Practicas VPN
50
SEGURIDAD Y ALTA DISPONIBILIDAD Tema 5. Seguridad en Redes Corporativas Prácticas En las siguientes prácticas se pide documentar todo el proceso para realizarlas, así como las pruebas necesarias. Deberá entregarse un documento en formato Word o Pdf con las soluciones documentadas antes del día 30 de enero de 2014.
-
Upload
sebastian-rubio-gonzalez -
Category
Documents
-
view
236 -
download
4
description
Practicas VPN
Transcript of Practicas VPN
SEGURIDAD Y ALTADISPONIBILIDAD
Tema 5. Seguridad en Redes Corporativas
PrácticasEn las siguientes prácticas se pide documentar todo el proceso para realizarlas, así como las pruebas necesarias.Deberá entregarse un documento en formato Word o Pdf con las soluciones documentadas antes del día 30 de enero de 2014.
1. A continuación se lista una serie de enlaces que permiten realizar un test de la velocidad de acceso a Internet, de modo que un resultado muy inferior
al contratado podría ser un síntoma de tener ocupantes no deseados en nuestra máquina. ¿Son las velocidades de subida y bajada las esperadas?
http://www.adsl4ever.com/test/
http://www.testdevelocidad.es/
No se ha podido realizar la prueba debido al proxy
http://www.internautas.org/testvelocidad/
http://www.adslayuda.com/test-de-velocidad/
Recuerda que el ancho de banda del aula es compartido por todos los PC del mismo. Realiza el test de velocidad de manera individual (sin que nadie en el aula lo realice o esté haciendo uso de Internet).
2. Configura de forma segura un router Linksys WRT54GL mediante su web para simulación de configuración online:
http://ui.linksys.com/files/WRT54GL/4.30.0/Setup.htm
Cambiamos el nombre al router y la dirección IP, además le configuramos con la hora de España y desactivamos el servidor DHCP
Ahora configuramos wifi de manera que cambiamos el nombre de la red wireless (SSID)
Activamos la seguridad wireless con el algoritmo AES y la encriptación WPA2 Personal, además la clave tendrá 20 dígitos que es lo más adecuado para que WPA2 sea efectivo
En Windows, abrimos la consola de comandos y escribimos ipconfig /all para ver la dirección MAC de nuestro ordenador e incluirla en la lista de dispositivos a los que se permite la conexión. Pongamos el caso de que en lugar de ser un adaptador Ethernet fuera un adaptador wi-fi.
La siguiente ventana la dejamos como está
Dejamos el Firewall activado
Aquí tampoco hacemos nada
En el caso de que tuviéramos que redirigir puertos a nuestro ordenador porque tenemos por ejemplo un servidor web y queremos que sea accesible
desde el exterior de nuestra red, la configuración de los puertos la haríamos aquí
Si quisiéramos que algún equipo estuviera en la zona desmilitarizada le pondríamos aquí
En esta ventana añadimos el acceso web por HTTPS
¿Es posible configurar todos los aspectos analizados en el tema?
Creo que se han configurado los aspectos más importantes en cuanto a seguridad wireless
3. Busca información sobre la pintura antiwifi de EM-SEC Technologies y descubre su principio de funcionamiento. ¿Crees que podría ser útil y seguro? ¿Cómo se implementaría?
Puedes leer sobre dicha pintura en: http://www.publico.es/ciencias/273942/una-pinturaprotege-a-los-navegantes-de-los-intrusos/version-imprimible
Si en realidad funciona podría ser bastante útil por ejemplo en los hospitales donde las ondas de baja frecuencia pueden interferir con determinados aparatos médicos hospitalarios. Su implementación consistiría en pintar las paredes de las salas donde estén estos equipos con esta pintura.
4. Realiza el siguiente test sobre phishing de Verisign disponible en https://www.phish-nophish.com/es con consejos útiles para reconocer páginas web falsas y realiza un resumen con recomendaciones útiles.
¿Crees ahora que solo garantizando que la web es https se trata de una web confiable?
Una web no es confiable únicamente porque en la URL ponga https ya que hay imitaciones de las páginas originales muy buenas que a veces se detectan por fallos en el texto o el formato, pero que en caso de navegar con premura casi no nos daríamos cuenta de ello.
