Vous êtes sur la page 1sur 39

2011

UNIVERSIDAD DE EL SALVADOR FACULTAD MULTIDISCIPLINARIA DE OCCIDENTE DEPARTAMENTO DE INGENIERIA Y ARQUITECTURA.

CATEDRA: COMUNICACIONES I

DOCENTE: ING. JUAN CARLOS PEA

ASIGNACION DE REDES EN BASE A CREDENCIALES

ALUMNOS: CANALES MANCIA GUILLERMO ERNESTO MARROQUIN PANIAGUA KENNY GUADALUPE MARTINEZ CASTANEDA CARLOS ALEJANDRO

SANTA ANA, 28 DE NOVIEMBRE 2011.

COMUNICACIONES 1 2011

INDICE

INTRODUCCION. 3 DEFINICION DELPROBLEMA. DIAGRAMA.. 802.1x. INSTALACION DE ZEROSHELL.. CREACION DE PARTICION.. CREACION DE UN PERFIL ADAPTADORES DE CONFIGURACION DE RED. NAVEGACION EN INTERNET ACTIVACION DEL PORTAL CAUTIVO.. CONFIGURACION DEL SERVIDOR DHCP.. CONFIGURANDO RADIUS. CLIENTE WINDOWS. CLIENTE LINUX CREACION DE VLANS. ASIGANACION DE PUERTOS. ASIGNACION DE RED VPN.. CONFIGURACION DE AUTORIDAD CERTIFICADORA 5 6 7 8 10 14 16 17 18 19 21 22 26 28 30 32 34

COMUNICACIONES 1 2011
INTRODUCCIN
La acreditacin de redes se realiza en tres pasos: Autenticacin, que verificar la identidad digital del remitente de una comunicacin como una peticin para conectarse. Autorizacin, permitiendo el acceso a la red. Auditoria, en la cual se registran las acciones de los usuarios registrados. Formas de identificacin: Por nombre y contrasea, cada usuario para poder acceder a su red, debe introducir su nombre de usuario y su contrasea de acceso. Por Direccin MAC, otra forma de identificar al usuario de red, es por medio de la direccin Mac de su computadora. ZEROSHELL: Zeroshell es una distribucin Linux para servidores y dispositivos embebidos, que provee de servicios de red. Es un Firewall gratuito que tiene las caractersticas de los de los equipos complejos de seguridad. Zeroshell nos permite realizar los procesos de autentificacin de red ofreciendo los siguientes elementos para realizar nuestro proyecto: NAT: es un sistema que se utiliza para asignar una red completa (o varias redes) a una sola direccin IP. NAT es necesario cuando la cantidad de direcciones IP que nos haya asignado nuestro proveedor de Internet sea inferior a la cantidad de ordenadores que queramos que accedan a Internet Servidor DHCP: DHCP es el protocolo de servicio TCP/IP que "alquila" o asigna dinmicamente direcciones IP durante un tiempo (duracin del alquiler) a las estaciones de trabajo, distribuyendo adems otros parmetros de configuracin entre clientes de red autorizados, tales como la puerta de enlace o el servidor DNS. DHCP proporciona una configuracin de red TCP/IP segura, confiable y sencilla, evita conflictos de direcciones y ayuda a conservar el uso de las direcciones IP de clientes en la red. Utiliza un modelo cliente-servidor en el que el servidor DHCP mantiene una administracin centralizada de las direcciones IP utilizadas en la red. Los clientes compatibles con DHCP podrn solicitar a un servidor DHCP una direccin IP y obtener la concesin como parte del proceso de inicio de red. Zeroshell contiene servidor DHCP, de esta manera los clientes de nuestra red interna no necesita direccionamiento de IP esttico. RADIUS: Es un protocolo de autenticacin y autorizacin para aplicaciones de acceso a la red o movilidad IP

COMUNICACIONES 1 2011
KERBEROS: es un sistema de autentificacin de usuarios, que posee un doble objetivo: -Impedir que las claves sean enviadas a travs de la red, con el consiguiente riesgo de su divulgacin. -Centralizar la autentificacin de usuarios, manteniendo una nica base de datos de usuarios para toda la red. Kerberos, como protocolo de seguridad, usa una criptgrafa de claves simtricas, lo que significa que la clave utilizada para cifrar es la misma clave utilizada para descifrar o autenticar usuarios. Esto permite a dos computadores en una red insegura, demostrar su identidad mutuamente de manera segura. OPEN LDAP: almacena la informacin de autenticacin (usuario y contrasea) y es utilizado para autenticarse aunque es posible almacenar otra informacin (datos de contacto del usuario, ubicacin de diversos recursos de la red, permisos, certificados, etc.). A manera de sntesis, LDAP es un protocolo de acceso unificado a un conjunto de informacin sobre una red. VPN: virtual Private Network) Red privada virtual. Red de comunicaciones de rea ancha provista por una portadora comn que suministra aquello que asemeja lneas dedicadas cuando se utilizan, pero las troncales de base se comparten entre todos los clientes como en una red pblica. Permite configurar una red privada dentro de una red pblica. Portal cautivo: es un programa o mquina de una red informtica que vigila el trfico HTTP y fuerza a los usuarios a pasar por una pgina especial si quieren navegar por Internet de forma normal. A veces esto se hace para pedir una de la red, que es el sitio por donde pasan los usuarios para acceder a Internet (puede ser un ordenador haciendo de router, o un router hardware). Adems para signar al usuario los haremos por medio de vlans, donde debern conectarse segn la que le corresponde. VLAN: Es un mtodo de crear redes lgicamente independientes dentro de una misma red fsica. Varias VLANs pueden coexistir en un nico conmutador fsico o en una nica red fsica.

