VII. IMPLEMENTACIÓN DE ENLACES VPN (REMOTOS) I. Implementación de enlaces VPN (Remotos). 1. Introducción. Los requerimientos de informática y comunicaciones de las empresas, han cambiado a medida que estas incorporan herramientas tecnologías, las cuales son impulsadas por las necesidades de información de ventas, transacciones diarias, actualización de inventarios o simplemente enviar y recibir información empresarial. En este sentido las empresas necesitan expandir sus operaciones comerciales abriendo nuevas sucursales, tiendas remotas, centros de abastecimiento o comunicarse con un sitio central, a través de diferentes medios de comunicación tales como teléfonos, líneas dedicadas de datos o correos electrónicos. Cada vez, es mas común ver que las empresas envían información a través de Internet por medio de correos electrónicos (e-mail) aplicaciones especiales (sky pep, messanger, yahoo Chat, etc); los mensajes son enviados en formato de texto plano, es decir que cualquier persona que tenga acceso al buzón de correo electrónico puede leer la información confidencial ya que dicha la misma no cuenta con las medidas de seguridad necesarias para evitar esta situación; por ejemplo si una sucursal envía la facturación del día hacia la central en un correo electrónico el cual es enviado a servidores públicos tales como yahoo, hotmail, elsalvador.com, etc; y si una persona en otra ubicación tiene la clave del buzón electrónico, perfectamente podría estar sentado en un Cibercafé y enterarse de los movimientos económicos de la misma. Las soluciones de informática, por tanto deben tomar en cuenta esta situación a fin de corregir estas fallas de seguridad, pero al mismo tiempo, estas soluciones deben ser fácilmente utilizables por los usuarios finales, tanto su administración como su operación. El software OPEN VPN (Virtual Private Netwrok) es un programa que permite establecer canales de comunicación privadas con encriptamiento lo cual evita que personal no autorizado a nuestro negocio tenga acceso a los datos de la empresa; la principal ventaja de OPEN VPN es que existe una versión que es OPEN SOURCE y puede ser implementada en servidores LINUX. Este capitulo explica como podemos implementar un servidor de seguridad IPCOP utilizando OPEN VPN como software de seguridad. 2. Configuracion de Enlaces Remotos. Dentro de la infraestructura de Red desarrollada en el presente trabajo, definimos un punto remoto y un punto centra, a fin de implementar la configuración de SITIO CENTRAL – SUCURSAL. Entre ambos puntos se colocara un dispositivo de comunicación SWITCH de 8 puertos, el cual simulara las conexiones de Internet en ambas ubicaciones. En el siguiente diagrama se esquematiza la configuración a desarrollar. Diagrama de configuración de accesos remotos a implementar. La red a la derecha del diagrama es denominada red interna del sitio central y estará conformada por las computadoras personales de los diferentes departamentos y secciones de la empresa; la red instalada a la izquierda del diagrama se denominara red remota y estará conformada por las computadoras instaladas en los diferentes ubicaciones remotas tales como sucursales, tiendas, puntos de distribución etc. En la red didáctica que ese conformar, las líneas de comunicación se implementaran con cables UTP categoría 5e así como asignar IP fijas dentro de una red de comunicaciones. En una instalación real, las líneas de comunicación se implementaran por medio de líneas dedicadas de comunicaciones a los cuales deberán solicitarse las empresas de distribución de Internet con anchos de banda de 128, 256, 512 o 1.0 kbps y con direcciones fijas de red, bajo el dominio .sv. 3. Descripción de Software IPCOP y OPEN VPN. El software de implementación de Router/Firewall denominado IPCOP, es una aplicación desarrollada para el sistema operativo LINUX, el cual permite configurar un a través de IPTABLES y SQUID el control de acceso y navegación a internet. En el siguiente diagrama se muestra una configuración típica para la instalación de un Servidor IPCOP. Así mismo, permite configurar VPN para el enlace entre mas de dos ubicaciones remotas con un sitio central, la configuración VPN permite la encriptación y enmascaramiento de los datos de una empresa cuando son transmitidos y recibidos a través de la Red Mundial de datos. Para la configuración de usuarios móviles, es decir, usuarios que están en constante movilidad por ejemplo un ejecutivo de ventas o el mismo gerente general, y se desee implementar un canal de comunicación segura con el mismo a fin de consultar datos de la red o solamente comunicarse con su empresa, se establecerán VPN para usuarios denominados “Road Warrios” se utilizara el programa denominado OPENVPN-2.0.9-INSTALL.EXE, el cual es de fuente abierta y permite a un usuario ubicado en un hotel, cibercafé, u otro lugar de acceso publico, establecer un Canal de comunicación VPN a través de certificados digitales. 