Páginas

domingo, 26 de mayo de 2013

Alfresco Community 4.2.c indexando en Solr

Introducción

En esta entrada vamos a detallar cómo instalar y configurar alfresco-community (versión 4.2.c) para que utilice Solr como motor de indexación. Cada uno de los dos aplicativos correrá en su propia instancia de Tomcat, simulando así un entorno de producción donde se intenta evitar que la sobrecarga de los procesos de indexación de documentos afecten al rendimiento de Alfresco.

Descargas

Descargar las aplicaciones
  • Alfresco. Lo descargamos de la URL: 
    https://process.alfresco.com/ccdl/?file=release/community/build-04576/alfresco-community-4.2.c.zip
  • Solr. Lo descargamos de la URL: 
    https://process.alfresco.com/ccdl/?file=release/community/build-04576/alfresco-community-solr-4.2.c.zip

Descargar el entorno de trabajo

Para conocer los requisitos de funcionamiento de la versión 4.2.c de Alfresco se ha consultado la documentación ofrecida en el siguiente enlace: http://wiki.alfresco.com/wiki/Alfresco_Community_4.2.c_Release_Notes.
  • BBDD. Elegimos PostgreSQL 9.1
  • JDK. Elegimos jdk-7u7-linux-i586.tar.gz
  • Servidor. Elegimos Tomcat 7.0.30

Instalacion del entorno

Instalación de PostgreSQL 9.1

Descargamos 'PostgreSQL 9.1' y la consola de administración 'pgAdmin III' mediante los comandos:

    sudo apt-get postgresql
    sudo apt-get pgadmin3


Iniciamos pgadmin3 mediante el comando:

    $ pgadmin3

Definimos una nueva conexión con la BBDD recien instalada, haciendo clic en la opción Añadir servidor del menú Archivo:
  • Nombre de la conexión: localhost
  • Servidor: 127.0.0.1
  • Puerto: 5432
  • Usuario: postgres
  • Password: <SIN PASSWORD>
Hacemos doble clic sobre el nuevo servidor localhost y:
  • Haciendo clic con el botón derecho del ratón sobre la opción Login Roles definimos un nuevo rol de login alfresco/alfresco con privilegios Supersuer 
  • Haciendo clic con el botón derecho del ratón sobre la opción Databases definimos una nueva BBDD:
        - Nombre: alfresco
        - Propietario: alfesco
        - Encoding: UTF-8
        - Collation: en_GB.utf8
        - Character type: en_GB.utf8

Instalación del JDK 1.7.0 u7
  • Descargamos el 'JDK 1.7.0 u7' de la URL: http://download.oracle.com/otn/java/jdk/7u7-b10/jdk-7u7-linux-i586.tar.gz
  • Descomprimimos el fichero 'jdk-7u7-linux-i586.tar.gz' en la carpeta /opt/jdk1.7.0_07
Instalación de la instancia Tomcat 7.0.30 para Alfreco
  • Descargamos 'Tomcat 7.0.30' de la URL: http://archive.apache.org/dist/tomcat/tomcat-7/v7.0.30/bin/apache-tomcat-7.0.30.tar.gz
  • Creamos la carpeta /opt/alfresco
  • Descomprimimos el fichero 'apache-tomcat-7.0.30.tar.gz' en la carpeta /opt/alfresco/apache-tomcat-7.0.30
  • Renombramos la carpeta /opt/apache-tomcat-7.0.30 como /opt/alfresco/tomcat
  • Ajustamos el Tomcat según las instrucciones de la página de Alfresco: http://wiki.alfresco.com/wiki/Install_Tomcat6
        - Creamos las carpetas /opt/alfresco/tomcat/shared/classes/
        - Creamos las carpetas /opt/alfresco/tomcat/shared/lib/
        - Ajustamos la propiedad 'shared.loader' del fichero /opt/tomcat-alfresco/conf/catalina.properties con el valor:

            shared.loader=${catalina.base}/shared/classes,${catalina.base}/shared/lib/*.jar
  • Ajustamos el fichero /opt/alfresco/tomcat/bin/startup.sh añadiendo las siguientes líneas al inicio del mismo
            export JAVA_HOME=/opt/jdk1.7.0_07             
            export ALF_HOME=.            
            export JAVA_OPTS='-Xmx512m -Xmx1024m -Xss256k -XX:MaxPermSize=256m -XX:NewSize=256m -server'             
            export JAVA_OPTS="${JAVA_OPTS} -Dalfresco.home=${ALF_HOME} -Dcom.sun.management.jmxremote"             
            export JAVA_OPTS="${JAVA_OPTS} -Dsun.security.ssl.allowUnsafeRenegotiation=true"
  • Ajustamos el fichero /opt/alfresco/tomcat/conf/tomcat-users.xml añadiendo dentro del bloque <tomcat-users> los siguiente:
            <role rolename="manager-gui"/>             
            <user username="admin" password="admin" roles="manager-gui,manager-script,manager-jmx,manager-status"/>

Instalación de la instancia Tomcat 7.0.30 para Solr
  • Ya tenemos descargado 'Tomcat 7.0.30' del paso anterior
  • Creamos la carpeta /opt/solr
  • Descomprimimos el fichero 'apache-tomcat-7.0.30.tar.gz' en la carpeta /opt/solr/apache-tomcat-7.0.30
  • Renombramos la carpeta /opt/apache-tomcat-7.0.30 como /opt/solr/tomcat
  • Ajustamos el fichero /opt/solr/tomcat/bin/startup.sh añadiendo las siguientes líneas al inicio del mismo
            export JAVA_OPTS="-Dsun.security.ssl.allowUnsafeRenegotiation=true"
  • Ajustamos el fichero /opt/solr/tomcat/conf/server.xml
        - Cambiar 8005 por 9005 en la línea:
       
            <Server port="8005" shutdown="SHUTDOWN">

        - Cambiar 8080 por 9080 y 8443 por 9443 en el bloque:

            <Connector port="8080" protocol="HTTP/1.1"
                connectionTimeout="20000"
                redirectPort="8443" />


        - Cambiar 8009 por 9009 y 8443 por 9443 en al bloque:
       
            <Connector port="9009" protocol="AJP/1.3" redirectPort="9443" />
       
  • Ajustamos el fichero /opt/alfresco/tomcat/conf/tomcat-users.xml añadiendo dentro del bloque <tomcat-users> los siguiente:
        <role rolename="manager-gui"/>
        <user username="admin" password="admin" roles="manager-gui,manager-script,manager-jmx,manager-status"/>


Instalación y ajuste de Alfresco
  • Extraemos el contenido del zip de alfresco (alfresco-community-4.2.c.zip) en /opt/alfresco
  • Copiamos el contenido de /opt/alfresco/web-server en /opt/alfresco/tomcat (permitiendo merge all y replace all)
  • Ajustamos el propietario de /opt/alfresco con:
        sudo chown -R alfresco:alfresco /opt/alfresco
  • Creamos el fichero
        /opt/alfresco/tomcat/shared/classes/alfresco-global.properties

    a partir del fichero

        /opt/alfresco/tomcat/shared/classes/alfresco-global.properties.sample
  • En el fichero /opt/alfresco/tomcat/shared/classes/alfresco-global.properties añadimos/descomentamos/ajustamos lo siguientes:
        dir.root=/opt/alfresco/alf_data
        alfresco.port=8080
        share.port=8080
        avm.rmi.service.port=50501
        avmsync.rmi.service.port=50502
        attribute.rmi.service.port=50503
        authentication.rmi.service.port=50504
        repo.rmi.service.port=50505
        action.rmi.service.port=50506
        wcm-deployment-receiver.rmi.service.port=50507
        monitor.rmi.service.port=50508
        db.name=alfresco
        db.host=localhost
        db.port=5432
        db.driver=org.postgresql.Driver
        db.url=jdbc:postgresql://${db.host}:${db.port}/${db.name}