COMUNICACIONES 1 2011

Definicin del problema

Luego de regresar de una capacitacin de motivacin al personal, el gerente de una empresa de servicios en lnea ha decidido cambiar su esquema de trabajo actual por una metodologa de trabajo donde no existen cubculos asignados individualmente. Cada usuario al llegar por las maanas a trabajar, utilizar cualquier escritorio disponible y conectar su computadora porttil al punto de red ms cercano. Esto es un problema para los administradores de red, ya que actualmente poseen una red dividida en departamentos, los cuales agrupan actividades comunes (contabilidad, compras, ventas, manufactura, empaque, etc.) y con el esquema actual debern ser capaces de asignar una red automticamente a cada usuario dependiendo de su perfil y sin importar desde qu punto de red se conecte. En vista de sus limitaciones, le han contratado a usted para que desarrolle una solucin integral al problema. Como extras puede integrarse distintos mecanismos de autenticacin, basados en la computadora, en el usuario, etc. y autenticarlos en distintos orgenes de datos; brindar redundancia, en caso de que un mecanismo falle, otro pueda brindar solucin, etc.

COMUNICACIONES 1 2011
DIAGRAMA

VPN

ETH1
LINKSYS

ETH0

ETH2

VLANS 11 INGENIERIA

VLANS 11

MERCADEO DERECHO

COMUNICACIONES 1 2011
Autenticacin en redes inalmbricas con 802.1x Redes WiFi estn afectadas por problemas de acceso no autorizado, mucho ms que las redes de cable. Esto es obvio si usted piensa que alrededor de este hecho para acceder a este ltimo un punto de acceso fsico es necesario (conector RJ45), en las redes inalmbricas slo tienes que estar dentro del rango de cobertura para acceder a ella. Una primera solucin al problema fue WEP (Wired Equivalent Privacy). Sin embargo, este mtodo, asociadas con la presencia de claves cifradas simtricas en ambos los puntos de acceso y todos los clientes autorizados para el acceso, dio a los administradores de red el trabajo de cambiar peridicamente las claves y comunicar el cambio a todos los usuarios. El resultado fue que las claves WEP se mantuvo sin cambios durante largos perodos de tiempo, haciendo que la inseguridad de la red. El protocolo 802.1x autentificacin introducidos y el apoyo a la gestin dinmica de las claves WEP. De esta manera, una vez que el cliente se autentica las teclas que el trfico inalmbrico se cifra con alimentada automticamente y se cambi ms de una vez durante una sesin de trabajo. El perodo de validez de las claves es lo suficientemente corto como para que sean difciles de determinar por un intruso intenta un ataque. Desde el punto de vista prctico, el protocolo 802.1x es otro que el protocolo EAP (Extensible Authentication Protocol) de autenticacin utilizado para autenticar conexiones punto a punto, adaptado para funcionar en las tramas Ethernet en lugar de paquetes PPP. Por esta razn el protocolo 802.1x es tambin conocido como EAPoL (EAP sobre LAN). En la terminologa EAP las entidades que juegan un papel durante el proceso de autenticacin se incluyen: el suplicante, es decir, el cliente pide que acceder a la red, el autenticador que en las redes inalmbricas coincide con el Punto de acceso, servidor de la autenticacin que verifica si los usuarios son realmente quienes dicen ser. El servidor de autenticacin es a menudo uno y el mismo que el servidor RADIUS, mientras que el autenticador es lo que se define como NAS (Network Access Server) en el protocolo RADIUS. Como se mencion anteriormente EAP es slo un protocolo de autenticacin que ofrece el servidor de autenticacin suplicante y la tarea de establecer el mtodo de autenticacin real de uso. Puede verse que el punto de acceso es transparente desde este punto de vista, ya que su nico trabajo consiste en reenviar los paquetes a travs de la suplicante EAPoL con el servidor RADIUS y los encapsula en IP (el servidor RADIUS se puede llegar por la parte cableada de la AP) y viceversa. El servidor RADIUS Zeroshell apoya los mtodos de autenticacin se describen a continuacin debido a que incluyen los que ofrecen una mayor garanta de seguridad y con el apoyo de la mayora de los suplicantes.

