http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 1/11 10.2. Red virtual privada Una red virtual privada (VPN: Virtual Private Network) es una forma de enlazar dos redes locales diferentes a travs de Internet utilizando un tnel; el tnel generalmente est cifrado para confidencialidad. Usualmente se utilizan VPNs para integrar una mquina remota a la red local de una empresa. Muchas herramientas lo proveen. OpenVPN es una solucin eficiente, fcil de desplegar y mantener, basada en SSL/TLS. Otra posibilidad es utilizar IPsec para cifrar el trfico IP entre dos mquinas; este cifrado es transparente, lo que significa que no necesita modificar las aplicaciones ejecutando en estos equipos para tener en cuenta la VPN. Tambin puede utilizar SSH, adems de para sus funcionalidades ms convencionales, para proveer una VPN. Finalmente, puede establecer una VPN utilizando el protocolo PPTP de Microsoft. Existen otras soluciones, pero estn ms all del alcance de este libro. 10.2.1. OpenVPN OpenVPN es un pedazo de software dedicado a crear redes privadas virtuales. Su configuracin involucra crear interfaces de red virtuales en el servidor VPN y en los clientes; es compatible con interfaces tun (para tneles a nivel de IP) y tap (para tneles a nivel Ethernet). En la prctica, usualmente utilizar interfaces tun excepto cuando los clientes VPN deban intengrarse a la red local del servidor a travs de un puente Ethernet. OpenVPN se basa en OpenSSL para toda la criptografa SSL/TLS y funcionalidades asociadas (confidencialidad, autenticacin, integridad, falta de repudio). Puede configurarlo con una llave privada compartida o con un certificado X.509 basado en la infraestructura de llave pblica. Se prefiere fuertemente esta ltima configuracin ya que permite ms flexibilidad cuando se enfrenta a un nmero creciente de usuarios itinerantes que acceden a la VPN. CULTURA SSL y TLS Netscape invent el protocolo SSL (capa de zcalos seguros: Secure Socket Layer) para asegurar conexiones con servidores web. Luego fue estandarizado por el IETF bajo el acrnimo TLS (seguridad de capa de transporte: Transport Layer Security); TLS es muy similar a SSLv3 con slo unos pocos arreglos y mejoras. 10.2.1.1. Infraestructura de llave pblica: easy-rsa El algoritmo RSA es ampliamente utilizado en criptografa de llave pblica. Involucra un par de llaves, compuestas de una llave privada y una llave pblica. Las dos llaves estn fuertemente relacionadas entre ellas y sus propiedades matemticas son tales que un mensaje cifrado con la llave pblica slo puede ser descifrado por alguien que conozca la llave privada, lo que asegura confidencialidad. En la direccin opuesta, El libro del administrador de Debian Anterior Siguiente 15/10/2014 10.2. Red virtual privada http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 2/11 un mensaje cifrado con la clave privada puede ser descifrado por cualquiera que conozca la llave pblica, lo que permite autenticar el origen del mensaje ya que slo pudo haber sido generado por alguien con acceso a la llave privada. Cuando se asocie una funcin de hash digital (MD5, SHA1 o una variante ms reciente), esto lleva a un mecanismo de firma que puede aplicarse a cualquier mensaje. Sin embargo, cualquiera puede crear un par de llaves, almacenar cualquier identidad en ella y pretender ser la identidad que elijan. Una solucin involucra el concepto de una autoridad de certificacin (CA: Certification Authority) formalizado por el estndar X.509. Este trmino se refiere a una entidad que posee un par de llaves confiable conocido como certificado raz. Slo se utiliza este certificado para firmar otros certificados (pares de llaves), luego que se siguieron suficientes pasos para revisar la identidad almacenada en el par de llaves. Las aplicaciones que utilizan X.509 luego pueden verificar los certificados que se les presente si conocen los certificados raz confiables. OpenVPN sigue esta regla. Dado que los CA pblicos slo expiden certificados a cambio de un pago (importante), tambin