Administracin de Servicios de Internet/Intranet

VPN PPTP/FIREHOL

ADMINISTRACIN DE SERVICIOS INTERNET / INTRANET Prctica VPN bajo firewall/DMZ en Windows 2003 Server
Objetivos:
Configuracin bsica y pruebas de un servidor VPN en Windows 2003, en el escenario bsico de Servidor/Cliente, es decir, un tpico servidor VPN conectado a Internet que proporciona acceso simulado a red local de forma segura a todos los equipos cliente que se conecten a l a travs de Internet. Con ello se consigue tener una red LAN simulada con el servidor y poder acceder de forma remota y segura a todos los servicios del servidor, tales como escritorio remoto, servidor de aplicaciones intranet, impresoras, etc, etc La arquitectura de conexin habitual en estos casos, consiste en un servidor VPN que est directamente conectado a Internet con alta velocidad, capaz de soportar decenas o cientos de clientes conectados, y que solamente permite el acceso mediante un protocolo de VPN como PPTP, funcionando como nodo bastin de una zona desmilitarizada bsica (DMZ), con todos los puertos cerrados menos el de VPN:
Clientes de servicios de impresin, aplicaciones, dominio, a travs de VPN

Servidor impresin

Servidor aplicaciones IIS Servidor Active Directory

Internet

DMZ
Lan Gigabit Ethernet Firewall o router
Servidor VPN (nodo bastin)

Firewall abierto slo a puertos VPN + Gateway Internet

Directamente conectado a este servidor VPN o detrs de otro cortafuegos y mediante una red local de altas prestaciones, se suelen conectar todo tipo de servidores (que no estn directamente conectados a Internet, y por tanto no estn expuestos) con los que se desea dar servicios variados a los clientes: servidores de aplicaciones, de impresin, de archivos, de escritorio remoto, etc, etc. 1

Administracin de Servicios de Internet/Intranet

VPN PPTP/FIREHOL

Con ello se consigue dar servicio remoto a travs de Internet a clientes manteniendo una excelente seguridad en la conexin e impidiendo que los servidores queden expuestos. Esta configuracin puede simplificarse o complicarse en mayor o menor medida segn las necesidades de seguridad, aunque en trmino medio la configuracin expuesta anteriormente es bastante correcta. Para esta prctica, reproduciremos plenamente esa arquitectura, salvo la conexin a Internet, que se simular con una conexin de red local Host-Only sin salida real a Internet. El esquema completo sera as:
Windows XP cliente VPN

Tarjeta VmNet3 172.33.0.2 Windows 2003 Server Servidor de aplicaciones IIS, AD, Terminal Server

Tarjeta Host-Only - IP: 192.168.187.10 - PEnlace:192.168.187.100

Red interna de servicios -no expuesta-

Ubuntu Firewall para DMZ DMZ Ubuntu Gateway Firewall para VPN

Internet simulado en Host Only

Tarjeta VmNet3 172.33.0.1

Tarjeta VmNet2 172.22.0.3

Tarjeta VmNet2 172.22.0.2 Tarjeta VmNet2 172.22.0.1 Tarjeta Host Only 192.168.187.100

Windows 2003 Server VPN-DHCP (nodo bastin)

Esta prctica requerir el funcionamiento simultneo de 5 mquinas virtuales a la vez, por lo que en funcin de la potencia de nuestro equipo, es recomendable utilizar 192Mb de RAM en las mquinas Windows 2003 Server y 128Mb en el resto.

Administracin de Servicios de Internet/Intranet

VPN PPTP/FIREHOL

Tiempo: 6 horas Modos de funcionamiento de red a utilizar:

Modo de red Host-Only: en el enunciado se supondr que HostOnly funciona en la subred 192.168.187.0, por lo que el alumno debe adaptar el enunciado a su subred o cambiarla a esa. Modo de red VmNet2: en la opcin Manage Virtual Networks de VmWare, debe cambiarse la subred a 172.22.0.0/16 para que coincida con el enunciado. Modo de red VmNet3: en la opcin Manage Virtual Networks de VmWare, debe cambiarse la subred a 172.33.0.0/16 para que coincida con el enunciado.

