Practica VPN Firewall DMZ

Administración de Servicios de Internet/Intranet

VPN PPTP/FIREHOL

ADMINISTRACIÓN DE SERVICIOS INTERNET / INTRANET Práctica VPN bajo firewall/DMZ en Windows 2003 Server Objetivos: Configuración básica y pruebas de un servidor VPN en Windows 2003, en el escenario básico de Servidor/Cliente, es decir, un típico servidor VPN conectado a Internet que proporciona acceso simulado a red local de forma segura a todos los equipos cliente que se conecten a él a través de Internet. Con ello se consigue tener una red r ed LAN simulada con el servidor y poder acceder de forma remota y segura a todos los servicios del servidor, tales como escritorio remoto, servidor de aplicaciones intranet, impresoras, etc, etc, etc… La arquitectura de conexión habitual en estos casos, consiste en un servidor VPN que está directamente conectado a Internet con alta velocidad, capaz de soportar decenas o cientos de clientes conectados, y que solamente permite el acceso mediante un protocolo de VPN como PPTP, funcionando como nodo bastión de una zona desmilitarizada básica (DMZ), con todos los puertos cerrados menos el de VPN: Clientes de servicios de impresión, aplicaciones, dominio, a través de VPN

Servidor impresión

Servidor aplicaciones IIS Servidor Active Directory

Internet

DMZ Servidor VPN (nodo bastión)

Lan Gigabit Ethernet Firewall o router

Firewall abierto sólo a puertos VPN + Gateway Internet

º Directamente conectado a este servidor VPN o detrás de otro cortafuegos y mediante una red local de altas prestaciones, se suelen conectar todo ti po de servidores (que no están directamente conectados a Internet, y por tanto no están expuestos) con los que se desea dar servicios variados a los clientes: servidores de aplicaciones, de impresión, de archivos, de escritorio remoto, etc, etc. 1

Administración de Servicios de Internet/Intranet

VPN PPTP/FIREHOL

Con ello se consigue dar servicio remoto a través de Internet a clientes manteniendo una excelente seguridad en la conexión e impidiendo que los servidores queden expuestos. Esta configuración puede simplificarse o complicarse en mayor o menor medida según las necesidades de seguridad, aunque en término medio la configuración expuesta anteriormente es bastante correcta. Para esta práctica, reproduciremos plenamente esa arquitectura, salvo la conexión a Internet, que se simulará con una conexión de red local Host-Only sin salida real a Internet. El esquema completo sería así: Windows XP cliente VPN

Tarjeta VmNet3 172.33.0.2

 Red interna  de servicios -no expuesta-

Tarjeta Host-Only - IP: 192.168.187.10 - PEnlace:192.168.187.100

Windows 2003 Server Servidor de aplicaciones IIS, AD, Terminal Server

 Internet simulado en  Host Only

Ubuntu Firewall para DMZ  DMZ

Tarjeta VmNet3 172.33.0.1

Tarjeta VmNet2 172.22.0.3

Ubuntu Gateway Firewall para VPN

Tarjeta VmNet2 172.22.0.2 Tarjeta VmNet2 172.22.0.1

Tarjeta Host Only 192.168.187.100

Windows 2003 Server VPN-DHCP (nodo bastión)

Esta práctica requerirá el funcionamiento simultáneo de 5 máquinas virtuales a la vez, por lo que en función de la potencia de nuestro equipo, es recomendable utilizar 192Mb de RAM en las máquinas Windows 2003 Server y 128Mb en el resto.

2

Administración de Servicios de Internet/Intranet

VPN PPTP/FIREHOL

Tiempo: 6 horas Modos de funcionamiento de red a utilizar: •

Modo de red Host-Only: en el enunciado se supondrá que HostOnly funciona en la subred 192.168.187.0, por lo que el alumno debe adaptar el enunciado a su subred o cambiarla a esa.

•

Modo de red VmNet2: en la opción “ Manage Virtual Networks” de VmWare, debe cambiarse la subred a 172.22.0.0/16 para que coincida con el enunciado.

•

Modo de red VmNet3: en la opción “ Manage Virtual Networks” de VmWare, debe cambiarse la subred a 172.33.0.0/16 para que coincida con el enunciado.