4. Implementacion VPN. IPCOP es una distribución basada en LINUX Kernel 2.6, y puede ser implementado en computadoras personales con las características siguientes: De dos a cuatro tarjetas de Red Ethernet. Más de 128 Mega de memoria principal. Espacio en Disco Duro de 2.0 Giga byte. Un monitor VGA, solo para la instalación del sistema. Un teclado de 101 teclas, solo para la instalación del sistema. Una unidad de CD de 48X. Un microprocesador Pentium III de mas de 1.0 Giga de velocidad. Las Unidades de teclado, CD, FLoppy y Monitor pueden ser desmontadas de CPU una vez finalice la instalación del software. La imagen ISO de la versión mas reciente de IPCOP puede ser bajada (download) del sitio http://www.ipcop.org, el tamaño del archivo ISO es de aproximadamente de 40 a 60 Mbyte. Para su instalación es necesario determinar lo siguientes valores de Red que se muestran a continuación 1) Para instalar IPCOP debemos configurar nuestro equipo para que bootee desde la unidad de CD, ADVRTENCIA: IPCOP eliminara todos los datos de nuestro disco duro por lo que se recomienda utilizarlo SOLO CON DISCOS DUROS donde no exista información importante, y en Computadoras donde solamente existirá nuestra copia de IPCOP. 2) Cuando nuestro equipo inicie desde CD, IPCOP enviara la siguiente pantalla, si esta seguro de perder todos los datos de su disco duro proceda a presionar ENTER. 3) En la siguiente pantalla se presentara la siguiente pantalla donde debe de seleccionarse el método de instalación del Sistema, por defecto se efectuara desde la unidad CD-ROM. 4) A continuación se nos pedirá el idioma que se utilizara durante la instalación y el tipo de teclado que tenemos en la computadora. 5) IPCOP, iniciará un proceso automático de detección de las tarjetas de red instaladas en nuestro sistema, así mismo asignara las interfases a cada una de las redes a instalar. . 6) Debe seleccionarse el tipo de configuración que se desea instalar. Las redes implementadas por IPCOP se detallan a continuación: GREEN: Red Lan Interna de la empresa. ORANGE: Red de DMZ o Red de Servidores Corporativos que deben ser consultados por Internet. RED: Red de acceso a Internet, normalmente es la Red del proveedor de servicios (TELECOM, Telefónica, SALTEL, etc) BLUE: Red de usuarios de acceso inalámbricos. Para los aspectos prácticos del presente proyecto se definirá solo dos redes, una Red GREEN o red local y una Red RED o red de acceso a Internet. 7) En la siguiente pantalla debe asignarse las direcciones IP correspondientes a las interfaces que se utilizaran. Para el caso practico del presente trabajo e definen los siguientes valores. IPCOP Local o Central IPCOP Remoto o Sucursal Nombre de Host RouterA RouterB IP Address GREEN 192.168.1.10/255.255.255.0 192.168.2.10/255.255.255.0 IP Address RED 10.10.10.2/255.255.255.0 10.10.10.5/255.255.255.0 Gateway 192.168.1.10 192.168.2.10 DNS 192.168.1.10 192.168.2.10 Nombre de Dominio Empresa.com Sucursal.com Llave a compartir Esta_llave_compartida Esta_llave_compartida En la siguiente pantalla deben colocarse las direcciones IP correspondientes a la interfase GREEN. En la siguiente pantalla debe definirse los valores IP para la Interfase RED. Configuración General de los Routers Central y Remoto. Para configurar los accesos Central y Remoto es necesario entrar en el modo de administración de ambas maquias de IPCIP; para el presente trabajo se denominaran RouterA para la Oficina Central y RouterB para la oficina Remota o Sucursal. Para ingresar al modo de administración de IPCOP, debe ejecutar su explorador el cual puede ser Internet Explorer, Mozilla o Firefox, en la ventanas de vínculos es necesario digitar el siguiente URL: https://192.168.1.10:442 La ventana de administración necesita que se acepte el certificado de seguridad correspondiente, ya que dicha aplicación funciona bajo el protocolo de seguridad https y el puerto 445 para establecer una conexión segura desde un browser, asi mismo, deberá colocar el usuario Admin y la clave que se le asigno durante el proceso de instalación, para el presente trabajo el código de acceso es “pitufo”. Cuando el sistema ya realizado correctamente