5. Establece una comunicación HTTP entre dos máquinas bajo un túnel SSH previamente establecido. Primero realiza la comunicación en HTTP y monitorízala con WireShark. Después establécela bajo el túnel SSH y monitorízala con WireShark. Compara los resultados.
Realizamos una conexión desde el explorador de W715 a la máquina Ubuntu15 que tiene a Webalizer como página principal del servidor web
Al hacer la captura del trafico con Wireshark, podemos ver que se ven todos los datos de la conexión, cosa que no es muy segura
Para asegurar la conexión http, vamos a crear un tunel ssh con la opción de Putty SSH-->Tunnels
Nos conectamos a la máquina Ubuntu15 por ssh
Ahora que tenemos el tunel creado, volvemos a conectarnos por http a la máquina Ubuntu15 y a su página principal de Webalizer
Como podemos ver, ya no se captura ningún dato con Wireshark, por lo que el túnel ssh es realmente efectivo en cuanto a seguridad
6. Crea una VPN del tipo acceso remoto entre dos equipos. El cliente VPN estará en la red externa y el servidor VPN en la red interna. El servidor VPN será Windows Server. Aplicarlo al uso por parte del usuario remoto de cualquier aplicación/servicio de la red interna.
Instalamos en el Server 2008 el servidor de enrutamiento y acceso remoto
En la siguiente ventana seleccionamos Configuración personalizada
Elegimos Acceso a VPN
Damos a finalizar…
… iniciamos el servicio de enrutamiento y acceso remoto
En usuarios y equipos de Active Directory, creamos el usuario manu
En propiedades de manu, vamos a Marcado y en Permiso de acceso a redes marcamos Permitir acceso, damos a Aplicar y aceptamos
Al crear una nueva conexión entrante, lo primero que se nos pregunta es ¿Quién puede conectarse a este equipo? Seleccionamos a los usuarios Administrador y manu
Por defecto se conectarán a través de Internet
Pinchamos en Propiedades del Protocolo de Internet versión 4
Asignamos un rango de direcciones desde 10.0.15.100 hasta 10.0.15.150
El sistema nos informa que el nombre del equipo es WS2008NAT15
Vamos a Windows 7 y configuramos una nueva conexión de red.Seleccionamos Conectarse a un área de trabajo
En la dirección de Internet ponemos el nombre del servidor VPN
Introducimos el usuario manu que creamos anteriormente en el servidor
Efectivamente, nos hemos conectado
Poniendo ipconfig /all en la consola de Windows 7, vemos que la IP que nos ha dado el servidor VPN es la 10.0.15.102, que está dentro del rango de direcciones que habíamos configurado en el servidor
7. Crea una VPN del tipo acceso remoto usando Zentyal. En este caso Zentyal hará también las funciones de router software.
Se puede consultar la web http://doc.zentyal.org/es/vpn.html
Creamos la ruta a la IP de Carlos 10.0.14.0/24
Hacemos un ping desde Zentyal15 a la máquina de Carlos
Vemos que tenemos el servicio VPN corriendo
Vemos los certificados que tenemos en el servidor
Habilitamos el servidor VPN
Comprobamos la configuración del servidor VPN
Por último nos aseguramos que el módulo VPN está activado
Parte cliente desde máquina Windows 7
Como cliente desde W715, nos conectamos via WinSCP a la máquina de Carlos que es el servidor VPN de Zentyal
Hemos descargado el paquete de certificados del servidor VPN en Zentyal de Carlos
Desempaquetamos los certificados en el directorio config de la carpeta OpenVPN
Realizamos la conexión VPN a la máquina Zentyal
Vemos la IP que nos ha asignado el servidor VPN
Hacemos ping a una IP de la red privada virtual y aunque nos aparezca que es un destino inaccesible, los paquetes han sido recibidos
Parte de la práctica correspondiente al cliente de Carlos
Descarga por parte de Carlos del paquete de certificados del servidor VPN Zentyal15 de Manuel
Desempaquetado de certificados en la carpeta config de OpenVPN
Conexión de Carlos a Zentyal15
Dirección IP asignada por el servidor VPN de Zentyal15
Ping desde la máquina Windows de Carlos al servidor VPN de Manuel en Zentyal15
8. Crea una VPN del tipo site-to-site usando Zentyal, tal y como se muestra en la figura.
Se puede consultar la web http://doc.zentyal.org/es/vpn.html
Nota: para esta práctica será necesario coordinarse con un compañero si se utilizan los equipos del aula. En el caso de los portátiles habrá que utilizar dos instancias de VirtualBox y/o VMware para simular las dos redes internas.
