Embed Size (px)
Citation preview
ISA SERVER + VPN EN WINDOWS CON CLAVES PRECOMPARTIDAS Johan Sebastián Londoño Jorge Anderson Ríos Sergio Andrés Quintero Diana Marcela Quintero
Página 2
CONTENIDO
Introducción………………………………………………………………………………………………..3
Marco Teórico……………………………………………………………………………………………..4
Diagrama de red ………………………………………………………………………………………….5
Configuración de usuario en el directorio activo…………………………………………….5
Instalación y configuración de ISA Server + VPN……………………………………………. 7
Configuración del firewall para permitir las conexiones remotas …………………..19
Configuración de clientes VPN…………………………………………………………………….24
Conclusiones……………………………………………………………………………………………..34
Página 3
INTRODUCCION
Cuando hablamos de seguridad nos referimos a la protección de nuestros datos al transmitirlo
de una interfaz a otra, por eso decidimos mostrar algo de la implementación y configuración
de redes virtuales que nos garantiza una mejor protección de nuestros datos a si sea que
estemos conectados en una red WAN, por que las VPN nos asegura la información ya sea con
certificados o con llaves garantizando que nadie va a robarse nuestra información o va a
alterarla.
Por eso a continuación vamos a ver la implementación y explicaremos cada uno de los
términos que se presentan en este tipo de conexiones.
Página 4
MARCO TEORICO
DIRECTORIO ACTIVO: Es un servicio de directorio utilizado para guardar información relativa a
los recursos de red de un dominio. Permite a los administradores establecer políticas a nivel de
empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una
organización entera
ISA SERVER: Permite proteger su las redes de las amenazas de Internet, además de
proporcionar a los usuarios un acceso remoto seguro a las aplicaciones y datos corporativos.
CONEXIÓN REMOTA: Es una tecnología que nos permite acceder a mi ordenador así este fuera
de nuestro alcance.
CLAVES PRE COMPARTIDAS: Es una forma de autenticación de de L2TP con IPSec que consiste
en que el cliente y servidor deben tener las misma clave.
FIREWALL: Software o hardware utilizado en redes de computadoras para controlar las
comunicaciones, permitiéndolas o prohibiéndolas
VPN: Es la red que permite la conexión de redes locales utilizando una redes publica como lo es internet, haciendo utilidad de túneles garantizando mayor seguridad de transferencias de datos.
SSL VPN: Permite que las conexiones por internet sean seguras, este actúa sobre la capa de transporte.
L2TP: Crea un túnel utilizando PPP para enlaces telefónicos, este asegura nada mas los puntos de finales del túnel, sin asegurar los datos del paquete.
IPSEC: Asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando o cifrando cada paquete IP en un flujo de datos.
INTRUSO INFORMATICO: Son aquellos que pretenden invadir la privacidad de nuestro datos de la red o de mi ordenador.
ACL: Se trata de los permisos de acceso a determinados objetos o aplicaciones, este controla el
tráfico de las redes informáticas
PPTP: Es un protocolo que fue diseñado para la implementación de un red privada asegurando
la conexión punto a punto.
SSH: protocolo que permite acceder a una maquina remota de una red.
Página 5
DIAGRAMA SIMPLE DE LA RED
PC LAN
IP: 172.16.10.20
WANLANCliente VPN
IP:192.168.1.54
DIRECTORIO ACTIVO
DNS
DHCP
IP: 172.16.10.1
ISA SERVER
FIREWALL
VPN
IP WAN
192.168.1.50IP LAN
172.16.10.99
CONEXIÓN VPN
IP TUNEL VPN
10.0.8.11
CONFIGURACION DE USUARIOS EN EL DIRECTORIO ACTIVO
1. Debemos crear una nueva unidad organizativa para almacenar los usuarios que vamos
a utilizar para la vpn, y debemos crear un grupo para asociar estos usuarios en este
caso creamos un grupo llamado usuarios vpn.
2. Ahora le damos clic derecho y propiedades en uno de los usuarios.
Página 6
3. Vamos a la pestaña miembro de y le damos clic en agregar y allí seleccionamos el
grupo que creamos anteriormente.
4. Por ultimo vamos a la pestaña marcado y en esta seleccionamos la opción permitir
acceso para que cuando el servidor responda a las peticiones echas por este usuario.
Este procedimiento debemos realizarlo para cada uno de los usuarios que se
conectaran a la vpn.
Página 7
INSTALACION Y CONFIGURACION DE ISA SERVER + VPN CON CLAVE PRECONPARTIDA
1. Antes de ejecutar el servidor de isa server se debe instalar el service pack 2.
2. Ahora ejecutamos el instalador de isa server, vamos a la opción instalar ISA Server
2006 y le damos clic.
