VPN mediante certificado

Primero.-
Debes entender que los procesos de Autentificación de usuario (EAP_TLS) y el
Cifrado de Datos (IPSec) no distintos y cada uno de ellos pueden tener su
variantes.

El primero utiliza Certificado de Usuario para intercambio seguro de
credenciales del usuario (no se introducide usuario y contraseña). Para que
funcione debes tener acceso a la PKI y dominio. Si no fuere el caso puedes
sustituir el modo de autentificación a MSCHAP V.2, en este caso te
solicitaria usuario y contraseña.

El segundo utiliza un Certificado de Maquina para cifrar los datos mediante
L2TP/IPSec.

Segundo.-

Para obtener dichos certificados, el PC cliente deberá pertenecer y tener
acceso a la red y dominio (podrias hacerlo en remoto). Podras solicitar,
bien desde desde el servicio Web de Certificados o bien desde la herramienta
Almacen de Certificados, un certificado de USUARIO y un certificado
MAQUINA.

Si el PC cliente no puede tener acceso al dominio para solicitar un
Certificado de MAQUINA, se podría utilizar un Certificado IPSEC (fuera
conexión).


forma parte

Además deberás comprobar que en el el Almacen de Certificados Raiz de
Confianza del PC cliente, además existe la clave pública de tu Entidad
Emisora de Certificados. De lo contrario tambien la puedes solicitar desde
el servicio Web de Certificados o bien desde la herramienta Almacen de
Ceertificados.

Tercero.-

Por el lado del Servidor VPN (supongo que sera el servicio VPN incluido en
RRAS de W2k server o w2k3), tienes que solicitar bien desde desde el
servicio Web de Certificados o bien desde la herramienta Almacen de
Certificados, un certificado de SERVIDOR WEB.

Además deberás comprobar que en el el Almacen de Certificados Raiz de
Confianza del Servidor VPN, además existe la clave pública de tu Entidad
Emisora de Certificados. De lo contrario tambien la puedes solicitar desde
el servicio Web de Certificados o bien desde la herramienta Almacen de
Ceertificados.

Cuarto.-

Si el PC cliente es w2k pro debes cargar el parche 808143 pues resulta que
este s.o no esta preparado p ara NAT-T.
Si el PC cliente es wxp tienes que introducir una clave y valor nuevo en el
registro en la rama de maquina. (no me acuerdo ahora). Busca en la web de
windows que te indica muy bien. Busca por L2TP/IPSec.

Quinto.-

Recuerda tus cortafuegos, pues L2TP/IPSec de windows utiliza

UDP 500
UDP 4500
UDP 1701

Final.-

Esto es a rasgos generales. espero te sirva.

clemente



"Chus" escribió en el mensaje
news:%

Hola grupo, tengo algunas dudas. Actualmente dispongo de un server 2000
miembro de un dominio, colgado de internet para aceptar vpn por pptp. Esto
funciona correctamente. Quiero darle seguridad al asunto así que se me ha
ocurrido instalar en un DC del dominio (un w2003 server) una entidad de
certificados. Una vez instalada cojo un usuario del active directory con
permisos para establecer la vpn y me conecto por web al server 2003 para
pedir un certificado. Una vez con el certificado, que debo hacer?

He intentado conectarme por vpn de nuevo al server pero en lugar de
utilizar username y password he ido a las propiedades de la conexion vpn,
pestaña seguridad, opcion avanzada en configuracion tarjeta inteligente u
otro certificado y en propiedades he comprobado que el server 2003 está en
la lista pero no conecta.

Debo hacer algo más? Es necesario seleccionar L2TP o habilitar IPSEC para
usar certificados?

Gracias

clemente wrote:

Primero.-
Debes entender que los procesos de Autentificación de usuario (EAP_TLS) y el
Cifrado de Datos (IPSec) no distintos y cada uno de ellos pueden tener su
variantes.

El primero utiliza Certificado de Usuario para intercambio seguro de
credenciales del usuario (no se introducide usuario y contraseña). Para que
funcione debes tener acceso a la PKI y dominio. Si no fuere el caso puedes
sustituir el modo de autentificación a MSCHAP V.2, en este caso te
solicitaria usuario y contraseña.

El segundo utiliza un Certificado de Maquina para cifrar los datos mediante
L2TP/IPSec.

Segundo.-

Para obtener dichos certificados, el PC cliente deberá pertenecer y tener
acceso a la red y dominio (podrias hacerlo en remoto). Podras solicitar,
bien desde desde el servicio Web de Certificados o bien desde la herramienta
Almacen de Certificados, un certificado de USUARIO y un certificado
MAQUINA.

Si el PC cliente no puede tener acceso al dominio para solicitar un
Certificado de MAQUINA, se podría utilizar un Certificado IPSEC (fuera
conexión).


forma parte

Además deberás comprobar que en el el Almacen de Certificados Raiz de
Confianza del PC cliente, además existe la clave pública de tu Entidad
Emisora de Certificados. De lo contrario tambien la puedes solicitar desde
el servicio Web de Certificados o bien desde la herramienta Almacen de
Ceertificados.