EAP-TLS, que utilizan TLS para la autenticacin mutua entre el solicitante y punto de acceso. Tanto el servidor RADIUS y suplicante debe tener un certificado X509 de clave privada y relevante. Aparte de la tarea de tener que dotar a cada usuario con un certificado, ste es sin duda el mtodo de autenticacin ms seguro y conveniente, ya que no hay ninguna contrasea de usuario debe ser introducido.

COMUNICACIONES 1 2011

PEAP (Protected EAP), que en su lugar utiliza TLS para autenticar el punto de acceso y establecer un tnel cifrado en MS-CHAPv2 se utiliza para autenticar el suplicante con un nombre de usuario y contrasea. La ventaja de este mtodo es que slo el servidor RADIUS tiene que tener el certificado de servidor y la clave privada, mientras que el usuario utiliza la misma contrasea para autenticarse con Kerberos 5 en los servicios de la red.

Al parecer, con EAP-TLS, as como con PEAP, los puntos de acceso no prueban su identidad a la parte solicitante, ya que no se suministran con un certificado y la clave privada. En realidad este no es el caso, ya que la cuota de puntos de acceso en secreto con el radio que los hace de confianza para l. Esta confianza hace posible que un suplicante que confa en un radio (gracias a TLS) para la confianza tambin los puntos de acceso. Adems del protocolo 802.1x, en los puntos de acceso que gestionan mltiples SSID asignado en el etiquetado VLAN 802.1Q, Zeroshell apoya a la asociacin en una VLAN particular basada en el nombre de usuario suministrado en la NC certificado si la autenticacin EAP-TLS, en el nombre de usuario proporcionada por el solicitante en el caso de PEAP, en el usuario pertenece a un grupo para el que ha sido una VLAN asignada y en el cliente de direccin MAC, si los mtodos anteriores no definen una VLAN. Para el desarrollo del proyecto nos auxiliaremos de la herramienta zeroshell, y es el primer paso para poder desarrollarlo. INSTALACIN DE ZEROSHELL Debemos introducir el CD de instalacin descargado desde la pgina oficial: ZeroShell.net/es. Una vez iniciado el sistema con el CD dentro, accedemos a la pantalla de inicio de sesin. Por defecto, Zeroshell se instala con la direccin ip 192.168.0.75. La pantalla inicial de configuracin que veremos despus de la instalacin es:

COMUNICACIONES 1 2011
Cambio de contrasea: Si deseamos cambiar la contrasea desde consola lo podemos hacer directamente desde el Zeroshell o en entorno web, para realizar esto. EL nombre de usuario es adminy por defecto no tiene clave. Pulsamos sobre la letra P para introducir la contrasea, si deseamos cambiar va web al crear un perfil, que mas adelante explicaremos como hacerlo, podremos establecer una nueva contrasea. Una vez cambiada la contrasea accedemos a la pantalla de configuracin via web, ya que es ms amigable que la administracin por lnea de comandos. Debemos de tener en cuenta que para administrar Zeroshell via web, debemos de tener en nuestro equipo una direccin IP del mismo rango, ya que aun no contamos con dhcp ser necesario que nos asignemos manualmente una ip, de la siguiente manera: Ejemplo Linux: En consola, como root, ejecutar el siguiente comando Ifconfig eth0 192.168.0.1/24 up Windows: Redes y recursos compartidos>Configuraciones de adaptador>propiedades En protocolo ipv4>asignamos una ip en el rango de zeroshell.

COMUNICACIONES 1 2011
Ahora podremos acceder desde el navegador colocando la ip de Zeroshell

En la primera pantalla de administracin, introducimos el usuario y la clave (usuario admin, clave la que hemos introducido, o si aun no la hemos cambio la clave por defecto que es zeroshell) GUARDAR CONFIGURACION Zeroshell nos permite guardar nuestras configuraciones, de tres maneras: 1- Instalando Zeroshell en un particin 2- Versin live CD y configuraciones almacenadas en disco duro 3- o por la cual nosotros hemos optado versin live CD y configuraciones almacenadas en usb. Si no hicisemos esto, cada vez que arrancsemos el sistema, iniciara una nueva instalacin de Zeroshell. Este sistema tiene grandes ventajas, ya que podemos guardar distintas configuraciones para realizar pruebas. INSTALACIN EN UNA PARTICIN Para la instalacin en el disco duro, debemos bajar el fichero para tarjeta IDE, SATA y discos USB de la pgina web http://www.zeroshell.net. Este fichero se encuentra en la seccin de downloads.

