Asignacion de Redes Con Credenciales

5/11/2018 Asignacion de Redes Con Credenciales - slidepdf.com

http://slidepdf.com/reader/full/asignacion-de-redes-con-credenciales 1/39

UNIVERSIDAD DE EL SALVADORFACULTAD MULTIDISCIPLINARIA DE OCCIDENTE

DEPARTAMENTO DE INGENIERIA Y ARQUITECTURA.

CATEDRA:COMUNICACIONES I

DOCENTE:

ING. JUAN CARLOS PEÑA

ASIGNACION DE REDES EN BASE ACREDENCIALES

ALUMNOS:

CANALES MANCIA GUILLERMO ERNESTO

MARROQUIN PANIAGUA KENNY GUADALUPE

MARTINEZ CASTANEDA CARLOS ALEJANDRO

SANTA ANA, 28 DE NOVIEMBRE 2011.

2011



COMUNICACIONES 1 2011

2

INDICE

INTRODUCCION………………………………………………………………………………………….

DEFINICION DELPROBLEMA……………………………………………………………………….

DIAGRAMA………………………………………………………………………………………………..

802.1x……………………………………………………………………………………………………….

INSTALACION DE ZEROSHELL……………………………………………………………………..

CREACION DE PARTICION…………………………………………………………………………..

CREACION DE UN PERFIL……………………………………………………………………………

ADAPTADORES DE CONFIGURACION DE RED…………………………………………….

NAVEGACION EN INTERNET………………………………………………………………………

ACTIVACION DEL PORTAL CAUTIVO…………………………………………………………..

CONFIGURACION DEL SERVIDOR DHCP……………………………………………………..

CONFIGURANDO RADIUS………………………………………………………………………….

CLIENTE WINDOWS………………………………………………………………………………….

CLIENTE LINUX…………………………………………………………………………………………

CREACION DE VLANS……………………………………………………………………………….

ASIGANACION DE PUERTOS…………………………………………………………………….

ASIGNACION DE RED VPN………………………………………………………………………..

CONFIGURACION DE AUTORIDAD CERTIFICADORA…………………………………

3

5

6

7

8

10

14

16

17

18

19

21

22

26

28

30

32

34




3

INTRODUCCIÓN

La acreditación de redes se realiza en tres pasos:

Autenticación, que verificar la identidad digital del remitente de una comunicación

como una petición para conectarse.Autorización, permitiendo el acceso a la red.Auditoria, en la cual se registran las acciones de los usuarios registrados.

Formas de identificación:

Por nombre y contraseña, cada usuario para poder acceder a su red, debe introducir sunombre de usuario y su contraseña de acceso.

Por Dirección MAC, otra forma de identificar al usuario de red, es por medio de la direcciónMac de su computadora.

ZEROSHELL:

Zeroshell es una distribución Linux para servidores y dispositivos embebidos, que provee

de servicios de red. Es un Firewall gratuito que tiene las características de los de los

equipos complejos de seguridad. Zeroshell nos permite realizar los procesos de

autentificación de red ofreciendo los siguientes elementos para realizar nuestro proyecto:

NAT: es un sistema que se utiliza para asignar una red completa (o varias redes) auna sola dirección IP. NAT es necesario cuando la cantidad de direcciones IP quenos haya asignado nuestro proveedor de Internet sea inferior a la cantidad de

ordenadores que queramos que accedan a InternetServidor DHCP: DHCP es el protocolo de servicio TCP/IP que "alquila" o asignadinámicamente direcciones IP durante un tiempo (duración del alquiler) a lasestaciones de trabajo, distribuyendo además otros parámetros de configuraciónentre clientes de red autorizados, tales como la puerta de enlace o el servidor DNS.DHCP proporciona una configuración de red TCP/IP segura, confiable y sencilla,evita conflictos de direcciones y ayuda a conservar el uso de las direcciones IP declientes en la red. Utiliza un modelo cliente-servidor en el que el servidor DHCPmantiene una administración centralizada de las direcciones IP utilizadas en la red.Los clientes compatibles con DHCP podrán solicitar a un servidor DHCP una

dirección IP y obtener la concesión como parte del proceso de inicio de red.Zeroshell contiene servidor DHCP, de esta manera los clientes de nuestra redinterna no necesita direccionamiento de IP estático.

RADIUS: Es un protocolo de autenticación y autorización para aplicaciones deacceso a la red o movilidad IP




4

KERBEROS: es un sistema de autentificación de usuarios, que posee undoble objetivo:-Impedir que las claves sean enviadas a través de la red, con elconsiguiente riesgo de su divulgación.-Centralizar la autentificación de usuarios, manteniendo una única base de datos deusuarios para toda la red.Kerberos, como protocolo de seguridad, usa una criptógrafa de claves simétricas, loque significa que la clave utilizada para cifrar es la misma clave utilizada paradescifrar o autenticar usuarios. Esto permite a dos computadores en una redinsegura, demostrar su identidad mutuamente de manera segura.

