En esta última de la serie de notas que preparé sobre este tema veremos cómo podemos mejorar la seguridad de lo hecho anteriormente utilizando L2TP+IPSec pero con autentificación de máquinas mediante certificados digitales
El cambio en sí es muy sencillo, lo que puede ser de más dificultad es que en esta prueba de laboratorio debemos ahora sí disponer de una Autoridad Certificadora, y un servicio DNS para resolver nombres de máquina
Vuelvo a poner el diagrama para que sea claro lo que estamos haciendo
Ahora, además de las cuatro máquinas que venimos ya utilizando, necesitaremos la quinta (SERVER) que es donde se deben instalar los servicios adicionales ya nombrados
Para que RTR1 y RTR2 puedan utilizar los servicios provistos por SERVER, que emula un servidor en Internet, debemos configurar en la interfaz externa de cada uno para que lo utilicen como servidor DNS
Observen la configuración de la máquina SERVER
En SERVER debemos instalar el servicio DNS, que supongo que nadie tendrá problemas en cómo hacerlo, y debemos crear dos zonas, una para el propio servidor y otra con el nombre del dominio público que utilicemos en Internet de nuestra organización
En la siguiente figura pueden ver la zona correspondiente a la propia máquina
En mi desarrollo, estoy usando para el Dominio Active Directory, un subdominio del de presencia en Internet, esto es “ad.guillermod.com.ar” para AD, y para Internet “guillermod.com.ar”
Así que en DNS crearé una zona primaria llamada “guillermod.com.ar” donde agregaré los registros A correspondientes a la direcciones IP externas (Públicas) de RTR1 y RTR2
Lo anterior es necesario, pues los certificados digitales estarán otorgados a esos nombres de máquinas
Si nos conectáramos a 131.107.0.1 y éste muestra un certificado otorgado a RTR1 simplemente daría error por no coincidencia
Ahora debemos instalar y configurar la Autoridad Certificadora, y hacer todo el manejo de certificados. El objetivo es que tanto RTR1 como RTR2 tengan certificados de máquina otorgados por una Autoridad Certificadora en la cual ambos confíen, y además que puedan acceder a la lista de certificados revocados de la misma
El procedimiento para configuar esta Autoridad Certificadora es largo y lleva varios pasos así que los remitiré a las notas que he hecho anteriormente y que describen cada uno de los pasos necesarios. Cabe aclarar que utilicé el método del “Custom Request” en lugar de “Web Enrollment” pues me resulta mucho más sencillo
Se debe crear una Autoridad Certificadora de tipo “Root” y “Stand-alone”. Luego instalar el Certificado de esta Autoridad Certificadora en cada una de las máquinas, y por último solicitar e instalar el certificado de máquina en cada máquina (RTR1 y RTR2)
Dejo los enlaces a las notas correspondientes:
- Autoridad Certificadora para Laboratorio y Pruebas – Servicios Básicos
- Autoridad Certificadora para Laboratorio y Pruebas – Instalación y Configuración de la Autoridad Certificadora
- Autoridad Certificadora – Crear un Sitio Web Seguro (HTTPS)Autoridad Certificadora para Laboratorio y Pruebas – Configuración de la Autoridad Certificadora para “Web Enrollment”
- Autoridad Certificadora para Laboratorio y Pruebas – Configuración del Cliente para “Web Enrollment”
- Autoridad Certificadora – Crear un Sitio Web Seguro (HTTPS)
Lo primero entonces es tener instalado tanto en RTR1 como en RTR2 el certificado de la Autoridad Certificadora en “Trusted Root Certification Authorities” de la parte de máquina
Y luego, solicitar, obtener e instalar el certificado de máquina, tanto en RTR1, como en RTR2
Teniendo ya listo el tema certificados digitales, ahora en la consola RRAS procederemos a cambiar las propiedades de la conexión VPN. Recuerdo, en ambos RTR1 y RTR2, debemos desmarcar la opción de “Shared Key” y seleccionar certificados
Y en las propiedades de seguridad en cada servidor desmarcar “Allow custom IPsec policy …” y seleccionar el correspondiente certificado de máquina en la lista desplegable
Dará dos advertencias, pero asumimos que es lo que queremos
Y por supuesto que si hicimos todo bien funcionará perfectamente ahora con autentificación por certificados digitales de máquina
Y por supuesto podemos verificar la conectividad entre SRV y DC1
En igual forma que hicimos en “Windows Server 2012 R2 – Conectando Sitios por VPN (Site To Site VPN) con L2TP-IPSec [Parte 3 de 5]”, instalé un “Sniffer” (Network Monitor usé) para verificar que el tráfico de red utilizaba IPSec
Recuerdo que ESP (“Encapsulating Security Protocol”) es la parte de IPSec que se encarga del cifrado de datos
Llegamos hasta acá en esta serie de notas sobre VPNs para interconectar sitios separados de nuestra organización
Me he decidido a hacer esta serie porque el método de interconectar sitios geográficamente separados con esta tecnologías es muy común en empresas medianas o pequeñas, cuanto más podamos mejorar la seguridad, como es el caso de IPSec, será mucho mejor