10

COMUNICACIONES 1 2011

Una vez descargado almacenamos el archivo en una memoria usb de 1gb por lo menos y nos vamos al equipo que esta corriendo zeroshell, aparece el men, tecleamos la letra S para acceder a la Shell. Aunque Zeroshell no est basado en ninguna distribucin Linux en concreto, soporta casi todos los comandos de cualquier sistema Linux. Se introduce la llave usb con el fichero descargado en el sistema, y ejecutamos el comando fdisk l para que nos muestre las particiones.

En este ejemplo, Zeroshell est instalado en /dev/hda1 y la llave usb est en /dev/sda1. A continuacin debemos montar la llave USB en un directorio, para poder proceder a la copia del archivo de imagen. Para ello ejecutaremos los siguientes comandos en la consola:

11

COMUNICACIONES 1 2011

Una vez montada la llave USB, procederemos a la copia de la imagen

Debemos extraer el CD del sistema, para que al arrancar utilice la imagen que hemos cargado en el disco duro del ordenador. AL realizar esta accin, si habamos configurado un perfil, este se eliminar, ya que la imagen sobrescribir toda la informacin del sistema.

VERSION LIVE CD Y CONFIGURACIONES ALMACENADAS EN DISCO DURO


Para crear una particin, realizaremos las siguientes acciones Marcamos la particin con la etiqueta que contiene el nombre de nuestro disco duro para que nos aparezca el men de acciones que podemos realizar. A continuacin hacemos clic en el botn New Partition para acceder a la ventana de

12

COMUNICACIONES 1 2011
Creacin de particin en el disco duro virtual

En esta pantalla vamos a crear una particin para almacenar nuestra configuracin. EL formato de a particin, ser Extended 3 y el tamao el Mximo disponible. (Opciones por defecto). Una vez creada la particin, nos aparecer la pgina de PROFILES con la nueva particin creada.

13

COMUNICACIONES 1 2011

VERSIN LIVE CD Y CONFIGURACIONES ALMACENADAS EN USB.


La manera ms sencilla de hacerlo es a travs de una consola de Linux como sudo ejecutamos los siguientes comandos: Gunzip ZeroShell-1.0.x-CompactFlash512.img.gz dd< ZeroShell-1.0.x-CompactFlash512.img > /dev/sdc Donde el archivo al que se hace referencia es el que descargamos de la pagina, donde anteriormente explicamos como descargarlo y sdc hace referencia en donde esta montada la usb, sino sabes lo podes conocer a travs del comando fdisk l

CREACION DE UN PERFIL
Para crear un perfil, debemos de seleccionar la particin que hemos creado (sda1) y nos aparecer el men para crear nuestro perfil

Pulsamos sobre el botn de CreateProfile para que nos aparezca la ventana de creacin de perfil, donde nos solicitar los datos necesarios.

14

COMUNICACIONES 1 2011

Los datos que se introducen en esta pantalla sern los datos que se guardarn en el perfil, y nuestro sistema se iniciar con esa configuracin. Una vez introducidos estos datos, pulsamos sobre el botn CREATE situado en la parte superior derecha, y nos aparecer la pantalla de PROFILES, con la informacin del perfil creado

Para activar este perfil debemos seleccionar La descripcin del perfil

Y nos aparecer el men de activacin de perfil.

15

COMUNICACIONES 1 2011
Pulsaremos sobre el botn de ACTIVATE para activar el perfil que creamos. Nos aparecer la pantalla de activacin de perfil, indicndonos que no est activo. Pulsaremos sobre el botn ACTIVATE. El sistema se reiniciar con la configuracin que hemos creado.

LOS ADAPTADORES DE RED DE CONFIGURACIN: Una vez preparado el disco y crea el primer archivo de configuracin podemos configurar la direccin IP del adaptador de red, por el haciendo clic en CONFIGURACIN DE RED etiqueta nad:

Normalmente ETH00 es el adaptador de red interno (interfaz segura del servidor de seguridad) y ETH01es el externo que comunica con router. UsingxDSL. Aadiremos IP a las interfaces A la ETH00, no le aadiremos direcciones IP directamente sino que crearemos nuestras VLANs que se encuentran alojadas en el Switch CISCO, crear Vlan, agregamos el nombre de la Vlan y los mas importante el ID de esta debe ser el mismo que declaramos en el Switch, luego add IP, y aadimos nuestra red subneteada, este procedimiento lo debemos realizar para cada VLAN (Ingeniera, Administracin y Mercadeo)

16

COMUNICACIONES 1 2011
A la ETH1, por ser el extremo que se comunica con el router debemos asignarle una ip en el rango del dhcp que proporciona nuestro servidor ISP que seria 192.168.1.100

Y la ETH03, ser la ip administrativa para zeroshell con la cual podremos acceder a la interfaz grafica y as administrar nuestro servidor.

Accedemos al men del Gateway pulsando sobre el botn GATEWAY, y configuraremos la direccin IP de nuestra salida a internet. Generalmente esta direccin suele ser la de nuestro routerxDSL o de cable.