OPEN LDAP: almacena la información de autenticación (usuario y contraseña) y esutilizado para autenticarse aunque es posible almacenar otra información (datos decontacto del usuario, ubicación de diversos recursos de la red,permisos, certificados, etc.). A manera de síntesis, LDAP es un protocolo de acceso

unificado a un conjunto de información sobre una red.

VPN: virtual Private Network) Red privada virtual. Red de comunicaciones de áreaancha provista por una portadora común que suministra aquello que asemeja líneasdedicadas cuando se utilizan, pero las troncales de base se comparten entre todoslos clientes como en una red pública. Permite configurar una red privada dentro deuna red pública.Portal cautivo: es un programa o máquina de una red informática que vigila eltráfico HTTP y fuerza a los usuarios a pasar por una página especial si quierennavegar por Internet de forma normal. A veces esto se hace para pedir una de lared, que es el sitio por donde pasan los usuarios para acceder a Internet (puede serun ordenador haciendo de router, o un router hardware).

Además para signar al usuario los haremos por medio de vlans, donde deberánconectarse según la que le corresponde.

VLAN: Es un método de crear redes lógicamente independientes dentro de unamisma red física. Varias VLANs pueden coexistir en un único conmutador físico oen una única red física.




5

Definición del problema

Luego de regresar de una capacitación de motivación al personal, el gerente de una empresa de

servicios en línea ha decidido cambiar su esquema de trabajo actual por una metodología de

trabajo donde no existen cubículos asignados individualmente. Cada usuario al llegar por las

mañanas a trabajar, utilizará cualquier escritorio disponible y conectará su computadora portátil al

punto de red más cercano. Esto es un problema para los administradores de red, ya queactualmente poseen una red dividida en departamentos, los cuales agrupan actividades comunes

(contabilidad, compras, ventas, manufactura, empaque, etc.) y con el esquema actual deberán ser

capaces de asignar una red automáticamente a cada usuario dependiendo de su perfil y sin

importar desde qué punto de red se conecte. En vista de sus limitaciones, le han contratado a usted

para que desarrolle una solución integral al problema.

Como extras puede integrarse distintos mecanismos de autenticación, basados en la computadora,

en el usuario, etc. y autenticarlos en distintos orígenes de datos; brindar redundancia, en caso de

que un mecanismo falle, otro pueda brindar solución, etc.




6

DIAGRAMA

ETH1 ETH0

LINKSYS

ETH2

DERECHO

INGENIERIA

VLANS

VLANS

MERCADEO




7

Autenticación en redes inalámbricas con 802.1x

Redes WiFi están afectadas por problemas de acceso no autorizado, mucho más que lasredes de cable. Esto es obvio si usted piensa que alrededor de este hecho para acceder aeste último un punto de acceso físico es necesario (conector RJ45), en las redes

inalámbricas sólo tienes que estar dentro del rango de cobertura para acceder a ella. Unaprimera solución al problema fue WEP (Wired Equivalent Privacy). Sin embargo, estemétodo, asociadas con la presencia de claves cifradas simétricas en ambos los puntos deacceso y todos los clientes autorizados para el acceso, dio a los administradores de red eltrabajo de cambiar periódicamente las claves y comunicar el cambio a todos los usuarios.El resultado fue que las claves WEP se mantuvo sin cambios durante largos períodos detiempo, haciendo que la inseguridad de la red.

El protocolo 802.1x autentificación introducidos y el apoyo a la gestión dinámica de lasclaves WEP. De esta manera, una vez que el cliente se autentica las teclas que el tráficoinalámbrico se cifra con alimentada automáticamente y se cambió más de una vez duranteuna sesión de trabajo. El período de validez de las claves es lo suficientemente corto como

para que sean difíciles de determinar por un intruso intenta un ataque.

Desde el punto de vista práctico, el protocolo 802.1x es otro que el protocolo EAP(Extensible Authentication Protocol) de autenticación utilizado para autenticar conexionespunto a punto, adaptado para funcionar en las tramas Ethernet en lugar de paquetes PPP.Por esta razón el protocolo 802.1x es también conocido como EAPoL (EAP sobre LAN).

En la terminología EAP las entidades que juegan un papel durante el proceso deautenticación se incluyen: el suplicante , es decir, el cliente pide que acceder a la red, elautenticador que en las redes inalámbricas coincide con el Punto de acceso, servidor de la autenticación que verifica si los usuarios son realmente quienes dicen ser. El servidor deautenticación es a menudo uno y el mismo que el servidor RADIUS, mientras que el

autenticador es lo que se define como NAS (Network Access Server) en el protocoloRADIUS.

Como se mencionó anteriormente EAP es sólo un protocolo de autenticación que ofrece elservidor de autenticación suplicante y la tarea de establecer el método de autenticaciónreal de uso. Puede verse que el punto de acceso es transparente desde este punto devista, ya que su único trabajo consiste en reenviar los paquetes a través de la suplicanteEAPoL con el servidor RADIUS y los encapsula en IP (el servidor RADIUS se puede llegarpor la parte cableada de la AP) y viceversa.

