquinas Windows y Linux.

Es decir puede quedar cualquier combinación:

Windows WindowsWindows LinuxLinux WindowsLinux-Linux.

OpenVPN



OpenVPN

OpenVPN GUI

OpenVPN es una solución completamente equipada SSL VPN que puede dar cabida a una amplia gama de configuraciones.

OpenVPN normalmente se ejecuta en una ventana de consola. OpenVPN GUI le permite ejecutar OpenVPN sin la ventana de consola.

OpenVPN GUI maneja la conexión desde un icono de red rojo.

OpenVPN GUI es un proyecto Open Source y está licenciado bajo GPL.

OpenVPN



OpenVPN

OpenVPN GUI

CARACTERÍSTICAS:

* Permite mostrar un icono en el área de notificación. * Admite manejar múltiples conexiones simultáneas. * Oculta la ventana de la consola. * Es un visor de archivos de registro. * Permite editar las configuraciones. * Tiene la opción Start/Stop/ Restart el Servicio OpenVPN. * Proporciona diálogos para introducir la contraseña de

clave privada.

OpenVPN



OpenVPN

OpenVPN GUI

CARACTERÍSTICAS:

* Pone a disposición el diálogo para introducir nombre de usuario / contraseña de autenticación de credenciales. * Soporta cambiar la contraseña utilizada para proteger la

clave privada * Se puede configurar proxy de la GUI. * Utilizar Internet Explorer proxy (sólo en caso de configurar manualmente en IE). * Ejecutar un archivo por lotes antes / después de conectar

y antes de desconectar.

OpenVPN



OpenVPN

OpenVPN GUI

CARACTERÍSTICAS:

* Cmd-line que es una opción para una conexión automática en el inicio (- conectar).

* Cmd-line opciones para anular la configuración del Registro.

* Mostrar la información de conexión en el icono de cuadro de herramientas.


EVALUACIÓN DEL OBJETO DE INVESTIGACIÓN

OBJETIVO GENERAL

Cabe destacar que para cumplir con los objetivos planteados se gestionó el apoyo del Departamento de la Jefatura de Informática de la Universidad Nacional de Loja, quienes se comprometieron a proporcionar toda la información y materiales necesarios para el desarrollo de nuestro proyecto.



OBJETIVO ESPECÍFICO 1

Para dar cumplimiento a éste objetivo, fue necesario realizar un estudio minucioso acerca de los conceptos fundamentales de VPN, los tipos de redes virtuales existentes y así poder determinar si es posible implementar las soluciones encontradas y si éstas satisfacen todos los requerimientos de comunicación.




Seguidamente luego de tener bien claros los conceptos y definiciones, se determinó mediante tablas comparativas las tecnologías que mejor se adapten a los requerimientos de la red, determinando las ventajas y desventajas en cada una de ellas con la finalidad de irnos enfocando en la selección de los procesos y soluciones más optimas.




Una vez identificado Open VPN como la mejor opción, se procedió a la obtención del software, la instalación del mismo y seguidamente la debida configuración, para lo cual fue de singular importancia el acceso que fue brindado hacia los desarrolladores del proyecto ya que el servidor VPN estaría instalado y configurado en el Firewall de la Universidad.




Para lograr este objetivo se procedió a crear los clientes VPN y a configurar en cada uno de ellos los parámetros necesarios con la finalidad de que se puedan autentificar en el servidor VPN y posteriormente hagan uso del servicio de Telefonía IP quedando como constancia de ello las pruebas realizadas que se detallan para mayor claridad.

Servidor VPN


PROPUESTA ALTERNATIVA

INTRODUCCIÓN

El servidor VPN es un software el cual va a estar instalado en el Firewall de la Universidad Nacional de Loja.

El firewall tiene las siguientes características:

SO: Fedora Core 8HDD: 70 GBRAM: 4 GBCPU: Intel Xeon 1.86 GHZ

El software seleccionado para configurarlo como servidor VPN se denomina OpenVPN.