  •  Creamos el fichero
         /opt/alfresco/tomcat/shared/classes/alfresco/web-extension/share-config-custom.xml

    a partir del fichero

        /opt/alfresco/tomcat/shared/classes/alfresco/web-extension/share-config-custom.xml.sample
  • En el fichero /opt/alfresco/tomcat/shared/classes/alfresco/web-extension/share-config-custom.xml descomentamos el primer bloque (ojo que hay dos) <config evaluator="string-compare" condition="Remote">
  • Arrancamos el tomcat de alfresco con:
        /opt/alfresco/tomcat/bin/startup.sh
  • Monitorizamos la consola con:
        tail -f /opt/alfresco/tomcat/logs/catalina.out
  • Probamos que todo funciona accediendo a las URL:
        http://localhost:8080/share (admin/admin)
        http://localhost:8080/alfresco/faces/jsp/login.jsp (admin/admin)

Instalación y ajuste de Solr
  • Extraemos el contenido del zip de solr (alfresco-community-solr-4.2.c.zip) en /opt/solr
  • Ajustamos el propietario de /opt/solr con:       
        sudo chown -R alfresco:alfresco /opt/solr
  • Copiamos el fichero
        /opt/solr/alfresco-community-solr-4.2.c/solr-tomcat-context.xml
    
    creando las carpetas necesarias, en

        /opt/solr/tomcat/conf/Catalina/localhost/solr.xml 
  • Editamos el fichero /opt/solr/tomcat/conf/Catalina/localhost/solr.xml y remplazamos las dos apariciones de @@ALFRESCO_SOLR_DIR@@ por /opt/solr
  • Creamos la carpeta /opt/solr/solrdata
  • Editamos el fichero /opt/solr/workspace-SpacesStore/conf/solrcore.properties y reemplazamos @@ALFRESCO_SOLR_DIR@@ por /opt/solr/solrdata
  • Editamos el fichero /opt/solr/archive-SpacesStore/conf/solrcore.properties y reemplazamos @@ALFRESCO_SOLR_DIR@@ por /opt/solr/solrdata

Ajustes SSL para Alfresco
  • Creamos la carpeta /opt/alfresco/alf_data/keystore
  • Copiamos el contenido de
            /opt/alfresco/tomcat/webapps/alfresco/WEB-INF/classes/alfresco/keystore

        en


            /opt/alfresco/alf_data/keystore
  • Editamos el fichero /opt/alfresco/tomcat/conf/tomcat-users.xml añadiendo lo siguiente al bloque <tomcat-users>:
            <user username="CN=Alfresco Repository Client, OU=Unknown,
            O=Alfresco Software Ltd., L=Maidenhead, ST=UK, C=GB"
            roles="repoclient" password="null"/>

  • Editamos el fichero /opt/alfresco/tomcat/conf/server.xml añadiendo en el nodo <Service name="Catalina"> lo siguiente:
            <Connector port="8443"
                protocol="org.apache.coyote.http11.Http11Protocol"
                SSLEnabled="true"
                maxThreads="150"
                scheme="https"
                keystoreFile="/opt/alfresco/alf_data/keystore/ssl.keystore"
                keystorePass="kT9X6oe68t"
                keystoreType="JCEKS"
                secure="true"
                connectionTimeout="240000"
                truststoreFile="/opt/alfresco/alf_data/keystore/ssl.truststore"
                truststorePass="kT9X6oe68t"
                truststoreType="JCEKS"
                clientAuth="false"
                sslProtocol="TLS"
                allowUnsafeLegacyRenegotiation="true"
            />

  • Ajustamos el fichero /opt/alfresco/tomcat/shared/classes/alfresco-global.properties añadiendo/modificando/descomentado:
            dir.keystore=${dir.root}/keystore
            index.subsystem.name=solr
            solr.port.ssl=9443
            solr.port=9080
            solr.secureComms=https