Creamos un cliente en Zentyal15
Subimos el paquete del servidor Zentyal de Carlos
Habilitamos el cliente de Zentyal15
En la consola hacemos un ifconfig para ver si el servidor VPN nos ha dado IP
Hacemos ping al servidor VPN de Carlos y vemos que estamos conectados
Parte ServidorAñadimos un servidor VPN a Zentyal15
Habilitamos el servidor VPN
Configuramos el servidor VPN de Zentyal15
Descargamos el paquete del cliente para enviárselo a Carlos
Enviamos el paquete de configuración a Carlos en 10.0.14.1
La parte cliente de Carlos es la siguiente
Carlos vuelve a descargar con WinSCP en Windows 7 el paquete de configuración.
Una vez lo ha descargado lo desempaqueta en la carpeta OpenVPN
Desde Windows 7, se realiza la conexión al servidor VPN de Zentyal15 en la IP 10.0.15.6
Carlos hace un ipconfig en la consola de Windows y aparece la IP asignada por el servidor VPN
Desde Windows 7, Carlos hace ping al servidor VPN de Manu en Zentyal 15 con la dirección VPN de este, produciéndose la conexión
9. Instalar OpenVPN Access Server en Ubuntu o en Debian. Es una solución VPN completa sobre SSL que integra las capacidades del servidor OpenVPN, gestión empresarial, interfaz de usuario para la conexión
OpenVPN simplificada y paquetes software para clientes OpenVPN en Windows, MAC y Linux.- Descargar el paquete de 32 bits según se haga para Ubuntu o para Debian:sudo wget http://swupdate.openvpn.org/as/openvpn-as-1.8.5-Ubuntu12.i386.debwget http://swupdate.openvpn.org/as/openvpn-as-1.8.5-Debian6.i386.debo para 64 bits.wget http://swupdate.openvpn.org/as/openvpn-as-1.8.5-Ubuntu12.amd_64.debwget http://swupdate.openvpn.org/as/openvpn-as-1.8.5-Debian6.amd_64.deb
- Instalar el paquete que corresponda:dpkg -i openvpn-as-1.8.5-Ubuntu12.i386.debdpkg –i openvpn-as-1.8.5-Debian6.i386.debo para 64 bits.dpkg -i openvpn-as-1.8.5-Ubuntu12.amd_64.debdpkg –i openvpn-as-1.8.5-Debian6.amd_64.deb
- Crear una clave para el usuario openvpn:sudo passwd openvpn
- Configurar el software de administración y cliente abriendo las siguientes URIs:Admin UI: https://YourIpAddress:943/adminClient UI: https://YourIPAddress:943/
- Desde la interfaz del cliente se puede acceder al servidor. Se introduce el usuario openvpn y la password creada anteriormente. Aparecerá una ventana como ésta:
Se descarga el fichero de configuración del cliente. Una vez descargado, se instala openvpn (si no lo está ya) y se realiza la conexión al servidor mediante el siguiente comando:
sudo openvpn --config client.ovpn
En cualquier momento se pueden hacer cambios de configuración en el servidor accediendo a través del interfaz de usuario Admin.
Se puede acceder al servidor OpenVPN AS desde un Smartphone. Se puede descargar la app desde la página oficial de Androidhttps://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=eso desde la de IOS.https://itunes.apple.com/es/app/openvpn-connect/id590379981?mt=8
Descargamos OpenVPN en Ubuntu15
Instalamos con dpkg
Creamos contraseña para openvpn
En el navegador de Windows715, introducimos la dirección:https://10.0.15.3:943. Nos aparecerá un mensaje y responderemos que vaya a ese sitio
Introducimos el usuario openvpn y la contraseña que le dimos en Ubuntu15
Ahora hacemos click en click here to continue para descargar el paquete que nos permitirá conectarnos al servidor VPN
Damos a guardar
Ahora hacemos doble click en el archivo de conexión
Tras identificarnos con el usuario openvpn, ya estamos conectados
