PDF de programación - SSL Explorer - OpenVPN ALS - Adito VPN

SSL EXPLORER – OPENVPN ALS –ADITO VPN





CONENIDOS

1 .

INTRODUCCIÓN ..................................................................................................... 3

2 .

INSTALACIÓN ........................................................................................................ 4























Instalación de Ubuntu .................................................................................................................... 4

Configuración proxy en apt-get ..................................................................................................... 4

Instalación de java .......................................................................................................................... 4

Configurar Ubuntu para que use el JAVA de SUN y no el OpenJDK ............................................ 5

Instalación apt ................................................................................................................................ 5

Instalación de ant ........................................................................................................................... 5

Instalación de Adito ....................................................................................................................... 5

Configuración de Adito .................................................................................................................. 5

Instalar el servicio ......................................................................................................................... 10

Arrancar el servicio ........................................................................................................................ 11

Reconfigurar Adito SSL ................................................................................................................. 11

3 .



CONFIGURACIÓN DE SERVICIOS ............................................................................. 12







Publicar una aplicación binaria: VNCVIEWER ............................................................................... 12

Publicar una aplicación binaria: VNCSERVER ............................................................................... 12

Establecer un túnel contra un servidor local .............................................................................. 20











1 . INTRODUCCIÓN

En este artículo revisaremos la solución Opensource OpenVPN ALS, una bifurcación del SSL Explorer, software que era
Opensource y que fue adquirido por Barracuda Networks.

Lo primero es señalar qué puede aportar Open VPN a un entorno empresarial:

-
-
-

-

Conexión a la intranet corporativa desde una red externa
Conexión al servidor de ficheros corporativo desde una red externa
Conexión para administradores a los servidores del Data Center desde una red externa (vía Putty, WinSCP, RDP o
VNC)
Control Remoto de Equipos de fuera de la red corporativa para el personal de Soporte, iniciado a petición del
usuario

- Acceso a determinados servicios internos (mensajería interna) pero cambiando el punto de conexión de la

aplicación cliente

Resumiendo, estamos haciendo accesibles los recursos internos de la empresa, de forma segura, a usuarios externos (tele-
trabajadores, usuarios móviles, colaboradores, etc.) sin necesidad de instalar ningún software en los equipos. Todo esto sin
pagar un duro en licencias de software.

Un aspecto importante de OpenVPN es que valida a los usuarios contra Active Directory (una de las Bases de Datos de
usuarios más extendida hoy en día), de forma que lo usuarios no tienen que gestionar otra password para acceder a este
servicio, y los administradores pueden usar los grupos de Active Directory para controlar el acceso de los usuarios a los
recursos publicados, evitando tener que descentralizar la gestión de los accesos a los recursos. Este aspecto es muy
importante, ya que si un usuario se da de baja en la empresa, bastaría con darlo de baja en Active Directory para evitar que
pueda seguir accediendo desde fuera a la información corporativa. Con múltiples repositorios de usuarios suele suceder que
se nos olvida dar de baja los usuarios de alguno de estos repositorios, con el consiguiente agujero de seguridad que se
crea…

A continuación se detallan los pasos que hay que seguir para tener este producto listo y funcionando en su organización, y
para configurar los servicios más fundamentales, con los cuales empezar a dar acceso a usuarios externos a los recursos
internos de la empresa.

Hemos realizado una aportación a la comunidad que consideramos importante, en forma de extensión. Se trata de una
extensión que permite publicar aplicaciones para que los usuarios que están fuera de la red corporativa puedan solicitar una
sesión de control remoto al personal de Help Desk, que está dentro de la red corporativa. Para ello nos hemos basado en el
software UltraVNC, también Opensource, y en una extensión que viene por defecto con Adito y que permite hacer lo
contrario (tomar control remoto desde fuera de la red interna a un PC de la red interna). Para nosotros resultaba más
importante el inverso, de cara a dar soporte a nuestros usuarios móviles, y por eso hemos desarrollado la extensión.

Página 3 de 21







2 .

INSTALACIÓN



Instalación de Ubuntu

Instalaremos un servidor Linux, en este caso hemos elegido Ubuntu, como podríamos haber elegido CentOS, ambas
soluciones Opensource y con coste en licencias igual a cero.

