Manual de VPN (Red Privada Virtual)

CONFIGURACIÓN DE UNA VPN EN

WINDOWS 2003 SERVER

Autor: Hidalgo Lache, Carlos

SINFOCORP

www.sinfocorp.com

SINFOCORP

Autor: Carlos Hidalgo Lache 2

FUNDAMENTO TEORICO

- Red Privada Virtual

Se refiere a una red en la cual algunas partes se conectan usando Internet

público, pero los datos enviados por Internet se cifran de manera que toda

la red es "virtualmente" privada. Un ejemplo típico será la red de una

compañía donde hay dos oficinas en ciudades diferentes. Usando Internet,

las dos oficinas fusionan sus redes en una sóla, pero se une el tráfico de

encripción que usa Internet. [URL001]

Las Redes Privadas Virtuales, VPNs, son redes que funcionan sobre una

infraestructura de red pública, con la misma seguridad, administración y

políticas de calidad de servicio que se aplican para las redes privadas. Los

beneficios de utilizar VPNs incluyen ahorros en costos y ampliación de la

conectividad para teletrabajadores, usuarios móviles y oficinas remotas, así

como para nuevos participantes, como clientes, proveedores y socios.

[URL002]

Una VPN es la extensión de una red privada que abarque enlaces a través de

redes compartidas o públicas tales como Internet. Una VPN le permite enviar

datos entre dos computadoras a través de una internetwork compartida o

pública de tal manera que emule las características y propiedades de un

enlace privado punto a punto. En esencia, hace de la computadora remota

“virtualmente” parte de la red privada haciendo un túnel encriptado a través

del Internet público. El acto de configurar y de crear una VPN se conoce

como “virtual private networking”. [URL003]

Para emular un enlace punto a punto, los datos se encapsulan, con una

cabecera que proporcione la información de encaminamiento, permitiendo

que los datos atraviesen el tránsito de la red pública o compartida, para

poder alcanzar su punto final. Para emular un enlace privado, los datos que

son enviados se encriptan por cuestión de confidencialidad. Los paquetes

que se interceptan en la red pública o compartida son indescifrables sin la

llave de encriptación. La porción de la conexión en la cual se encapsulan los

datos confidenciales se conoce como “túnel”. La porción de la conexión en la

cual se encriptan los datos confidenciales se conoce como la conexión VPN.

La Figura siguiente muestra la conexión VPN.

SINFOCORP


Las conexiones VPN permiten a usuarios que trabajan en casa o en otro

lugar distinto a la oficina conectarse de manera segura con un servidor

remoto de la organización usando la infraestructura de encaminamiento

proporcionada por una internetwork pública (tal como el Internet). Desde la

perspectiva del usuario, la conexión VPN es una conexión de punto a punto

entre la computadora del usuario y el servidor de una organización. La

naturaleza de la internetwork intermediaria es irrelevante al usuario porque

aparece como si los datos se están enviando a través de un enlace privado

dedicado.

La tecnología VPN también permite que una corporación se conecte con las

sucursales o con otras compañías sobre una internetwork pública (tal como

el Internet) mientras que se mantiene una comunicación segura. La

conexión de VPN a través del Internet funciona lógicamente como un enlace

de red de área amplia (WAN) entre los sitios interconectados.

En ambos de estos casos, la conexión segura a través de la internetwork

aparece al usuario como comunicación privada de la red, a pesar del hecho

de que esta comunicación ocurre sobre una internetwork pública, por lo

tanto el nombre de red privada virtual. La tecnología de VPN se diseña para

direccionar tópicos que rodean la tendencia del negocio actual hacia la tele-

conmutación creciente y las operaciones globales extensamente distribuidas,

donde los trabajadores deben poder conectarse con los recursos centrales y

deben poder comunicarse de uno a otro.

SINFOCORP


- Tipos de VPNs

• Acceso Remoto a través de Internet

VPNs proporciona el acceso remoto a los recursos de una organización

sobre el Internet público, mientras que mantiene la privacidad de la

información. La Figura siguiente muestra una conexión de VPN usada

para conectar a un cliente de acceso remoto con la Intranet de una

organización. Esto se conoce como conexión de acceso remoto VPN.

Usando una conexión VPN para conectar a un cliente de acceso remoto con

una intranet de una organización.

En vez de hacer una llamada de larga distancia al servidor de una

organización o a un servidor de acceso de red externo, los usuarios discan

un ISP local. Usando la conexión al ISP local, el cliente de VPN crea una

conexión de VPN entre la computadora del acceso remoto y el servidor de

VPN de la organización a través del Internet.

• Punto a Punto.

