PRIMERA PARTE
Carrera: Ingeniería Sistemas
Semestre: Octavo
Materia: Seguridad En Redes
Modulo: Implementación de OPENVPN tipo RoadWarrior para el Acceso a los sistemas
SIGMA y SIGEP de Bolivia.
Docente: Ing. Hernan Enriquez Maidana
PRIMERA PARTE.
1. Introducción.
Actualmente las entidades
públicas se conectan a los sistemas SIGMA (Sistema Integrado de gestión
y modernización Administrativa), SIGEO (Sistema de Gestión Pública)
que son administrados por la Dirección de Sistemas de Gestión de Información
Fiscal dependiente del Ministerio de Economía y Finanzas Publicas, mediante una
conexión directa a través de Fibra Óptica o una conexión VPN punto a punto a través
de equipos Firewall que necesariamente utilicen el protocolo IPSEC lo cual es
una limitante para los usuarios del sistema que se encuentran fuera de su
oficina central o entidades descentralizadas que tienen oficinas en distintas
ubicaciones geográficas, por lo que se tiene pensado brindar una solución de
conectividad segura para clientes remotos a través de túneles VPN.
2. Desarrollo.
- Implementar un servidor OpenVPN tipo RoadWarrior para el acceso a los sistemas SIGMA y SIGEP estableciendo túneles VPN de acceso remoto mediante el uso de software libre.
- Obtener acceso a los sistemas
SIGMA y SIGEP mediante VPN’s de acceso remoto desde clientes que usan
distintos sistemas operativos.
- Establecer conexiones seguras a través de Internet brindando seguridad a
clientes remotos con la generación de certificados SSL.
- Investigar el software OpenVPN como herramienta de software libre para brindar soluciones
de conectividad a clientes remotos.
3. Propuesta
de Implementación
El desarrollo
del módulo pobra brindar acceso mediante túneles vpn acceso a los sistemas
SIGMA y SIGEP.
La topología de red básica donde se
implementara el servidor OpenVPN es la siguiente.
Fuente: https://sites.google.com/site/3cuelectronica/home/ethernet/vpn
El servidor OpenVPN estará conectado en la red de servicios de la
dirección general de sistemas de gestión de Información Fiscal para el acceso a
los sistemas Sigma, Sigep y brindará la posibilidad de conectar a clientes
remotos, trabajadores a distancia personal de la entidad que se encuentran
fuera de la oficina o de viaje a través de túneles VPN de forma rápida y
segura.
Se propone implementar el tipo de conexión RoadWarrior para generar
certificados de autorización exclusivos de clientes y permitir la conexión sin
la necesidad de otro servidor o equipo de comunicación en el lado extremo,
simplemente con la instalación de un software cliente y la asignación de llaves
y certificados de seguridad en los equipos de los clientes remotos.
Para llevar a cabo las clases de este modulo deberemos contar inicialmente con
un equipo donde poder instalar el software libre OPENVpn este puede ser
computadora portátil, dispositivo celular o Tablet del estudiante, este
software está disponible para los distintos sistemas operativos Windows, Linux
Android, además deberá tener asignado y copiado una llave, un certificado de
seguridad y un archivo de configuración que apunte a la IP publica del servidor
para establecer el túnel VPN.
4. Distribución de las
actividades en clases.
|
Clases |
Actividad |
Medios o Materiales Educativos |
|
Clase 1: Instalación e introducción de software a utilizar |
-Obtener acceso a los sistemas SIGMA y SIGEP mediante VPN’s de acceso
remoto desde clientes que usan distintos sistemas operativos. |
Dispositivo celular, pc o Tablet con el software OpenVpn instalado. |
|
Clase 2: Configuración y prueba de conexiones remotas |
-Establecer conexiones seguras a través de Internet brindando
seguridad a clientes remotos con la generación de certificados SSL. |
Generación de certificados de seguridad para acceso remoto. Generado
desde PC |
|
Clase 3: Configurar una propia solución. |
-Investigar el software OpenVPN como herramienta de software libre
para brindar soluciones de conectividad a clientes remotos para distintas
empresas. |
Contar con un servidor para poder generar llaves de seguridad y
posterior conexión de clientes propios. PC virtual como ejemplo configurado
por el docente. |
5. Conclusiones y
Recomendaciones.