Mquinas virtuales necesarias:

Cliente Windows XP Utilizar la mquina Windows XP proveda para la asignatura, con modo de red Host-Only y la siguiente configuracin IP: IP: Mscara: Puerta de enlace: DNS1: 192.168.187.10 255.255.255.0 192.168.187.100 192.168.187.100

Linux Gateway Firewall para VPN Utilizar la mquina de Ubuntu 11 proveda para la asignatura, a la que se le aadir una tarjeta de red adicional. La configuracin de ambas tarjetas de red (eth0 y eth1) se realizar en el fichero /etc/network/interfaces, con la configuracin del esquema anterior: eth0 (que esta conectado a Host-Only): 192.168.187.100 255.255.255.0 eth1 (que esta conectado a VmNet2): 172.22.0.1 255.255.0.0

Administracin de Servicios de Internet/Intranet

VPN PPTP/FIREHOL

Windows 2003 Server VPN-DHCP Utilizar la mquina de Windows 2003 Server proveda para la asignatura, sobre la que hemos instalado todos los servicios (C.D., DNS, DHCP, etc) La configuracin de red sera: IP: Mascara Puerta enlace DNS 172.22.0.2 255.255.0.0 172.22.0.3 172.22.0.2

Linux Firewall para DMZ Utilizar una copia de la mquina de Ubuntu 11 proveda para la asignatura, a la que se le aadir una tarjeta de red adicional. La configuracin de ambas tarjetas de red (eth0 y eth1) se realizar en el fichero /etc/network/interfaces, con la configuracin del esquema anterior: eth0 (que esta conectado a VmNet3): 172.33.0.1 255.255.0.0 eth1 (que esta conectado a VmNet2): 172.22.0.3 255.255.0.0

Windows 2003 Server Servidor Aplicaciones (IIS, AD, Terminal Server) Utilizar una copia de la mquina de Windows 2003 Server proveda para la asignatura, sobre la que hemos instalado todos los servicios (C.D., DNS, DHCP, etc). Si no se ha instalado IIS y Terminal Server en prcticas anteriores, hay que hacerlo. La configuracin de red sera: IP: Mascara Puerta enlace DNS 172.33.0.2 255.255.0.0 172.33.0.2 172.33.0.2

IMPORTANTE Hay algunos aspectos importantes a tener en cuenta cuando se trabaja con muchas mquinas virtuales a la vez y sobre todo si son copias. Distinguir las mquinas. Cambiar el rtulo de la mquina virtual para distinguirlas, poniendo por ejemplo Linux DMZ o Linux Gateway. Colocar un fondo de escritorio alusivo, tambin es una buena opcin. 4

Administracin de Servicios de Internet/Intranet

VPN PPTP/FIREHOL

Evitar conflicto entre direcciones MAC. Las mquinas que son copias unas de otras pueden llevar la misma MAC, pudiendo no afectar al funcionamiento de la prctica, o bien impidiendo su funcionamiento de forma silenciosa, sin dar errores visibles. Para evitar estos problemas, quiz lo mejor sea fijar unas MAC diferentes para cada mquina y tarjeta de red y as evitar problemas. Ello se consigue manipulando los ficheros con extensin .vmx de las mquinas virtuales. As, por ejemplo, en la mquina Linux Gateway, dentro de su fichero de configuracin, nos encontraramos con estas lneas que configuran las dos tarjetas de red (pueden estar juntas o separadas): ethernet0.generatedAddress = "00:0c:29:f7:bf:b3" ethernet0.generatedAddressOffset = "0" ethernet0.addressType = "generated" ethernet1.generatedAddress = "00:0c:29:f7:bf:bd" ethernet1.generatedAddressOffset = "10" ethernet1.addressType = "generated" Pues bien, simplemente se tratara de eliminarlas haciendo una copia antes del archivo .vmx - y sustituirlas por estas otras que fijan las MAC: ethernet0.address = "00:50:56:33:33:36" ethernet1.address = "00:50:56:33:33:35" La eleccin de las MAC no es casual: en VmWare se debe utilizar un rango de MAC permitido por la aplicacin, sino la mquina no arrancar. Para VmWare 6 un rango permitido con 10 MAC es 00:50:56:33:33:3X . Ese rango puede no funcionar en otras versiones, para lo cual puede ser necesario consultar la documentacin.

Uso de PUTTY. Sobre las mquinas Linux se puede conectar mediante PUTTY para permitir el copiado, pegado y seleccin de la informacin, lo cual puede ahorrar tiempo y errores.