Ajustes SSL para Solr
  • Creamos la carpeta /opt/solr/keystore
  • Copiamos el contenido de
            /opt/alfresco/tomcat/webapps/alfresco/WEB-INF/classes/alfresco/keystore

        en

            /opt/solr/keystore
  • Editamos el fichero /opt/solr/tomcat/conf/tomcat-users.xml añadiendo lo siguiente al bloque <tomcat-users>:
            <user username="CN=Alfresco Repository, OU=Unknown,
            O=Alfresco Software Ltd., L=Maidenhead, ST=UK, C=GB"
            roles="repository" password="null"/>

  • Editamos el fichero /opt/solr/tomcat/conf/server.xml añadiendo en el nodo  <Service name="Catalina"> lo siguiente:
            <Connector port="8443"
                protocol="org.apache.coyote.http11.Http11Protocol"
                SSLEnabled="true"
                maxThreads="150"
                scheme="https"
                keystoreFile="/opt/solr/keystore/ssl.keystore"
                keystorePass="kT9X6oe68t"
                keystoreType="JCEKS"
                secure="true"
                connectionTimeout="240000"
                truststoreFile="/opt/solr/keystore/ssl.truststore"
                truststorePass="kT9X6oe68t"
                truststoreType="JCEKS"
                clientAuth="false"
                sslProtocol="TLS"
                allowUnsafeLegacyRenegotiation="true"
            />


Puesta en marcha y verificación del funcionamiento

Para poner en marcha lo anterior deberemos arrancar solr y alfresco:

/opt/solr/tomcat/bin/startup.sh
/opt/alfresco/tomcat/bin/startup.sh

Una vez levantados ambos servidores, verificamos el número de ficheros de los índices en Solr:

/opt/solr/solrdata/workspace/SpacesStore/index

Accedemos al portal http://localhost:8080/share, entrando con admin/admin, accedemos al espacio de invitado del repositorio y añadimos algún documento.

Si todo va bien deberíamos ver que el número de ficheros de la carpeta de índices del solr ha variado.

miércoles, 22 de mayo de 2013

Balanceo de carga y SSL con Apache y Tomcat

Introducción

Vamos a configurar un servidor Apache para servir una aplicación web desplegada en varias instancias Tomcat balanceando la carga de trabajo entre los servidores. Supondremos además que el acceso a la aplicacionón se realiza a través del protocolo https.

La comunicación entre el servidor web Apache y los distintos Tomcat se realiza usando el protocolo AJP.

El usuario accederá a la url https://servidor.org/app-web/ eligirá un certificado de acceso, establecerá sesión ssl con el servidor y Apacheredirigirá la petición a alguno de los Tomcat balanceados.

Una vez establecida la sesión de trabajo con un cierto Tomcat, Apache mantendrá las restantes peticiones del usuario en ese mismo Tomcat.

Instalación y configuración de los servidores Tomcat

El primer paso para realizar la configuración consiste en instalar y configurar varias instancias del servidor Tomcat. Para ello descargamos Tomcat (por ejemplo la versión apache-tomcat-6.0.35.zip) y lo descomprimimos en tantas carpetas distintas como deseemos. Una vez instalados debemos hacer una serie de cambios en la configuración de todos ellos.

Cambiar la variable CATALINA_HOME

Debemos cambiar la variable CATALINA_HOME de cada uno de los Tomcat para que apunte a la carpeta en la que está instalado. Para ello editamos el fichero bin/catalina.sh y en la primera línea escribimos:

 CATALINA_HOME=/home/egdepedro/balanceo/apache-tomcat-6.0.35-00

Cambiando la carpeta por la correspondiente en cada uno de ellos.

Configurar el puerto del servidor

Debemos configurar los Tomcat para que usen puertos distintos y no den errores en el arranque. En el archivo conf/server.xml debemos cambiar el puerto indicado en la línea:

<Server port="8005" shutdown="SHUTDOWN">

Usando distintos puertos en cada instancia. Por ejemplo 8005, 8006, 8007...

Configurar los conectores AJP

En el mismo fichero conf/server.xml debemos buscar la siguiente línea:

<Connector port="10009" protocol="AJP/1.3" redirectPort="8443" />

Y del mismo modo usar distintos puertos en cada instancia 10009, 10109, 10209...

Deshabilitar el conector HTTP

Este paso es opcional. Si lo deseamos podemos eliminar la configuración para los conectores HTTP borrando la siguiente línea del fichero conf/server.xml:

    <Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443" />

De este modo la única forma de acceder al servidor es a través del conector AJP. Si deseamos seguir manteniendo el acceso por HTTP debemos asegurarnos de usar puertos distintos en cada instancia.

Configurar la ruta jvmRoute

Por último debemos indicar una jvmRoute a cada instancia para que sea accesible por el servidor Apache. Este nombre ha de ser único por cada Tomcat y será el que se use en la configuración de Apache. En el fichero conf/server.xml buscamos y modificamos la linea:

<Engine name="Catalina" defaultHost="localhost" jvmRoute="00">

Por último desplegamos las aplicaciones que queremos balancear y arrancamos todas las instancias de Tomcat asegurándonos de que arranquen sin errores.

Configuración del balanceador (mod_jk)

El primer paso para configurar el balanceo de carga es habilitar el módulo de apache encargado de ello. Para ello en el fichero httpd.conf debemos incluir la siguiente línea en la zona de carga de módulos

LoadModule jk_module modules/mod_jk.so

Ahora debemos configurar el módulo. Para ello pondremos la configuración en un fichero aparte que incluiremos de la siguiente forma

include /opt/apache/conf/extra/httpd-jk.conf

Fichero httpd-jk.conf

<IfModule jk_module>

  JkWorkersFile /opt/apache/conf/workers.properties
  JkShmFile /opt/apache/logs/jk.shm

  JkLogFile logs/mod_jk.log
  JkLogLevel info
  JkLogStampFormat  "[%a %b %d %H:%M:%S %Y] "
  # JkRequestLogFormat
  JkRequestLogFormat "%w %V %T"

  # JkOptions indicates to send SSK KEY SIZE
  JkOptions +ForwardKeySize +ForwardURICompat -ForwardDirectories
              
  # You can use external file for mount points.
  # It will be checked for updates each 60 seconds.
  # The format of the file is: /url=worker
  JkMountFile conf/uriworkermap.properties

  # Add jkstatus for managing runtime data
  <Location /jkmanager/>
    JkMount jkstatus
    Order deny,allow
    Deny from all
    Allow from 127.0.0.1
  </Location>

  # Should mod_jk send SSL information to Tomcat (default is On)
  JkExtractSSL On
  # What is the indicator for SSL (default is HTTPS)
  JkHTTPSIndicator HTTPS
  # What is the indicator for SSL session (default is SSL_SESSION_ID)
  JkSESSIONIndicator SSL_SESSION_ID
  # What is the indicator for client SSL cipher suit (default is SSL_CIPHER)
  JkCIPHERIndicator SSL_CIPHER
  # What is the indicator for the client SSL certificated (default is SSL_CLIENT_CERT)
  JkCERTSIndicator SSL_CLIENT_CERT
</IfModule>

Lo más interesante de este fichero son las líneas donde se configura JkWorkersFile para poner el fichero donde se indican las distintas instancias de Tomcat configuradas. Otra configuración importante es la que se indica JkMountFile. En este fichero configuraremos las url que queramos mapear al balanceador. Las últimas líneas son interesantes para cuando configuremos el SSL.