Los dos métodos tradicionales de conectar oficinas remotas con la red

corporativa de la organización eran tener conexiones dial-up que

trabajen sobre la red de teléfono pública conmutada(PSTN) o al uso

dedicado de enlaces WAN alquilados usando Frame Relay o Circuitos

Síncronos bajo el protocolo de Punto a Punto (PPP). Estos métodos

toman una gran cantidad de tiempo en la administración y además son

costosos mantener. Un típico circuito T1 que pueda manejar Frame

Relay, PPP, o líneas múltiples de PSTN pueden llegar a costar millares de

dólares por mes, y recurrir en un costo significativo para la compañía.

SINFOCORP


Hay dos métodos (ilustrados en la Figura 6-3) para usar VPNs para

conectar redes de área local en los sitios remotos:

� Always-On VPN Networking. Usar líneas dedicadas para conectar

una sucursal con la red de área local (LAN) de una organización. En

vez de usar un costoso circuito dedicado de larga distancia entre una

sucursal y la corporación, ambos la sucursal y los routers

corporativos pueden utilizar un circuito dedicado local y una ISP local

para conectarse a Internet. El software de VPN utiliza las conexiones

locales de la ISP y el Internet para crear un VPN entre la el router de

la sucursal y el router corporativo.

� Demand-Dial VPN Networking. Usar una línea dial-up para

conectar una sucursal a Internet. En vez de tener un router en una

sucursal que haga una llamada de larga distancia a un NAS

corporativo o externo, el router en la sucursal puede llamar a un ISP

local. El router de la sucursal utiliza la conexión al ISP local para

crear una conexión de VPN entre el router de la sucursal y el router

corporativo a través del Internet.

Usando una conexión VPN para conectar dos sitios remotos.

SINFOCORP


• Connecting Computers over an Intranet—Internal Site-to-Site

VPN

Este esquema es el menos difundido pero uno de los más poderosos para

utilizar dentro de la empresa. Es una variante del tipo "acceso remoto"

pero, en vez de utilizar Internet como medio de conexión, emplea la

misma red de área local (LAN) de la empresa. Sirve para aislar zonas y

servicios de la red interna. Esta capacidad lo hace muy conveniente para

mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi).

Un ejemplo muy clásico es un servidor con información sensible, como

las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual provee

autenticación adicional más el agregado del cifrado, haciendo posible que

sólo el personal de RRHH habilitado pueda acceder a la información.

Usando una conexión VPN para conectarse a una red segura u oculta.

- Requerimientos de VPN

Una solución de VPN debe proporcionar todo lo siguiente:

• Autenticación Del Usuario. La solución debe verificar la identidad del

cliente VPN y conceder el acceso a la VPN sólo a los usuarios autorizados.

Debe también proporcionar registros de auditoria y de cuentas de usuario

que muestren quién se conectó y por cuánto tiempo.

• Administración de Direcciones. La solución debe asignar a un cliente de

VPN una dirección en la Intranet y asegurarse de que las direcciones usadas

en el Intranet se mantengan privadas. También, cierta información para

permitir que el cliente tenga acceso a recursos en la red protegida necesita

ser proporcionada. Por ejemplo, la información de encaminamiento, la

resolución del nombre del recurso, y la seguridad de la cuarentena pueden

ser proporcionados tan bien como los filtros de seguridad para asegurar la

protección de datos internos contra el uso desautorizado.

SINFOCORP


• Encriptación de los Datos. Los datos que son trasladados sobre la red

pública deben ser absolutamente ilegibles a cualquier persona excepto al

cliente y al servidor de VPN. Para hacer que esto suceda, la tecnología de

encriptación debe ser utilizada entre el cliente y el servidor de VPN.

• Administración de las Llaves. Para utilizar la encriptación, la solución

VPN necesita proporcionar una cierta clase de mecanismo de “llave de

encriptación” para crear el túnel de la sesión. La solución debe generar y

restaurar las llaves de encriptación para los datos encriptados en una base

periódica mutuamente convenida de manera tal que la seguridad y la

privacidad se mantengan.

Una solución de Internet VPN basada en PPTP o L2TP/IPSec resuelve todos

estos requisitos básicos y se aprovecha de la amplia disponibilidad del

Internet. Otras soluciones, incluyendo el modo de túnel de IPSec (IPSec TM),

resuelven solamente algunos de estos requisitos, sin embargo siguen siendo

útiles para algunas situaciones específicas.

- Tunneling

Tunneling es un método que usa una infraestructura de red intermedia para

transferir los datos de una red hacia otra red mientras que se mantiene la

privacidad y el control sobre los datos originales. Los datos que se

transferirán (payload o carga útil) pueden ser las tramas (o paquetes) de

otro protocolo. En vez de enviar una trama tal y como fue originada, el

protocolo de tunneling encapsula la trama en una cabecera adicional. La

cabecera adicional proporciona la información de encaminamiento de modo

que la carga útil encapsulada pueda atravesar la red intermedia.