la acción de verificar la autenticación del usuario y de su clave presenta la pantalla de bienvenida. Configuración de OPEN VPN en CENTRAL. Elija la solapa con la opción VPN, el sistema le presentara la pantalla correspondiente para configurar los valores necesarios para establecer una conexión VPN entre el sitio central y el remoto. IPCOP permite realziar diversas configuraciones de VPN utilizando varios métodos de llaves, con IPCOP es posible implementar llaves PKI, Certificados de Autenticacion, métodos de encriptamiento como DES, MD5 y otros, para efectos del presente trabajo utulizaremos el método mas fácil de utilizar, el cual consiste en intecambiar una frase secreta entre los puntos Centrales y Remotos, dicha palabra clave es verificada y enviada entre los diferentes sitios de forma enciptada con llaves de 128bit. En la solapa VPN se selecciona agregar conexión y el sistema presentara la siguiente pantalla Hay dos opciones que son configurables, las cuales describen los tipos de acceso que se pueden implementar, Conexión de Dos IPCOP o Configuración de Clientes RoadWarrior o Clientes Móviles. Deben llenarse los campos de Nombre de la conexión, IP de Red Remota que se desea conectar, IP de la interfase por medio de la cual se tendrá acceso y debe agregarse la frase que se compartirá. Para la Configuración de las Oficinas centrales es necesario definir que el IP que se configura esta a la derecha de la relación de confianza, es decir, se debe selecciona “Left” en el campo “Lado de IPCOP”, para el caso de las sucursales, se selecionara la opción “Rigth”. Se debe presionar “Aceptar” para guardar los cambios y posteriormente se debe reiniciar la conexión. El sistema presentara la pantalla anterior y podrán efectuarse las operaciones que e encuentran debajo de la línea de información de la conexión. Configuración de OPEN VPN en SUCURSALES. Para configurar la conexión VPN en el sitio remoto, es necesario estar dentro de la red local de la sucursal, para el caso, la computadora utlizada para configurar IPCOP debe tener una dirección IP 192.168.2.X/24, estar físicamente conectada a dicha red. Con la ayuda de un explorador se digita la siguiente dirección URL para entrar al modo de configuración, https://192.168.2.10:445, el sistema presentara la siguiente pantalla: Para el desarrollo del presente trabajo hemos igualado ambos accesos a IPCOP, asi pues el usuario de acceso es “Admin” y el password es “pitufo”, el lector podrá notar que es igual para el IPCOP de la Oficina Central. En la solapa de VPN, se selecciona deben completar la información solicitada, tales como, nombre de la conexión, ip remota con la que se establecera la conexión, IP de la red remota. En el campo de “Lado de IPCOP” deberá seleccionarse “Rigth”, y la palabra secreta que se compartirá deberá ser la misma. En la siguiente pantalla se muestran como deben configurarse ambas interfases de IPCOP tanto la red remota y la red central. Configuración de Open VPN para Clientes PC. 1) El programa que se utilizara se denomina OPENVPN-2.0.9- INSTALL.EXE el cual puede ser descargado de http://www.openvpn.net/. 2) Cuando se ejecuta la aplicación presenta la pantalla de bienvenida a la instalación: 3) Debe aceptarse el Contrato de Licencia de Uso Final, si no se aceptan los términos del mismo, la instlacion se cancelara. 4) Seleccione los componentes a instalar o solo presione Siguiente para aceptar los valores por defecto. 5) Si no desea modificar ninguno de los parámetros del programa de instalación y desea aceptar los valores por defecto solamente debe presionarse Siguiente en las siguientes pantallas. 6) Una vez terminada la instalación, dentro de su menú de inicio se habrán credo el siguiente grupo de programas y accesos directos. Verificación de Configuración. 1) En la pantalla de administración de IPCOP en la opción de VP, podrá observarse que la conexión VPN entre Central-Sucursal ha cambiado de estado y ahora se encuentra ABIERTA, en la grafica siguiente se muestran las don ventanas, remota y central, donde se puede observar cual es el estado valido de las conexiones. 2) Una segunda verificación es posible realizarla desde la ventana de comando utilizando el comando traceroute, haciendo una petición de enrutamiento hacia el servidor de VOIP, que para el presente trabajo es 192.168.1.8, de la siguiente forma: C:\> traceroute 192.168.1.10 o 1 10.10.10.5 1s o 2 10.10.10.2 1s En la pantalla de comando solo debe observarse dos saltos los cuales corresponden a las interfaces de Red de los respectivos Router IPCOP.