NAVEGACIN POR INTERNET Para que los clientes internos el uso de conexin a Internet, debemos activar Network AddressTranslation (NAT) para protegerlos. Usando el men router, haga clic en la etiqueta de NAT y ETH00, ETH03 conjunto que se traduce por ETH01:

17

COMUNICACIONES 1 2011

Ahora podemos usar la conexin a Internet en nuestros clientes. LA ACTIVACIN DEL PORTAL CAUTIVO:
Caractersticas til pongamos los usuarios de Internet y una contrasea para la conexin a Internet de filtro externo (). De esta manera, un usuario ende la red interna debe autenticarse contra Zeroshell antes de abrir las conexiones a Internet (para la navegacin web, correo dowload, recursos de la organizacin en red etc.) Antes de activar Portal Cautivo debemos crear los usuarios, seleccionar la etiqueta aadir, llenar los campos como a continuacin:

18

COMUNICACIONES 1 2011
Nombre de usuario: Contiene el nombre del usuario para la autenticacin. Una vez creados los usuarios, el cautivo, haga clic en el men PORTAL; establecer un marcador en GW, elija Modo ruteado e internos adaptador de Ethernet en proceso de autenticacin que va a suceder (en nuestro ETH00 la IP del cliente es la puerta de entrada Default). Es importante agregar la VLAN a la que pertenecer cada usuario Activar autenticacin:

Ahora podemos cerrar nuestro navegador y vuelva a abrirlo, nos pedir autenticarse. CONFIGURACIN DEL SERVIDOR DHCP EL servidor DHCP es un servidor que asigna dinmicamente direcciones IP a los equipos de nuestra red, con todos los datos necesarios para que no tengamos que configurar nada. Es muy til ya que nos olvidamos de que cada vez que unamos un equipo a la red, tengamos que configurarlo con su direccin IP, su puerta de enlace y los servidores DNS. Tambin podemos asignar a los equipos siempre la misma direccin IP, ya que el servidor DHCP nos permitir asignarlas en funcin de las direcciones MAC de las tarjetas de red. Para configurar el servicio DHCP, accedemos al men DHCP situado a la izquierda y veremos la siguiente pantalla

19

COMUNICACIONES 1 2011

En este momento no tenemos ningn rango de direcciones configurado para que el servidor las asigne a los equipos. Vamos a asignar las direcciones IP, siguiendo las instrucciones de red que figuran en el manual, indicando tambin cual es la puerta de enlace (direccin IP interna de Zeroshell) y el servidor DNS (direccin IP interna de Zeroshell) Debemos crear una subred para poder asignar direcciones IP a nuestra red. Pulsamos sobre el botnNEW en la esquina superior derecha y seleccionamos el interface ETH00 y configuraremos el DHCP para cada VLAN, que es nuestra red interna. Debemos marcar Enabled y pulsar sobre el botn SAVE A partir de este momento, cuando encendamos un equipo, nuestro routerZeroshell le asignar una direccin IP con los datos que hemos configurado en nuestro servidor

Si deseamos asignar dhcp por Mac es necesario que agreguemos el Mac de la tarjeta de red de la PC correspondiente a la cual le asignaremos red dependiendo de su Mac

20

COMUNICACIONES 1 2011
ACCESO WIFI A VLAN
En este HOW TO ya hemos explicado como crear CA y Usuarios, por lo tanto no ser necesario volver a explicarlo, ya que es de vital importancia poseer usuario y certificados CA, para poder acceder por WIFI a nuestras VLAN y ser asignados a la red correspondiente

Configurando RADIUS
A continuacin, haz click en la pestaa RADIUS en el men de navegacin de la izquierda.

Selecciona "AuthorizedClients" en la barra de navegacin de la parte superior. Para aadir un punto de acceso debes poner la direccin IPcon un 32 /, con una buena clave secreta. NOTA: La clave secreta no pueden ser mas de 32 caracteres Radius no se iniciar con una clave secreta ms larga en la versin actual de Zeroshell.

21

COMUNICACIONES 1 2011
Despus de configurar ZeroShell, debes reiniciar a travs del enlace en la parte superior de la pantalla. Configurando su Punto de Acceso: Bsicamente, tienes que activar la seguridad de RADIUS, seleccionar la WPA adecuada, y configurarlo en el la direccin IP de Zeroshell. Tambin debes configurar tu punto de acceso estamos usando un Linksys WRT54G En mi caso, lo he establecido para RADIUS WPA2 modo mixto, lo que significa que puede tener ambos clientes WPA y WPA2.