Servidor VPN



INTRODUCCIÓN

Servidor VPN



INSTALACIÓN

1 Actualizar el SO

yum –y update

2 Instalar el paquete openvpn

yum –y install openvpn

3 Paquetes necesarios para que funcione correctamente

Librerias LZOOpenSSLControlador Tun/Tap

Servidor VPN



CONFIGURACIÓN

1 Preparación de los script

cp -Rp /usr/share/doc/openvpn-2.1/easy-rsa/ /etc/openvpn

2 Modificar la Autoridad Certificadora (CA)

editamos el archivo vars: vi /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY=ECexport KEY_PROVINCE=ECexport KEY_CITY=Lojaexport KEY_ORG="unl.edu.ec“export KEY_EMAIL="[email protected]"

vars

Servidor VPN



CONFIGURACIÓN

3 Generar CA

cd /etc/openvpn/easy-rsa/2.0/source ./varssh clean-all # nos crea un directorio keysh build-ca

RESULTADOS

Servidor VPN



CONFIGURACIÓN

3 Generar CA

Generating a 1024 bit RSA private key.............................. ++++++.....................++++++writing new private key to 'ca.key'-----You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [KG]:ECState or Province Name (full name) [NA]:LOJALocality Name (eg, city) [BISHKEK]:LojaOrganization Name (eg, company) [OpenVPN-TEST]:UNLOrganizational Unit Name (eg, section) []:JefaturaInformaticaCommon Name (eg, your name or your server's hostname) []:redesEmail Address [[email protected]]:[email protected]

Servidor VPN



CONFIGURACIÓN

4 Parámetro Diffie Hellman

cd /etc/openvpn/easy-rsa/2.0/sh build-dh

5 Llave (key) del server

cd /etc/openvpn/easy-rsa/2.0/sh build-key-server server

RESULTADOS

Servidor VPN



CONFIGURACIÓN

5 Llave (key) del serverGenerating a 1024 bit RSA private key......................+++++

+.........................++++++writing new private key to 'server.key'-----You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [KG]:ECState or Province Name (full name) [NA]:LOJALocality Name (eg, city) [BISHKEK]:LojaOrganization Name (eg, company) [OpenVPN-TEST]:UNLOrganizational Unit Name (eg, section) []:JefaturaInformaticaCommon Name (eg, your name or your server's hostname) []:server [[email protected]]:[email protected]

Servidor VPN



CONFIGURACIÓN

5 Llave (key) del server

…Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Using configuration from /etc/openvpn/easy-rsa/openssl.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'EC' stateOrProvinceName :PRINTABLE:'LOJA' localityName :PRINTABLE:'Loja' organizationName :PRINTABLE:'EcuaLinux' organizationalUnitName:PRINTABLE:'IT' commonName :PRINTABLE:'server' emailAddress :IA5STRING:'marcoxvaiunl.edu.ec' The stateOrProvinceName field needed to be the same in the CA certificate(LOJA) and the request (LOJA)

Servidor VPN



CONFIGURACIÓN

6 Llave (key) por cliente

cd /etc/openvpn/easy-rsa/2.0/sh build-key cliente

RESULTADOS

Servidor VPN



CONFIGURACIÓN

6 Llave (key) por cliente

Generating a 1024 bit RSA private key ....................++++++ ......++++++ writing new private key to 'client1.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [KG]:EC State or Province Name (full name) [NA]:LOJA Locality Name (eg, city) [BISHKEK]:Loja Organization Name (eg, company) [OpenVPN-TEST]:UNL Organizational Unit Name (eg, section) []:JefaturaInformatica Common Name (eg, your name or your server's hostname) []:client1 Email Address [[email protected]]:[email protected]

Servidor VPN



CONFIGURACIÓN

7 Archivos a copiar

cd /etc/openvpn/easy-rsa/2.0/keys # directorio origen

ca.crtdh1024.pemserver.crtserver.key

/etc/openvpn # directorio destino

Servidor VPN



CONFIGURACIÓN

8 Configuración

cd /etc/openvpn/vi server.conf

port 1194proto udpdev tunca ca.crtcert server.crtkey server.keydh dh1024.pemclient-to-clientserver 10.8.0.0 255.255.0.0ifconfig-pool-persist ipp.txtpush "route 172.16.32.0 255.255.240.0“keepalive 10 120

server.conf

Servidor VPN



CONFIGURACIÓN

8 Configuración

Esc:wq!

comp-lzouser nobodygroup nobodypersist-keypersist-tun

status /var/log/openvpn-status.log

verb 5

server.conf

Servidor VPN



INICIALIZACIÓN

9 Empezar

service openvpn startchkconfig openvpn on

10 Reinicializar / Detener

service openvpn restart<ó>service openvpn stop

Cliente VPN



CLIENTE VPN

En su gran mayoría los usuarios de la red de datos universitaria utilizan el SO Windows ya sea XP o VISTA, por lo que nos hemos centrado en dar la mejor solución para éstos potenciales clientes VPN. Clientes Windows

OpenVPN GUI es el cliente para WINDOWS por excelencia.