Los paquetes encapsulados son luego encaminados entre los puntos finales

del túnel a través de la internetwork. La trayectoria lógica a través de la cual

los paquetes encapsulados viajan por la internetwork se conoce como túnel.

Una vez que las tramas encapsuladas alcancen su destino en la

internetwork, la trama es desencapsulada y enviada a su destino final.

Tunneling incluye todo este proceso (encapsulación, transmisión, y

desencapsulación de paquetes). La siguiente imagen nos muestra el proceso

de tunneling.

SINFOCORP


Tunneling

Tipos Del Túnel

Los túneles pueden ser creados de varias maneras. Los dos tipos de túneles

son:

o Túneles Voluntarios: Una computadora del usuario o del cliente

puede publicar una petición VPN de configurar y de crear un túnel

voluntario. En este caso, la computadora del usuario es un punto

final del túnel y actúa como el túnel del cliente. Éste es el método

estándar para el acceso remoto VPN.

o Túneles obligatorios: Un servidor de acceso dial--up VPN, configura

y crea un túnel obligatorio. Con un túnel obligatorio, la computadora

del usuario no es un punto final del túnel. Otro dispositivo, el servidor

de acceso dial-up, entre la computadora del usuario y el servidor del

túnel es el punto final del túnel y actúa como el cliente del túnel.

- Ventajas de una VPN (Red Privada Virtual)

- Una de sus ventajas más importantes es su integridad, confidencialidad y

datos.

- Las VPN´s reducen costos y son sencillas de usar.

- Su instalación es sencilla en cualquier PC.

- Su control de acceso esta basado en políticas de la organización.

- Los algoritmos de compresión que utiliza una VPN optimizan el tráfico del

usuario.

- Las VPN´s evitan el alto costo de las actualizaciones y mantenimiento de

PC's remotas.

- Las VPN´s ahorran en costos de comunicaciones y en costes

operacionales.

- Los trabajadores, mediante el uso de las VPN´s, pueden acceder a los

servicios de la compañía sin necesidad de llamadas.

SINFOCORP


- Una organización puede ofrecer servicios a sus socios mediante VPN´s, ya

que éstas permiten acceso controlado y brindan un canal seguro para

compartir la información de las organizaciones.

SINFOCORP


Configuración e Instalación

Configuración en el Servidor

Las pantallas que a continuación se presentaran son los pasos que se tiene que

seguir para realizar la implementación y configuración de una VPN tipo Host to Net.

Inicio / Herramientas Administrativas / Administre su servidor

Eliges el rol Acceso Remoto / VPN Server según el grafico.

SINFOCORP


Para nuestro caso elegir la tercera opción y das clic en siguiente:

Aquí aligeremos que tarjeta estará conectada hacia afuera de tu red para que

reciba las peticiones de VPN.

SINFOCORP


Luego sale para que identifiques la tarjeta interna.

Click en siguiente y te preguntara si usas DHCP, esta opción te dará tus Ips de

forma automática y lo mas importante esta opción es aceptable elegirla cuando

queremos conectar numerosas Ips , para varios usuarios .

SINFOCORP


En nuestro caso escogemos la segunda opción, que indica que nosotros

definiremos el rango de Ips las cuales asignaremos a nuestros clientes Vpn

cuando se conecten. Es importante resaltar que este rango que se definirá no debe

estar siendo usado en la red y tampoco en el futuro pues solo se asignaran a las

conexiones de Vpn.

Especificar el rango según tus ips y luego continúas:

SINFOCORP


Luego especificaras la interfaz que compartirá Internet

SINFOCORP


Ahora elijes el método de autenticación, para hacerlo más sencillo elijes el que dice

que NO, use Routing, que vendría a ser la primera opción

Luego darás click en Finalizar

SINFOCORP


Ahora finalizas esas pantallas y vas a Inicio / Programas / Herramientas

Administrativas y elijes usuarios y equipos de Active Directory para agregar los

usuarios remotos:

Das botón derecho sobre el dominio y elijes nuevo / unidad organizativa y de

nombre le colocas usuarios Vpn

Ahora das click botón derecho sobre usuarios Vpn y elijes nuevo y elijes usuario.

Le das nombre apellido, inicio de sesión que son los datos más importantes le

asignas clave, luego entras a las propiedades del usuario y verificas su

configuración

Verifica que permita conexiones remotas.

SINFOCORP


Finalmente probaremos si realmente existe acceso al cliente desde el vpn servidor

haciendo un ping a su direccion IP.

Manual de VPN (Red Privada Virtual)

Documents

Transcript of Manual de VPN (Red Privada Virtual)