3. Aceptamos los términos de licencia y le damos siguiente.
Página 8
4. Nos pide un nombre para el servidor, la organización y el numero de serie y le
damos siguiente.
5. después nos pide el tipo de instalación que queremos realizar típica o personalizada
en nuestro caso es típica y siguiente.
Página 9
6. ahora nos pide que le especifiquemos los intervalos de las direcciones ip de nuestra
red interna así que le damos clic en agregar.
7. ahora nos muestra los intervalos que hay en esta red, como es el primero que
creamos le damos clic en agregar adaptador.
Página 10
8. seleccionamos la tarjeta de red interna y le damos clic en aceptar.
9. ahora nos muestra el intervalo de direcciones de la red que seleccionamos y le
damos clic en siguiente.
Página 11
10. después debemos permitir las conexiones al firewall de isa server sin cifrar y le
damos clic en siguiente.
11. ahora nos saca una advertencia ya que con esta instalación se reiniciaran y
desactivaran algunos servicios por la configuración del firewall así que si tenemos
algún servicios de estos corriendo debemos revisar cuando termine la instalación
para activarlos nuevamente y le damos clic en siguiente.
Página 12
12. Ahora le damos clic en instalar.
13. este nos saca dos ventanas una para ver lo que se esta instalando y la otra donde
vemos el proceso general de la instalación
Página 13
14. después seleccionamos la opción invocar el administrador de isa server y le damos
clic en finalizar.
15. Luego nos abre la ventana de administrador de ISA Server 2006 y damos clic en
conectar para iniciar el servidor.
Página 14
16. Vamos ala opción redes privadas virtuales para comenzar con la configuración de la
vpn. Damos clic en configurar método de asignación de direcciones.
17. Seleccionamos la pestaña Asignación de direcciones y luego en grupo de direcciones
estáticas, damos clic en agregar.
Página 15
18. Agregamos el rango de direcciones que se le asignara a los clientes vpn.
19. Nos muestra el rango de direcciones agregadas y damos en aceptar.
20. Seleccionamos la opción permitir la directiva IPSec para la conexión L2TP y creamos
la clave pre compartida y damos clic en aceptar.
Página 16
21. Damos en aplicar para guardar los cambios realizados y luego aceptar.
22. Seleccionamos la opción habilitar acceso de cliente VPN.
Página 17
23. Seleccionamos la opción Habilitar acceso de clientes VPN y le asignamos el numero
de conexiones que permitirá, damos clic en aplicar y nos saldrá una advertencia que
dice que se reiniciara algunos servicios de ISA Server.
24. Seleccionamos la pestaña Grupos clic en agregar.
Página 18
25. Agregamos el grupo que creamos anteriormente en el directorio activo de los
clientes VPN para que ha estos se le permita el acceso remoto.
26. El la pestaña protocolos seleccionamos el que vamos a utilizar en nuestra conexión
VPN en nuestro caso habilitamos L2TP/IPSec ya que un método con un grado mas
de seguridad para nuestra conexiones de clientes remotos. Damos clic en aceptar y
aplicamos los cambios en ISA SERVER 2006.
Página 19
CONFIGURACION DEL FIREWALL PARA PERMITIR LAS CONEXIONES REMOTAS.
Esta configuración en el firewall es obligatoria ya que por defecto trae una regla que
lo deniega todo y no nos permite ningún tipo de conexión ni salida ni de entrada de
paquetes por este motivo es necesario crear nuevas reglas de firewall de acceso
para permitir lo necesario para nuestras conexiones de usuarios remotos y la
navegación de los usuarios de la red interna.
1. Para crear una nueva regla de acceso vamos a directiva de firewall clic derecho
nuevo / regla de acceso.
2. En el asistente para reglas de acceso el primer paso es ponerle un nombre a esta
Vamos a crear la regla para el DNS para que pueda resolver nombres de dominio
de internet.
Página 20
3. Ahora nos pide la opción de permitir o denegar esta nueva regla de acceso.
4. Seleccionamos los protocolos que utilizara este regla en este caso protocolo
DNS no escogemos servidor DNS por que esta opción es para cuando queremos
publicar nuestro servidor hacia el internet.
Página 21
5. El origen de donde bien esta peticiones para acceder a la red externa. Es mas
recomendable mejor agregar solo el equipo que posee el servidor DNS de
nuestra red interna pero poniendo la red en general también es valido.
