Semillero TicNet

Youtube Angel62641
INSTITUCIN UNIVERSITARIA ANTONIO JOS CAMACHO FACULTAD DE INGENIERA PROGRAMA: TECNOLOGA EN SISTEMAS ASIGNATURA: SEGURIDAD EN REDES GUA No. 7

CMO INSTALAR PASO A PASO SERVIDOR OPENVPN EN CENTOS 5.9 EN M.V VIRTUALBOX

Objetivo Gua de Aprendizaje: Explicar el proceso de instalacin del Servidor OpenVpn, para que el usuario pueda ingresar por medio de VirtualBox y realizar sus respectivas prcticas.

CMO INSTALAR PASO A PASO SERVIDOR OPENVPN EN CENTOS 5.9 EN M.V VIRTUALBOX
Pas a Paso: Abrimos la terminal en Centos 5 Estamos como usuario en mi caso como Andrs y necesitamos cambiarnos como root Escribimos el comando su -

Ingresamos la contrasea ******* Al estar como root escribimos el comando ifconfig tenemos la direccin 10.0.2.15

Autor: Carlos Andrs Martnez

Semillero TicNet
Imagen 1

Youtube Angel62641

Ingresamos en internet este link http://www.taringa.net/posts/linux/6350636/Configurar-servidor-OpenVPN-enCentOS-5-Primera-parte.html Instalacin en Centos 5. Como el usuario root, desde una terminal, crear el archivo /etc/yum.repos.d/ALServer.repo, utilizando cualquier editor de texto. En el siguiente ejemplo se utiliza vi. vi /etc/yum.repos.d/AL-Server.repo

Imagen 2

Aadir a este nuevo archivo el siguiente contenido:

Autor: Carlos Andrs Martnez

Semillero TicNet

Youtube Angel62641

[AL-Server] name=AL Server para Enterprise Linux $releasever mirrorlist=http://www.alcancelibre.org/al/el$releasever/al-server gpgcheck=1 gpgkey=http://www.alcancelibre.org/al/AL-RPM-KEY Despus de pegar estos comandos le damos la tecla escape shif : wq para que guarde lo que insertamos en el editor de texto.
Imagen 3

Importar la firma digital de Alcance Libre ejecutando lo siguiente desde la terminal: rpm --import http://www.alcancelibre.org/al/AL-RPM-KEY
Imagen 4

Luego de importar la firma digital de Alcance Libre, instalar el equipamiento lgico (software) necesario con el mandato yum. Se requieren los paquetes RPM de OpenVPN, Shorewall y vim-enhanced (la versin mejorada de Vi):

Autor: Carlos Andrs Martnez

Semillero TicNet yum -y install openvpn shorewall vim-enhanced

Youtube Angel62641

Verificamos que se haya instalado openvpn

A fin de poder utilizar inmediatamente la versin mejorada de Vi (instalado con el paquete vim-enhanced), ejecutar desde la terminal lo siguiente: alias vi="vim"

Autor: Carlos Andrs Martnez

Semillero TicNet
Imagen 7

Youtube Angel62641

Cambiarse al directorio, desde la terminal, ejecutar lo siguiente para cambiarse al directorio /etc/openvpn: cd /etc/openvpn/ NOTA: Todos los procedimientos necesarios para configurar un servidor con OpenVPN se realizan sin salir de /etc/openvpn/. Por favor, evite cambiar de directorio hasta haber finalizado los procedimientos descritos en este documento.
Imagen 8

A fin de facilitar los procedimientos, se copiarn dentro del directorio /etc/openvpn/ los ficheros openssl.cnf, whichopensslcnf, pkitool y vars, que se localizan en /etc/openvpn/easy-rsa/2.0/:

Autor: Carlos Andrs Martnez

Semillero TicNet cp /usr/share/openvpn/easy-rsa/2.0/openssl.cnf ./ cp /usr/share/openvpn/easy-rsa/2.0/whichopensslcnf ./ cp /usr/share/openvpn/easy-rsa/2.0/pkitool ./ cp /usr/share/openvpn/easy-rsa/2.0/vars ./

Youtube Angel62641

Utilizar el editor de texto y abrir el fichero /etc/openvpn/vars: vi /etc/openvpn/vars

De este fichero, solamente editar las ltimas lneas, que corresponden a lo siguiente:

Autor: Carlos Andrs Martnez

Semillero TicNet export KEY_COUNTRY="Co" export KEY_PROVINCE="Valle" export KEY_CITY="Cali" export KEY_ORG="servidor.mi-dominio.com" export [email protected]

Youtube Angel62641

Despus de terminar las lneas le damos la tecla escape + shif : wq para que guarde la informacin.
Imagen 11

Se requiere ejecutar del siguiente modo el fichero /etc/openvpn/vars a fin de que carguen las variables de entorno que se acaban de configurar. source /etc/openvpn/./vars
Imagen 12

Autor: Carlos Andrs Martnez

Semillero TicNet

Youtube Angel62641

Se ejecuta el fichero /usr/share/openvpn/easy-rsa/2.0/clean-all a fin de limpiar cualquier firma digital que accidentalmente estuviera presente. sh /usr/share/openvpn/easy-rsa/2.0/clean-all Lo anterior realiza un rm -fr (eliminacin recursiva) sobre el directorio /etc/openvpn/keys, por lo que se eliminarn todas los certificados y firmas digitales que hubieran existido con anterioridad. A fin de crear el certificado del servidor, se crea un certificado: sh /usr/share/openvpn/easy-rsa/2.0/build-ca
Imagen 13

Se crea el fichero dh1024.pem, el cual contendr los parmetros del protocolo Diffie-Hellman, de 1024 bits: sh /usr/share/openvpn/easy-rsa/2.0/build-dh

Autor: Carlos Andrs Martnez

Semillero TicNet

Youtube Angel62641

Imagen 14

El protocolo Diffie-Hellman permite el intercambio secreto de claves entre dos partes que sin que stas hayan tenido contacto previo, utilizando un canal inseguro, y de manera annima (sin autenticar). Se emplea generalmente como medio para acordar claves simtricas que sern empleadas para el cifrado de una sesin, como es el caso de una conexin VPN. Para generar la firma digital, se utilizan el siguiente mandato: sh /usr/share/openvpn/easy-rsa/2.0/build-key-server server Seguimos el procedimiento en el pantallazo
Imagen 15

Autor: Carlos Andrs Martnez

Semillero TicNet

Youtube Angel62641

Finalmente se crean los certificados para los clientes. En el siguiente3 ejemplo se crean los certificados para cliente1, cliente2, cliente3, cliente4, cliente5, y cliente6: sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente1 sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente2 sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente3 sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente4 sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente5 sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente6 Cliente 1
Imagen 16

Cliente 6
Imagen 17

Autor: Carlos Andrs Martnez

Semillero TicNet

Youtube Angel62641

A fin de utilizar los certificados y que se configure el sistema, se crea con el editor de texto el fichero /etc/openvpn/servidorvpn-udp-1194.conf, donde servidorvpn se reemplaza por el nombre de anfitrin del sistema: vi /etc/openvpn/servidorvpn-udp-1194.conf
Imagen 18

Para la VPN se recomienda utilizar una red privada que sea poco usual, a fin de poder permitir a los clientes conectarse sin conflictos de red. Un ejemplo de una red poco utilizada sera 192.168.37.0/255.255.255.0, lo cual permitir conectarse a la VPN a 253 clientes. Tomando en cuenta lo anterior, el contenido del fichero /etc/openvpn/servidorvpn-udp-1194.conf, debe ser el siguiente: port 1194 proto udp dev tun #---- Seccion de llaves ----ca keys/ca.crt cert keys/server.crt key keys/server.key dh keys/dh1024.pem #---------------------------server 192.168.37.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo persist-key

Autor: Carlos Andrs Martnez

Semillero TicNet persist-tun status openvpn-status-servidorvpn-udp-1194.log verb 3

Youtube Angel62641

Despus de insertar estos datos le damos la tecla escape, luego shif sostenido : wq para que nos guarde la informacin.
Imagen 19

Imagen 20

Autor: Carlos Andrs Martnez

Semillero TicNet
Imagen 21

Youtube Angel62641

Se utiliza luego el mandato restorecon sobre el directorio /etc/openvpn a fin de asignar los contextos adecuados. restorecon -R /etc/openvpn/
Imagen 22

Se crean los ficheros ipp.txt y openvpn-status-servidorvpn-udp-1194.log: cd /etc/openvpn/ touch ipp.txt touch openvpn-status-servidorvpn-udp-1194.log