.
Configurando un cliente en Windows: Primero exporta tu CA de ZeroShell. Para ello, ve la pantalla de radius en ZeroShell y pulsa el botn trusted CA. Esto generara un pop-up:

22

COMUNICACIONES 1 2011
A continuacin, seleccione el CA y pulsa el botn Exportar. El navegador se descargara un archivo llamado"TrustedCA.pem". Copia este archivo a un USB para poder usarlo en Windows. Ahora, en Windows, pulse Inicio, Ejecutar, y escribe MMC y pulsa aceptar, en la nueva ventana pulsa archivo, y agregar o quitar complemento, despus haz click en Agregar y seleccione Certificados. En la siguiente pantalla, seleccione "administracin de equipos" y "Equipo local". A continuacin pulsa Aceptar. Debes tener una pantalla similar a esta:

Expandir la raz trusted root certificacin, y haz click en Certificados, Ahora, importa el archivo de certificado que exportaste desde ZeroShell.

23

COMUNICACIONES 1 2011
A continuacin, vas a la pestaa de Redes inalmbricas en las propiedades de la tarjeta inalmbrica:

Haz click en el botn Propiedades de la red en cuestin. Para autentificacin de red, seleccione WPA, y para cifrado de datos seleccione, TKIP:

24

COMUNICACIONES 1 2011
Pulsa la pestaa Autentificacin, marca la casilla "EnableIEEE 802.1x ", y selecciona PEAP para su tipo de EAP. Asegrese de las otras dos casillas de verificacin estn sin marcar:

Selecciona Propiedades. Selecciona la casilla de verificacin para su CA raz. En mi caso, es AddressPlus CA. Asimismo, define el mtodo de autenticacin de MSCHAP. Pulsa el botn Configurar para MSCHAP y asegrate que la casilla "Usar automticamente mi nombre de inicio de sesin y contrasea de Windows" est sin marcar.

25

COMUNICACIONES 1 2011
La primera vez que trates de conectar, te pedir un nombre de usuario y contrasea. Introduce el nombre de usuario y la contrasea que aadiste en Zeroshell para este equipo. Debes de autentificarte con xito. Configurando un cliente en Linux: Por ltimo, configuraremos un cliente para ver que nuestro servidor funciona. Vamos a ver cmo realizar la configuracin mediante wicd, la herramienta grfica que viene instalada en los porttiles que nos han enviado. Abrimos wicd y veremos una pantalla similar a la siguiente:

Como podemos ver, el porttil est detectando el punto de acceso que hemos configurado anteriormente. Hacemos clic en el botn Propiedades y se nos mostrar una ventana donde podremos especificar las opciones necesarias para acceder a nuestra red:

26

COMUNICACIONES 1 2011

En esta pantalla: Marcaremos la opcin Usar cifrado. Seleccionaremos PEAP with TKIP/MSCHAPV2 En el cuadro Identityescribiremos nuestro nombre de usuario. En el cuadro Password escribiremos nuestra password. Y pulsaremos el botn Aceptar para guardar los ajustes. Ahora, en la ventana donde se muestra la lista de redes detectadas, no tendremos ms que hacer click en el botn Conectar y el equipo se conectar a nuestra red. Una vez configurado nuestra aplicacin, debemos configurar las vlans a las que asignaremos los usuarios.

27

COMUNICACIONES 1 2011
CREACIN DE VLANS UTILIZANDO SWITCH CISCO CATALYST 3500 XL Antes de crear nuestras VLANs debemos conocer el significado de estas para estar ms familiarizados con el tema conforme vayamos entrando en el desarrollo de la configuracin. Para poder crear nuestras vlans necesitamos un dispositivo que soporte este tipo mecanismo de creacin de red, para ello utilizaremos un Switch Administrable, marca CISCO, modelo CATALYST 3500 XL.

Primeramente lo que tenemos que hacer es descargar en Linux(para nuestro caso estamos utilizando una distribucin DEBIAN, igualmente funciona para las otras distribuciones basadas en Debian) la interfaz que nos servir para administrar nuestro switch, para ello abrimos una terminal y desde modo root colocamos el siguiente comando. #apt-getinstallgtkterm Con eso comenzar la instalacin en nuestro equipo, luego que la instalacin finalice tendremos que hacer una combinacin de teclas para poder ejecutar nuestro gtkterm en modo root. Conectamos el cable de administracin del switch a nuestro ordenador para poder establecer la comunicacin entre los dispositivos.

28

COMUNICACIONES 1 2011
Presionamos Alt + F2, donde nos aparecer una ventana donde podremos digitar el nombre de la aplicacin que queremos abrir anteponiendo la palabra gksu que nos permitir entrar como root a nuestra aplicacin.

Gksugtkterm

Cuando ya hemos corrido nuestra aplicacin nos aparecer una pantalla en modo texto de color negra, para poder escribir en ella debemos presionar la tecla Enter. Pero antes debemos ingresar a la configuracin, ubicada en el men en la parte superior de la ventana, como se muestra en la siguiente pantalla.

Cambiaremos la opcin del puerto Port, y seleccionaremos la opcin por conexin por puerto USB, que es la ltima que se encuentra en las opciones, luego de eso presionamos el botn OK. Ahora al presionar la tecla Enter ya nos quedar habilitado para comenzar a dar instrucciones.