Máquinas virtuales necesarias: •

Cliente Windows XP Utilizar la máquina Windows XP proveída para la asignatura, con modo de red Host-Only y la siguiente configuración IP: IP: Máscara: Puerta de enlace: DNS1:

•

192.168.187.10 255.255.255.0 192.168.187.100 192.168.187.100

Linux Gateway Firewall para VPN Utilizar la máquina de Ubuntu 11 proveída para la asignatura, a la que se le añadirá una tarjeta de red adicional. La configuración de ambas tarjetas de red ( eth0 y eth1) se realizará en el fichero /etc/network/interfaces, con la configuración del esquema anterior: eth0 (que esta conectado a Host-Only): 192.168.187.100 255.255.255.0 eth1 (que esta conectado a VmNet2): 172.22.0.1 255.255.0.0

3

Administración de Servicios de Internet/Intranet

•

VPN PPTP/FIREHOL

Windows 2003 Server VPN-DHCP Utilizar la máquina de Windows 2003 Server proveída para la asignatura, sobre la que hemos instalado todos los servicios (C.D., DNS, DHCP, etc) La configuración de red sería: IP: Mascara Puerta enlace DNS

•

172.22.0.2 255.255.0.0 172.22.0.3 172.22.0.2

Linux Firewall para DMZ Utilizar una copia de la máquina de Ubuntu 11 proveída para la asignatura, a la que se le añadirá una tarjeta de red adicional. La configuración de ambas tarjetas de red ( eth0 y eth1) se realizará en el fichero /etc/network/interfaces, con la configuración del esquema anterior: eth0 (que esta conectado a VmNet3): 172.33.0.1 255.255.0.0 eth1 (que esta conectado a VmNet2): 172.22.0.3 255.255.0.0

•

Windows 2003 Server Servidor Aplicaciones (IIS, AD, Terminal Server) Utilizar una copia de la máquina de Windows 2003 Server proveída para la asignatura, sobre la que hemos instalado todos los servicios (C.D., DNS, DHCP, etc). Si no se ha instalado IIS y Terminal Server en prácticas anteriores, hay que hacerlo. La configuración de red sería: IP: Mascara Puerta enlace DNS

172.33.0.2 255.255.0.0 172.33.0.2 172.33.0.2

IMPORTANTE Hay algunos aspectos importantes a tener en cuenta cuando se trabaja con muchas máquinas virtuales a la vez y sobre todo si son copias. -

Distinguir las máquinas. 

Cambiar el rótulo de la máquina virtual para distinguirlas, poniendo por ejemplo “Linux DMZ” o “Linux Gateway”. Colocar un fondo de escritorio alusivo, también es una buena opción. 4

Administración de Servicios de Internet/Intranet

-

VPN PPTP/FIREHOL

Evitar conflicto entre direcciones MAC. Las máquinas que son copias unas de otras pueden llevar la misma MAC, pudiendo no afectar al funcionamiento de la práctica, o bien impidiendo su funcionamiento de forma silenciosa, sin dar errores visibles. Para evitar estos problemas, quizá lo mejor sea fijar unas MAC diferentes para cada máquina y tarjeta de red y así evitar problemas. Ello se consigue manipulando los ficheros con extensión .vmx de las máquinas virtuales. Así, por ejemplo, en la máquina Linux Gateway, dentro de su fichero de configuración, nos encontraríamos con estas líneas que configuran las dos tarjetas de red (pueden estar juntas o separadas): ethernet0.generatedAddress = "00:0c:29:f7:bf:b3" ethernet0.generatedAddressOffset = "0" ethernet0.addressType = "generated" ethernet1.generatedAddress = "00:0c:29:f7:bf:bd" ethernet1.generatedAddressOffset = "10" ethernet1.addressType = "generated"

Pues bien, simplemente se trataría de eliminarlas – haciendo una copia antes del archivo .vmx - y sustituirlas por estas otras que fijan las MAC: ethernet0.address = "00:50:56:33:33:36" ethernet1.address = "00:50:56:33:33:35" 

La elección de las MAC no es casual: en VmWare se debe utilizar un rango de MAC permitido por la aplicación, sino la máquina no arrancará. Para VmWare 6 un rango permitido con 10 MAC es 00:50:56:33:33:3X . Ese rango puede no funcionar en otras versiones, para lo cual puede ser necesario consultar la documentación. -

Uso de PUTTY. Sobre las máquinas Linux se puede conectar mediante PUTTY para permitir el copiado, pegado y selección de la información, lo cual puede ahorrar tiempo y errores.