es posible crear una autoridad de certificacin privada dentro de la empresa. Para este propsito, OpenVPN provee la herramienta easy-rsa que funciona como infraestructura de certificacin X.509. Su implementacin es un conjunto de scripts que utilizan el programa openssl; puede encontrar estos scripts bajo /usr/share/doc/openvpn/examples/easy-rsa/2.0/. Los administradores de Falcot Corp utilizan esta herramienta para crear los certificados necesarios, tanto para los servidores como para los clientes. Esto permite que la configuracin de todos los clientes sea similar ya que slo debern configurarlos para confiar en certificados que provengan de la CA local de Falcot. Esta CA es el primer certificado a crear; para ello los administradores copian el directorio que contiene easy-rsa a una ubicacin ms apropiada, preferentemente a una mquina que no est conectada a la red para evitar el riesgo de que se roben la llave privada de la CA. $ cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0 pki-falcot $ cd pki-falcot Luego almacenan los parmetros necesarios en el archivo vars, especialmente aquellos cuyos nombres comienzan con KEY_; estas variables luego son integradas en el entorno: $ vim vars $ grep KEY_ vars export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA` export KEY_DIR="$EASY_RSA/keys" echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR export KEY_SIZE=2048 export KEY_EXPIRE=3650 export KEY_COUNTRY="FR" export KEY_PROVINCE="Loire" export KEY_CITY="Saint-tienne" export KEY_ORG="Falcot Corp" export KEY_EMAIL="admin@falcot.com" $ . ./vars NOTE: If you run ./clean-all, I will be doing a rm -rf on /home/rhertzog/pki-falcot/keys $ ./clean-all El siguiente paso es crear el par de llaves en s de la CA (durante este paso se almacenarn las dos partes del par de llaves en keys/ca.crt y keys/ca.key): 15/10/2014 10.2. Red virtual privada http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 3/11 D o w n l o a d
t h e
e b o o k $ ./build-ca Generating a 2048 bit RSA private key ..............................................++++++ .......................++++++ writing new private key to 'ca.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [FR]: State or Province Name (full name) [Loire]: Locality Name (eg, city) [Saint-tienne]: Organization Name (eg, company) [Falcot Corp]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) [Falcot Corp CA]: Name []: Email Address [admin@falcot.com]: Ahora puede crear el certificado para el servidor VPN, as como tambin los parmetros Diffie-Hellman necesarios en el servidor para la conexin SSL/TLS. Se identifica el servidor VPN por su nombre DNS vpn.falcot.com; se reutiliza este nombre para los archivos de llaves generados (keys/vpn.falcot.com.crt para el certificado pblico, keys/vpn.falcot.com.key para la llave privada): $ ./build-key-server vpn.falcot.com Generating a 2048 bit RSA private key ...............++++++ ...........++++++ writing new private key to 'vpn.falcot.com.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [FR]: State or Province Name (full name) [Loire]: Locality Name (eg, city) [Saint-tienne]: Organization Name (eg, company) [Falcot Corp]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) [vpn.falcot.com]: Name []: Email Address [admin@falcot.com]: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Using configuration from /home/rhertzog/pki-falcot/openssl.cnf Check that the request matches the signature 15/10/2014 10.2. Red virtual privada http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 4/11 Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'FR' stateOrProvinceName :PRINTABLE:'Loire' localityName :T61STRING:'Saint-\0xFFFFFFC3\0xFFFFFF89tienne' organizationName :PRINTABLE:'Falcot Corp' commonName :PRINTABLE:'vpn.falcot.com' emailAddress :IA5STRING:'admin@falcot.com' Certificate is to be certified until Oct 9 13:57:42 2020 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated $ ./build-dh Generating DH parameters, 2048 bit long safe prime, generator 2 This is going to take a long time ..............