El servidor RADIUS Zeroshell apoya los métodos de autenticación se describen acontinuación debido a que incluyen los que ofrecen una mayor garantía de seguridad y conel apoyo de la mayoría de los suplicantes.

EAP-TLS, que utilizan TLS para la autenticación mutua entre el solicitante y puntode acceso. Tanto el servidor RADIUS y suplicante debe tener un certificado X509de clave privada y relevante. Aparte de la tarea de tener que dotar a cada usuariocon un certificado, éste es sin duda el método de autenticación más seguro yconveniente, ya que no hay ninguna contraseña de usuario debe ser introducido.




8

PEAP (Protected EAP), que en su lugar utiliza TLS para autenticar el punto deacceso y establecer un túnel cifrado en MS-CHAPv2 se utiliza para autenticar elsuplicante con un nombre de usuario y contraseña. La ventaja de este método esque sólo el servidor RADIUS tiene que tener el certificado de servidor y la claveprivada, mientras que el usuario utiliza la misma contraseña para autenticarse con

Kerberos 5 en los servicios de la red.

Al parecer, con EAP-TLS, así como con PEAP, los puntos de acceso no prueban suidentidad a la parte solicitante, ya que no se suministran con un certificado y la claveprivada. En realidad este no es el caso, ya que la cuota de puntos de acceso en secretocon el radio que los hace de confianza para él. Esta confianza hace posible que unsuplicante que confía en un radio (gracias a TLS) para la confianza también los puntos deacceso.

Además del protocolo 802.1x, en los puntos de acceso que gestionan múltiples SSIDasignado en el etiquetado VLAN 802.1Q, Zeroshell apoya a la asociación en una VLANparticular basada en el nombre de usuario suministrado en la NC certificado si la

autenticación EAP-TLS, en el nombre de usuario proporcionada por el solicitante en elcaso de PEAP, en el usuario pertenece a un grupo para el que ha sido una VLAN asignaday en el cliente de dirección MAC, si los métodos anteriores no definen una VLAN.

Para el desarrollo del proyecto nos auxiliaremos de la herramienta zeroshell, y es el primerpaso para poder desarrollarlo.

INSTALACIÓN DE ZEROSHELL

Debemos introducir el CD de instalación descargado desde la página oficial:ZeroShell.net/es.

Una vez iniciado el sistema con el CD dentro, accedemos a la pantalla de inicio de sesión.Por defecto, Zeroshell se instala con la dirección ip 192.168.0.75.

La pantalla inicial de configuración que veremos después de la instalación es:




9

Cambio de contraseña:Si deseamos cambiar la contraseña desde consola lo podemos hacer directamente desdeel Zeroshell o en entorno web, para realizar esto. EL nombre de usuario es adminy pordefecto no tiene clave.Pulsamos sobre la letra P para introducir la contraseña, si deseamos cambiar vía web alcrear un perfil, que mas adelante explicaremos como hacerlo, podremos establecer unanueva contraseña.Una vez cambiada la contraseña accedemos a la pantalla de configuración via web, ya quees más amigable que la administración por línea de comandos.Debemos de tener en cuenta que para administrar Zeroshell via web, debemos de tener ennuestro equipo una dirección IP del mismo rango, ya que aun no contamos con dhcp seránecesario que nos asignemos manualmente una ip, de la siguiente manera:

Ejemplo

Linux: En consola, como root, ejecutar el siguiente comandoIfconfig eth0 192.168.0.1/24 up

Windows: Redes y recursos compartidos>Configuraciones de adaptador>propiedades Enprotocolo ipv4>asignamos una ip en el rango de zeroshell.




10

Ahora podremos acceder desde el navegador colocando la ip de Zeroshell

En la primera pantalla de administración, introducimos el usuario y la clave (usuario admin,clave la que hemos introducido, o si aun no la hemos cambio la clave por defecto que eszeroshell)

GUARDAR CONFIGURACION

Zeroshell nos permite guardar nuestras configuraciones, de tres maneras:1- Instalando Zeroshell en un partición2- Versión live CD y configuraciones almacenadas en disco duro3- o por la cual nosotros hemos optado versión live CD y configuraciones

almacenadas en usb.

Si no hiciésemos esto, cada vez que arrancásemos el sistema, iniciaría una nuevainstalación de Zeroshell. Este sistema tiene grandes ventajas, ya que podemos guardardistintas configuraciones para realizar pruebas.

INSTALACIÓN EN UNA PARTICIÓN

Para la instalación en el disco duro, debemos bajar el fichero para tarjeta “IDE, SATA y

discos USB” de la página web http://www.zeroshell.net. Este fichero se encuentra en lasección de downloads.