5

Administración de Servicios de Internet/Intranet

VPN PPTP/FIREHOL

Tareas: Linux Gateway Firewall para VPN 1. Antes de iniciar en los modos requeridos por la práctica, inicia con algún modo que te permita acceder a Internet, como por ejemplo “ Bridged ”, e instala el servicio cortafuegos para Linux “ Firehol”. 2. Cambia los modos de red y reinicia la máquina. El fichero de configuración de  firehol es /etc/firehol/firehol.conf  , lo cual constituye una interfaz sencilla y bajo servicio de iptables. La configuración para  firehol en este caso podría ser así:

Para que quede activado, hay que reiniciar el servicio de  firehol. Busca documentación sobre  firehol y explica detenidamente qué hacen cada uno de los apartados de esta configuración, y su uso en la práctica (ten en cuenta que ping y ssh sólo se ponen por comodidad, para permitir el uso del Putty y los ping de pruebas, respectivamente). Haz una propuesta de mejora de la configuración de este Gateway/Firewall sobre el fichero de configuración de  firehol.

Windows 2003 Server VPN-DHCP 3. Configurar el servicio en el servidor en  Herramientas administrativas –>  Enrutamiento y acceso remoto. Dentro aparecerá nuestro servidor W2003 con un puntito rojo a su izquierda (servicio desactivado). Se activa con el botón derecho, configurar y habilitar  Enrutamiento y acceso remoto. 6

Administración de Servicios de Internet/Intranet

VPN PPTP/FIREHOL

De entre todas las opciones, y dado que queremos hacer un uso limitado al escenario propuesto, cogeremos una configuración personalizada y dentro de ella Acceso VPN:

Una vez iniciado el servicio, debe tener el aspecto siguiente:

4. Habilitar aquellos usuarios que deseemos que se puedan conectar por VPN al servidor. Por ejemplo, habilitaremos sólo al usuario profesor, indicándolo así en el apartado “Marcado” de propiedades del usuario. 5. Conecta la máquina XP y comprueba que no hay conectividad directa entre las máquinas, haciendo ping entre ellas. 7

Administración de Servicios de Internet/Intranet

VPN PPTP/FIREHOL

6. Será necesario qie configures el servidor DHCP con un ámbito adecuado en la red de DMZ para los clientes VPN que se vayan conectando, como por ejemplo de la 172.22.0.10 a la IP 172.22.0.100, con puerta de enlace y DNS la 172.22.0.3 para el siguiente paso hacia fuera de la DMZ. 7. Comprueba que es posible conectarse por VPN desde el Windows XP al servidor VPN. Para ello debes ir al asistente de “ Crear una conexión nueva ” en “Conexiones de red” y elegir las opciones “ Conectar a mi lugar de trabajo ” y después “Conectar a una red privada virtual ”, utilizando IP del servidor y el usuario profesor, único habilitado para la conexión. Una vez conectado, comprueba que desde Windows XP puedes hacer ping al Windows 2003 Server VPN y al Firewall Linux de la DMZ, algo imposible antes. Comprueba que apareces en la lista de conexiones VPN en el servidor. Desconecta la conexión al terminar.

Linux Firewall para DMZ 8. Antes de iniciar en los modos requeridos por la práctica, inicia con algún modo que te permita acceder a Internet, como por ejemplo “ Bridged ”, e instala el servicio cortafuegos para Linux “ Firehol”. 9. Cambia los modos de red y reinicia la máquina. El fichero de configuración de  firehol es /etc/firehol/firehol.conf  , lo cual constituye una interfaz sencilla y bajo servicio de iptables. La configuración para  firehol en este caso podría ser así:

Para que quede activado, hay que reiniciar el servicio de  firehol. 8

Administración de Servicios de Internet/Intranet

VPN PPTP/FIREHOL

Busca documentación sobre  firehol y explica detenidamente qué hacen cada uno de los apartados de esta configuración, y su uso en la práctica (ten en cuenta que ping y ssh sólo se ponen por comodidad, para permitir el uso del Putty y los ping de pruebas, respectivamente). Haz una propuesta de mejora de la configuración de este Gateway/Firewall sobre el fichero de configuración de  firehol.

Windows 2003 Server Servidor de Aplicaciones 10. Configura la red tal y como se especifica en la parte previa a las tareas. Asegúrate de que el IIS está funcionando bien y tiene como sitio web por defecto una página fácilmente reconocible para las pruebas. Igualmente, asegúrate de que el Terminal Server funciona bien. 11. Realiza pruebas de conectividad desde el Windows 2003 Server VPN e intenta abrir la página web por defecto del IIS desde el navegador del Windows 2003 Server VPN. Todo ello debería funcionar bien. 12. Conecta el cliente Windows XP a la VPN e intenta navegar por el IIS del Windows 2003 Servidor de Aplicaciones, así como iniciar sesión de terminal remoto. 13. Añade un servicio más, distinto a web y escritorio remoto (como FTP, por ejemplo), al servidor de aplicaciones y configura lo que estimes oportuno en el resto de máquinas para que sea posible accede a ese servicio desde el cliente VPN Windows XP.

9