HOWTO: Cómo configurar una VPN IPSec de …resources.downloads.pandasecurity.com › sop › PGDI...

HOWTO: Cómo configurar una VPN IPSec de usuario remoto (roadwarrior) a oficina remota (gateway)

utilizando el cliente The GreenBow

Casos de uso para configurar VPN con GateDefender Integra

Panda Security desea que obtenga el máximo beneficio de sus unidades GateDefender Integra. Para ello, le ofrece la información que necesite sobre las características y configuración del producto. Consulte http://www.pandasecurity.com/ y http://www.pandasecurity.com/spain/enterprise/support/ para más información.

El software descrito en este documento se entrega bajo un Acuerdo de Licencia y únicamente puede ser utilizado una vez aceptados los términos del citado Acuerdo.

La tecnología antispam incluida en este producto pertenece a Mailshell. La tecnología de filtrado web incluida en este producto pertenece a Cobión.

Aviso de Copyright

© Panda 2007. Todos los derechos reservados. Ni la documentación, ni los programas a los que en su caso acceda, pueden copiarse, reproducirse, traducirse o reducirse a cualquier medio o soporte electrónico o legible sin el permiso previo por escrito de Panda, C/ Buenos Aires 12, 48001 Bilbao (Vizcaya) ESPAÑA.

Marca Registrada Panda Security™. TruPrevent es una marca registrada en la Oficina de Patentes y Marcas de EEUU. Windows Vista y el logo de Windows son marcas o marcas registradas de Microsoft Corporation en los EEUU y/o otros países. Otros nombres de productos son marcas registradas de sus respectivos propietarios. © Panda 2007. Todos los derechos reservados.

Panda GateDefender Integra Página 1 de 20

http://www.pandasecurity.com/enterprise/solutions/gatedefender-integra/

http://www.pandasecurity.com/spain/enterprise/support/

ÍNDICE 1. CÓMO CONFIGURAR UNA VPN IPSEC DE USUARIO REMOTO (ROADWARRIOR) A OFICINA (GATEWAY) UTILIZANDO EL CLIENTE THE GREENBOW..............................................................3

1.1 ESCENARIO....................................................................................................................3 1.2 CONFIGURACIÓN DEL LADO DEL GATEWAY (PANDA GATEDEFENDER INTEGRA)...................................5

1.2.1 Configuración de grupos de direcciones IP .............................................................5 1.2.2 Certificado CA y certificados locales de servidor ......................................................6 1.2.3 Configuración de usuarios y grupos (opcional) ........................................................8 1.2.4 Configuración de IPSec en el lado del servidor........................................................9

1.3 CONFIGURACIÓN DE LA PARTE DEL CLIENTE (CLIENTE THE GREENBOW) ........................................ 13 1.4 ESTABLECER LA CONEXIÓN VPN IPSEC ................................................................................ 17 1.5 OTRAS CONSIDERACIONES................................................................................................ 19 1.6 COMPROBACIÓN DE LA CONFIGURACIÓN ............................................................................... 20

Convenciones utilizadas en este documento Iconos utilizados en esta documentación:

Nota. Aclaración que completa la información y aporta algún conocimiento de interés. Aviso. Destaca la importancia de un concepto. Consejo. Ideas que le ayudarán a sacar el máximo rendimiento a su programa. Referencia. Otros puntos donde se ofrece más información que puede resultar de su interés. Tipos de letra utilizados en esta documentación:

Negrita: Nombres de menús, opciones, botones, ventanas o cuadros de diálogo. Código: Nombres de archivos, extensiones, carpetas, información de la línea de comandos o archivos de configuración como, por ejemplo, scripts. Cursiva: Nombres de opciones relacionadas con el sistema operativo y programas o archivos que tienen nombre propio.


1. Cómo configurar una VPN IPSec de usuario remoto (roadwarrior) a oficina (gateway) utilizando el cliente The GreenBow (IP Secure) Protocolo de seguridad que permite el intercambio seguro de paquetes en la capa IP, siendo una forma garantizada de proteger el enlace entre un dispositivo y la red. Ofrece integridad, autenticación, control de acceso y confidencialidad para el envío de paquetes IP por Internet. Panda GateDefender Integra incluye el sistema VPN para la creación de sus propias redes privadas virtuales, ampliando el alcance de su red y asegurando la confidencialidad de sus conexiones. El propósito de esta guía es detallar los pasos necesarios para la creación de una red privada virtual (VPN) IPsec con Panda GateDefender Integra, utilizando para ello datos reales.

