15/10/2014 10.2.

Red virtual privada

http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 1/11
10.2. Red virtual privada
Una red virtual privada (VPN: Virtual Private Network) es una forma de enlazar dos redes locales
diferentes a travs de Internet utilizando un tnel; el tnel generalmente est cifrado para confidencialidad.
Usualmente se utilizan VPNs para integrar una mquina remota a la red local de una empresa.
Muchas herramientas lo proveen. OpenVPN es una solucin eficiente, fcil de desplegar y mantener, basada
en SSL/TLS. Otra posibilidad es utilizar IPsec para cifrar el trfico IP entre dos mquinas; este cifrado es
transparente, lo que significa que no necesita modificar las aplicaciones ejecutando en estos equipos para
tener en cuenta la VPN. Tambin puede utilizar SSH, adems de para sus funcionalidades ms
convencionales, para proveer una VPN. Finalmente, puede establecer una VPN utilizando el protocolo PPTP
de Microsoft. Existen otras soluciones, pero estn ms all del alcance de este libro.
10.2.1. OpenVPN
OpenVPN es un pedazo de software dedicado a crear redes privadas virtuales. Su configuracin involucra
crear interfaces de red virtuales en el servidor VPN y en los clientes; es compatible con interfaces tun (para
tneles a nivel de IP) y tap (para tneles a nivel Ethernet). En la prctica, usualmente utilizar interfaces
tun excepto cuando los clientes VPN deban intengrarse a la red local del servidor a travs de un puente
Ethernet.
OpenVPN se basa en OpenSSL para toda la criptografa SSL/TLS y funcionalidades asociadas (confidencialidad,
autenticacin, integridad, falta de repudio). Puede configurarlo con una llave privada compartida o con un
certificado X.509 basado en la infraestructura de llave pblica. Se prefiere fuertemente esta ltima
configuracin ya que permite ms flexibilidad cuando se enfrenta a un nmero creciente de usuarios
itinerantes que acceden a la VPN.
CULTURA SSL y TLS
Netscape invent el protocolo SSL (capa de zcalos seguros: Secure Socket Layer) para asegurar conexiones con
servidores web. Luego fue estandarizado por el IETF bajo el acrnimo TLS (seguridad de capa de transporte:
Transport Layer Security); TLS es muy similar a SSLv3 con slo unos pocos arreglos y mejoras.
10.2.1.1. Infraestructura de llave pblica: easy-rsa
El algoritmo RSA es ampliamente utilizado en criptografa de llave pblica. Involucra un par de llaves,
compuestas de una llave privada y una llave pblica. Las dos llaves estn fuertemente relacionadas entre
ellas y sus propiedades matemticas son tales que un mensaje cifrado con la llave pblica slo puede ser
descifrado por alguien que conozca la llave privada, lo que asegura confidencialidad. En la direccin opuesta,
El libro del administrador de Debian
Anterior Siguiente
15/10/2014 10.2. Red virtual privada
http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 2/11
un mensaje cifrado con la clave privada puede ser descifrado por cualquiera que conozca la llave pblica, lo
que permite autenticar el origen del mensaje ya que slo pudo haber sido generado por alguien con acceso a
la llave privada. Cuando se asocie una funcin de hash digital (MD5, SHA1 o una variante ms reciente), esto
lleva a un mecanismo de firma que puede aplicarse a cualquier mensaje.
Sin embargo, cualquiera puede crear un par de llaves, almacenar cualquier identidad en ella y pretender ser
la identidad que elijan. Una solucin involucra el concepto de una autoridad de certificacin (CA:
Certification Authority) formalizado por el estndar X.509. Este trmino se refiere a una entidad que posee
un par de llaves confiable conocido como certificado raz. Slo se utiliza este certificado para firmar otros
certificados (pares de llaves), luego que se siguieron suficientes pasos para revisar la identidad almacenada
en el par de llaves. Las aplicaciones que utilizan X.509 luego pueden verificar los certificados que se les
presente si conocen los certificados raz confiables.