Concretamente hemos instalado Ubuntu 10.04 LTS

Configuración proxy en apt-get

administrador@srvv-ubuntu:/etc/apt$ more apt.conf

Acquire::http::Proxy "http://proxyuser:[email protected]:8080";



Además de esto editamos /etc/bash.bashrc:

export http_proxy=http://username:[email protected]:port/

export ftp_proxy=http://username:[email protected]/



Instalación de java

sudo apt-get install sun-java6-bin sun-java6-jdk

En Ubuntu 10.04 por defecto esto no funcionará, por la siguiente razón:

Sun Java moved to the Partner repository

For Ubuntu 10.04 LTS, the sun-java6 packages have been dropped from the Multiverse section of the Ubuntu archive. It is
recommended that you use openjdk-6 instead.

If you can not switch from the proprietary Sun JDK/JRE to OpenJDK, you can install sun-java6 packages from the Canonical
Partner Repository. You can configure your system to use this repository via command-line:

add-apt-repository "deb http://archive.canonical.com/ lucid partner"



Además de esto des-comentamos las líneas siguientes en el /etc/apt/sources.list

## Uncomment the following two lines to add software from Canonical's

## 'partner' repository.

## This software is not part of Ubuntu, but is offered by Canonical and the

## respective vendors as a service to Ubuntu users.

deb http://archive.canonical.com/ubuntu lucid partner

deb-src http://archive.canonical.com/ubuntu lucid partner

Página 4 de 21







Configurar Ubuntu para que use el JAVA de SUN y no el OpenJDK

sudo update-alternatives --config java

There are 2 choices for the alternative java (providing /usr/bin/java).



Selection Path Priority Status

------------------------------------------------------------

* 0 /usr/lib/jvm/java-6-openjdk/jre/bin/java 1061 auto mode

1 /usr/lib/jvm/java-6-openjdk/jre/bin/java 1061 manual mode

2 /usr/lib/jvm/java-6-sun/jre/bin/java 63 manual mode



Press enter to keep the current choice[*], or type selection number: 2

update-alternatives: using /usr/lib/jvm/java-6-sun/jre/bin/java to provide /usr/bin/java (java) in manual mode.



Instalación apt

sudo apt-get install apt-file

sudo apt-file update



Instalación de ant

sudo apt-get install ant



Falla la descarga de algunos componentes, por lo que hacemos lo siguiente:

sudo apt-get install ant --fix-missing



Instalación de Adito

Descomprimir el zip en un directorio.

Nos vamos a ese directorio y ejecutamos:

sudo apt-get install ant



Nos conectamos vía WEB: http://srvv-ubuntu:20080

Configuración de Adito

Una vez instalado Adito, tenemos que conectarnos con el navegador para realizar la configuración (Configuración del
Certificado Digital, método de autenticación, etc). En nuestro caso hemos elegido las opciones básicas de configuración,
salvo en lo que se refiere a la B.D. de usuarios. En este caso, hemos optado por usar la B.D. corporativa (Active Directory de
Microsoft). Nos ha dado un poco de guerra pero finalmente hemos conseguido que los usuarios se autentiquen contra esta
base de datos.

Página 5 de 21











Página 6 de 21













Página 7 de 21













Página 8 de 21













Página 9 de 21











Instalar el servicio

sudo ant install-service

Buildfile: build.xml



set-tools:



check-tools:



check-permissions:



install-service:

[echo] Installing Adito as Linux service

[exec] Detecting Java

[exec] Using /usr/lib/jvm/java-6-sun-1.6.0.20/jre

[exec] Detected OS debian (x86)

[exec] update-rc.d: warning: /etc/init.d/adito missing LSB information

[exec] update-rc.d: see <http://wiki.debian.org/LSBInitScripts>

[exec] Adding system startup for /etc/init.d/adito ...

[exec] /etc/rc0.d/K20adito -> ../init.d/adito

[exec] /etc/rc1.d/K20adito -> ../init.d/adito

[exec] /etc/rc6.d/K20adito -> ../init.d/adito

[exec] /etc/rc2.d