Nota: Se da por hecho que la unidad Panda GateDefender Integra se encuentra configurada, al menos de forma básica, y funcionando. Si desea obtener información acerca de cómo instalar y configurar Panda GateDefender Integra, consulte la Guía de Instalación.

Aviso: Panda GateDefender Integra ha de encontrarse funcionando en modo Router. De lo contrario, no podrá utilizar el sistema VPN.

1.1 Escenario La siguiente ilustración muestra un escenario típico de red VPN IPSec de usuario remoto (roadwarrior) a oficina remota (gateway):

Figura 5.1: VPN IPSec


El usuario remoto (roadwarrior) tiene una dirección asignada dinámicamente por el ISP y accederá a la LAN de Integra a través de un túnel seguro utilizando el protocolo IPSec. En esta guía, la interfaz WAN de INTEGRA tiene la dirección IP 62.14.249.65 Los clientes situados en la LAN de Integra deben configurar la dirección IP de la LAN de Integra 192.168.10.1 como gateway por defecto o como ruta implícita a la dirección del cliente VPN del usuario remoto (roadwarrior). Índice


1.2 Configuración del lado del gateway (Panda GateDefender Integra)

1.2.1 Configuración de grupos de direcciones IP

El primer paso a la hora de configurar la VPN IPSec consiste en definir el rango de IPs como una subred local a la que quiere que se conecte su usuario remoto (roadwarrior).

Para definir la subred local, siga los pasos que se describen a continuación:

1. Acceda a la sección Definiciones del menú principal de la consola de Panda GateDefender Integra.

2. Seleccione Direcciones IP. 3. En el apartado de Grupos haga clic en el botón Añadir.

Se debe dar un nombre descriptivo al grupo (en este ejemplo usaremos ipsec local subnet) en el campo Nombre, y un rango IP (en este ejemplo utilizaremos 192.168.10.0/24) en el campo que aparece junto al botón de selección IP/Máscara.

4. Haga clic en Añadir IP.

Las opciones quedarán configuradas como se muestra en la figura 5.2

.

Tenga en cuenta que no puede utilizar un Grupo IP previamente definido que ya se haya asignado a otra VPN

Figura 5.2


1.2.2 Certificado CA y certificados locales de servidor

Los certificados son necesarios por razones de autenticación. Se deben importar los certificados públicos de CA que firmaron los certificados de los usuarios remotos. También se debe importar el certificado local del gateway VPN de Integra que se utilizará para autenticar el propio servidor VPN de Integra.

Para importar el certificado CA, siga el procedimiento que se indica a continuación:

1. Vaya al apartado VPN del menú principal de la consola de Panda GateDefender Integra. 2. Seleccione Gestión de certificados digitales. 3. En el apartado Certificados CA, haga clic en Importar.

• Introduzca el Nombre de certificado (en este ejemplo utilizaremos ca). • Haga clic en Examinar… para seleccionar el certificado que quiere importar. • Haga clic en Importar cuando haya elegido un certificado para importar.

Figura 5.3

Para importar certificados de servidor locales, siga el procedimiento que se indica a continuación:

1. Vaya al apartado VPN del menú principal de la consola Panda GateDefender Integra. 2. Seleccione Gestión de certificados digitales y, en el apartado Certificados locales,

haga clic en Importar.

o Seleccione si quiere Importar un certificado pendiente de firma o Importar un certificado con clave privada emitido por una CA.

o Si selecciona Importar certificado con clave privada, introduzca el Nombre de certificado PKCS12 (en este ejemplo utilizaremos server) y, si lo desea, una Contraseña.


3. Haga clic en Examinar… para seleccionar el certificado que desea importar. 4. Haga clic en Importar una vez haya elegido un certificado.

Figura 5.4

Una vez se hayan importado correctamente los certificados CA y de servidor, la pantalla con la configuración será similar a la que se muestra en la figura 5.5

Figura 5.5


Tenga en cuenta que si selecciona Importar certificado con clave privada, sólo podrá importar certificados locales que se ajusten al formato PKCS12 (el archivo tiene la extensión .p12 o .pfx).

1.2.3 Configuración de usuarios y grupos (opcional)


2. Seleccione Gestión de usuarios. 3. En el apartado Usuarios, haga clic en el botón Añadir. 4. Se abrirá una pantalla en la que deberá introducir datos, como mínimo, en los tres

primeros cuadros de texto:

• Nombre (en este ejemplo utilizaremos test). • Contraseña (en este ejemplo utilizaremos testing). • Repetir contraseña.

5. Cuando haya terminado la configuración, haga clic en Añadir para guardar los cambios.

Como se necesitan grupos definidos de usuarios VPN, ahora deberá añadir los usuarios anteriormente definidos a su grupo.