OpenVPN sigue esta regla. Dado que los CA pblicos slo expiden certificados a cambio de un pago
(importante), tambin es posible crear una autoridad de certificacin privada dentro de la empresa. Para
este propsito, OpenVPN provee la herramienta easy-rsa que funciona como infraestructura de certificacin
X.509. Su implementacin es un conjunto de scripts que utilizan el programa openssl; puede encontrar estos
scripts bajo /usr/share/doc/openvpn/examples/easy-rsa/2.0/.
Los administradores de Falcot Corp utilizan esta herramienta para crear los certificados necesarios, tanto
para los servidores como para los clientes. Esto permite que la configuracin de todos los clientes sea similar
ya que slo debern configurarlos para confiar en certificados que provengan de la CA local de Falcot. Esta
CA es el primer certificado a crear; para ello los administradores copian el directorio que contiene easy-rsa a
una ubicacin ms apropiada, preferentemente a una mquina que no est conectada a la red para evitar el
riesgo de que se roben la llave privada de la CA.
$ cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0 pki-falcot
$ cd pki-falcot
Luego almacenan los parmetros necesarios en el archivo vars, especialmente aquellos cuyos nombres
comienzan con KEY_; estas variables luego son integradas en el entorno:
$ vim vars
$ grep KEY_ vars
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`
export KEY_DIR="$EASY_RSA/keys"
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR
export KEY_SIZE=2048
export KEY_EXPIRE=3650
export KEY_COUNTRY="FR"
export KEY_PROVINCE="Loire"
export KEY_CITY="Saint-tienne"
export KEY_ORG="Falcot Corp"
export KEY_EMAIL="admin@falcot.com"
$ . ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /home/rhertzog/pki-falcot/keys
$ ./clean-all
El siguiente paso es crear el par de llaves en s de la CA (durante este paso se almacenarn las dos partes del
par de llaves en keys/ca.crt y keys/ca.key):
15/10/2014 10.2. Red virtual privada
http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 3/11
D
o
w
n
l
o
a
d

t
h
e

e
b
o
o
k
$ ./build-ca
Generating a 2048 bit RSA private key
..............................................++++++
.......................++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [Loire]:
Locality Name (eg, city) [Saint-tienne]:
Organization Name (eg, company) [Falcot Corp]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [Falcot Corp CA]:
Name []:
Email Address [admin@falcot.com]:
Ahora puede crear el certificado para el servidor VPN, as como tambin los parmetros Diffie-Hellman
necesarios en el servidor para la conexin SSL/TLS. Se identifica el servidor VPN por su nombre DNS
vpn.falcot.com; se reutiliza este nombre para los archivos de llaves generados (keys/vpn.falcot.com.crt
para el certificado pblico, keys/vpn.falcot.com.key para la llave privada):
$ ./build-key-server vpn.falcot.com
Generating a 2048 bit RSA private key
...............++++++
...........++++++
writing new private key to 'vpn.falcot.com.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [Loire]:
Locality Name (eg, city) [Saint-tienne]:
Organization Name (eg, company) [Falcot Corp]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [vpn.falcot.com]:
Name []:
Email Address [admin@falcot.com]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /home/rhertzog/pki-falcot/openssl.cnf
Check that the request matches the signature
15/10/2014 10.2. Red virtual privada
http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 4/11
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'FR'
stateOrProvinceName :PRINTABLE:'Loire'
localityName :T61STRING:'Saint-\0xFFFFFFC3\0xFFFFFF89tienne'
organizationName :PRINTABLE:'Falcot Corp'
commonName :PRINTABLE:'vpn.falcot.com'
emailAddress :IA5STRING:'admin@falcot.com'
Certificate is to be certified until Oct 9 13:57:42 2020 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
$ ./build-dh
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
..............+.......+.................................++*++*++*
El siguiente paso crea los certificados para los clientes VPN; necesita un certificado para cada equipo o
persona autorizada para utilizar la VPN:
$ ./build-key JoeSmith
Generating a 2048 bit RSA private key
................++++++
.............................++++++
writing new private key to 'JoeSmith.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [Loire]:
Locality Name (eg, city) [Saint-tienne]:
Organization Name (eg, company) [Falcot Corp]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [JoeSmith]:Joe Smith
Name []:
Email Address [admin@falcot.com]:joe@falcot.com
[]
Ahora que se crearon todos los certificados, necesita copiarlos donde correspondan: la llave pblica del
certificado raz (key/ca.crt) ser almacenada en todas las mquinas (tanto el servidor como los clientes)
como /etc/ssl/certs/Falcot_CA.crt. Slo instalar el certificado del servidor en el servidor
(key/vpn.falcot.com.crt en /etc/ssl/vpn.falcot.com.crt y key/vpn.falcot.com.key en
/etc/ssl/private/vpn.falcot.com.key con permisos restringidos para que slo el administrador pueda
leerlo), con los parmetros Diffie-Hellman correspondientes (key/dh2048.pem) instalados en
/etc/openvpn/dh2048.pem. Instale los certificados de clientes en el cliente de VPN correspondiente de
forma similar.