Autor: Carlos Andrs Martnez

Semillero TicNet
Imagen 23

Youtube Angel62641

Estos ltimos dos ficheros requieren se les asigne contexto de lectura y escritura (openvpn_etc_rw_t). cd /etc/openvpn/ chcon -u system_u -r object_r -t openvpn_etc_rw_t ipp.txt chcon -u system_u -r object_r -t openvpn_etc_rw_t openvpn-status-servidorvpnudp-1194.log Los anterior cambia los contextos a usuario de sistema (system_u), rol de objeto (object_r) y tipo configuracin de OpenVPN de lectura y escritura (openvpn_etc_rw_t). Para iniciar el servicio, se utiliza el mandato service del siguiente modo: service openvpn start Para que el servicio de OpenVPN est activo en el siguiente inicio del sistema, se utiliza el mandato chkconfig de la siguiente forma: chkconfig openvpn on

Autor: Carlos Andrs Martnez

Semillero TicNet
Imagen 24

Youtube Angel62641

Tenemos nuestro tnel virtual OpenVpn 192.168.37.1

Autor: Carlos Andrs Martnez

Semillero TicNet GLOSARIO: Descripcin de los parmetros anteriores:

Youtube Angel62641

Port: Especifica el puerto que ser utilizado para que los clientes vpn puedan conectarse al servidor. Proto: tipo de protocolo que se emplear en a conexin a travs de VPN dev: Tipo de interfaz de conexin virtual que se utilizar el servidor openvpn. ca: Especifica la ubicacin exacta del fichero de Autoridad Certificadora [.ca]. cert: Especifica la ubicacin del fichero [.crt] creado para el servidor. key: Especifica la ubicacin de la llave [.key] creada para el servidor openvpn. dh: Ruta exacta del fichero [.pem] el cual contiene el formato de Diffie Hellman (requirerido para --tls-serversolamente). server: Se asigna el rango IP virtual que se utilizar en la red del tnel VPN. Ifconfig-pool-persist: Fichero en donde quedarn registrado las direcciones IP de los clientes que se encuentran conectados al servidor OpenVPN. Keepalive 10 120 : Enva los paquetes que se manejan por la red una vez cada 10 segundos; y asuma que el acoplamiento es abajo si ninguna respuesta ocurre por 120 segundos. comp-lzo: Especifica los datos que recorren el tnel vpn ser compactados durante la trasferencia de estos paquetes. persist-key: Esta opcin soluciona el problema por llaves que persisten a travs de los reajustes SIGUSR1, as que no necesitan ser reledos. Persist-tun: Permite que no se cierre y re-abre los dispositivos TAP/TUN al correr los guiones up/down status: fichero donde se almacenar los eventos y datos sobre la conexin del servidor [.log]

Autor: Carlos Andrs Martnez

Semillero TicNet

Youtube Angel62641

verb: Nivel de informacin (default=1). Cada nivel demuestra todo el Info de los niveles anteriores. Se recomienda el nivel 3 si usted desea un buen resumen de qu est sucediendo. 0 --No muestra una salida excepto errores fatales. 1 to 4 Rango de uso normal. 5 --Salida Ry Wcaracteres en la consola par los paquetes de lectura y escritura, maysculas es usada por paquetes TCP/UDP minsculas es usada para paquetes TUN/TAP. Si SELinux est activo, es necesario que el directorio /etc/openvpn y sus contenidos, tengan los contextos apropiados de esta implementacin de seguridad (system_u:object_r:openvpn_etc_rw_t para ipp.txt y openvpn-status-servidorvpnudp-1194.log y system_u:object_r:openvpn_etc_t para el resto del contenido del directorio).

OpenVPN :

es una solucin de conectividad basada en software libre: SSL (Secure Sockets Layer) VPN Virtual Private Network (red virtual privada), OpenVPN ofrece conectividad punto-a-punto con validacin jerrquica de usuarios y host conectados remotamente, resulta una muy buena opcin en tecnologas WiFi (redes inalmbricas IEEE 802.11) y soporta una amplia configuracin, entre ellas balanceo de cargas. Est publicado bajo la licencia GPL, de software libre.

Fuente: http://www.alcancelibre.org/ http://es.wikipedia.org/wiki/OpenVPN Fuente: http://www.alcancelibre.org/staticpages/index.php/como-openvpn-servercentos

El que persiste alcanza

Autor: Carlos Andrs Martnez

Semillero TicNet

Youtube Angel62641

Autor: Carlos Andrs Martnez