Tercero.-

Por el lado del Servidor VPN (supongo que sera el servicio VPN incluido en
RRAS de W2k server o w2k3), tienes que solicitar bien desde desde el
servicio Web de Certificados o bien desde la herramienta Almacen de
Certificados, un certificado de SERVIDOR WEB.

Además deberás comprobar que en el el Almacen de Certificados Raiz de
Confianza del Servidor VPN, además existe la clave pública de tu Entidad
Emisora de Certificados. De lo contrario tambien la puedes solicitar desde
el servicio Web de Certificados o bien desde la herramienta Almacen de
Ceertificados.

Cuarto.-

Si el PC cliente es w2k pro debes cargar el parche 808143 pues resulta que
este s.o no esta preparado p ara NAT-T.
Si el PC cliente es wxp tienes que introducir una clave y valor nuevo en el
registro en la rama de maquina. (no me acuerdo ahora). Busca en la web de
windows que te indica muy bien. Busca por L2TP/IPSec.

Quinto.-

Recuerda tus cortafuegos, pues L2TP/IPSec de windows utiliza

UDP 500
UDP 4500
UDP 1701

Final.-

Esto es a rasgos generales. espero te sirva.

clemente



"Chus" escribió en el mensaje
news:%

Hola grupo, tengo algunas dudas. Actualmente dispongo de un server 2000
miembro de un dominio, colgado de internet para aceptar vpn por pptp. Esto
funciona correctamente. Quiero darle seguridad al asunto así que se me ha
ocurrido instalar en un DC del dominio (un w2003 server) una entidad de
certificados. Una vez instalada cojo un usuario del active directory con
permisos para establecer la vpn y me conecto por web al server 2003 para
pedir un certificado. Una vez con el certificado, que debo hacer?

He intentado conectarme por vpn de nuevo al server pero en lugar de
utilizar username y password he ido a las propiedades de la conexion vpn,
pestaña seguridad, opcion avanzada en configuracion tarjeta inteligente u
otro certificado y en propiedades he comprobado que el server 2003 está en
la lista pero no conecta.

Debo hacer algo más? Es necesario seleccionar L2TP o habilitar IPSEC para
usar certificados?

Gracias

Muchas gracias por tu explicación, me han aclarado bastantes cosas. Ya
he conseguido utilizar certificados para establecer comunicación. Una
última pregunta. Se puede pedir por web un certificado de máquina? Ya
que desde la consola mmc de certificados en los equipos que no están en
el dominio wxphome, pero que si tienen las credenciales en el dominio
(si, es un poco extraño) no me deja realizar una solicitud. He probado
desde Web pero parece que solo puedes pedir de usuario.

Otra duda que me surge... con mi certificado de usuario puedo
conectarme al server vpn desde cualquier máquina? es decir, exporto mi
certificado y el de la entidad de certificados, me los llevo en un usb y
me voy a casa, en casa me instalo ambos certificados e intento
conectarme al trabajo, eso es así y no hay ningún problema?

Gracias una vez mas, salu2

Hola de nuevo...

UNO

Con w2k server no se pueden emitir Certificados de Maquina a no ser que seas
miembro del dominio y ademas estes conectado al dominio.
Con w2k3 server creo que si se puede, pues dispone de más plantillas.

Este certificado de maquina te permitiria establecer conexiones vpn
l2tp/ipsec. Por ello un pc o un portatil fuera del dominio no puede obtener
este tipo de certificado con lo que las vpn ipsec no podrias establecerlas.

El truco a esto es emitir en la Entidad Emisora de Cetrtificados un
certificado "IPSEC (fuera de conexion)". Este certificado lo puedes exportar
a un fichero .pfx y luego importalo. Ademas, recordar, que tiene que
exportar tambien la clave publica de la Entidad cetrtificadora. Ambas cosas
te permitirian hacer vpn ipsec desde un pc que no es miembro del dominio.

Por ejemplo, lo podrias emitir desde la propia Entidad Certificadora. debes
indicar que la clave sea exportable y guardarlo en un disco usb.
Posteriormente lo puedes importar en otro pc o portatil.

El problema a esto es la Lista de Revocación de Certificados que no estaría
contralado por la Entidad Certificadora (PKI). No es muy grave pero
peligroso y falto de rigor desde la filosofia de una PKI.

DOS
Para el certificado de usuario, es otra guerra, si no eres miembro del
dominio y estas conectado en el dominio no te funciona.
Por ejemplo, un pc portatil que lo usas en la oficina y en casa.
Lo podrias hacer miembro del dominio en la oficina y solicitar un
certificado de usuario. Esto junto con las credenciales del usuario se
quedarian guardadas "cacheadas" en el portatil y esto te permitiria en una
conexion posterior validarte con el certificado del usuario. Para ello tu
portatil, tras la conexion debe poder llegar hasta la Entidad Certificadora
oara validar las credenciales.