Ante el problema que plantea el poder permitir
conexiones remotas seguras desde internet a través de túneles VPN con acceso a
los sistemas para usuarios que se encuentran fuera de la oficina central, en
viajes, desde el hogar u otros lugares remotos se propone como solución de
comunicación mediante el uso de software libre la implementación de un servidor
OpenVPN tipo RoadWarrior que permite la conexión de clientes VPN con la
generación de certificados de seguridad y túneles VPN con conexión a la red de
los sistemas Sigma, Sigep que administra la Dirección General de Sistemas de
Gestión de la Información Fiscal.
Se investigó el uso de OpenVPN como una herramienta de
software libre que vuelve innecesaria la adquisición de hardware dedicado,
resultando una solución más económica, simple, flexible y escalable que debe
considerarse.
En este proyecto se han abordado aspectos básicos de
OpenVPN relacionados con su configuración, implementación de la seguridad y
puesta en marcha para permitir el acceso remoto que se requiere y se recomienda
tener en cuenta para posibles estudios futuros incrementar funcionalidades que
se puedan implementar como el monitoreo de tráfico, autenticación de usuarios,
alta disponibilidad del servicio, que son aspectos importantes.
3. Bibliografía.
https://sergiodeluz.wordpress.com/2010/06/21/instalaropenvpn-para-windows-7-32-64-bits/
http://sobrebits.com/instalar-y-configurar-el-cliente-openvpn-en-windows/
https://www.digicert.com/es/ssl.htm
http://www.definicionabc.com/tecnologia/vpn.php
http://www.redes.upv.es/ralir/MforS/VPN_linux_spanish.pdf
http://ptolomeo.unam.mx
SEGUNDA PARTE
Clase 1: Instalación e introducción de software a
utilizar
|
Clase 1 |
Actividad |
Medios o Materiales Educativos |
|
Instalación e introducción de software a utilizar |
-Obtener acceso a los sistemas SIGMA y SIGEP mediante VPN’s de acceso
remoto desde clientes que usan distintos sistemas operativos. |
Dispositivo celular, pc o Tablet con el software OpenVpn instalado. |
Introducción a las Redes
Privadas Virtuales (VPN)
Una Red Privada Virtual
(en adelante, por comodidad VPN – del inglés Virtual Private Network) es una
red, construida sobre la infraestructura de una red pública, que permite a
usuarios remotos comunicarse de forma transparente y segura. Tal y como indica
su nombre, es privada dado que garantiza la privacidad en sus comunicaciones, y
virtual por que se implementa sobre la infraestructura de redes públicas (por
ejemplo, Internet).
Las conexiones VPN
permiten a los usuarios acceder, desde casa o desde un punto remoto, al
servidor de su organización a través de la infraestructura de encaminamiento
que proveen las redes públicas. Desde el punto de vista del usuario la conexión
VPN es una conexión punto a punto entre su ordenador y el servidor de la
organización. La naturaleza de las redes intermedias es irrelevante para el
usuario, ya que, para él, los datos son enviados como si hubiera un enlace
dedicado hasta el servidor. La tecnología VPN también permite a las empresas
conectar a sus filiales, o con otras empresas, a través de la infraestructura
de redes públicas, ofreciendo comunicaciones seguras.
También en este caso, la
conexión aparece al usuario como si se estableciera en una red privada.
Por tanto, las redes
privadas virtuales intentan dar soluciones principalmente a problemas tales
como:
· El
acceso remoto a la red de la empresa.
· La
interconexión de múltiples sitios remotos.
· Establecimiento
de conexiones seguras.
Para aportar a sus
empleados la posibilidad de conectar con sus servidores, una organización debe
desplegar una solución escalable de acceso remoto.
Normalmente, tienen dos
opciones: una solución es crear un departamento de sistemas de información, que
se encargue de comprar instalar y mantener la infraestructura de redes
privadas. La otra opción es contratar los servicios de una empresa para que
resuelva estos problemas.
En cualquiera de las dos
soluciones existe el inconveniente de que el soporte a usuarios móviles, es
decir, los que intentan conectarse desde cualquier ubicación, es muy reducido,
no siendo así si optamos por la solución de red pública. Además ninguna de
estas soluciones aporta la escalabilidad suficiente, en términos de costes de
despliegue y flexibilidad de administración. Resulta pues interesante
reemplazar la infraestructura de red privada por una solución de menor coste,
basada en la tecnología Internet. Mediante esta solución, unas pocas conexiones
a través de proveedores de servicios de Internet y servidores VPN pueden
satisfacer las necesidades de enlaces remotos de cientos de clientes remotos o
empresas alejadas entre sí.
Aunque las VPN presentan
ventajas tales como el ahorro de costes, la flexibilidad y a escalabilidad, la
implementación de una VPN acompaña consigo los siguientes problemas:
· Seguridad: las
VPN requieren con mucha frecuencia de un gran esfuerzo de gestión relativa a la
seguridad ya que requieren de la gestión de claves, conexiones y control de
acceso.
· Compatibilidad: la
mayoría de los protocolos que se utilizan para crear túneles y dotar de
seguridad a la VPN no son compatibles entre ellos porque ahora, por lo que es
complicado seleccionar un único protocolo que satisfaga todas las necesidades.
· Fiabilidad
y Rendimiento: las VPN sobre Internet dependen de la infraestructura pública
de Internet y experimentan los mismos problemas que esta. Además, a menudo las
organizaciones necesitan que se les garantice una calidad de servicio (QoS)
· Cuellos
de Botella Potenciales: el cifrado y descifrado o el encapsulado y des
encapsulado de paquetes son acciones que requieren una gran capacidad de
procesado y que hacen que aumenten el tamaño de los paquetes.
OpenVpn y paquetes
necesarios
Como se ha comentado
en el apartado anterior la instalación, configuración y puesta en marcha de
OpenVPN es bastante fácil en comparación con otras herramientas, como por
ejemplo FreeS/Wan. Aunque OpenVPN puede utilizarse en los sistemas operativos
más conocidos en el mundo de la informática, es este apartado se va a comentar
el sencillo proceso de instalación de OpenVPN en entornos Linux y Windows y la
dependencia de OpenVPN con otros paquetes y herramientas que también tendrán
que estar instaladas en la misma máquina. Estas herramientas serán detalladas
en apartados posteriores para su mejor comprensión.
La herramienta OpenVPN
debe ser instalada tanto en las maquinas que hagan de servidor como en las que
hagan de clientes. No existe una versión para clientes y otra para servidores,
desde que OpenVPN se instala en el PC, proporciona tanto las funciones del
cliente como del servidor con sus respectivos comandos y directivas.
OpenVPN corre casi
completamente en el espacio de usuario exigiendo ninguna modificación ni
componente en el kernel del sistema operativo que no sean
los controladores virtuales “TUN/TAP” disponibles para muchas plataformas tales
como Windows, Linux, MAC OS y variantes de BSD.
Para instalar OpenVPN
en una maquina primero hay que saber que OpenVPN puede instalarse:
· Con
las librerías”crypto” y “SSL” de OpenSSL
(versión 0.9.6 o mayor), ofreciendo autenticación mediante certificados,
cifrado con clave pública e intercambio dinámica de claves basada en protocolo
TLS.
· Con la
librería “crypto” de OpenSSL
únicamente, pudiendo utilizar cifrado convencional basado en claves estáticas
compartidas por ambos extremos de la comunicación.
· Sin
ninguna librería de seguridad OpenSSL, pudiendo implementar túneles no seguros,
sin cifrado de los datos del túnel.
OpenVPN también
puede ser vinculado con la librería de comprensión de datos en tiempo real LZO
(Lempel Ziv Oberhumer). De esta manera OpenVPN soporta comprensión
con adaptación en tiempo real, que significa que permitirá realizar la
comprensión solo cuando flujo de datos del túnel pueda ser comprimido.