+.......+.................................++*++*++* El siguiente paso crea los certificados para los clientes VPN; necesita un certificado para cada equipo o persona autorizada para utilizar la VPN: $ ./build-key JoeSmith Generating a 2048 bit RSA private key ................++++++ .............................++++++ writing new private key to 'JoeSmith.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [FR]: State or Province Name (full name) [Loire]: Locality Name (eg, city) [Saint-tienne]: Organization Name (eg, company) [Falcot Corp]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) [JoeSmith]:Joe Smith Name []: Email Address [admin@falcot.com]:joe@falcot.com [] Ahora que se crearon todos los certificados, necesita copiarlos donde correspondan: la llave pblica del certificado raz (key/ca.crt) ser almacenada en todas las mquinas (tanto el servidor como los clientes) como /etc/ssl/certs/Falcot_CA.crt. Slo instalar el certificado del servidor en el servidor (key/vpn.falcot.com.crt en /etc/ssl/vpn.falcot.com.crt y key/vpn.falcot.com.key en /etc/ssl/private/vpn.falcot.com.key con permisos restringidos para que slo el administrador pueda leerlo), con los parmetros Diffie-Hellman correspondientes (key/dh2048.pem) instalados en /etc/openvpn/dh2048.pem. Instale los certificados de clientes en el cliente de VPN correspondiente de forma similar. 15/10/2014 10.2. Red virtual privada http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 5/11 10.2.1.2. Configuracin del servidor OpenVPN El script de inicializacin de OpenVPN intenta, de forma predeterminada, iniciar todas las redes privadas virtuales definidas en /etc/openvpn/*.conf. Configurar un servidor VPN entonces es cuestin de almacenar el archivo de configuracin correspondiente en este directorio. Un buen punto de partida es /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz que lleva a un servidor bastante estndar. Por supuesto necesitar adaptar algunos parmetros: ca, cert, key y dh describirn las ubicaciones seleccionadas para cada uno (respectivamente: /etc/ssl/certs/Falcot_CA.crt, /etc/ssl/vpn.falcot.com.crt, /etc/ssl/private/vpn.falcot.com.key y /etc/openvpn/dh2048.pem). La directiva server 10.8.0.0 255.255.255.0 define la subred utilizada por la VPN; el servidor utilizar la primera direccin IP en el rango (10.8.0.1) y se asignarn a los clientes el resto de las direcciones. Con esta configuracin OpenVPN crear una interfaz de red virtual al iniciar, generalmente con el nombre tun0. Sin embargo, normalmente se configuran los firewalls al mismo tiempo que las interfaces de red reales, lo que ocurre antes que inicie OpenVPN. La creacin de una interfaz de red virtual persistente, y configurar OpenVPN para que la utilice, es una buena prctica recomendada. Esto adems permite elegir el nombre de esta interfaz. A tal efecto, openvpn -mktun -dev vpn -dev-type tun crea una interfaz de red virtual llamada vpn de tipo tun; puede integrar fcilmente esta orden en el script de configuracin del firewall o en la directiva up del archivo /etc/network/interfaces. Debe actualizar tambin el archivo de configuracin de OpenVPN de forma acorde, con las directivas dev vpn y dev-type tun. Sin ms cambios, los clientes VPN slo pueden acceder el servidor VPN en s a travs de la direccin 10.8.0.1. Para permitir a los clientes que accedan la red local (192.168.0.0/24) necesitar agregar una directiva push route 192.168.0.0 255.255.255.0 a la configuracin de OpenVPN para que los clientes VPN automticamente obtengan una ruta de red que les indique que esta red est disponible a travs de la VPN. Lo que es ms, los equipos en la red local tambin necesitarn ser informados que la ruta a la VPN es a travs del servidor de VPN (esto funciona automticamente cuando instala el servidor VPN en la puerta de enlace). Otra alternativa es configurar el servidor VPN para realizar enmascaramiento de IPs de forma que las conexiones que provengan de los clientes VPN parezcan provenir del servidor VPN en su lugar (revise la Seccin 10.1, Puerta de enlace). 