11

Una vez descargado almacenamos el archivo en una memoria usb de 1gb por lo menos y

nos vamos al equipo que esta corriendo zeroshell, aparece el menú, tecleamos la letra Spara acceder a la Shell. Aunque Zeroshell no está basado en ninguna distribución Linux enconcreto, soporta casi todos los comandos de cualquier sistema Linux.Se introduce la llave usb con el fichero descargado en el sistema, y ejecutamos elcomando fdisk –l para que nos muestre las particiones.

En este ejemplo, Zeroshell está instalado en /dev/hda1 y la llave usb está en /dev/sda1.

A continuación debemos montar la llave USB en un directorio, para poder proceder a lacopia del archivo de imagen. Para ello ejecutaremos los siguientes comandos en laconsola:




12

Una vez montada la llave USB, procederemos a la copia de la imagen

Debemos extraer el CD del sistema, para que al arrancar utilice la imagen que hemoscargado en el disco duro del ordenador. AL realizar esta acción, si habíamos configuradoun perfil, este se eliminará, ya que la imagen sobrescribirá toda la información del sistema.

VERSION LIVE CD Y CONFIGURACIONES ALMACENADAS EN DISCO

DURO

Para crear una partición, realizaremos las siguientes accionesMarcamos la partición con la etiqueta que contiene el nombre de nuestro disco duro paraque nos aparezca el menú de acciones que podemos realizar.

A continuación hacemos clic en el botón “New Partition” para acceder a la ventana de




13

Creación de partición en el disco duro virtual

En esta pantalla vamos a crear una partición para almacenar nuestra configuración. ELformato de a partición, será Extended 3 y el tamaño el Máximo disponible. (Opciones pordefecto). Una vez creada la partición, nos aparecerá la página de “PROFILES” con la

nueva partición creada.




14

VERSIÓN LIVE CD Y CONFIGURACIONES ALMACENADAS EN USB.

La manera más sencilla de hacerlo es a través de una consola de Linux como sudoejecutamos los siguientes comandos:

Gunzip ZeroShell-1.0.x-CompactFlash512.img.gzdd< ZeroShell-1.0.x-CompactFlash512.img > /dev/sdc

Donde el archivo al que se hace referencia es el que descargamos de la pagina, dondeanteriormente explicamos como descargarlo y sdc hace referencia en donde esta montadala usb, sino sabes lo podes conocer a través del comando fdisk –l

CREACION DE UN PERFIL

Para crear un perfil, debemos de seleccionar la partición que hemos creado (sda1) y nosaparecerá el menú para crear nuestro perfil

Pulsamos sobre el botón de “CreateProfile” para que nos aparezca la ventana de creación

de perfil, donde nos solicitará los datos necesarios.




15

Los datos que se introducen en esta pantalla serán los datos que se guardarán en el perfil,y nuestro sistema se iniciará con esa configuración.Una vez introducidos estos datos, pulsamos sobre el botón “CREATE” situado en la parte

superior derecha, y nos aparecerá la pantalla de “PROFILES”, con la información del perfil

creado

Para activar este perfil debemos seleccionar La descripción del perfil

Y nos aparecerá el menú de activación de perfil.




16

Pulsaremos sobre el botón de “ACTIVATE” para activar el perfil que creamos.Nos aparecerá la pantalla de activación de perfil, indicándonos que no está activo.Pulsaremos sobre el botón “ACTIVATE”. El sistema se reiniciará con la configuración que hemos creado.

LOS ADAPTADORES DE RED DE CONFIGURACIÓN:Una vez preparado el disco y crea el primer archivo de configuración podemos configurarla dirección IP del adaptador de red, por el haciendo clic en CONFIGURACIÓN DE REDetiqueta nad:

Normalmente ETH00 es el adaptador de red interno (interfaz segura del servidor deseguridad) y ETH01es el externo que comunica con router. UsingxDSL.

Añadiremos IP a las interfaces

A la ETH00, no le añadiremos direcciones IP directamente sino que crearemosnuestras VLANs que se encuentran alojadas en el Switch CISCO, crear Vlan,agregamos el nombre de la Vlan y los mas importante el ID de esta debe ser elmismo que declaramos en el Switch, luego add IP, y añadimos nuestra redsubneteada, este procedimiento lo debemos realizar para cada VLAN (Ingeniería,Administración y Mercadeo)




17

A la ETH1, por ser el extremo que se comunica con el router debemos asignarleuna ip en el rango del dhcp que proporciona nuestro servidor ISP que seria192.168.1.100

Y la ETH03, será la ip administrativa para zeroshell con la cual podremos acceder ala interfaz grafica y así administrar nuestro servidor.

Accedemos al menú del Gateway pulsando sobre el botón “GATEWAY”, y

configuraremos la dirección IP de nuestra salida a internet. Generalmente esta direcciónsuele ser la de nuestro routerxDSL o de cable.