Tambien puedes, emitirlo y guaradarlo en un disco usb y posteriormente
importarlos. Debes hacer que la clave privada sea exportable.



un saludo

clemente









"Chus" escribió en el mensaje
news:

clemente wrote:

Primero.-
Debes entender que los procesos de Autentificación de usuario (EAP_TLS) y
el Cifrado de Datos (IPSec) no distintos y cada uno de ellos pueden tener
su variantes.

El primero utiliza Certificado de Usuario para intercambio seguro de
credenciales del usuario (no se introducide usuario y contraseña). Para
que funcione debes tener acceso a la PKI y dominio. Si no fuere el caso
puedes sustituir el modo de autentificación a MSCHAP V.2, en este caso te
solicitaria usuario y contraseña.

El segundo utiliza un Certificado de Maquina para cifrar los datos
mediante L2TP/IPSec.

Segundo.-

Para obtener dichos certificados, el PC cliente deberá pertenecer y tener
acceso a la red y dominio (podrias hacerlo en remoto). Podras solicitar,
bien desde desde el servicio Web de Certificados o bien desde la
herramienta Almacen de Certificados, un certificado de USUARIO y un
certificado MAQUINA.

Si el PC cliente no puede tener acceso al dominio para solicitar un
Certificado de MAQUINA, se podría utilizar un Certificado IPSEC (fuera
conexión).


forma parte

Además deberás comprobar que en el el Almacen de Certificados Raiz de
Confianza del PC cliente, además existe la clave pública de tu Entidad
Emisora de Certificados. De lo contrario tambien la puedes solicitar
desde el servicio Web de Certificados o bien desde la herramienta Almacen
de Ceertificados.

Tercero.-

Por el lado del Servidor VPN (supongo que sera el servicio VPN incluido
en RRAS de W2k server o w2k3), tienes que solicitar bien desde desde el
servicio Web de Certificados o bien desde la herramienta Almacen de
Certificados, un certificado de SERVIDOR WEB.

Además deberás comprobar que en el el Almacen de Certificados Raiz de
Confianza del Servidor VPN, además existe la clave pública de tu Entidad
Emisora de Certificados. De lo contrario tambien la puedes solicitar
desde el servicio Web de Certificados o bien desde la herramienta Almacen
de Ceertificados.

Cuarto.-

Si el PC cliente es w2k pro debes cargar el parche 808143 pues resulta
que este s.o no esta preparado p ara NAT-T.
Si el PC cliente es wxp tienes que introducir una clave y valor nuevo en
el registro en la rama de maquina. (no me acuerdo ahora). Busca en la web
de windows que te indica muy bien. Busca por L2TP/IPSec.

Quinto.-

Recuerda tus cortafuegos, pues L2TP/IPSec de windows utiliza

UDP 500
UDP 4500
UDP 1701

Final.-

Esto es a rasgos generales. espero te sirva.

clemente



"Chus" escribió en el mensaje
news:%

Hola grupo, tengo algunas dudas. Actualmente dispongo de un server 2000
miembro de un dominio, colgado de internet para aceptar vpn por pptp.
Esto funciona correctamente. Quiero darle seguridad al asunto así que se
me ha ocurrido instalar en un DC del dominio (un w2003 server) una
entidad de certificados. Una vez instalada cojo un usuario del active
directory con permisos para establecer la vpn y me conecto por web al
server 2003 para pedir un certificado. Una vez con el certificado, que
debo hacer?

He intentado conectarme por vpn de nuevo al server pero en lugar de
utilizar username y password he ido a las propiedades de la conexion vpn,
pestaña seguridad, opcion avanzada en configuracion tarjeta inteligente u
otro certificado y en propiedades he comprobado que el server 2003 está
en la lista pero no conecta.

Debo hacer algo más? Es necesario seleccionar L2TP o habilitar IPSEC
para usar certificados?

Gracias

Muchas gracias por tu explicación, me han aclarado bastantes cosas. Ya he
conseguido utilizar certificados para establecer comunicación. Una última
pregunta. Se puede pedir por web un certificado de máquina? Ya que desde
la consola mmc de certificados en los equipos que no están en el dominio
wxphome, pero que si tienen las credenciales en el dominio (si, es un poco
extraño) no me deja realizar una solicitud. He probado desde Web pero
parece que solo puedes pedir de usuario.

Otra duda que me surge... con mi certificado de usuario puedo conectarme
al server vpn desde cualquier máquina? es decir, exporto mi certificado y
el de la entidad de certificados, me los llevo en un usb y me voy a casa,
en casa me instalo ambos certificados e intento conectarme al trabajo, eso
es así y no hay ningún problema?

Gracias una vez mas, salu2