1 Obtener OpenVPN GUI

http://openvpn.se/

openvpn-2.0.9-gui-1.0.3-install.exe

http://openvpn.se/

http://openvpn.se/

Cliente VPN



CLIENTE VPN

2 Instalar OpenVPN GUI

Ejecutamos openvpn-2.0.9-gui-1.0.3-install.exe

Cliente VPN



CLIENTE VPN

2 Instalar OpenVPN GUI

Cliente VPN



CLIENTE VPN

3 Preparativos

Directorio OpenVPN

c:\Archivos de programa\OpenVPN\configc:\Program Files\OpenVPN\config

Archivos a copiar:

cliente.crtcliente.keyca.crt

Cliente VPN



CLIENTE VPN

4 Configuración

crear el archivo:cliente.ovpn

floatclientdev tunproto udpremote 192.188.49.5 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert cliente.crtkey cliente.keyns-cert-type servercomp-lzoroute-method exeroute-delay 2verb 5

cliente.ovpn

Cliente VPN



CLIENTE VPN

5 Ejecución

Cliente VPN



CLIENTE VPN

6 Pruebas de conexión

cmd [DOS]ipconfig –allping ip

Cliente VPN



VALIDACIÓN

Encuesta al Administrador de la Red de datos de la Universidad Nacional de Loja

Certificaciones de la Jefatura de Informática de la Universidad Nacional de Loja

Encuesta a los clientes VPN sobre la utilización del OpenVPN GUI

Cliente VPN



VALIDACIÓN

Prueba del Administrador de la Red desde la Ciudad de Quito

Valoración Técnica Económica


VALORACIÓN TÉCNICA ECONÓMICA

RECURSOS HUMANOS

DESCRIPCIÓN CANTIDAD # HORAS V/u V/T

Grupo de Desarrollo 2 250 3 1500,00

Directora del Proyecto 1 --- --- ---

Asesoría 1 25 10 250,00




RECURSOS TÉCNICOSHardware

COMPONENTE CARACTERÍSTICA C V/U V/T

Servidor HP Intel(R) Xeon (TM) CPU 1.8 GHZ,RAM 4GbHDD 70 GB 1 --- ---

Teléfono IP D-LINK DPH-150SE5 108.87 544,35

Impresora Cannon 1500 1 45 45

Computador Portátil HP COMPAQ

AMD turión, 512 RAM, 120 GB sata

1 960 960

Flash Memory Kingston 4 GB 1 35 35




RECURSOS TÉCNICOSSoftware

Tecnológicos

NOMBRE CANTIDAD V/U V/T NOMBRE

OpenVPN 1 --- --- OpenVPN

OpenVPN gui * --- --- OpenVPN gui

DESCRIPCIÓN CANTIDAD V/u V/T

Internet 100 0,80 80,00




RECURSOS TÉCNICOSMateriales


Resmas 500 hojas de papel 75 g/m2 tamaño A4

2 4 16,00

Caja de CD’s 1 15 15,00

Carpetas 5 0,25 1,00

Portaminas 4 1 4,00




RECURSOS TÉCNICOSMateriales


Resmas 500 hojas de papel 75 g/m2 tamaño A4 2 4 16,00

Caja de CD’s 1 15 15,00

Carpetas 5 0,25 1,00

Portaminas 4 1 4,00




RECURSOS TÉCNICOSAdicionales

DESCRIPCIÓN V/T

Servicios Básicos 50,00

Transporte 10,00

Imprevistos 200,00




RECURSOS TÉCNICOSSubtotales

Total

DESCRIPCIÓN V/T

Recursos Humanos 1750,00

Recursos Técnicos 1584,35

Software ---

Recursos Materiales 36,00

Recursos Tecnológicos 80

Adicionales 260

TOTAL 3710,35

conclusiones


CONCLUSIONES

Se concluye que:

* Se consideró como la mejor opción a la utilización del paquete OpenVPN en el servidor VPN porque se adaptan completamente a las condiciones de la red de datos de la Universidad.

conclusiones


CONCLUSIONES

Se concluye que:


* OpenVPN vuelve innecesaria la adquisición de hardware dedicado o software propietario, resultando una solución más económica, simple, flexible y escalable

conclusiones


CONCLUSIONES

Se concluye que:


* OpenVPN vuelve innecesaria la adquisición de hardware dedicado o software propietario, resultando una solución más económica, simple, flexible y escalable