29

COMUNICACIONES 1 2011
MODO DE CREACIN DE VLANS Para poder comenzar a crear las VLANS primeramente debemos de entrar al modo EXEC privilegiado de nuestro switch, eso lo lograremos digitando la palabra Enable. Switch>Enable Switch# Luego entramos a configurar la vlan a travs de Vlandatabase.

Switch >vlan database Switch (vlan)# Colocaremos el ID de nuestra VLAN y el nombre respectivo que va a poseer.

Switch (vlan)#vlan 10 name Ventas Con lo anterior ya tenemos creada nuestra Vlan ahora nos salimos de el modo vlan escribiendo la palabra exit

Switch (vlan)# Exit Switch# ASIGNACIN DE PUERTOS PARA LAS VLANS Ya que hemos creado las VLANS, ahora viene el siguiente paso que es asignar los puertos que utilizar cada vlan creada, para esto seguiremos el siguiente algoritmo recordando que siempre estaremos en el modo EXEC privilegiado. Entramos en el modo para configuracin de terminales.

Switch# configure terminal Switch (config)# Especificamos el Puerto que queremos asignar.

Switch (config)# interface fa0/2 Switch(config-if)# Configuraremos nuestra interfaz en modo de acceso, para ello debemos escribir en nuestra consola la siguiente sentencia.

Switch(config-if)#switchport mode access - Ahora agregaremos la VLAN a la que va a pertenecer nuestro puerto elegido.

30

COMUNICACIONES 1 2011
Switch(config-if)# switchport accessvlan10 Ahora para finalizar nos salimos del modo de la interfaz y del modo de configuracin hasta llegar nuevamente al modo EXEC privilegiado. Para lograr esto solo ocuparemos el comando exit.

Switch(config-if)# exit Switch(config)# exit Switch# Para poder ver la configuracin de nuestra Vlan y sus puertos utilizando el commando show vlan

Switch# Show vlan CREACIN DE PUERTO TRONCAL Qu es un puerto troncal? Es un puerto destinado para poder comunicar a las diversas VLANs creadas en el Switch. NOTA: Debe repetir estos algoritmos de Creacin de Vlan y Asignacin de puertos por cada VLAN que desee crear. Para la creacin del puerto troncal seguiremos el algoritmo siguiente - Entramos al modo de configuracin de terminal Switch# configure terminal Switch (config)# Especificamos el Puerto que queremos asignar.

Switch (config)# interface fa0/1 Switch(config-if)#

- Asignamos el modo Trunk del Puerto que ser nuestro troncal. Switch(config-if)#switchport mode trunk Switch (config-if)#switchport trunk encapsulation dot1Q

31

COMUNICACIONES 1 2011
Ahora para finalizar nos salimos del modo de la interfaz y del modo de configuracin hasta llegar nuevamente al modo EXEC privilegiado.

Switch(config-if)# exit Switch(config)# exit Switch# Ahora con esto ya tenemos nuestro Puerto troncal creado y listo para establecer la comunicacin entre las VLANs de nuestra red.

ASIGNACIN DE RED VPN AUTENTICACION REMOTA HOST LAN Qu es una vpn? VPN (Virtual Private Network) Tecnologa de redes que permite la extensin de una red de rea local sobre una red pblica o no controlada (como internet). Por ejemplo, crear una red entre distintas computadoras utilizando como infraestructura a internet. Para nuestro caso asignaremos una red especialmente para las personas que desean conectarse de forma remota a sta con una previa acreditacin que le abrir el paso para su respectivo acceso, para ello debemos configurar tanto CLIENTE como SERVIDOR. Los pasos para esta configuracin se presentan a continuacin. CONFIGURACIN VPN SERVIDOR ZEROSHELL Por defecto en Zeroshell siempre existe una interfaz especial para este tipo de conexiones, esta interfaz denominada VPN99 se puede localizar en el men NETWORK de zeroshell.

La interfaz generalmente se encuentra deshabilitada por lo que nos corresponde a nosotros activarla para su respectivo funcionamiento. Para ello configuraremos nuestro sistema a travs del men VPN y activaremos esta funcionalidad para su respectivo uso colocando un cheque en Enabledy el estado automticamente cambiar a Activo.