15/10/2014 10.2. Red virtual privada
http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 5/11
10.2.1.2. Configuracin del servidor OpenVPN
El script de inicializacin de OpenVPN intenta, de forma predeterminada, iniciar todas las redes privadas
virtuales definidas en /etc/openvpn/*.conf. Configurar un servidor VPN entonces es cuestin de almacenar
el archivo de configuracin correspondiente en este directorio. Un buen punto de partida es
/usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz que lleva a un servidor
bastante estndar. Por supuesto necesitar adaptar algunos parmetros: ca, cert, key y dh describirn las
ubicaciones seleccionadas para cada uno (respectivamente: /etc/ssl/certs/Falcot_CA.crt,
/etc/ssl/vpn.falcot.com.crt, /etc/ssl/private/vpn.falcot.com.key y /etc/openvpn/dh2048.pem).
La directiva server 10.8.0.0 255.255.255.0 define la subred utilizada por la VPN; el servidor utilizar la
primera direccin IP en el rango (10.8.0.1) y se asignarn a los clientes el resto de las direcciones.
Con esta configuracin OpenVPN crear una interfaz de red virtual al iniciar, generalmente con el nombre
tun0. Sin embargo, normalmente se configuran los firewalls al mismo tiempo que las interfaces de red
reales, lo que ocurre antes que inicie OpenVPN. La creacin de una interfaz de red virtual persistente, y
configurar OpenVPN para que la utilice, es una buena prctica recomendada. Esto adems permite elegir el
nombre de esta interfaz. A tal efecto, openvpn -mktun -dev vpn -dev-type tun crea una interfaz de red
virtual llamada vpn de tipo tun; puede integrar fcilmente esta orden en el script de configuracin del
firewall o en la directiva up del archivo /etc/network/interfaces. Debe actualizar tambin el archivo de
configuracin de OpenVPN de forma acorde, con las directivas dev vpn y dev-type tun.
Sin ms cambios, los clientes VPN slo pueden acceder el servidor VPN en s a travs de la direccin
10.8.0.1. Para permitir a los clientes que accedan la red local (192.168.0.0/24) necesitar agregar una
directiva push route 192.168.0.0 255.255.255.0 a la configuracin de OpenVPN para que los clientes
VPN automticamente obtengan una ruta de red que les indique que esta red est disponible a travs de la
VPN. Lo que es ms, los equipos en la red local tambin necesitarn ser informados que la ruta a la VPN es a
travs del servidor de VPN (esto funciona automticamente cuando instala el servidor VPN en la puerta de
enlace). Otra alternativa es configurar el servidor VPN para realizar enmascaramiento de IPs de forma que las
conexiones que provengan de los clientes VPN parezcan provenir del servidor VPN en su lugar (revise la
Seccin 10.1, Puerta de enlace).
10.2.1.3. Configuracin del cliente OpenVPN
Para configurar un cliente OpenVPN tambin necesita crear un archivo de configuracin en /etc/openvpn/.
Puede conseguir una configuracin estndar utilizando /usr/share/doc/openvpn/examples/sample-
config-files/client.conf como punto de partida. La directiva remote vpn.falcot.com 1194 describe la
direccin y puerto del servidor OpenVPN; tambin necesita adaptar ca, cert y key para describir la
ubicacin de los archivos de llave.
