Existen muchas alternativas para hacer redes privadas virtuales (VPN) sobre linux, como openvpn, poptop (protocolo pptp) y varias implementaciones de IPsec. Cada soluci\u00c3\u00b3n tiene sus beneficios y debilidades, elijo en este art\u00c3\u00adculo no discutir la mejor opci\u00c3\u00b3n para cada escenario sino explicar a modo de HOWTO c\u00c3\u00b3mo realizar una VPN basada en IPsec con openswan sobre linux, particularmente Debian.<\/p>\n
Breve introducci\u00c3\u00b3n a IPsec<\/p>\n
De wikipedia:<\/p>\n
IPsec (la abreviatura de Internet Protocol security) es una extensi\u00c3\u00b3n
\nal protocolo IP que a\u00c3\u00b1ade cifrado fuerte para permitir servicios de
\nautenticaci\u00c3\u00b3n y, de esta manera, asegurar las comunicaciones a trav\u00c3\u00a9s
\nde dicho protocolo. Inicialmente fue desarrollado para usarse con el
\nnuevo est\u00c3\u00a1ndar IPv6, aunque posteriormente se adapt\u00c3\u00b3 a IPv4.
\nIPsec act\u00c3\u00baa a nivel de capa de red, protegiendo y autenticando los paquetes IP entre los equipos participantes en la comunidad IPsec. No est\u00c3\u00a1 ligado a ning\u00c3\u00ban algoritmo de encriptaci\u00c3\u00b3n o autenticaci\u00c3\u00b3n, tecnolog\u00c3\u00ada de claves o algoritmos de seguridad espec\u00c3\u00adfico. Es m\u00c3\u00a1s, IPsec es un marco de est\u00c3\u00a1ndares que permite que cualquier nuevo algoritmo sea introducido sin necesitar de cambiar los est\u00c3\u00a1ndares.
\nIPSec est\u00c3\u00a1 formado por un conjunto de protocolos de cifrado por (1) securing packet flows y (2) key exchange. De la forma:<\/p>\n
Encapsulating Security Payload (ESP), el cual provee autenticaci\u00c3\u00b3n, confidencialidad de datos e integridad del mensaje<\/p>\n
Authentication Header (AH), provee de autenticaci\u00c3\u00b3n e integridad de datos, pero no de confidencialidad.
\nPor sus caracter\u00c3\u00adsticas es el protocolo est\u00c3\u00a1ndar para la construcci\u00c3\u00b3n de redes privadas virtuales.<\/p>\n
Modos<\/p>\n
Transparente: S\u00c3\u00b3lo se encripta el payload (el contenido del mensaje) y no el encabezado, normalmente es usado para t\u00c3\u00baneles de host a host. Hay que tener en cuenta que no puede usarse NAT con el modo transparente, debido a que se rompe la hash al alterar el encabezado.<\/p>\n
T\u00c3\u00banel: Cada paquete es completamente encriptado y encapsulado dentro de otro, es el modo m\u00c3\u00a1s usado y permite hacer VPNs de tipo red a red.<\/p>\n
Autenticaci\u00c3\u00b3n<\/p>\n
Las opciones m\u00c3\u00a1s populares de autenticaci\u00c3\u00b3n son:<\/p>\n
\u00abSecreto compartido\u00bb: (aka PSK) usando algoritmos de hashing como MD5 o SHA-1, al parecer recientemente ambos algoritmos de hashing fueron \u00abcrackeados\u00bb, al menos reducido considerablemente el tiempo de crackeo, aunque todav\u00c3\u00ada son \u00abusables\u00bb s\u00c3\u00b3lo falta tiempo para que alg\u00c3\u00ban matem\u00c3\u00a1tico refine la t\u00c3\u00a9cnica y los vuelva trivialmente crackeables.<\/p>\n
Certificados digitables: los cuales est\u00c3\u00a1n basados en encriptaci\u00c3\u00b3n asim\u00c3\u00a9trica. En este ejemplo se utiliza este m\u00c3\u00a9todo con el algoritmo RSA.<\/p>\n
Encriptaci\u00c3\u00b3n e intercambio de llaves<\/p>\n
La encriptaci\u00c3\u00b3n s\u00c3\u00b3lo puede ser realizada usando ESP (o sea no con AH) y los algoritmos normalmente utilizados son: DES, 3DES y AES.
\nEl tr\u00c3\u00a1fico se encripta usando llaves que se renuevan a intervalos regulares, para el intercambio de llaves entre los pares se puede usar intercambio manual o autom\u00c3\u00a1tico (IKE).<\/p>\n
Manos a la obra<\/p>\n
Supongamos que queremos armar una VPN entre la casa central de una empresa y una sucursal para que la \u00c3\u00baltima pueda acceder a recursos de la casa central. En ambos lugares tenemos servidores Debian\\linux bajo estable trabajando como Firewalls.<\/p>\n
La topolog\u00c3\u00ada del ejemplo es la siguiente:<\/p>\n
Como antes nombr\u00c3\u00a9, utilizaremos Openswan para armar la VPN, este est\u00c3\u00a1 disponible tanto en la distribuci\u00c3\u00b3n estable (Sarge), como para la de prueba (etch). Los n\u00c3\u00bacleos oficiales de Debian (2.4 y 2.6) incluyen el stack 26sec por lo que no hay necesidad de recompilar el kernel para tener soporte de ipsec.<\/p>\n
Para instalarlo desde la consola como root ejecutamos:<\/p>\n
$ apt-get install openswan<\/p>\n
Adem\u00c3\u00a1s del paquete se instalaran varios m\u00c3\u00a1s de los cuales depende. Es
\nprobable que si no ten\u00c3\u00adas instalado el paquete ca-certificates te
\nconsulte acerca de confiar en ciertas Autoridades Certificantes, las
\nrespuestas son indistintas para este ejemplo.<\/p>\n
Cuando le toque el turno de configuraci\u00c3\u00b3n a openswan te preguntar\u00c3\u00a1 por:<\/p>\n
Encriptaci\u00c3\u00b3n oportunista: esta opci\u00c3\u00b3n no es necesaria para nuestro ejemplo y si no la vas a usar es preferible desactivarla.
