Activedirectory en linux
Páginas: 15 (3633 palabras)
Publicado: 23 de abril de 2010
DISEÑO DE LA RED
Diseño Red Segura Tecnomagic
Para la asignación del rango IP se considero las siguientes subredes 192.168.6.0 (usuario empresa), 192.168.6.32 (usuario directivos), 192.168.6.40 (usuarios externos).
IP empresa mascara subneting usuarios
192.168.6.0 255.255.255.248 20
Ip directivos mascara subnetingusuarios
192.168.6.32 255.255.255.224 6
Ip externos mascara subneting usuarios
192.168.6.40 255.255.255.248 4
En el diagrama de la red se implemento una salida opcional a Internet instalando 2 tarjetas de red en la cual una se dirigirá al servidor de dominio y otra a Internet así nosobrecargando nuestro PDC y evitando molestos invasores.
Diagrama Físico de la red
[pic]
Creación de las vlans de acceso y modo trunk en los switch cisco junto con vlsm aplicado en el router. (Router cisco con vlsm y subinterfaces)
(Vlans switch cisco)
Controles Externos
VPN
Como controles externos de seguridad se implemento Openvpn + Openssl + Iptables. Paratener un verdadero muro cortafuegos se implemento un firewall de iptables el cual viene junto al kernel de todos las distribuciones de Linux actualmente. Para que la comunicación en nuestra red se efectué de forma segura y cifrada se implemento Openvpn + Openssl mediante la creación de certificados en nuestro servidor los cuales se instalar en las maquina clientes de Openvpn que en este caso seránclientes Windows xp. A continuación se detalla la forma en que se instalo y configuro Openvpn + Openssl + Iptables.
• Instalación de Openvpn + Openssl:
apt-get install openvpn openssl
apt-get install openvpn openssl
• Generar los certificados en nuestro Servidor como autoridad Certificadora y los certificados para nuestros usuarios:
En nuestro directorio/etc/openvpn/easy-rsa/2.0/vars editamos las siguientes líneas para que al crear nuestros certificados nos aparezca la información de manera automática.
export KEY_COUNTRY=”CH”
export KEY_PROVINCE=”VA”
export KEY_CITY=”Valpo”
export KEY_ORG=”Proyecto”
export KEY_EMAIL=”redes@hotmail.com
Creamos los certificados de la siguiente manera:
.vars => para aplicar o ejecutar nuestros datos ingresadosal generar los certificados.
./clean-all=> para limpiar datos innecesarios.
./build-ca=> para generar nuestro certificado como autoridad certificadora.
Lo más relevante aquí es el campo “Common Name” en el cual ingresaremos el nombre de nuestro servidor.
Continuamos con la creación del certificado para nuestro servidor:
./build-key-server servidor
(Dejamos todo por default alpresionar enter)
Creación de certificados para nuestros clientes:
./build-key usuario1
Generamos el algoritmo de cifrado DH 1024 bit para todos nuestros certificados.
./build-dh
Ahora debemos copiar los certificados creados en /etc/openvpn/easy-rsa/2.0/
para el servidor en la siguiente ruta /etc/openvpn/
- ca.crt
- ca.key
- servidor.key
- servidor.crt- dh1024.pem
Creamos el fichero de configuración de nuestro servidor:
#/etc/openvpn/servidor.conf
port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/servidor.crt
key /etc/openvpn/servidor.key
dh /etc/openvpn/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tunstatus openvpn-status.log
verb 4
Creamos el grupo nobody, para clientes Windows editamos /etc/group
Nobody:x:65535:
Reiniciamos openvpn:
/etc/init.d/openvpn restart
* Starting virtual private network daemon.
* server (OK) [ OK ]
En los clientes Windows en c:\Archivos del programa\openvpn\config\ debemos copiar:
Ca.crt
usuario1.crt
usuario1.key
Debemos instalar el cliente...
Diseño Red Segura Tecnomagic
Para la asignación del rango IP se considero las siguientes subredes 192.168.6.0 (usuario empresa), 192.168.6.32 (usuario directivos), 192.168.6.40 (usuarios externos).
IP empresa mascara subneting usuarios
192.168.6.0 255.255.255.248 20
Ip directivos mascara subnetingusuarios
192.168.6.32 255.255.255.224 6
Ip externos mascara subneting usuarios
192.168.6.40 255.255.255.248 4
En el diagrama de la red se implemento una salida opcional a Internet instalando 2 tarjetas de red en la cual una se dirigirá al servidor de dominio y otra a Internet así nosobrecargando nuestro PDC y evitando molestos invasores.
Diagrama Físico de la red
[pic]
Creación de las vlans de acceso y modo trunk en los switch cisco junto con vlsm aplicado en el router. (Router cisco con vlsm y subinterfaces)
(Vlans switch cisco)
Controles Externos
VPN
Como controles externos de seguridad se implemento Openvpn + Openssl + Iptables. Paratener un verdadero muro cortafuegos se implemento un firewall de iptables el cual viene junto al kernel de todos las distribuciones de Linux actualmente. Para que la comunicación en nuestra red se efectué de forma segura y cifrada se implemento Openvpn + Openssl mediante la creación de certificados en nuestro servidor los cuales se instalar en las maquina clientes de Openvpn que en este caso seránclientes Windows xp. A continuación se detalla la forma en que se instalo y configuro Openvpn + Openssl + Iptables.
• Instalación de Openvpn + Openssl:
apt-get install openvpn openssl
apt-get install openvpn openssl
• Generar los certificados en nuestro Servidor como autoridad Certificadora y los certificados para nuestros usuarios:
En nuestro directorio/etc/openvpn/easy-rsa/2.0/vars editamos las siguientes líneas para que al crear nuestros certificados nos aparezca la información de manera automática.
export KEY_COUNTRY=”CH”
export KEY_PROVINCE=”VA”
export KEY_CITY=”Valpo”
export KEY_ORG=”Proyecto”
export KEY_EMAIL=”redes@hotmail.com
Creamos los certificados de la siguiente manera:
.vars => para aplicar o ejecutar nuestros datos ingresadosal generar los certificados.
./clean-all=> para limpiar datos innecesarios.
./build-ca=> para generar nuestro certificado como autoridad certificadora.
Lo más relevante aquí es el campo “Common Name” en el cual ingresaremos el nombre de nuestro servidor.
Continuamos con la creación del certificado para nuestro servidor:
./build-key-server servidor
(Dejamos todo por default alpresionar enter)
Creación de certificados para nuestros clientes:
./build-key usuario1
Generamos el algoritmo de cifrado DH 1024 bit para todos nuestros certificados.
./build-dh
Ahora debemos copiar los certificados creados en /etc/openvpn/easy-rsa/2.0/
para el servidor en la siguiente ruta /etc/openvpn/
- ca.crt
- ca.key
- servidor.key
- servidor.crt- dh1024.pem
Creamos el fichero de configuración de nuestro servidor:
#/etc/openvpn/servidor.conf
port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/servidor.crt
key /etc/openvpn/servidor.key
dh /etc/openvpn/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tunstatus openvpn-status.log
verb 4
Creamos el grupo nobody, para clientes Windows editamos /etc/group
Nobody:x:65535:
Reiniciamos openvpn:
/etc/init.d/openvpn restart
* Starting virtual private network daemon.
* server (OK) [ OK ]
En los clientes Windows en c:\Archivos del programa\openvpn\config\ debemos copiar:
Ca.crt
usuario1.crt
usuario1.key
Debemos instalar el cliente...
Leer documento completo
Regístrate para leer el documento completo.