Para ello, siga los pasos que se indican a continuación:


2. Seleccione Gestión de usuarios. 3. En el apartado Grupos de usuarios, haga clic en el botón Añadir. 4. Defina el nombre del grupo y añada usuarios del cuadro inferior.

Cuando haya terminado, la configuración debería ser similar a la que se muestra en la figura 5.6


Figura 5.6

1.2.4 Configuración de IPSec en el lado del servidor Este apartado está relacionado con la configuración de IPSec. Para configurar IPSec utilizando elementos previamente definidos, siga las siguientes instrucciones:

1. Vaya a la consola de administración de Panda GateDefender Integra. 2. Haga clic en VPN en el panel de la izquierda. 3. Seleccione Gestión de VPN y, a continuación, Gestión de VPN IPSEC.

Las opciones disponibles son: • Nombre: Introduzca un nombre descriptivo para la VPN. (en este caso se utilizará

IPSec RW GreenBow). • IP Local: Introduzca la dirección IP pública local o elija IP asignada por DHCP (en este

caso se utilizará la IP pública Local 62.12.249.65). • Política Fase 1: Utilice el menú desplegable para seleccionar la política IKE I que

desee aplicar. (En este ejemplo utilizaremos 1 IKE I). Esta es la captura de pantalla de la política IKE I (con las opciones por defecto) que se ha utilizado en este ejemplo.


Figure 5.7

4. Seleccione el protocolo que vaya a utilizar: IPSec. 5. Cuando elija IPSec, tendrá disponibles las siguientes opciones:

• Subred Local: Seleccione una subred de aquellas definidas en el menú desplegable. (en este caso se utilizará ipsec local subnet)

• Política Fase II: identificador de la política IKE II de este túnel. (en este caso se utilizará I IKE II política)


Esta es la captura de pantalla de la política IKE II (con las opciones por defecto) que se ha utilizado en este ejemplo.

Figura 5.8

• ID local: Certificado X-509: utilice el menú desplegable para seleccionar el certificado local del servidor (en este ejemplo utilizaremos server.p12).

• Certificado CA: los usuarios remotos que se autentiquen con un certificado X-509, también deben presentar la firma de una CA. Utilice el menú desplegable para seleccionar el certificado de CA que firmó el certificado del usuario remoto (roadwarrior). En este ejemplo utilizaremos ca.crt.

Cuando haya configurado la parte IPSEC, la pantalla de configuración correspondiente será similar a la de la figura 5.9


Figure 5.9

Opcionalmente, se puede introducir el grupo de usuarios previamente definido, en caso de que se haya seleccionado la opción ID Local: X-Auth.

Nota: si hay algún dispositivo NAT (caso habitual) entre un usuario remoto y el gateway VPN de Integra, deberá activar la casilla NAT traversal tal y como se muestra a continuación.

Figura 5.10

Índice


1.3 Configuración de la parte del cliente (cliente The GreenBow)

Una vez haya confirmado que la conexión a Internet está configurada de forma correcta en los ordenadores cliente con Microsoft Windows 2000/XP, y haya instalado el cliente IPSec The GreenBow, siga los pasos que se describen a continuación para configurar la parte del cliente.

Nota: Para el funcionamiento del cliente The GreenBow es imprescindible desabilitar los Servicios IPSEC (Control Panel -> Herramientas Administrativas -> Servicios)

Figura 5.11

Los certificados son necesarios por razones de autenticación. Debe importar el certificado público de CA que firmó el certificado del gateway VPN de Integra, y también debe importar el certificado del usuario remoto (roadwarrior) y la clave privada correspondiente que se utilizará para autenticar al propio usuario remoto.

Para importar el certificado CA, el certificado local y clave privada para un usuario remoto (roadwarrior), haga clic en el botón Certificates Import…. Una vez se hayan importado los certificados, debe proporcionar al menos el dato Local ID haciendo clic en el botón P1 Advanced…. A continuación elija el tipo de identificación (type of ID)


DER ASN1 DN e introduzca la correspondiente identificación para el certificado local tal y como se muestra en la figura 5.14 El valor DER ASN1 DN ID o Nombre Distinguido se puede leer en el certificado local del cliente utilizando el comando openssl: # openssl x509 –in client1.crt –noout –subject Es posible acceder a la subred completa o sólo a un host específico en la LAN de Panda GD Integra, tal y como se muestra en las figuras 5.12 y 5.13.

Figura 5.12


Figura 5.13 Si se utiliza X-Auth como opción de autenticación en Panda GateDefender Integra, entonces deberá configurarlo también en la parte del cliente, tal y como se muestra en la figura 5.14.

