Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 5 de 5]

En esta última de la serie de notas que preparé sobre este tema veremos cómo podemos mejorar la seguridad de lo hecho anteriormente utilizando L2TP+IPSec pero con autentificación de máquinas mediante certificados digitales

El cambio en sí es muy sencillo, lo que puede ser de más dificultad es que en esta prueba de laboratorio debemos ahora sí disponer de una Autoridad Certificadora, y un servicio DNS para resolver nombres de máquina

Vuelvo a poner el diagrama para que sea claro lo que estamos haciendo

Ahora, además de las cuatro máquinas que venimos ya utilizando, necesitaremos la quinta (SERVER) que es donde se deben instalar los servicios adicionales ya nombrados

Para que RTR1 y RTR2 puedan utilizar los servicios provistos por SERVER, que emula un servidor en Internet, debemos configurar en la interfaz externa de cada uno para que lo utilicen como servidor DNS

Observen la configuración de la máquina SERVER

En SERVER debemos instalar el servicio DNS, que supongo que nadie tendrá problemas en cómo hacerlo, y debemos crear dos zonas, una para el propio servidor y otra con el nombre del dominio público que utilicemos en Internet de nuestra organización

En la siguiente figura pueden ver la zona correspondiente a la propia máquina

En mi desarrollo, estoy usando para el Dominio Active Directory, un subdominio del de presencia en Internet, esto es “ad.guillermod.com.ar” para AD, y para Internet “guillermod.com.ar”

Así que en DNS crearé una zona primaria llamada “guillermod.com.ar” donde agregaré los registros A correspondientes a la direcciones IP externas (Públicas) de RTR1 y RTR2

Lo anterior es necesario, pues los certificados digitales estarán otorgados a esos nombres de máquinas
Si nos conectáramos a 131.107.0.1 y éste muestra un certificado otorgado a RTR1 simplemente daría error por no coincidencia

Ahora debemos instalar y configurar la Autoridad Certificadora, y hacer todo el manejo de certificados. El objetivo es que tanto RTR1 como RTR2 tengan certificados de máquina otorgados por una Autoridad Certificadora en la cual ambos confíen, y además que puedan acceder a la lista de certificados revocados de la misma

El procedimiento para configuar esta Autoridad Certificadora es largo y lleva varios pasos así que los remitiré a las notas que he hecho anteriormente y que describen cada uno de los pasos necesarios. Cabe aclarar que utilicé el método del “Custom Request” en lugar de “Web Enrollment” pues me resulta mucho más sencillo

Se debe crear una Autoridad Certificadora de tipo “Root” y “Stand-alone”. Luego instalar el Certificado de esta Autoridad Certificadora en cada una de las máquinas, y por último solicitar e instalar el certificado de máquina en cada máquina (RTR1 y RTR2)

Dejo los enlaces a las notas correspondientes:

Lo primero entonces es tener instalado tanto en RTR1 como en RTR2 el certificado de la Autoridad Certificadora en “Trusted Root Certification Authorities” de la parte de máquina

Y luego, solicitar, obtener e instalar el certificado de máquina, tanto en RTR1, como en RTR2

Teniendo ya listo el tema certificados digitales, ahora en la consola RRAS procederemos a cambiar las propiedades de la conexión VPN. Recuerdo, en ambos RTR1 y RTR2, debemos desmarcar la opción de “Shared Key” y seleccionar certificados

Y en las propiedades de seguridad en cada servidor desmarcar “Allow custom IPsec policy …” y seleccionar el correspondiente certificado de máquina en la lista desplegable

Dará dos advertencias, pero asumimos que es lo que queremos

 

Y por supuesto que si hicimos todo bien funcionará perfectamente ahora con autentificación por certificados digitales de máquina

Y por supuesto podemos verificar la conectividad entre SRV y DC1

 

En igual forma que hicimos en “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 3 de 5]”, instalé un “Sniffer” (Network Monitor usé) para verificar que el tráfico de red utilizaba IPSec

Recuerdo que ESP (“Encapsulating Security Protocol”) es la parte de IPSec que se encarga del cifrado de datos

 

Llegamos hasta acá en esta serie de notas sobre VPNs para interconectar sitios separados de nuestra organización

Me he decidido a hacer esta serie porque el método de interconectar sitios geográficamente separados con esta tecnologías es muy común en empresas medianas o pequeñas, cuanto más podamos mejorar la seguridad, como es el caso de IPSec, será mucho mejor

 

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • walter  On 31/08/2016 at 23:00

    Dos consultas y se agradece la respuesta.
    ¿Puedo utilizar los certificados generados en Win2k12 en un ambiente de producción.?
    Bueno no se si puedes responderme esta ya que no se relaciona al tema de una manera directa pero igual te la formulo.
    ¿Los certificados generados por Open VPN se pueden utilizar en un ambiente en producción?

    • Guillermo Delprato  On 01/09/2016 at 07:02

      Cualquier certificado que cumpla con los “standares” se puede usar
      Un certificado por una Autoridad Certificadora propia, sólo será reconocido como válido por tus máquinas

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: