Creacion de VPN SSTP con autenticación RADIUS

· Para este post vamos a hablar acerca de las VPN, las cuales nos permiten conectar equipos a las redes locales de nuestras empresas desde largas distancias, ya sea mediante dispositivos externos que se encuentran en movimiento, o mediante la conexión de dos organizaciones de la misma empresa que estén en diferentes ubicaciones, permitiendo a estas trabajar como si se encontraran en la misma red local. Pero en concreto vamos a hablar acerca de las conexiones VPN mediante autenticación SSTP, ya que, por defecto, el sistema de conexión de VPN es inseguro por la falta de un cifrado, debido a que utiliza un túnel de tipo “GRE (Generic Routing Encapsulation)”.

· En realidad existen unos cuantos tipos de cifrados para las conexiones de tipo VPN, como podrían ser PPTP (Point to Point Tunnelling Protocol), L2TP (Layer 2 Tunnelling Protocol) o IPSec, siendo esta la más segura de la lista mencionada, ya que nos ofrece confidencialidad, integridad y autenticación, empleando el nivel más alto de seguridad en los externos de la comunicación, pero en nuestro caso hablaremos de las de tipo SSTP, que permiten la conexión empleando el puerto web HTTPS/443.

· El protocolo de cifrado SSTP se encuentra basado en SSL (Secure Socket Layer), un protocolo de criptografía asimétrica empleado en los certificados x.509, que permiten autentificar la persona con las que te estas comunicando, esto aunque seguro puede resultar algo tedioso si se pierden las confianzas de los certificados o caducan, además este es un sistema que se esta sustituyendo por una versión mas moderna, el TLS (Transport Layer Security), que a diferencia de su antecesor, permite comunicaciones por las capa de transporte y no por la de puertos, que aunque para el usuario van a seguir siendo igual de lentos, va a representar mejoras de agilidad para el intercambio de certificados entre las máquinas y una mejora de seguridad, que aunque no sea tan grande como cabria esperar, siempre será bueno que los protocolos que representa seguridad se actualicen y revisen de forma periódica.

· Esta VPN SSTP la implementaremos sobre un Windows Server 2016 que nos servirá como RADIUS, el cual, mediante el protocolo NPS (Network Policy Server) atenderá las peticiones de autenticación siempre que su certificado SSTP este actualizado y pueda verificar que es quien dice ser, en este punto además mantendrá un registro de actividad de dicho usuario autenticado por seguridad.

Lo que provoca que además de tener que dedicar tiempo en la creación de unos certificados correctos y que además el servidor acepte, tengamos que prestarle atención a dicho servicio NPS, el cual, si no se encuentra configurado correctamente, puede resultar caótico para encontrar la solución más tarde, ya que, aunque nos ofrezca un sistema gráfico, no es precisamente guiado ni fácil para un usuario novato que no tenga previos conocimientos de lo que está realizando. Para ello dispongo de un videotutorial de su creación en varios Windows Server 2016, que podrá encontrarse en la pagina de Stream del instituto Tajamar.

Autor/a: Daniel Mateos Domínguez

Curso: Microsoft MCSA Windows Server 2016 + Azure + AWS

Centro: Tajamar

Año académico: 2019-2020

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.