NAVEGACIÓN POR INTERNET

Para que los clientes internos el uso de conexión a Internet, debemos activar NetworkAddressTranslation (NAT) para protegerlos.Usando el menú router, haga clic en la etiqueta de NAT y ETH00, ETH03 conjunto que setraduce por ETH01:




18

Ahora podemos usar la conexión a Internet en nuestros clientes.

LA ACTIVACIÓN DEL PORTAL CAUTIVO:

Características útil pongamos los usuarios de Internet y una contraseña para la conexión aInternet de filtro externo (). De esta manera, un usuario ende la red interna debeautenticarse contra Zeroshell antes de abrir las conexiones a Internet (para la navegaciónweb, correo dowload, recursos de la organización en red etc.)Antes de activar Portal Cautivo debemos crear los usuarios, seleccionar la etiqueta añadir,llenar los campos como a continuación:




19

Nombre de usuario:Contiene el nombre del usuario para la autenticación.

Una vez creados los usuarios, el cautivo, haga clic en el menú PORTAL; establecer unmarcador en GW, elija Modo ruteado e internos adaptador de Ethernet en proceso deautenticación que va a suceder (en nuestro ETH00 la IP del cliente es la puerta de entradaDefault). Es importante agregar la VLAN a la que pertenecerá cada usuario

Activar autenticación:

Ahora podemos cerrar nuestro navegador y vuelva a abrirlo, nos pedirá autenticarse.

CONFIGURACIÓN DEL SERVIDOR DHCP

EL servidor DHCP es un servidor que asigna dinámicamente direcciones IP a los equiposde nuestra red, con todos los datos necesarios para que no tengamos que configurar nada.Es muy útil ya que nos olvidamos de que cada vez que unamos un equipo a la red,tengamos que configurarlo con su dirección IP, su puerta de enlace y los servidores DNS.También podemos asignar a los equipos siempre la misma dirección IP, ya que el servidor

DHCP nos permitirá asignarlas en función de las direcciones MAC de las tarjetas de red.Para configurar el servicio DHCP, accedemos al menú “DHCP” situado a la izquierda y

veremos la siguiente pantalla




20

En este momento no tenemos ningún rango de direcciones configurado para que elservidor las asigne a los equipos.Vamos a asignar las direcciones IP, siguiendo las instrucciones de red que figuran en elmanual, indicando también cual es la puerta de enlace (dirección IP interna de Zeroshell) yel servidor DNS (dirección IP interna de Zeroshell)Debemos crear una subred para poder asignar direcciones IP a nuestra red. Pulsamossobre el botón“NEW” en la esquina superior derecha y seleccionamos el interface ETH00 yconfiguraremos el DHCP para cada VLAN, que es nuestra red interna.Debemos marcar “Enabled” y pulsar sobre el botón “SAVE” A partir de este momento,cuando encendamos un equipo, nuestro routerZeroshell le asignará una dirección IP conlos datos que hemos configurado en nuestro servidor

Si deseamos asignar dhcp por Mac es necesario que agreguemos el Mac de la tarjeta dered de la PC correspondiente a la cual le asignaremos red dependiendo de su Mac




21

ACCESO WIFI A VLAN

En este HOW TO ya hemos explicado como crear CA y Usuarios, por lo tanto no seránecesario volver a explicarlo, ya que es de vital importancia poseer usuario y certificados

CA, para poder acceder por WIFI a nuestras VLAN y ser asignados a la redcorrespondiente

Configurando RADIUS

A continuación, haz click en la pestaña RADIUS en el menú de navegación de la izquierda.

Selecciona "AuthorizedClients" en la barra de navegación de la parte superior.Para añadir un punto de acceso debes poner la dirección IPcon un 32 /, con una buenaclave secreta.

NOTA: La clave secreta no pueden ser mas de 32 caracteres Radius no se iniciará con unaclave secreta más larga en la versión actual de Zeroshell.




22

Después de configurar ZeroShell, debes reiniciar a través del enlace en la parte superiorde la pantalla.

Configurando su Punto de Acceso:Básicamente, tienes que activar la seguridad de RADIUS, seleccionar la WPA adecuada, yconfigurarlo en el la dirección IP de Zeroshell.También debes configurar tu punto de acceso estamos usando un Linksys WRT54GEn mi caso, lo he establecido para RADIUS WPA2 modo mixto, lo que significa que puedetener ambos clientes WPA y WPA2.

.

Configurando un cliente en Windows:Primero exporta tu CA de ZeroShell. Para ello, ve la pantalla de radius en ZeroShell y pulsael botón “trusted CA”. Esto generara un pop-up:




23

A continuación, seleccione el CA y pulsa el botón Exportar.

El navegador se descargara un archivo llamado"TrustedCA.pem". Copia este archivo a unUSB para poder usarlo en Windows.Ahora, en Windows, pulse Inicio, Ejecutar, y escribe MMC y pulsa aceptar, en la nuevaventana pulsa archivo, y agregar o quitar complemento, después haz click en Agregar yseleccione Certificados. En la siguiente pantalla, seleccione "administración de equipos" y"Equipo local". A continuación pulsa Aceptar.