32

COMUNICACIONES 1 2011

3 1 4

2 5

SECUENCIA DE PASOS SEGN NUMERACIN. 1- Ingresar como ya se haba mencionado anteriormente al men VPN ubicado al lado izquierdo de nuestra pantalla 2- Habilitar el estado a modo ACTIVE para esto seleccionaremos la opcin Enabled y veremos que nuestro estado (Status) cambia. 3- En Authentication desplegaremos el combobox con las opciones y seleccionaremos la opcin OnlyPassword donde le diremos la forma por la cual deseamos autenticarnos. 4- Seleccionaremos el rango de direcciones que se asignaran a nuestros clientes esto en IP Rangey tambin definiremos nuestro Gateway que para nuestro caso ser la direccin ip que contiene nuestra interfaz VPN99 (192.168.250.255), aparte tambin definimos nuestra Netmasky nuestro DNS. 5- Seleccionamos el nombre de dominio que utilizaremos para autenticarnos, para nuestro caso estaremos utilizando el nombre de dominio example.com. Con esto ya tendremos configurado nuestro Servidor correctamente. VPN funcionando

33

COMUNICACIONES 1 2011
CONFIGURACIN DE AUTORIDAD CERTIFICADORA (CA) PARA LA CONEXIN REMOTA Debemos acceder al men que se encuentra al lado izquierdo de la pantalla, especficamente a la opcin X509, luego acceder al men SETUP de dicha opcin. Ac llenaremos todos los datos de nuestra autoridad certificadora (CA) para poder emitir los certificados de usuario para luego compararse con nuestra CA.

3 2 1

LOS PUNTOS MARCADOS CON NMEROS HACEN REFERENCIA A LO SIGUIENTE: 1. Campos que se llenan con los datos de nuestra Autoridad Certificadora (CA). 2. Luego que tenemos los campos llenos, tenemos que generar el certificado haciendo clic al botn Generate. 3. Cuando ya se ha creado el certificado lo podemos exportar y guardar en nuestra unidad de disco. GUARDANDO NUESTRO CERTIFICADO DE USUARIO. Recordar que debemos guardar nuestro certificado de usuario, el cual nos servir para establecer una conexin remota, para ello debemos exportar el certificado en formato PEM y guardarlo en nuestro equipo.

34

COMUNICACIONES 1 2011

2 3 1 4

Para guardar nuestro certificado de usuario seguiremos los pasos siguientes en la secuencia que ilustra la imagen anterior.

1. Accedemos al men Usuario ubicado a la izquierda de nuestra pantalla. 2. Luego seleccionamos la opcin X-509 para acceder a nuestro certificado de usuario. 3. Generamos el certificado de usuario el cual es el que ocuparemos para nuestra conexin remota. 4. Exportamos nuestro certificado y lo guardamos en una unidad de disco. CONFIGURACIN CLIENTE VPN - WINDOWS GUI Para la configuracin del cliente VPN ser necesario descargar una aplicacin OpenSource denominada OpenVPNdesde el siguiente sitio: http://openvpn.se/download.html y descargamos la aplicacin para Windows donde muestra la flecha con color rojo.

35

COMUNICACIONES 1 2011

Luego de haber descargado dicha aplicacin vamos a la carpeta donde la descargamos y procedemos a su respectiva instalacin. Luego de haberlo instalado aparecer una interfaz virtual de red como se muestra en la siguiente imagen.

Ahora nos tendremos que ubicar en Equipo (Mi PC) Disco Local (C:) Archivos de Programa OpenVPN . Abrimos dicha carpeta y nos encontraremos otra carpeta con el nombre deconfig.

36

COMUNICACIONES 1 2011
Dentro de sta carpeta deberemos colocar los siguientes archivos: 1- Archivo de Configuracin, que podemos descargar una demo desde http://www.zeroshell.net/eng/download/zeroshell.ovpn que luego podremos modificar para obtener nuestro archivo de configuracin. 2- Tambin necesitamos el certificado raz de nuestro Zeroshell. Para descargarlo accedemos a la pgina inicial del Zeroshell, y sin hacer login, en la parte superior derecha tenemos un enlace para descargar la CA. Luego tendremos que modificar el archivo de configuracin como ya se planteaba anteriormente, para ello lo abrimos y tendra que quedar de la siguiente forma como se muestra en la figura siguiente. En remote es importante colocar la ip por la cual saldremos a internet para poder dirigirnos a nuestra redvpn a travs del puerto 1194. Y tambin deberemos de definir nuestra autenticacin y el certificado que utilizaremos. Luego de modificar tenemos que guardar los cambios.

Despus de colocar estos archivos en la carpeta config nos dispondremos a ejecutar nuestra VPN dando clic en el smbolo de la interfaz virtual que se nos cre como vimos anteriormente, cuando esto ocurra nos tendr que aparecer la siguiente pantalla:

37

COMUNICACIONES 1 2011

Donde el nombre de usuario estar dado por el CN (CertificateName) y el DN (DomainName ) o Nombre de Dominio que se defini en el servidor, por ejemplo el nombre de usuario quedar de la siguiente forma user@dominio.com y luego colocaremos el password con el que tenemos creada nuestra cuenta en la base de datos zeroshell. Cuando presionemos el botn OK nos deber salir una ventana como la siguiente que nos garantice que nos hemos conectado satisfactoriamente a nuestra VPN

Cuando esto suceda ya tendremos asignada una direccin IP en nuestro host y podremos acceder a nuestra VPN sin ningn problema.

38

COMUNICACIONES 1 2011

39