Si no se debe iniciar la VPN automticamente durante el inicio, configure la directiva AUTOSTART como none
en el archivo /etc/default/openvpn. Siempre es posible iniciar o detener una conexin VPN dada con
/etc/init.d/openvpn start nombre y /etc/init.d/openvpn stop nombre (donde la conexin nombre
coincide con aquella definida en /etc/openvpn/nombre.conf).
El paquete network-manager-openvpn-gnome contiene una extensin para Network Manager (revise la
Seccin 8.2.4, Configuracin de red automtica para usuarios errantes) que permite administrar redes
privadas virtuales OpenVPN. Esto permite que cada usuario configure grficamente sus conexiones OpenVPN y
las controle desde el cono del gestor de red.
10.2.2. Red privada virtual con SSH
15/10/2014 10.2. Red virtual privada
http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 6/11
En realidad existen dos formas de crear una red privada virtual con SSH. La histrica involucra establecer una
capa PPP sobre el enlace SSH. Se describe este mtodo en el siguiente howto:
http://www.tldp.org/HOWTO/ppp-ssh/
El segundo mtodo es ms reciente y fue introducido con OpenSSH 4.3; ahora OpenSSH puede crear
interfaces de red virtuales (tun*) en ambos extremos de una conexin SSH y puede configurar estas
interfaces virtuales exactamente como si fueran interfaces fsicas. Primero debe activar el sistema de
tneles configurando PermitTunnel como yes en el archivo de configuracin del servidor SSH
(/etc/ssh/sshd_config). Cuando se establece la conexin SSH debe solicitar explcitamente la creacin del
tnel con la opcin -w any:any (puede reemplaza any con el nmero de dispositivo tun deseado). Esto
necesita que el usuario tenga permisos de administrador en ambos extremos para poder crear el dispositivo
de red (en otras palabras, debe establecer la conexin como root).
Ambos mtodos para crear redes privadas virtuales sobre SSH son bastante directos. Sin embargo, la VPN que
proveen no es la ms eficiente disponible; en particular, no maneja muy bien altos niveles de trfico.
La explicacin es que cuando se encapsula TCP/IP en una conexin TCP/IP (para SSH) se utiliza el protocolo
TCP dos veces, una vez para la conexin SSH y una vez dentro del tnel. Esto genera problemas,
especialmente debido a la forma en la que TCP se adapta a condiciones de red modificando los tiempo de
espera. El siguiente sitio describe el problema en ms detalle:
http://sites.inka.de/sites/bigred/devel/tcp-tcp.html
Por lo tanto debe limitar el uso de VPNs sobre SSH a tneles espordicos y de un solo uso que no tengan
requisitos de rendimiento.
10.2.3. IPsec
IPsec, a pesar de ser el estndar en VPNs IP, es bastante ms complejo en su implementacin. El motor de
IPsec est incorporado al ncleo Linux; el paquete ipsec-tools provee las partes necesarias en espacio de
usuario, las herramientas de control y configuracin. En trminos concretos, el archivo /etc/ipsec-
tools.conf de cada equipo contiene los parmetros de los tneles IPsec (en trminos de IPsec: asociaciones
de seguridad, Security Associations) en los que el equipo est involucrado; el script /etc/init.d/setkey
provee una forma de iniciar y detener el tnel (cada tnel es un enlace seguro a otra mquina conectada a la
red privada virtual). Puede construir este archivo a mano desde la documentacin que provee la pgina de
manual setkey(8). Sin embargo, escribir los parmetros para todos los equipos en un conjunto de mquinas
no trivial se convierte fcilmente en una tarea ardua ya que la cantidad de tneles crece rpidamente.
Instalar un demonio IKE (intercambio de llaves IPsec: IPsec Key Exchange) como racoon, strongswan o
openswan hace el proceso mucho ms simple centralizando la administracin y ms seguro rotando las claves
peridicamente.
A pesar de su estado como referencia, la complejidad de configuracin de IPsec restringe su uso en la
prctica. Generalmente se preferirn soluciones basadas en OpenVPN cuando los tneles necesarios no sean
muchos ni demasiado dinmicos.
PRECAUCIN IPsec y NAT
Los firewall con NAT y IPsec no funcionan bien juntos: IPsec firma los paquetes y cualquier cambio en estos paquetes
que realice el firewall invalidar la firma y el destino rechazar los paquetes. Muchas implementaciones IPsec
incluyen la tcnica NAT-T (NAT Traversal), que bsicamente encapsula un paquete IP en un paquete UDP estndar.