Debes tener una pantalla similar a esta:

Expandir la raíz “trusted root certificación, y haz click en Certificados, Ahora, importa elarchivo de certificado que exportaste desde ZeroShell.




24

A continuación, vas a la pestaña de Redes inalámbricas en las propiedades de la tarjetainalámbrica:

Haz click en el botón Propiedades de la red en cuestión. Para autentificación dered, seleccione WPA, y para cifrado de datos seleccione, TKIP:




25

Pulsa la pestaña Autentificación, marca la casilla "EnableIEEE 802.1x ", y selecciona PEAPpara su tipo de EAP. Asegúrese de las otras dos casillas de verificación están sin marcar:

Selecciona Propiedades. Selecciona la casilla de verificación para su CA raíz. En mi caso,es AddressPlus CA. Asimismo, define el método de autenticación de MSCHAP.Pulsa el botón Configurar para MSCHAP y asegúrate que la casilla "Usar automáticamentemi nombre de inicio de sesión y contraseña de Windows" está sin marcar.




26

La primera vez que trates de conectar, te pedirá un nombre de usuario y contraseña.Introduce el nombre de usuario y la contraseña que añadiste en Zeroshell para esteequipo. Debes de autentificarte con éxito.

Configurando un cliente en Linux:

Por último, configuraremos un cliente para ver que nuestro servidor funciona. Vamos a vercómo realizar la configuración mediante wicd, la herramienta gráfica que viene instalada enlos portátiles que nos han enviado.Abrimos wicd y veremos una pantalla similar a la siguiente:

Como podemos ver, el portátil está detectando el punto de acceso que hemos configuradoanteriormente.Hacemos clic en el botón “Propiedades” y se nos mostrará una ventana donde podremos especificar las opciones necesarias para acceder a nuestra red:




27

En esta pantalla:

Marcaremos la opción “Usar cifrado”. Seleccionaremos “PEAP with TKIP/MSCHAPV2” En el cuadro Identity escribiremos nuestro nombre de usuario.En el cuadro Password escribiremos nuestra password.Y pulsaremos el botón Aceptar para guardar los ajustes.

Ahora, en la ventana donde se muestra la lista de redes detectadas, no tendremos más

que hacer click en el botón “Conectar” y el equipo se conectará a nuestra red.

Una vez configurado nuestra aplicación, debemos configurar las vlans a las queasignaremos los usuarios.




28

CREACIÓN DE VLANS UTILIZANDO SWITCH CISCO CATALYST 3500 XL

Antes de crear nuestras VLAN´s debemos conocer el significado de estas para estar másfamiliarizados con el tema conforme vayamos entrando en el desarrollo de la configuración.

Para poder crear nuestras vlans necesitamos un dispositivo que soporte este tipomecanismo de creación de red, para ello utilizaremos un Switch Administrable, marcaCISCO, modelo CATALYST 3500 XL.

Primeramente lo que tenemos que hacer es descargar en Linux(para nuestro casoestamos utilizando una distribución DEBIAN, igualmente funciona para las otrasdistribuciones basadas en Debian) la interfaz que nos servirá para administrar nuestroswitch, para ello abrimos una terminal y desde modo root colocamos el siguiente comando.#apt-getinstallgtktermCon eso comenzará la instalación en nuestro equipo, luego que la instalación finalicetendremos que hacer una combinación de teclas para poder ejecutar nuestro “gtkterm” en

modo root.Conectamos el cable de administración del switch a nuestro ordenador para poder

establecer la comunicación entre los dispositivos.




29

Presionamos Alt + F2, donde nos aparecerá una ventana donde podremos digitar elnombre de la aplicación que queremos abrir anteponiendo la palabra gksu que nospermitirá entrar como root a nuestra aplicación.

Cuando ya hemos corrido nuestra aplicación nos aparecerá una pantalla en modo texto decolor negra, para poder escribir en ella debemos presionar la tecla Enter. Pero antesdebemos ingresar a la configuración, ubicada en el menú en la parte superior de laventana, como se muestra en la siguiente pantalla.

Cambiaremos la opción del puertoPort, y seleccionaremos la opción por conexión porpuerto USB, que es la última que se encuentra en las opciones, luego de eso presionamosel botón OK. Ahora al presionar la tecla Enter ya nos quedará habilitado para comenzar adar instrucciones.

Gksu tkterm




30

MODO DE CREACIÓN DE VLANS

Para poder comenzar a crear las VLANS primeramente debemos de entrar al modo EXECprivilegiado de nuestro switch, eso lo lograremos digitando la palabra Enable.

Switch>EnableSwitch#

- Luego entramos a configurar la vlan a través de Vlandatabase.

Switch >vlan databaseSwitch (vlan)#

- Colocaremos el ID de nuestra VLAN y el nombre respectivo que va a poseer.

