VII.

IMPLEMENTACIN
DE ENLACES VPN
(REMOTOS)
I. Implementacin de enlaces VPN (Remotos).
1. Introduccin.
Los requerimientos de informtica y comunicaciones de las empresas, han
cambiado a medida que estas incorporan herramientas tecnologas, las cuales son
impulsadas por las necesidades de informacin de ventas, transacciones diarias,
actualizacin de inventarios o simplemente enviar y recibir informacin
empresarial.
En este sentido las empresas necesitan expandir sus operaciones
comerciales abriendo nuevas sucursales, tiendas remotas, centros de
abastecimiento o comunicarse con un sitio central, a travs de diferentes medios
de comunicacin tales como telfonos, lneas dedicadas de datos o correos
electrnicos.
Cada vez, es mas comn ver que las empresas envan informacin a
travs de Internet por medio de correos electrnicos (e-mail) aplicaciones
especiales (sky pep, messanger, yahoo Chat, etc); los mensajes son enviados en
formato de texto plano, es decir que cualquier persona que tenga acceso al buzn
de correo electrnico puede leer la informacin confidencial ya que dicha la misma
no cuenta con las medidas de seguridad necesarias para evitar esta situacin; por
ejemplo si una sucursal enva la facturacin del da hacia la central en un correo
electrnico el cual es enviado a servidores pblicos tales como yahoo, hotmail,
elsalvador.com, etc; y si una persona en otra ubicacin tiene la clave del buzn
electrnico, perfectamente podra estar sentado en un Cibercaf y enterarse de los
movimientos econmicos de la misma.
Las soluciones de informtica, por tanto deben tomar en cuenta esta
situacin a fin de corregir estas fallas de seguridad, pero al mismo tiempo, estas
soluciones deben ser fcilmente utilizables por los usuarios finales, tanto su
administracin como su operacin.
El software OPEN VPN (Virtual Private Netwrok) es un programa que
permite establecer canales de comunicacin privadas con encriptamiento lo cual
evita que personal no autorizado a nuestro negocio tenga acceso a los datos de la
empresa; la principal ventaja de OPEN VPN es que existe una versin que es
OPEN SOURCE y puede ser implementada en servidores LINUX.
Este capitulo explica como podemos implementar un servidor de seguridad IPCOP
utilizando OPEN VPN como software de seguridad.

2. Configuracion de Enlaces Remotos.
Dentro de la infraestructura de Red desarrollada en el presente trabajo,
definimos un punto remoto y un punto centra, a fin de implementar la
configuracin de SITIO CENTRAL SUCURSAL.
Entre ambos puntos se colocara un dispositivo de comunicacin SWITCH
de 8 puertos, el cual simulara las conexiones de Internet en ambas ubicaciones.
En el siguiente diagrama se esquematiza la configuracin a desarrollar.


Diagrama de configuracin de accesos remotos a implementar.

La red a la derecha del diagrama es denominada red interna del sitio central
y estar conformada por las computadoras personales de los diferentes
departamentos y secciones de la empresa; la red instalada a la izquierda del
diagrama se denominara red remota y estar conformada por las computadoras
instaladas en los diferentes ubicaciones remotas tales como sucursales, tiendas,
puntos de distribucin etc.
En la red didctica que ese conformar, las lneas de comunicacin se
implementaran con cables UTP categora 5e as como asignar IP fijas dentro de
una red de comunicaciones.
En una instalacin real, las lneas de comunicacin se implementaran por medio
de lneas dedicadas de comunicaciones a los cuales debern solicitarse las
empresas de distribucin de Internet con anchos de banda de 128, 256, 512 o 1.0
kbps y con direcciones fijas de red, bajo el dominio .sv.

3. Descripcin de Software IPCOP y OPEN VPN.
El software de implementacin de Router/Firewall denominado IPCOP, es
una aplicacin desarrollada para el sistema operativo LINUX, el cual permite
configurar un a travs de IPTABLES y SQUID el control de acceso y navegacin a
internet.
En el siguiente diagrama se muestra una configuracin tpica para la
instalacin de un Servidor IPCOP.












As mismo, permite configurar VPN para el enlace entre mas de dos
ubicaciones remotas con un sitio central, la configuracin VPN permite la
encriptacin y enmascaramiento de los datos de una empresa cuando son
transmitidos y recibidos a travs de la Red Mundial de datos.
Para la configuracin de usuarios mviles, es decir, usuarios que estn en
constante movilidad por ejemplo un ejecutivo de ventas o el mismo gerente
general, y se desee implementar un canal de comunicacin segura con el mismo a
fin de consultar datos de la red o solamente comunicarse con su empresa, se
establecern VPN para usuarios denominados Road Warrios se utilizara el
programa denominado OPENVPN-2.0.9-INSTALL.EXE, el cual es de fuente
abierta y permite a un usuario ubicado en un hotel, cibercaf, u otro lugar de
acceso publico, establecer un Canal de comunicacin VPN a travs de certificados
digitales.