10.2.1.3. Configuracin del cliente OpenVPN Para configurar un cliente OpenVPN tambin necesita crear un archivo de configuracin en /etc/openvpn/. Puede conseguir una configuracin estndar utilizando /usr/share/doc/openvpn/examples/sample- config-files/client.conf como punto de partida. La directiva remote vpn.falcot.com 1194 describe la direccin y puerto del servidor OpenVPN; tambin necesita adaptar ca, cert y key para describir la ubicacin de los archivos de llave. Si no se debe iniciar la VPN automticamente durante el inicio, configure la directiva AUTOSTART como none en el archivo /etc/default/openvpn. Siempre es posible iniciar o detener una conexin VPN dada con /etc/init.d/openvpn start nombre y /etc/init.d/openvpn stop nombre (donde la conexin nombre coincide con aquella definida en /etc/openvpn/nombre.conf). El paquete network-manager-openvpn-gnome contiene una extensin para Network Manager (revise la Seccin 8.2.4, Configuracin de red automtica para usuarios errantes) que permite administrar redes privadas virtuales OpenVPN. Esto permite que cada usuario configure grficamente sus conexiones OpenVPN y las controle desde el cono del gestor de red. 10.2.2. Red privada virtual con SSH 15/10/2014 10.2. Red virtual privada http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 6/11 En realidad existen dos formas de crear una red privada virtual con SSH. La histrica involucra establecer una capa PPP sobre el enlace SSH. Se describe este mtodo en el siguiente howto: http://www.tldp.org/HOWTO/ppp-ssh/ El segundo mtodo es ms reciente y fue introducido con OpenSSH 4.3; ahora OpenSSH puede crear interfaces de red virtuales (tun*) en ambos extremos de una conexin SSH y puede configurar estas interfaces virtuales exactamente como si fueran interfaces fsicas. Primero debe activar el sistema de tneles configurando PermitTunnel como yes en el archivo de configuracin del servidor SSH (/etc/ssh/sshd_config). Cuando se establece la conexin SSH debe solicitar explcitamente la creacin del tnel con la opcin -w any:any (puede reemplaza any con el nmero de dispositivo tun deseado). Esto necesita que el usuario tenga permisos de administrador en ambos extremos para poder crear el dispositivo de red (en otras palabras, debe establecer la conexin como root). Ambos mtodos para crear redes privadas virtuales sobre SSH son bastante directos. Sin embargo, la VPN que proveen no es la ms eficiente disponible; en particular, no maneja muy bien altos niveles de trfico. La explicacin es que cuando se encapsula TCP/IP en una conexin TCP/IP (para SSH) se utiliza el protocolo TCP dos veces, una vez para la conexin SSH y una vez dentro del tnel. Esto genera problemas, especialmente debido a la forma en la que TCP se adapta a condiciones de red modificando los tiempo de espera. El siguiente sitio describe el problema en ms detalle: http://sites.inka.de/sites/bigred/devel/tcp-tcp.html Por lo tanto debe limitar el uso de VPNs sobre SSH a tneles espordicos y de un solo uso que no tengan requisitos de rendimiento. 10.2.3. IPsec IPsec, a pesar de ser el estndar en VPNs IP, es bastante ms complejo en su implementacin. El motor de IPsec est incorporado al ncleo Linux; el paquete ipsec-tools provee las partes necesarias en espacio de usuario, las herramientas de control y configuracin. En trminos concretos, el archivo /etc/ipsec- tools.conf de cada equipo contiene los parmetros de los tneles IPsec (en trminos de IPsec: asociaciones de seguridad, Security Associations) en los que el equipo est involucrado; el script /etc/init.d/setkey provee una forma de iniciar y detener el tnel (cada tnel es un enlace seguro a otra mquina conectada a la red privada virtual). Puede construir este archivo a mano desde la documentacin que provee la pgina de manual setkey(8). Sin embargo, escribir los parmetros para todos los equipos en un conjunto de mquinas no trivial se convierte fcilmente en una tarea ardua ya que la cantidad de tneles crece rpidamente. Instalar un demonio IKE (intercambio de llaves IPsec: IPsec Key Exchange) como racoon, strongswan o openswan hace el proceso mucho ms simple centralizando la administracin y ms seguro rotando las claves peridicamente. A pesar de su estado como referencia, la complejidad de configuracin de IPsec restringe su uso en la prctica. Generalmente se preferirn soluciones basadas en OpenVPN cuando los tneles necesarios no sean muchos ni demasiado dinmicos. PRECAUCIN IPsec y NAT Los firewall con NAT y IPsec no funcionan bien juntos: IPsec firma los paquetes y cualquier cambio en estos paquetes que realice el firewall invalidar la firma y el destino rechazar los paquetes. Muchas implementaciones IPsec incluyen la tcnica NAT-T (NAT Traversal), que bsicamente encapsula un paquete IP en un paquete UDP estndar. SEGURIDAD IPsec y firewalls 15/10/2014 10.2. Red virtual privada http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 7/11 El modo de operacin estndar de IPsec involucra intercambio de datos en el puerto UDP 500 para intercambio de llaves (tambin en el puerto UDP 4500 si utiliza NAT-T). Lo que es ms, los paquetes IPsec utilizan dos protocolos IP dedicados que el firewall debe dejar pasar; la recepcin de estos paquetes est basada en sus nmeros de protocolo: 50 (ESP) y 51 (AH). 10.2.4. PPTP PPTP (protocolo de tneles punto a punto: Point-to-Point Tunneling Protocol) utiliza dos canales de comunicacin, uno para datos de control y otro para los datos; este ltimo utiliza el protocolo GRE (encapsulacin genrica de enrutamiento: Generic Routing Encapsulation). Luego se establece un enlace PPP estndar sobre el canal de intercambio de datos. 10.2.4.1. Configuracin del cliente El paquete pptp-linux contiene un cliente PPTP para Linux fcil de configurar. Las instrucciones a continuacin estn inspiradas en la documentacin oficial: http://pptpclient.sourceforge.net/howto-debian.phtml Los administradores de Falcot crearon varios archivos: /etc/ppp/options.pptp, /etc/ppp/peers/falcot, /etc/ppp/ip-up.d/falcot y /etc/ppp/ip-down.d/falcot. Ejemplo 10.2. El archivo /etc/ppp/options.pptp # opciones PPP utilizadas en una conexin PPTP lock noauth nobsdcomp nodeflate Ejemplo 10.3. El archivo /etc/ppp/peers/falcot # vpn.falcot.com es el servidor PPTP pty "pptp vpn.falcot.com --nolaunchpppd" # el usuario vpn identificar a la conexin user vpn remotename pptp # necesita cifrado require-mppe-128 file /etc/ppp/options.pptp ipparam falcot Ejemplo 10.4. El archivo /etc/ppp/ip-up.d/falcot # Crear la ruta a la red Falcot if [ "$6" = "falcot" ]; then # 192.168.0.0/24 es la red Falcot (remota) route add -net 192.168.0.0 netmask 255.255.255.0 dev $1 fi 15/10/2014 10.2. Red virtual privada http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 8/11 Ejemplo 10.5. El archivo /etc/ppp/ip-down.d/falcot # Eliminar la ruta a la red Falcot if [ "$6" = "falcot" ]; then # 192.168.0.0/24 es la red Falcot (remota) route del -net 192.168.0.0 netmask 255.255.255.0 dev $1 fi SEGURIDAD MPPE Asegurar PPTP involucra utilizar la funcionalidad MPPE (cifrado punto a punto de Microsoft: Microsoft Point-to-Point Encryption), disponible como un mdulo en los ncleos Debian oficiales. 10.2.4.2. Configuracin del servidor PRECAUCIN PPTP y firewalls Necesita configurar los firewalls intermedios para que permitan pasar paquetes IP que utilizan el protocolo 47 (GRE). Lo que es ms, necesita abrir el puerto 1723 del servidor PPTP para que pueda utilizar el canal de comunicacin. pptpd es el servidor PPTP para Linux. Necesitar cambiar pocas cosas de su archivo de configuracin principal, /etc/pptpd.conf: localip (direccin IP local) y remoteip (direccin IP remota). En el ejemplo a continuacin el servidor PPTP siempre utiliza la direccin 192.168.0.199 y los clientes PPTP reciben una direccin IP desde 192.168.0.200 a 192.168.0.250. 15/10/2014 10.2. Red virtual privada http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 9/11 Ejemplo 10.6. El archivo /etc/pptpd.conf # ETIQUETA: speed # # Especifica la velocidad a la que se comunica el demonio PPP. # speed 115200 # ETIQUETA: option # # Especifica la ubicacin del archivo de opciones PPP # De forma predeterminada, se lo busca en /etc/ppp/options # option /etc/ppp/pptpd-options # ETIQUETA: debug # # Activa (ms) depuracin al registro del sistema # # debug # ETIQUETA: localip # ETIQUETA: remoteip # # Especifica los rangos de direcciones IP local y remoto # # Puede especificar direcciones IP individuales separadas por coma o # rangos o ambos. Por ejemplo: # # 192.168.0.234,192.168.0.245-249,192.168.0.254 # # RESTRICCIONES IMPORTANTESIMPORTANT RESTRICTIONS: # # 1. No se permiten espacios entre las comas o en las direcciones. # # 2. Si provee ms direcciones IP que MAX_CONNECTIONS, comenzar al # principio de la lista y continuar hasta que obtenga # MAX_CONNECTIONS direcciones IPs. De lo contrario ser ignorado. # # 3. Sin atajos en los rangos! Es decir que 234-8 no significa 234 # a 238, para esto debe tipear 234-238. # # 4. Est bien si provee slo una IP local - se configurarn todas # las IPs locales como la provista. DEBE proveer al menos una IP # remota para cada cliente simultneo. # #localip 192.168.0.234-238,192.168.0.245 #remoteip 192.168.1.234-238,192.168.1.245 #localip 10.0.1.1 #remoteip 10.0.1.2-100 localip 192.168.0.199 remoteip 192.168.0.200-250 15/10/2014 10.2. Red virtual privada http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 10/11 La configuracin PPP utilizada por el servidor PPTP tambin necesita algunos cambios en el archivo /etc/ppp/pptpd-options. Los parmetros importantes son el nombre del servidor (pptp), el nombre del dominio (falcot.com y la direccin IP para los servidores DNS y WINS. Ejemplo 10.7. El archivo /etc/ppp/pptpd-options ## activar la depuracin de pppd en el registro del sistema #debug ## modifique servername a lo que sea que especific como su nombre de servidor en chap- secrets name pptp ## modifique el nombre del dominio a su dominio local domain falcot.com ## estos son valores predeterminados razonables para clientes WinXXXX ## para las configuraciones relacionadas con seguridad # El paquete pppd de Debian ahora es compatible tanto con MSCHAP como con MPPE, actvelos aqu. # Necesita tener tambin el mdulo de ncleo para MPPE! auth require-chap require-mschap require-mschap-v2 require-mppe-128 ## Complete con sus direcciones ms-dns 192.168.0.1 ms-wins 192.168.0.1 ## Complete con su mscara de red netmask 255.255.255.0 ## algunos valores predeterminados nodefaultroute proxyarp lock El ltimo paso consiste en registrar el usuario vpn (y su contrasea asociada) en el archivo /etc/ppp/chap- secrets. A diferencia de otras instancias en las que un asterisco (*) funcionara, aqu debe proveer explcitamente el nombre del servidor. Lo que es ms, los clientes PPTP Windows se identifican a s mismo en la forma DOMINIO\\USUARIO en lugar de slo proveer un nombre de usuario. Esto explica porqu el archivo tambin menciona el usuario FALCOT\\vpn. Tambin es posible especificar una direccin IP individual para los usuarios; un asterisco en este campo especifica que debe utilizar direcciones dinmicas. 15/10/2014 10.2. Red virtual privada http://debian-handbook.info/browse/es-ES/stable/sect.virtual-private-network.html 11/11 Ejemplo 10.8. El archivo /etc/ppp/chap-secrets # Secretos para autenticacin utilizando CHAP # cliente servidor secreto direccin IP vpn pptp f@Lc3au * FALCOT\\vpn pptp f@Lc3au * SEGURIDAD Vulnerabilidades PPTP La primera implementacin PPTP de Microsoft tuvo muchas crticas debido a su cantidad de vulnerabilidades de seguridad; la mayora han sido solucionadas desde entonces en versiones ms recientes. La configuracin documentada en esta seccin utiliza la ltima versin del protocolo. Sin embargo, debe saber que eliminar algunas opciones (como require-mppe-128 y require-mschap-v2) podra hacer al servicio nuevamente vulnerable. Subir Inicio Anterior Captulo 10. Infraestructura de red Siguiente 10.3. Calidad del servicio