Switch (vlan)#vlan 10 name Ventas

- Con lo anterior ya tenemos creada nuestra Vlan ahora nos salimos de el modo vlanescribiendo la palabra exit

Switch (vlan)# ExitSwitch#

ASIGNACIÓN DE PUERTOS PARA LAS VLANS

Ya que hemos creado las VLANS, ahora viene el siguiente paso que es asignar los puertosque utilizará cada vlan creada, para esto seguiremos el siguiente algoritmo recordando quesiempre estaremos en el modo EXEC privilegiado.

- Entramos en el modo para configuración de terminales.

Switch# configure terminalSwitch (config)#

- Especificamos el Puerto que queremos asignar.

Switch (config)# interface fa0/2Switch(config-if)#

- Configuraremos nuestra interfaz en modo de acceso, para ello debemos escribir ennuestra consola la siguiente sentencia.

Switch(config-if)#switchport mode access- Ahora agregaremos la VLAN a la que va a pertenecer nuestro puerto elegido.




31

Switch(config-if)# switchport accessvlan10

- Ahora para finalizar nos salimos del modo de la interfaz y del modo deconfiguración hasta llegar nuevamente al modo EXEC privilegiado. Para lograr estosolo ocuparemos el comando exit.

Switch(config-if)# exitSwitch(config)# exitSwitch#

- Para poder ver la configuración de nuestra Vlan y sus puertos utilizando elcommando show vlan

Switch# Show vlan

CREACIÓN DE PUERTO TRONCAL

¿Qué es un puerto troncal? Es un puerto destinado para poder comunicar a las diversasVLAN’s creadas en el Switch.

Para la creación del puerto troncal seguiremos el algoritmo siguiente- Entramos al modo de configuración de terminal

Switch# configure terminalSwitch (config)#

- Especificamos el Puerto que queremos asignar.

Switch (config)# interface fa0/1Switch(config-if)#

- Asignamos el modo Trunk del Puerto que será nuestro troncal. Switch(config-if)#switchport mode trunkSwitch (config-if)#switchport trunk encapsulation dot1Q

NOTA:

Debe repetir estos algoritmos de Creación de Vlan y Asignación de puertos por cada VLAN que

desee crear.




32

- Ahora para finalizar nos salimos del modo de la interfaz y del modo deconfiguración hasta llegar nuevamente al modo EXEC privilegiado.

Switch(config-if)# exitSwitch(config)# exitSwitch#

- Ahora con esto ya tenemos nuestro Puerto troncal creado y listo para establecer lacomunicación entre las VLAN´s de nuestra red.

ASIGNACIÓN DE RED VPN – AUTENTICACION REMOTA HOST – LAN

¿Qué es una vpn? VPN (Virtual Private Network) Tecnología de redes que permite laextensión de una red de área local sobre una red pública o no controlada (como internet).Por ejemplo, crear una red entre distintas computadoras utilizando como infraestructura

a internet.Para nuestro caso asignaremos una red especialmente para las personas que deseanconectarse de forma remota a ésta con una previa acreditación que le abrirá el paso parasu respectivo acceso, para ello debemos configurar tanto CLIENTE como SERVIDOR. Lospasos para esta configuración se presentan a continuación.

CONFIGURACIÓN VPN – SERVIDOR ZEROSHELL

Por defecto en Zeroshell siempre existe una interfaz especial para este tipo de conexiones,esta interfaz denominada VPN99 se puede localizar en el menú NETWORK de zeroshell.

La interfaz generalmente se encuentra deshabilitada por lo que nos corresponde anosotros activarla para su respectivo funcionamiento. Para ello configuraremos nuestrosistema a través del menú VPN y activaremos esta funcionalidad para su respectivo usocolocando un cheque en Enabledy el estado automáticamente cambiará a Activo.

http://www.alegsa.com.ar/Dic/red.php

http://www.alegsa.com.ar/Dic/red%20de%20area%20local.php

http://www.alegsa.com.ar/Dic/internet.php

http://www.alegsa.com.ar/Dic/computadora.php

http://www.alegsa.com.ar/Dic/computadora.php

http://www.alegsa.com.ar/Dic/internet.php

http://www.alegsa.com.ar/Dic/red%20de%20area%20local.php

http://www.alegsa.com.ar/Dic/red.php




33

SECUENCIA DE PASOS SEGÚN NUMERACIÓN.

1- Ingresar como ya se había mencionado anteriormente al menú VPN ubicado al ladoizquierdo de nuestra pantalla

2- Habilitar el estado a modo ACTIVE para esto seleccionaremos la opción Enabled yveremos que nuestro estado (Status) cambia.

3- En Authentication desplegaremos el combobox con las opciones y

seleccionaremos la opción “OnlyPassword” donde le diremos la forma por la cualdeseamos autenticarnos.