4. Implementacion VPN.
IPCOP es una distribucin basada en LINUX Kernel 2.6, y puede ser
implementado en computadoras personales con las caractersticas siguientes:
De dos a cuatro tarjetas de Red Ethernet.
Ms de 128 Mega de memoria principal.
Espacio en Disco Duro de 2.0 Giga byte.
Un monitor VGA, solo para la instalacin del sistema.
Un teclado de 101 teclas, solo para la instalacin del sistema.
Una unidad de CD de 48X.
Un microprocesador Pentium III de mas de 1.0 Giga de
velocidad.
Las Unidades de teclado, CD, FLoppy y Monitor pueden ser desmontadas
de CPU una vez finalice la instalacin del software.
La imagen ISO de la versin mas reciente de IPCOP puede ser bajada
(download) del sitio http://www.ipcop.org, el tamao del archivo ISO es de
aproximadamente de 40 a 60 Mbyte.
Para su instalacin es necesario determinar lo siguientes valores de Red
que se muestran a continuacin
1) Para instalar IPCOP debemos configurar nuestro equipo para que bootee
desde la unidad de CD, ADVRTENCIA: IPCOP eliminara todos los datos de
nuestro disco duro por lo que se recomienda utilizarlo SOLO CON DISCOS
DUROS donde no exista informacin importante, y en Computadoras donde
solamente existir nuestra copia de IPCOP.
2) Cuando nuestro equipo inicie desde CD, IPCOP enviara la siguiente
pantalla, si esta seguro de perder todos los datos de su disco duro proceda a
presionar ENTER.

3) En la siguiente pantalla se presentara la siguiente pantalla donde debe
de seleccionarse el mtodo de instalacin del Sistema, por defecto se efectuara
desde la unidad CD-ROM.

4) A continuacin se nos pedir el idioma que se utilizara durante la
instalacin y el tipo de teclado que tenemos en la computadora.
5) IPCOP, iniciar un proceso automtico de deteccin de las tarjetas de
red instaladas en nuestro sistema, as mismo asignara las interfases a cada una
de las redes a instalar. .

6) Debe seleccionarse el tipo de configuracin que se desea instalar.

Las redes implementadas por IPCOP se detallan a continuacin:
GREEN: Red Lan Interna de la empresa.
ORANGE: Red de DMZ o Red de Servidores Corporativos que deben
ser consultados por Internet.
RED: Red de acceso a Internet, normalmente es la Red del
proveedor de servicios (TELECOM, Telefnica, SALTEL, etc)
BLUE: Red de usuarios de acceso inalmbricos.
Para los aspectos prcticos del presente proyecto se definir solo
dos redes, una Red GREEN o red local y una Red RED o red de acceso a
Internet.
7) En la siguiente pantalla debe asignarse las direcciones IP
correspondientes a las interfaces que se utilizaran.
Para el caso practico del presente trabajo e definen los siguientes
valores.

IPCOP Local o Central IPCOP Remoto o Sucursal
Nombre de Host RouterA RouterB
IP Address GREEN 192.168.1.10/255.255.255.0 192.168.2.10/255.255.255.0
IP Address RED 10.10.10.2/255.255.255.0 10.10.10.5/255.255.255.0
Gateway 192.168.1.10 192.168.2.10
DNS 192.168.1.10 192.168.2.10
Nombre de Dominio Empresa.com Sucursal.com
Llave a compartir Esta_llave_compartida Esta_llave_compartida

En la siguiente pantalla deben colocarse las direcciones IP
correspondientes a la interfase GREEN.

En la siguiente pantalla debe definirse los valores IP para la Interfase RED.


Configuracin General de los Routers Central y Remoto.
Para configurar los accesos Central y Remoto es necesario entrar en el
modo de administracin de ambas maquias de IPCIP; para el presente trabajo se
denominaran RouterA para la Oficina Central y RouterB para la oficina Remota o
Sucursal.
Para ingresar al modo de administracin de IPCOP, debe ejecutar su
explorador el cual puede ser Internet Explorer, Mozilla o Firefox, en la ventanas de
vnculos es necesario digitar el siguiente URL:
https://192.168.1.10:442


La ventana de administracin necesita que se acepte el certificado de
seguridad correspondiente, ya que dicha aplicacin funciona bajo el protocolo de
seguridad https y el puerto 445 para establecer una conexin segura desde un
browser, asi mismo, deber colocar el usuario Admin y la clave que se le asigno
durante el proceso de instalacin, para el presente trabajo el cdigo de acceso es
pitufo.