Nota: Por razones de seguridad, Panda GateDefender Integra no soporta el Modo Agresivo.

Figura 5.14


Para más información sobre configuración, consulte la página web de The GreenBow: www.thegreenbow.com Índice


http://www.thegreenbow.com/

1.4 Establecer la conexión VPN IPSec Siga el siguiente procedimiento para establecer la conexión VPN IPSec que ha definido anteriormente:

1. Haga clic en “Save & Apply” para guardar y aplicar todas las modificaciones realizadas en la configuración de su cliente VPN.

2. Haga clic en “Open Tunnel” para generar el tráfico que abrirá automáticamente un túnel seguro VPN IPSec (p.ej. ping, navegador IE).

3. Seleccione “Connections” para ver los túneles VPN abiertos.

4. Seleccione “Console” si quiere acceder a los logs de VPN IPSec y ajustar los filtros para que se muestren menos mensajes IPSec. El siguiente ejemplo muestra una conexión exitosa entre el cliente VPN IPSec The GreenBow y Panda Gatedefender Integra.


Figura 5.15 Una vez se ha establecido el túnel VPN, tendrá disponibles una serie de recursos específicos de red tal y como ocurre cuando se conecta directamente a la red. Para desconectarse, haga clic con el botón derecho del ratón sobre el icono The GreenBow que aparece en la esquina inferior derecha y seleccione Quit, o simplemente pulse el botón Close Tunnel en la ventana del cliente The GreenBow. Índice


1.5 Otras consideraciones Si se utiliza el firewalll de Integra, las reglas de configuración correspondientes se introducirán automáticamente en el firewall. Pero si utiliza un firewall personal, o un router de banda ancha con firewall, o si hay routers o firewalls entre el cliente The GreenBow y el servidor del gateway VPN de Integra, habrá que activar los siguientes puertos y protocolos para IPSec en todos los firewalls y routers que haya entre ellos:

1. Puerto UDP 500 (IKE)

2. Protocolo IP 50 (ESP), 51 (AH) ó

Puerto UDP 4500 (NAT-T): necesario cuando entre dos gateways se encuentra por lo menos un dispositivo SNAT (el caso habitual)

Tenga en cuenta que IP 50 es un protocolo, no un puerto.

t

Si, en cualquiera de sus configuraciones – ya sea Clave estática o certificados-, GateDefender Integra tiene habilitada la opción de SNAT para la red local que interviene en la VPN, será necesario añadir una regla SNAT de mayor prioridad que la anterior, que haga que al tráfico de la VPN no se le aplique el cambio de encabezado IP origen propio de SNAT antes de enrutar los paquetes hacia el túnel. Para ello sólo se debe activar el botón Man ener dirección original:

En el ejemplo de la figura, se muestra la regla a añadir para que el tráfico de la IPSEC subnet local pueda enrutarse de forma correcta por el túnel VPN hacia el roadwarrior 192.168.20.100.

Índice


1.6 Comprobación de la configuración Para comprobar la configuración de la VPN IPSec, siga los pasos que se indican a continuación:

1. Abra la consola de administración de Panda GateDefender Integra. 2. Haga clic en VPN en el panel de la izquierda. 3. Seleccione Monitor VPN, lo que le permitirá ver el estado de todas las conexiones VPN

(como se muestra en la figura 5.16).

Figura 5.16

Cualquiera de los usuarios remotos puede verificar la configuración en su Windows 2000/XP de forma independiente. Para realizar esta tarea, habría que utilizar el siguiente comando: ping –n 10 192.168.10.100 Este comando comprueba el estado de la conexión desde el usuario remoto a uno de los ordenadores que residen en la red interna detrás del gateway VPN de Integra, y debería obtener una respuesta del equipo remoto. Al mismo tiempo, se puede utilizar una herramienta de control del tráfico de red como, por ejemplo, Ethereal, para comprobar si el tráfico entre el usuario remoto (roadwarrior) y la oficina remota (gateway) está cifrado. Los paquetes cifrados ESP (Encapsulating Security Payload) sólo se verán al observar el tráfico en el interfaz de la red externa. Para más información sobre la resolución de incidencias con el cliente The GreenBow Client, consulte el sitio web: www.thegreenbow.com Índice

© Panda 2006

0707-PGDIHT09-03-SP


http://www.thegreenbow.com/

HOWTO: Cómo configurar una VPN IPSec de …resources.downloads.pandasecurity.com › sop › PGDI...

Documents

Transcript of HOWTO: Cómo configurar una VPN IPSec de …resources.downloads.pandasecurity.com › sop › PGDI...