4- Seleccionaremos el rango de direcciones que se asignaran a nuestros clientes estoen IP Rangey también definiremos nuestro Gateway que para nuestro caso será ladirección ip que contiene nuestra interfaz VPN99 (192.168.250.255), apartetambién definimos nuestra Netmasky nuestro DNS.

5- Seleccionamos el nombre de dominio que utilizaremos para autenticarnos, paranuestro caso estaremos utilizando el nombre de dominio example.com.

Con esto ya tendremos configurado nuestro Servidor VPN funcionandocorrectamente.

1

23

4

5




34

CONFIGURACIÓN DE AUTORIDAD CERTIFICADORA (CA) PARA LA CONEXIÓNREMOTA

Debemos acceder al menú que se encuentra al lado izquierdo de la pantalla,específicamente a la opción “X509”, luego acceder al menú SETUP de dicha opción.

Acá llenaremos todos los datos de nuestra autoridad certificadora (CA) para poder emitirlos certificados de usuario para luego compararse con nuestra CA.

LOS PUNTOS MARCADOS CON NÚMEROS HACEN REFERENCIA A LO SIGUIENTE:

1. Campos que se llenan con los datos de nuestra Autoridad Certificadora (CA).

2. Luego que tenemos los campos llenos, tenemos que generar el certificado

haciendo clic al botón Generate.

3. Cuando ya se ha creado el certificado lo podemos exportar y guardar en nuestra

unidad de disco.

GUARDANDO NUESTRO CERTIFICADO DE USUARIO.

Recordar que debemos guardar nuestro certificado de usuario, el cual nos servirá para

establecer una conexión remota, para ello debemos exportar el certificado en formato PEM

y guardarlo en nuestro equipo.

1

2

3




35

Para guardar nuestro certificado de usuario seguiremos los pasos siguientes en lasecuencia que ilustra la imagen anterior.

1. Accedemos al menú Usuario ubicado a la izquierda de nuestra pantalla.

2. Luego seleccionamos la opción X-509 para acceder a nuestro certificado deusuario.

3. Generamos el certificado de usuario el cual es el que ocuparemos para nuestra

conexión remota.

4. Exportamos nuestro certificado y lo guardamos en una unidad de disco.

CONFIGURACIÓN CLIENTE VPN - WINDOWS GUI

Para la configuración del cliente VPN será necesario descargar una aplicación

OpenSource denominada OpenVPNdesde el siguiente sitio:http://openvpn.se/download.html y descargamos la aplicación para Windows dondemuestra la flecha con color rojo.

1

2

3

4

http://openvpn.se/download.html






36

Luego de haber descargado dicha aplicación vamos a la carpeta donde la descargamos yprocedemos a su respectiva instalación. Luego de haberlo instalado aparecerá una interfazvirtual de red como se muestra en la siguiente imagen.

Ahora nos tendremos que ubicar en Equipo (Mi PC) Disco Local (C:) Archivos dePrograma OpenVPN . Abrimos dicha carpeta y nos encontraremos otra carpeta con elnombre deconfig.




37

Dentro de ésta carpeta deberemos colocar los siguientes archivos:

1- Archivo de Configuración, que podemos descargar una demo desdehttp://www.zeroshell.net/eng/download/zeroshell.ovpn que luego podremosmodificar para obtener nuestro archivo de configuración.

2- También necesitamos el certificado raíz de nuestro Zeroshell. Para descargarloaccedemos a la página inicial del Zeroshell, y sin hacer login, en la parte superiorderecha tenemos un enlace para descargar la CA.

Luego tendremos que modificar el archivo de configuración como ya se planteabaanteriormente, para ello lo abrimos y tendría que quedar de la siguiente forma como semuestra en la figura siguiente. En remote es importante colocar la ip por la cual saldremosa internet para poder dirigirnos a nuestra redvpn a través del puerto 1194. Y tambiéndeberemos de definir nuestra autenticación y el certificado que utilizaremos. Luego de

modificar tenemos que guardar los cambios.

Después de colocar estos archivos en la carpeta config nos dispondremos a ejecutar nuestra VPNdando clic en el símbolo de la interfaz virtual que se nos creó como vimos anteriormente, cuando

esto ocurra nos tendrá que aparecer la siguiente pantalla:




38

Donde el nombre de usuario estará dado por el CN (CertificateName) y el DN (DomainName ) o

Nombre de Dominio que se definió en el servidor, por ejemplo el nombre de usuario quedará de la

siguiente forma [email protected] y luego colocaremos el password con el que tenemos creada

nuestra cuenta en la base de datos zeroshell.

Cuando presionemos el botón OK nos deberá salir una ventana como la siguiente que nos garantice

que nos hemos conectado satisfactoriamente a nuestra VPN

Cuando esto suceda ya tendremos asignada una dirección IP en nuestro host y podremos acceder a

nuestra VPN sin ningún problema.

mailto:[email protected]







39

Asignacion de Redes Con Credenciales

Documents

Transcript of Asignacion de Redes Con Credenciales