Administracin de Servicios de Internet/Intranet

VPN PPTP/FIREHOL

Tareas:
Linux Gateway Firewall para VPN 1. Antes de iniciar en los modos requeridos por la prctica, inicia con algn modo que te permita acceder a Internet, como por ejemplo Bridged, e instala el servicio cortafuegos para Linux Firehol. 2. Cambia los modos de red y reinicia la mquina. El fichero de configuracin de firehol es /etc/firehol/firehol.conf , lo cual constituye una interfaz sencilla y bajo servicio de iptables. La configuracin para firehol en este caso podra ser as:

Para que quede activado, hay que reiniciar el servicio de firehol. Busca documentacin sobre firehol y explica detenidamente qu hacen cada uno de los apartados de esta configuracin, y su uso en la prctica (ten en cuenta que ping y ssh slo se ponen por comodidad, para permitir el uso del Putty y los ping de pruebas, respectivamente). Haz una propuesta de mejora de la configuracin de este Gateway/Firewall sobre el fichero de configuracin de firehol.

Windows 2003 Server VPN-DHCP 3. Configurar el servicio en el servidor en Enrutamiento y acceso remoto. Herramientas administrativas >

Dentro aparecer nuestro servidor W2003 con un puntito rojo a su izquierda (servicio desactivado). Se activa con el botn derecho, configurar y habilitar Enrutamiento y acceso remoto. 6

Administracin de Servicios de Internet/Intranet

VPN PPTP/FIREHOL

De entre todas las opciones, y dado que queremos hacer un uso limitado al escenario propuesto, cogeremos una configuracin personalizada y dentro de ella Acceso VPN:

Una vez iniciado el servicio, debe tener el aspecto siguiente:

4. Habilitar aquellos usuarios que deseemos que se puedan conectar por VPN al servidor. Por ejemplo, habilitaremos slo al usuario profesor, indicndolo as en el apartado Marcado de propiedades del usuario. 5. Conecta la mquina XP y comprueba que no hay conectividad directa entre las mquinas, haciendo ping entre ellas. 7

Administracin de Servicios de Internet/Intranet

VPN PPTP/FIREHOL

6. Ser necesario qie configures el servidor DHCP con un mbito adecuado en la red de DMZ para los clientes VPN que se vayan conectando, como por ejemplo de la 172.22.0.10 a la IP 172.22.0.100, con puerta de enlace y DNS la 172.22.0.3 para el siguiente paso hacia fuera de la DMZ. 7. Comprueba que es posible conectarse por VPN desde el Windows XP al servidor VPN. Para ello debes ir al asistente de Crear una conexin nueva en Conexiones de red y elegir las opciones Conectar a mi lugar de trabajo y despus Conectar a una red privada virtual, utilizando IP del servidor y el usuario profesor, nico habilitado para la conexin. Una vez conectado, comprueba que desde Windows XP puedes hacer ping al Windows 2003 Server VPN y al Firewall Linux de la DMZ, algo imposible antes. Comprueba que apareces en la lista de conexiones VPN en el servidor. Desconecta la conexin al terminar.

Linux Firewall para DMZ 8. Antes de iniciar en los modos requeridos por la prctica, inicia con algn modo que te permita acceder a Internet, como por ejemplo Bridged, e instala el servicio cortafuegos para Linux Firehol. 9. Cambia los modos de red y reinicia la mquina. El fichero de configuracin de firehol es /etc/firehol/firehol.conf , lo cual constituye una interfaz sencilla y bajo servicio de iptables. La configuracin para firehol en este caso podra ser as:

Para que quede activado, hay que reiniciar el servicio de firehol. 8

Administracin de Servicios de Internet/Intranet

VPN PPTP/FIREHOL

Busca documentacin sobre firehol y explica detenidamente qu hacen cada uno de los apartados de esta configuracin, y su uso en la prctica (ten en cuenta que ping y ssh slo se ponen por comodidad, para permitir el uso del Putty y los ping de pruebas, respectivamente). Haz una propuesta de mejora de la configuracin de este Gateway/Firewall sobre el fichero de configuracin de firehol.

Windows 2003 Server Servidor de Aplicaciones 10. Configura la red tal y como se especifica en la parte previa a las tareas. Asegrate de que el IIS est funcionando bien y tiene como sitio web por defecto una pgina fcilmente reconocible para las pruebas. Igualmente, asegrate de que el Terminal Server funciona bien. 11. Realiza pruebas de conectividad desde el Windows 2003 Server VPN e intenta abrir la pgina web por defecto del IIS desde el navegador del Windows 2003 Server VPN. Todo ello debera funcionar bien. 12. Conecta el cliente Windows XP a la VPN e intenta navegar por el IIS del Windows 2003 Servidor de Aplicaciones, as como iniciar sesin de terminal remoto. 13. Aade un servicio ms, distinto a web y escritorio remoto (como FTP, por ejemplo), al servidor de aplicaciones y configura lo que estimes oportuno en el resto de mquinas para que sea posible accede a ese servicio desde el cliente VPN Windows XP.