SEGURIDAD IPsec y firewalls
15/10/2014 10.2. Red virtual privada
http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 7/11
El modo de operacin estndar de IPsec involucra intercambio de datos en el puerto UDP 500 para intercambio de
llaves (tambin en el puerto UDP 4500 si utiliza NAT-T). Lo que es ms, los paquetes IPsec utilizan dos protocolos IP
dedicados que el firewall debe dejar pasar; la recepcin de estos paquetes est basada en sus nmeros de protocolo:
50 (ESP) y 51 (AH).
10.2.4. PPTP
PPTP (protocolo de tneles punto a punto: Point-to-Point Tunneling Protocol) utiliza dos canales de
comunicacin, uno para datos de control y otro para los datos; este ltimo utiliza el protocolo GRE
(encapsulacin genrica de enrutamiento: Generic Routing Encapsulation). Luego se establece un enlace
PPP estndar sobre el canal de intercambio de datos.
10.2.4.1. Configuracin del cliente
El paquete pptp-linux contiene un cliente PPTP para Linux fcil de configurar. Las instrucciones a
continuacin estn inspiradas en la documentacin oficial:
http://pptpclient.sourceforge.net/howto-debian.phtml
Los administradores de Falcot crearon varios archivos: /etc/ppp/options.pptp, /etc/ppp/peers/falcot,
/etc/ppp/ip-up.d/falcot y /etc/ppp/ip-down.d/falcot.
Ejemplo 10.2. El archivo /etc/ppp/options.pptp
# opciones PPP utilizadas en una conexin PPTP
lock
noauth
nobsdcomp
nodeflate
Ejemplo 10.3. El archivo /etc/ppp/peers/falcot
# vpn.falcot.com es el servidor PPTP
pty "pptp vpn.falcot.com --nolaunchpppd"
# el usuario vpn identificar a la conexin
user vpn
remotename pptp
# necesita cifrado
require-mppe-128
file /etc/ppp/options.pptp
ipparam falcot
Ejemplo 10.4. El archivo /etc/ppp/ip-up.d/falcot
# Crear la ruta a la red Falcot
if [ "$6" = "falcot" ]; then
# 192.168.0.0/24 es la red Falcot (remota)
route add -net 192.168.0.0 netmask 255.255.255.0 dev $1
fi
15/10/2014 10.2. Red virtual privada
http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 8/11
Ejemplo 10.5. El archivo /etc/ppp/ip-down.d/falcot
# Eliminar la ruta a la red Falcot
if [ "$6" = "falcot" ]; then
# 192.168.0.0/24 es la red Falcot (remota)
route del -net 192.168.0.0 netmask 255.255.255.0 dev $1
fi
SEGURIDAD MPPE
Asegurar PPTP involucra utilizar la funcionalidad MPPE (cifrado punto a punto de Microsoft: Microsoft Point-to-Point
Encryption), disponible como un mdulo en los ncleos Debian oficiales.
10.2.4.2. Configuracin del servidor
PRECAUCIN PPTP y firewalls
Necesita configurar los firewalls intermedios para que permitan pasar paquetes IP que utilizan el protocolo 47 (GRE).
Lo que es ms, necesita abrir el puerto 1723 del servidor PPTP para que pueda utilizar el canal de comunicacin.
pptpd es el servidor PPTP para Linux. Necesitar cambiar pocas cosas de su archivo de configuracin
principal, /etc/pptpd.conf: localip (direccin IP local) y remoteip (direccin IP remota). En el ejemplo a
continuacin el servidor PPTP siempre utiliza la direccin 192.168.0.199 y los clientes PPTP reciben una
direccin IP desde 192.168.0.200 a 192.168.0.250.