Fichero workers.properties

worker.list=jkstatus,lb

worker.00.host=localhost
worker.00.port=10009
worker.00.type=ajp13
worker.00.fail_on_status=-404,500,503

worker.01.host=localhost
worker.01.port=10109
worker.01.type=ajp13
worker.01.fail_on_status=-404,500,503

worker.lb.type=lb
worker.lb.balance_workers=00,01
worker.lb.sticky_session=true
worker.lb.method=B

worker.jkstatus.type=status

En este fichero se configura la lista de workers. En la primera línea indicamos que vamos a usar el worker jkstatus, útil para acceder a la configuración del módulo desde un navegador, y el worker lb que es realmente el balanceador.

Después configuramos los worker correspondientes a cada uno de los tomcat. En este punto es muy importante nombrar a cada uno de ellos de la misma forma que los nombramos mediante el parámetro jvmRoute en sus ficheros server.xml. Esta será la forma en que el balanceador sepa la forma de redirigir las peticiones a cada uno de los tomcat. Además indicamos el host, el puerto AJP, el tipo de worker y los errores que queremos que se propaguen al apache. Si no indicamos la línea fail_on_status apache irá saltando de tomcat en tomcat cuando las instancias devuelvan errores.

Posteriormente configuramos el worker lb indicando su tipo, los worker ajp asociados, el método de balanceo y la propiedad sticky_session. Esta propiedad se usa para indicar al balanceador que mantenga cada sesión de usuario en el mismo tomcat en el que se lanzó inicialmente. Para aplicaciones web que mantienen datos en sesión esta es la forma de mantenerlos.

Por último se configura el worker jkstatus para proporcionar información acerca del módulo.

Fichero uriworkermap.properties

/jkstatus/*=jkstatus
/app-web/*=lb

En este fichero indicamos que las peticiones a jkstatus sean atendidas por el worker apropiado y las peticiones a app-web (nuestra aplicación balanceada) sean atendidas por el balanceador de carga.

Configuración de SSL

Debemos activar el módulo SSL del mismo modo que activamos el módulo jk. Incluimos las siguientes líneas en la zona de carga de módulos del fichero httpd.conf:

LoadModule ssl_module modules/mod_ssl.so

En caso de que no se encuentre cargado también debemos activar el módulo headers para la gestión de las cabeceras de las peticiones:

LoadModule headers_module modules/mod_headers.so

Ahora debemos configurar el módulo. Para ello pondremos la configuración en un fichero aparte que incluiremos de la siguiente forma

Include /opt/apache/conf/extra/httpd-ssl.conf

Fichero httpd-ssl.conf

En este fichero dejamos todos los valores por defecto salvo las siguientes líneas que incluiremos al final:

Include conf/extra/proxypass.conf
Include conf/extra/proxypass/*.conf

Fichero proxypass.conf

En el fichero proxypass.conf configuramos las opciones generales para https

#Parametros SSL
SSLEngine on
SSLCertificateFile    /opt/apache/conf/server.crt
SSLCertificateKeyFile /opt/apache/conf/server.key
SSLCACertificateFile  /opt/apache/conf/certificadosCA.crt
SSLVerifyClient none
SSLVerifyDepth 2
SSLOptions +ExportCertData
SSLInsecureRenegotiation on
#SSLOptions +ExportCertData +OptRenegotiate

#Inicializo cabeceras
RequestHeader set SSL_CLIENT_S_DN ""
RequestHeader set SSL-CLIENTCERT-PEM ""
RequestHeader set SSL_CLIENT_VERIFY ""
RequestHeader set SSL_CLIENT_CERT_CHAIN_0 ""

Las opciones más interesantes son SSLCertificateFile que indicará el fichero con el certificado del servidor, SSLCertificateKeyFile que indica el fichero con la clave privada del servidor y SSLCACertificateFile que referencia al fichero con los certificados de los clientes (o los de sus CA's) en los que confiemos.

