Universidad Simón Bolívar. Criptografía y Seguridad de Datos. Prof. Carlos Figueira. Práctica I Instalación y Configuración de una Red Privada Virtual (VPN) Jorge Palacios. 10-87970. Sartenejas, Marzo del 2012. Requerimiento Instalar y configurar una Red Privada Virtual (VPN) utilizando IPsec. Contexto La práctica se desarrolló en un entorno casero de red local (LAN) constituido por los siguientes dispositivos: • • Dos (2) computadores portátiles con sistemas GNU/Linux de la distribución Fedora. Un (1) router wi-fi (802.11g). Introducción Fedora provee varias opciones para poder implementar soluciones por software a fin de conectarse a una Red de Área Amplia (WAN), siendo IPsec la implementación soportada por tal distribución para VPNs. Asimismo, el protocolo IKE (Internet Key Exchange) es utilizado para la implementación de IPsec a fin de contar con autenticación mutua y asosiación segura entre los sistemas conectados. En esta distribución se soporta IPsec para conexiones de red a red (en el caso de routers) y de host a host. Dado el contexto, la instalación de la VPN se realizó de equipo a equipo. Desarrollo Primeramente se instalaron, en ambos equipos, los paquetes “ipsec-tools” y “system-config-network”. El primero, contiene todas las librerías y archivos de configuración necesarios para configurar y utilizar el protocolo IPsec. Asimismo, el paquete “system-config-network” es una aplicación que, de forma amigable, permite configurar las conexiones de red en el equipo. Sin embargo, es indispensable tener un analizador de red que nos permita monitorear si en efecto la VPN se ha configurado de forma correcta y el tráfico es transmitido de manera cifrada. Para ello se instaló el paquete “wireshark” que es uno de los analizadores de tráfico más utilizados y confiables. Una vez instalados los paquetes, se siguen los pasos que aparecen en la documentación de Fedora, específicamente en el ámbito de seguridad en la sección 3.2.1.6.1, Conexión Host a Host (Host-to-Host Connection). Es importante destacar que estos pasos se deben realizar en los dos equipos a conectar. Al mismo tiempo, se recomienda evitar establecer conexciones IPsec de manera remota. 1. Ejecutar system-config-network para inicializar la herramienta de administración de redes. 2. Ir a la pestaña IPsec y crear un nuevo ayudante de configuraciones IPsec. 3. Presionar Siguiente para comenzar a configurar la conexión equipo a equipo. 4. Colocar un nombre o nick a la conexión. De ser necesario, seleccionar el recuadro para activar la conexión de forma automática al iniciar el equipo. 5. Seleccionar Cifrado Equipo a Equipo como tipo de conexión. 6. Seleccionar el tipo de cifrado a utilizar: manual o automático. 1. Se seleccionó el modo automático. De este modo, el demonio racoon se encarga de manejar la llave de cifrado gracias a la instalación completa del paquete ipsec-tools. 7. Colocar la dirección IP del otro equipo (en este caso computador). 8. Generar una clave de autenticación. 1. Seleccionar generar. 2. Colcar una clave de caracteres alfanuméricos. 3. La aplicación genera una clave de autenticación por medio de racoon. 9. Chequear la configuración general creada por el asistente. 10. Aplicar cambios y activar la configuración en el botón Activar. Experimento Dadas las características de la red, la prueba más directa fue realizar “ping” antes de habilitar la VPN y luego de habilitar la misma. En la primera prueba, el analizador de tráfico muestra los detalles de los paquetes de datos; mientras que al estar habilitada la VPN, el analizador de tráfico. En los anexos, se puede ver la diferencia entre el ping no cifrado y el cifrado, considerando el campo info con nodo origen/destino las direcciones 192.168.1.3 y 192.168.1.4. Dificultades y Aprendizajes Al ser un usuario regular de sistemas Windows, fue un poco difuso encontrar un sitio de partida; es por ello que se tomó en consideración la documentación de Fedora como punto principal para la investigación. Gracias a toda la maquinaria y comunidad que existe detrás del movimiento del software libre, fue sencillo realizar el taller en todos los aspectos: la documentación de la distribución Fedora es robusta y amigable, con lo que no fue necesario ir a fuentes adicionales (como tutoriales de terceros). Fuentes de Información Documentación oficial de [http://docs.fedoraproject.org/en-US/index.html] Guía de seguridad en Fedora, Fedora, disponible en disponible en [http://docs.fedoraproject.org/en-US/Fedora/16/html/Security_Guide/index.html] Anexos Configuración de IPsec. Analizador de tráfico (ping) antes y después de la activación del cifrado.