15/10/2014 10.2. Red virtual privada
http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 9/11
Ejemplo 10.6. El archivo /etc/pptpd.conf
# ETIQUETA: speed
#
# Especifica la velocidad a la que se comunica el demonio PPP.
#
speed 115200
# ETIQUETA: option
#
# Especifica la ubicacin del archivo de opciones PPP
# De forma predeterminada, se lo busca en /etc/ppp/options
#
option /etc/ppp/pptpd-options
# ETIQUETA: debug
#
# Activa (ms) depuracin al registro del sistema
#
# debug
# ETIQUETA: localip
# ETIQUETA: remoteip
#
# Especifica los rangos de direcciones IP local y remoto
#
# Puede especificar direcciones IP individuales separadas por coma o
# rangos o ambos. Por ejemplo:
#
# 192.168.0.234,192.168.0.245-249,192.168.0.254
#
# RESTRICCIONES IMPORTANTESIMPORTANT RESTRICTIONS:
#
# 1. No se permiten espacios entre las comas o en las direcciones.
#
# 2. Si provee ms direcciones IP que MAX_CONNECTIONS, comenzar al
# principio de la lista y continuar hasta que obtenga
# MAX_CONNECTIONS direcciones IPs. De lo contrario ser ignorado.
#
# 3. Sin atajos en los rangos! Es decir que 234-8 no significa 234
# a 238, para esto debe tipear 234-238.
#
# 4. Est bien si provee slo una IP local - se configurarn todas
# las IPs locales como la provista. DEBE proveer al menos una IP
# remota para cada cliente simultneo.
#
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
#localip 10.0.1.1
#remoteip 10.0.1.2-100
localip 192.168.0.199
remoteip 192.168.0.200-250
15/10/2014 10.2. Red virtual privada
http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 10/11
La configuracin PPP utilizada por el servidor PPTP tambin necesita algunos cambios en el archivo
/etc/ppp/pptpd-options. Los parmetros importantes son el nombre del servidor (pptp), el nombre del
dominio (falcot.com y la direccin IP para los servidores DNS y WINS.
Ejemplo 10.7. El archivo /etc/ppp/pptpd-options
## activar la depuracin de pppd en el registro del sistema
#debug
## modifique servername a lo que sea que especific como su nombre de servidor en chap-
secrets
name pptp
## modifique el nombre del dominio a su dominio local
domain falcot.com
## estos son valores predeterminados razonables para clientes WinXXXX
## para las configuraciones relacionadas con seguridad
# El paquete pppd de Debian ahora es compatible tanto con MSCHAP como con MPPE, actvelos
aqu.
# Necesita tener tambin el mdulo de ncleo para MPPE!
auth
require-chap
require-mschap
require-mschap-v2
require-mppe-128
## Complete con sus direcciones
ms-dns 192.168.0.1
ms-wins 192.168.0.1
## Complete con su mscara de red
netmask 255.255.255.0
## algunos valores predeterminados
nodefaultroute
proxyarp
lock
El ltimo paso consiste en registrar el usuario vpn (y su contrasea asociada) en el archivo /etc/ppp/chap-
secrets. A diferencia de otras instancias en las que un asterisco (*) funcionara, aqu debe proveer
explcitamente el nombre del servidor. Lo que es ms, los clientes PPTP Windows se identifican a s mismo en
la forma DOMINIO\\USUARIO en lugar de slo proveer un nombre de usuario. Esto explica porqu el archivo
tambin menciona el usuario FALCOT\\vpn. Tambin es posible especificar una direccin IP individual para
los usuarios; un asterisco en este campo especifica que debe utilizar direcciones dinmicas.
15/10/2014 10.2. Red virtual privada
http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 11/11
Ejemplo 10.8. El archivo /etc/ppp/chap-secrets
# Secretos para autenticacin utilizando CHAP
# cliente servidor secreto direccin IP
vpn pptp f@Lc3au *
FALCOT\\vpn pptp f@Lc3au *
SEGURIDAD Vulnerabilidades PPTP
La primera implementacin PPTP de Microsoft tuvo muchas crticas debido a su cantidad de vulnerabilidades de
seguridad; la mayora han sido solucionadas desde entonces en versiones ms recientes. La configuracin
documentada en esta seccin utiliza la ltima versin del protocolo. Sin embargo, debe saber que eliminar algunas
opciones (como require-mppe-128 y require-mschap-v2) podra hacer al servicio nuevamente vulnerable.
Subir Inicio
Anterior
Captulo 10. Infraestructura de red
Siguiente
10.3. Calidad del servicio