* Al implementar el servidor VPN se ha expandido el límite de la movilidad de los usuarios de la red universitaria, hacia cualquier parte del mundo dónde exista una conexión a Internet porque puede acceder a los servicios de la red sin tener que estar físicamente dentro de ella

conclusiones


CONCLUSIONES

Se concluye que:

* Los usuarios de la VPN pueden acceder de manera segura y confiable a los servicios de la red, puntualmente al servicio de voz sobre IP.

conclusiones


CONCLUSIONES

Se concluye que:


* Al tener un servidor VPN, los servicios informáticos que brinda la Universidad Nacional de Loja no se limitan a ser accedidos sólo dentro del Campus Universitario.

conclusiones


CONCLUSIONES

Se concluye que:


* Al tener un servidor VPN, los servicios informáticos que brinda la Universidad Nacional de Loja no se limitan a ser accedidos sólo dentro del Campus Universitario.

* Los Usuarios de la VPN también pueden estar presentes en las Extensiones Universitarias lo que permite el uso de los recursos principalmente del Sistema de Gestión Académica (SGA), haciendo una universidad más unida y eficaz

conclusiones


CONCLUSIONES

Se concluye que:

* La realización de éste proyecto de desarrollo nos ha permitido adquirir conocimientos básicos sobre GNU/Linux, TCP/IP y de Seguridad en Internet (firewall/iptables).

conclusiones


CONCLUSIONES

Se concluye que:

* La realización de éste proyecto de desarrollo nos ha permitido adquirir conocimientos básicos sobre GNU/Linux, TCP/IP y de Seguridad en Internet (firewall/iptables).

* Es muy factible utilizar clientes OpenVPN para interconectar aplicaciones de forma segura y transparente. Gracias a la encriptación como a la autenticación

recomendaciones


RECOMENDACI0NES

Se recomienda lo siguiente:

*Se debe crear para cada cliente su propia llave y certificado.

recomendaciones


RECOMENDACI0NES



*Es necesario realizar la distribución de llaves y certificados de los clientes de manera segura, en lo posible de manera personal.

recomendaciones


RECOMENDACI0NES




*Se debe entregar de una manera segura la autoridad certificadora (CA) ,la cuál es compartida a todos los clientes del servidor VPN.

recomendaciones


RECOMENDACI0NES




*Se debe entregar de una manera segura la autoridad certificadora (CA) ,la cuál es compartida a todos los clientes del servidor VPN.

*No enviar la autoridad certificadora y llaves de usuario por correo electrónico

recomendaciones


RECOMENDACI0NES


*Utilizar la VPN para solucionar costes operativos de red, ya que ofrece economía, flexibilidad, escalabilidad y capacidad de adaptación que las tradicionales WAN´s.

recomendaciones


RECOMENDACI0NES



*Implementar la modalidad de Teletrabajo en la Universidad Nacional de Loja dejándose de enfocar por "horas en la oficina" a "horas dedicadas al trabajo", ya que las tareas pueden ser realizadas a distancia utilizando TIC (Tecnologías de la Información y la Comunicación) y pueden ser garantizados con una VPN.

recomendaciones


RECOMENDACI0NES



*Implementar la modalidad de Teletrabajo en la Universidad Nacional de Loja dejándose de enfocar por "horas en la oficina" a "horas dedicadas al trabajo", ya que las tareas pueden ser realizadas a distancia utilizando TIC (Tecnologías de la Información y la Comunicación) y pueden ser garantizados con una VPN.

*Se realice la adquisición del códec G729 para mejorar la calidad de voz para el uso del Servidor de Telefonía IP (Asterisk)

recomendaciones


RECOMENDACI0NES


* Que la instalación y configuración del cliente VPN sea realizado por el administrador de la red de la Universidad Nacional de Loja, con la finalidad de garantizar la conexión al momento de autenticarse en el servidor VPN.

recomendaciones


RECOMENDACI0NES


* Que la instalación y configuración del cliente VPN sea realizado por el administrador de la red de la Universidad Nacional de Loja, con la finalidad de garantizar la conexión al momento de autenticarse en el servidor VPN.

* Realizar la conexión con un ancho de banda mínimo de 256 Kbps principalmente para telefonía IP, para obtener mejores resultados al momento del enlace.

demo


DEMO

Demo

gracias


GRACIAS

Gracias

expo_svr_vpn.pptx

Technology

Transcript of expo_svr_vpn.pptx