En este artículo vamos a explicar como configurar y usar el programa “Access Manager VPN”, para establecer conexiones remotas seguras a través de un firewall Juniper SSG5.
Existen varias maneras de crear conexiones seguras entre ubicaciones remotas, principalmente las podemos dividir en 2:
- S2S (site to site): las conexiones remotas sitio a sitio mediante VPN, son la forma más habitual de establecer una conexión remota segura entre dos ubicaciones geográficamente separadas. La mayoría de empresas con delegaciones usan VPN con este esquema. Al establecer una conexión VPN entre dos dispositivos separados geográficamente, nos permite unirlos y que puedan disponer de todos los recursos de la red, como si estuvieran físicamente en la red.
- C2S (client to site): las conexiones remotas cliente a sitio mediante VPN, son la mejor forma de no invertir una gran cantidad de dinero, facilitando a un usuario remoto, por ejemplo un comercial sin ubicación fija, la conexión remota segura mediante VPN a la red corporativa y sus recursos.
En este artículo vamos a explicar como configurar un cliente C2S para establecer una conexión segura VPN mediante un firewall Juniper SSG5.
Vamos a imaginarnos que somos una empresa llamada Bibibirras SA y que tenemos a 10 comerciales repartidos por España con netbooks, estos comerciales usan su netbook para revisar su correo electrónico y navegar por Internet. Supongamos que la empresa Bibibirras SA decide implantar un CRM para el departamento comercial y desea dotar a sus comerciales de acceso a la herramienta de forma remota y segura.
Los primeros pasos que se tienen que hacer para proporcionar a los comerciales de Bibibirras SA del acceso remoto seguro al CRM, son configurar el firewall.
Partiendo que hemos escogido un firewall Juniper SSG5 que nos brinda hasta 20 conexiones o tuneles VPN a clientes remotos y la posibilidad de aumentarlo hasta un máximo de 40 previo pago de una amplicación de licencia.
Podéis obtener más info del firewall Juniper SSG5 aquí: http://www.juniper.net/us/en/products-services/security/ssg-series/ssg5/
Vamos a ver como configurar el firewall Juniper SSG5 para permitir el acceso remoto de los comerciales mediante un cliente VPN (C2S) gratuito.
Paso 1: acceso al router como administrador.
Accedemos al firewall como administrador con el nombre de usuario y contraseña pertinentes.
Paso 2: creación de grupo y usuarios locales.
Lo primero que tenemos que crear es un grupo, lo llamaremos USUARIOS_VPN, donde agregaremos los usuarios que tendrán acceso mediante cliente VPN. Para poder hacerlo debemos de entrar en: “Objects > Users > Local Groups”. Aquí clicamos en el botón “New” de arriba a la derecha, y le ponemos el nombre “USUARIOS_VPN”. Cerramos y ya tenemos el grupo creado. Cada vez que creemos un usuario nuevo, deberemos entrar en el grupo y agregarlo.
A continuación vamos a crear 2 usuarios para que tengan acceso remoto seguro mediante VPN. Clicamos en “Objects > Users > Local” y se nos abre la siguiente ventana:
En la imagen vemos ya dos usuarios creados, por seguridad hemos eliminado los nombres y referencias reales. Clicamos en el botón “New”:
Ponemos como “User Name” el nombre que querramos, es identificativo. Marcamos “IKE User” y “Simple Identify” seleccionando U-FQDN, introduciendo en el campo “IKE Identify” la identificación que necesitará el cliente VPN para poder conectarse al firewall y ser admitido. Por ejemplo, para la empresa Bibibirras SA el IKE Identify podría ser el e-mail del comercial. Vamos a poner pepe@bibibirras.com. Le damos a OK, y con este esquema creamos los usuarios que querramos. Una vez creado el usuario lo tenemos que añadir al grupo USUARIOS_VPN, entrando en “Objects > Users > Local Groups”, nos saldrá el grupo creado, clicamos en “Edit” y movemos de la columna de la derecha el usuario a la izquierda.
Paso 3: creación del gateway y asignación VPN a auto-key.
Debemos ahora crear el gateway y asociarlos al grupo de usuarios que hemos creado en el paso anterior.
Nos vamos a “VPNs > Auto Key Advanced”. Arriba a la derecha clicamos en “New” y creamos el gateway de la siguiente manera:
En el campo “Gateway Name” ponemos el nombre descriptivo que querramos, por ejemplo GW_BIBIBIRRAS. Marcamos como remote gateway la opción “Dialup user group” y seleccionamos el grupo de usuarios que hemos creado anteriormente “USUARIOS_VPN”. Le damos a OK y listo.
Una vez creado el gateway debemos de crear la VPN y asignarle este gateway. Esto lo hacemos entrando en la opción “VPNs > AutoKey IKE”. Clicamos en “New” y nos abre la siguiente ventana:
En el campo “VPN Name” ponemos un nombre identificativo, pondremos por ejemplo: VPN_BIBIBIRRAS. Seleccionamos dentro de “Remote Gateway” la opción predeterminada “Predefined” y en la derecha desplegamos la lista y seleccionamos el gateway que hemos creado antes “GW_BIBIBIRRAS”. Le damos a OK.
Paso 4: Creación de la regla de acceso en las políticas de acceso.
Ahora nos queda crear una regla de acceso en las políticas de acceso del firewall. Nos vamos a la opción “Policy>Policies”. En esta opción podemos ver todas las reglas definidas entre las zonas “Untrust” y “Trust”. Nosotros vamos a crear una regla en la zona “Untrust to trust”, ya que permitiremos el acceso desde un punto desconocido (IP desconocida pública) hasta nuestra red corporativa. Antes de clicar en el botón “New” debemos de poner en “From” la opción “Untrust” y en “To” la opción “Trust”.
Se nos abre la siguiente ventana, donde debemos de seleccionar primero de “Source Address” tal como está en la imagen. En “Destination Address” introduciremos el servidor donde tenemos la aplicación remota a la cual se quiere acceder, en el ejemplo de Bibibirras SA un CRM que se aloja en el servidor de terminal services.
Las demás opciones las dejamos igual que en la imagen y en el campo “Tunnel”, seleccionamos del desplegable “VPN” la vpn que hemos creado en el paso 3 (“VPN_BIBIBIRRAS”). Marcamos que los usuarios hagan logging al inicio de la sesión y listo.
Ya hemos completado todos los pasos que teníamos que hacer en el firewall de la empresa Bibibirras SA, ahora debemos de descargar el cliente VPN “Access Manager VPN” para que los comerciales puedan acceder. Esta explicación la haremos en el próximo artículo.