\nCreaci\u00c3\u00b3n de un certificado autofirmado: Tampoco es necesario, si no tienes experiencia con ello, no lo crees.
\nConfiguraci\u00c3\u00b3n<\/p>\n
Por cada firewall debemos obtener la siguiente informaci\u00c3\u00b3n:<\/p>\n
IP publica del firewall
\nRango IP dentro de la subred que tendra acceso a la VPN
\nUn nombre con el cual queda extremo pueda reconocerse, su forma es un FQDN precedido con un arroba, ej: @xy.example.com. (Tambien podemos usar las direcciones IP publicas)
\nPrimero creamos una llave en cada servidor ejecutando:
\nfw-central$ ipsec newhostkey –output – >> \/etc\/ipsec.secrets
\nfw-sucursal$ ipsec newhostkey –output – >> \/etc\/ipsec.secrets<\/p>\n
Este proceso puede demorar bastante tiempo en m\u00c3\u00a1quinas no muy veloces,
\npor lo que no desesperes.<\/p>\n
El archivo de configuraci\u00c3\u00b3n principal es el \/etc\/ipsec.conf y en este
\nse declara un extremo como izquierdo y el otro como derecho, quien es
\ncada cual es indistinto y adem\u00c3\u00a1s es determinado en la ejecuci\u00c3\u00b3n. Esto
\npermite tener una misma configuraci\u00c3\u00b3n en ambos extremos sin tener que
\nhacer traducciones. Para nuestro ejemplo usaremos la casa central como
\nizquierdo y la sucursal como derecho.<\/p>\n
Ahora determinamos la llave p\u00c3\u00bablica de cada extremo ejecutando:<\/p>\n
fw-central$ ipsec showhostkey –left
\nfw-sucursal$ ipsec showhostkey –right<\/p>\n
esto mostrar\u00c3\u00a1 algo como:<\/p>\n
# RSA 2192 bits fw-central Wed Jan 24 21:48:39 2007
\nleftrsasigkey=0sAQO9Pc….
\n# RSA 2192 bits fw-sucursal Sat Feb 3 03:51:44 2007
\nrightrsasigkey=0sAQOW…<\/p>\n
Ahora editamos en ambos extremos el archivo \/etc\/ipsec.conf y
\nagregamos al final:<\/p>\n
$ vi \/etc\/ipsec.conf<\/p>\n
conn central-a-sucursal<\/p>\n
left=1.2.3.4
\nleftsubnet=172.16.0.0\/24
\nleftid=1.2.3.4
\nleftrsasigkey=0sAQOGJ…
\nleftnexthop=%defaultroute
\nright=1.2.3.5
\nrightsubnet=192.168.66.0\/24
\nrightid=1.2.3.5
\nrightrsasigkey=0sAQOW…
\nrightnexthop=%defaultroute
\nauto=add # add autoriza la conexion pero no la establece automaticamente<\/p>\n
Reiniciamos openswan en ambos servidores:
\n$ \/etc\/init.d\/ipsec restart<\/p>\n
Probamos que levante manualmente:
\n$ ipsec auto –up central-a-sucursal<\/p>\n
Si sale todo bien, el \u00c3\u00baltimo mensaje dir\u00c3\u00a1 algo como:
\n004 \u00abcentral-a-sucursal\u00bb #2: STATE_QUICK_I2: sent QI2, IPsec SA
\nestablished {ESP=>0x84b3d554 …<\/p>\n
Consideraciones
\nPara que el t\u00c3\u00banel levante autom\u00c3\u00a1ticamente al inicio se debe cambiar la opci\u00c3\u00b3n auto=add por auto=start
\nEn el caso de que tengas IP din\u00c3\u00a1micas en alguno o ambos de los puntos, puedes mirar los ejemplos del wiki de openswan para \u00abroadwarrior\u00bb
\nEs importante que si tienes reglas de NAT estas no se apliquen al tr\u00c3\u00a1fico del t\u00c3\u00banel.
\nSi tienes un firewall construido con la regla por defecto en denegar todo, debes permitir los protocolos de IPsec (numero 50 y 51). Ej:<\/p>\n
iptables -A INPUT -p 50 -j ACCEPT
\niptables -A OUTPUT -p 50 -j ACCEPT
\niptables -A INPUT -p 51 -j ACCEPT
\niptables -A OUTPUT -p 51 -j ACCEPT
\nNo soy un experto en IPsec por lo que pueden haber algunas imprecisiones en este texto, sin embargo espero que el art\u00c3\u00adculo sea de utilidad.<\/p>\n
Referencias<\/p>\n
http:\/\/en.wikipedia.org\/wiki\/IPSec
\nhttp:\/\/www.microsoft.com\/technet\/prodtechnol\/windows2000serv\/howto\/ispstep.mspx
\nhttp:\/\/www.unixwiz.net\/techtips\/iguide-ipsec.html
\nhttp:\/\/wiki.openswan.org\/index.php\/Openswan\/Configure<\/p>\n