6. A donde se dirigen las peticiones de la red interna para usar este protocolo.
Página 22
7. El conjunto de usuarios para quien aplica esta regla.
8. Por ultimo finalizar y aplicar en el ISA SERVER 2006 para que ejecute esta nueva
regla de acceso en el firewall.
Página 23
9. De esta misma forma creamos las demás reglas que consideremos necesarias
para un buen funcionamiento de nuestra red.
10. En resumen las reglas que agregamos son las siguiente:
Navegación a los cliente de la red interna
Conexión remota para los clientes VPN
Acceso a la VPN para los clientes de la WAN o externa
Página 24
CONFIGURACION DE LOS CLIENTES VPN.
1. Para la configuración de los clientes necesitamos crear una conexión nueva para esto
vamos a inicio/panel de control/conexiones de red y en la parte superior izquierda clic
en crear una conexión nueva.
2. En el asistente para conexión nueva clic en siguiente.
Página 25
3. Clic en conectarse a la red de mi lugar de trabajo clic en siguiente.
4. Seleccionamos conexión de red privada virtual (VPN) clic en siguiente.
Página 26
5. Ahora le damos un nuevo nombre a la conexión en nuestro caso la llamamos VPN.
6. Después agregamos la dirección WAN de el servidor ISA SERVER 2006 (VPN).
Página 27
7. Luego de a ver finalizado la creación de la nueva conexión, damos doble clic en la
conexión creada y nos aparece la siguiente ventana que nos pide usuario y contraseña
damos clic en propiedades para configurar nuestra vpn con clave pre compartida.
8. En la pestaña opciones seleccionar la opción incluir el dominio de inicio de sesión.
Página 28
9. En la pestaña seguridad clic en el botón configuración IPSEC.
10. Seleccionamos usar clave previamente compartida al autenticar copiamos la clave que
asignamos en le servidor para los clientes vpn con el protocolo L2TP/IPSEC y aceptar.
11. En funciones de red escogemos el tipo de red privada (VPN) se debe escoger
L2TP/IPSEC para que la llave pre compartida funcione correctamente luego clic en
configurar y seleccionamos negociar multivínculo para conexión de uno vinculo.
Página 29
12. Ahora le damos un nombre y contraseña que este en el directorio activo y clic en
conectar.
Página 30
13. Revisamos las direcciones ip desde cmd y como podemos observar tenemos una nueva
dirección que dice adaptador ppp vpn con un dirección que el isa server 2006 nos ha
designado.
Antes de probar que todo este bien con una conexión de escritorio remoto desde nuestro
cliente vpn Asia la red interna de ISA SERVER 2006. Debemos seguir los siguientes pasos en los
PC de la red local para que permita la conexión de los usuarios remotamente.
1. Vamos a inicio/mi PC/clic derecho propiedades en la pestaña remoto seleccionamos
permitir que los usuarios se conecte de manera remota a este equipo y después le
damos clic en seleccionar usuarios remotos.
Página 31
2. Nos abrirá la siguiente ventana en donde le damos agregar.
3. Como este procedimiento solo lo podemos realizar desde el administrador del equipo
así que nos pedirá el usuario y contraseña del administrador del dominio para poder
agregar el grupo de usuarios a los que le permitiremos la conexión remota.
Página 32
4. Seleccionamos el directorio donde se encuentra alojado el grupo de usuarios.
5. Seleccionamos el grupo de usuarios que le permitiremos las conexiones remotas y clic
en aceptar.
Página 33
6. Después de tener todo bien configurado no conectaremos a PC que se encuentra en la
red interna de isa server 2006 utilizando conexiones a escritorio remoto.
Como podemos observar se a conectado exitosamente.
Página 34
EN el isa server 2006 podemos observar cuales son los clientes que esta conectados por medio
de la VPN, además podemos observar las direcciones que les asigna y la dirección desde la que
están conectados.
CONCLUSIONES
Las conexiones vpn es una forma de permitir a usuarios de nuestra red que no están constantemente en las oficinas de trabajo, y necesitan acceder a su información desde cualquier parte de una forma segura y confiable en la que no expongan sus datos a terceros.
Hay que tener en cuenta al implementar es servicio de vpn con isa server 2006 que no es un distribución bajo la licencia GPL si no que hay que pagar para obtener su licencia.
Para los usuarios finales va ser un poco mas complicado su configuración porque se deben hacer varios cambios para la creación de la nueva conexión de acceso remoto.
Debemos ser un poco cautelosos con la clave pre compartida ya que si cualquiera obtiene esta se podría conectarse a nuestra red con fines de robo de información recomendación estar cambiando esta clave constantemente.
Una de las ventajas de isa server 2006 es que podemos ver los usuarios que se encuentran conectados y las direcciones del origen de esta.