Cuando el sistema ya realizado correctamente la accin de verificar la
autenticacin del usuario y de su clave presenta la pantalla de bienvenida.

Configuracin de OPEN VPN en CENTRAL.
Elija la solapa con la opcin VPN, el sistema le presentara la pantalla
correspondiente para configurar los valores necesarios para establecer una
conexin VPN entre el sitio central y el remoto.
IPCOP permite realziar diversas configuraciones de VPN utilizando
varios mtodos de llaves, con IPCOP es posible implementar llaves PKI,
Certificados de Autenticacion, mtodos de encriptamiento como DES, MD5 y
otros, para efectos del presente trabajo utulizaremos el mtodo mas fcil de
utilizar, el cual consiste en intecambiar una frase secreta entre los puntos
Centrales y Remotos, dicha palabra clave es verificada y enviada entre los
diferentes sitios de forma enciptada con llaves de 128bit.
En la solapa VPN se selecciona agregar conexin y el sistema
presentara la siguiente pantalla

Hay dos opciones que son configurables, las cuales describen los
tipos de acceso que se pueden implementar, Conexin de Dos IPCOP o
Configuracin de Clientes RoadWarrior o Clientes Mviles.


Deben llenarse los campos de Nombre de la conexin, IP de Red
Remota que se desea conectar, IP de la interfase por medio de la cual se tendr
acceso y debe agregarse la frase que se compartir.
Para la Configuracin de las Oficinas centrales es necesario definir
que el IP que se configura esta a la derecha de la relacin de confianza, es decir,
se debe selecciona Left en el campo Lado de IPCOP, para el caso de las
sucursales, se selecionara la opcin Rigth.
Se debe presionar Aceptar para guardar los cambios y
posteriormente se debe reiniciar la conexin.

El sistema presentara la pantalla anterior y podrn efectuarse las
operaciones que e encuentran debajo de la lnea de informacin de la conexin.

Configuracin de OPEN VPN en SUCURSALES.
Para configurar la conexin VPN en el sitio remoto, es necesario
estar dentro de la red local de la sucursal, para el caso, la computadora utlizada
para configurar IPCOP debe tener una direccin IP 192.168.2.X/24, estar
fsicamente conectada a dicha red.
Con la ayuda de un explorador se digita la siguiente direccin URL
para entrar al modo de configuracin, https://192.168.2.10:445, el sistema
presentara la siguiente pantalla:

Para el desarrollo del presente trabajo hemos igualado ambos
accesos a IPCOP, asi pues el usuario de acceso es Admin y el password es
pitufo, el lector podr notar que es igual para el IPCOP de la Oficina Central.
En la solapa de VPN, se selecciona deben completar la informacin
solicitada, tales como, nombre de la conexin, ip remota con la que se establecera
la conexin, IP de la red remota.
En el campo de Lado de IPCOP deber seleccionarse Rigth, y la
palabra secreta que se compartir deber ser la misma.
En la siguiente pantalla se muestran como deben configurarse
ambas interfases de IPCOP tanto la red remota y la red central.


Configuracin de Open VPN para Clientes PC.
1) El programa que se utilizara se denomina OPENVPN-2.0.9-
INSTALL.EXE el cual puede ser descargado de http://www.openvpn.net/.
2) Cuando se ejecuta la aplicacin presenta la pantalla de bienvenida a la
instalacin:

3) Debe aceptarse el Contrato de Licencia de Uso Final, si no se aceptan
los trminos del mismo, la instlacion se cancelara.

4) Seleccione los componentes a instalar o solo presione Siguiente para
aceptar los valores por defecto.

5) Si no desea modificar ninguno de los parmetros del programa de
instalacin y desea aceptar los valores por defecto solamente debe presionarse
Siguiente en las siguientes pantallas.

6) Una vez terminada la instalacin, dentro de su men de inicio se habrn
credo el siguiente grupo de programas y accesos directos.


Verificacin de Configuracin.
1) En la pantalla de administracin de IPCOP en la opcin de VP, podr
observarse que la conexin VPN entre Central-Sucursal ha cambiado de estado y
ahora se encuentra ABIERTA, en la grafica siguiente se muestran las don
ventanas, remota y central, donde se puede observar cual es el estado valido de
las conexiones.


2) Una segunda verificacin es posible realizarla desde la ventana de
comando utilizando el comando traceroute, haciendo una peticin de enrutamiento
hacia el servidor de VOIP, que para el presente trabajo es 192.168.1.8, de la
siguiente forma:

C:\> traceroute 192.168.1.10
o 1 10.10.10.5 1s
o 2 10.10.10.2 1s

En la pantalla de comando solo debe observarse dos saltos los cuales
corresponden a las interfaces de Red de los respectivos Router IPCOP.