Fichero proxypass/app-web.conf

En este fichero incluiremos las opciones específicas de configuración de SSL para cada aplicación. En nuestro caso estamos configurando la aplicación app-web

<Location /app-web/* >
 #Cabeceras con ssl-clientcert-pem
 SSLVerifyClient require
 RequestHeader set SSL_CLIENT_S_DN "%{SSL_CLIENT_S_DN}s"
 RequestHeader set SSL-CLIENTCERT-PEM "%{SSL_CLIENT_CERT}s"
 RequestHeader set SSL_CLIENT_VERIFY "%{SSL_CLIENT_VERIFY}s"
 RequestHeader set SSL_CLIENT_CERT_CHAIN_0 "%{SSL_CLIENT_CERT_CHAIN_0}s"
 JkMount lb
 SSLRenegBufferSize 1000000000
</Location>

Lo más interesante de este fichero es la línea JkMount lb que indica el montaje del balanceador de carga para atender a las peticiones en la url /app-web/* por protocolo seguro. Además indicamos que para estas peticiones requerimos certificado de cliente mediante la línea SSLVerifyClient require.

sábado, 11 de mayo de 2013

Conexiones VPN PPTP y OpenVPN desde Ubuntu 12.04

Introducción a las VPN

Una VPN (Virtual Private Network) es una tecnología que permite extender de forma segura una red privada sobre otra pública como Internet.

Comunmente las VPN se usan para trabajar en la red de una empresa sin estar físicamente en ella. Una vez conectados al servidor VPN de la empresa, nuestro ordenador pasará a formar parte de la red de la empresa, accediendo a los servidores y recursos disponibles en la misma.

El mecanismo se describe el siguiente diagrama:

Características de una VPN

Una VPN debe garantizar dos cuestiones fundamentales:
  • Autenticación de usuario. Cuando conectamos al servidor de VPN deberemos identificarnos con un certificado o un usuario/contraseña. De este modo se restringe el acceso a personas no autorizadas.
  • Cifrado de datos. Dado que la conexión a una VPN implica la circulación de datos por redes "públicas", si queremos garantizar la confidencialidad de los mismos deberemos cifrarlos. El cifrado se realiza con algoritmos de clave simétrica (DES o 3DES) cuyas claves han sido intercambiadas previamente mediante el típico handshaking SSL.
Tipos de VPN según el mecanismo de conexión

Hay varios tipos de VPN:
  • VPN punto a punto. Muy poco usada en la actualidad. Esta modalidad implica la conexión al servidor de VPN mediante líneas de datos dedicadas: modem, RDSI, etc.
  • Tunneling. Es el tipo de VPN más frecuente hoy en día. El servidor VPN de la empresa es visible en Internet y conectamos al mismo a través de nuestro ISP (proveedor de acceso a internet). La conexión está cifrada para evitar "escuchas" no deseadas. El protocolo de red usado en la empresa (por ejemplo IPX) queda encapsulado y cifrado dentro del protocolo que usamos para transmitir/recibir datos en Internet (por ejemplo TCP/IP).
Usos típicos de las VPN

Hoy en día las VPN se usan también en escenarios distintos del escenario para el que fueron ideadas (conexión remota a la red local de la empresa). Algunos de estos escenarios son:
  • Aislar dentro de la LAN (red de area local) de una empresa una subred con información sensible. Por ejemplo podríamos tener todos los servidores y ordenadores del departamento de investigación y desarrollo en una VPN montada sobre la propia LAN para evitar escuchas de los paquetes por parte de empleados desleales, la información de la VPN se mueve por la LAN, pero cifrada.
  • Navegación anónima en Internet. Navegar por Internet con nuestra propia dirección IP y sin encriptar acarrea deficiencias de seguridad: se dejan muchos rastros de nuestras actividades en todo tipo de servidores, hay portales como Netflix que sólo son visibles desde determinadas zonas geográficas (EEUU), las empresas colocan proxies que limitan el acceso a determinados servicios (youtube, facebook, irc, descargas, etc), etc.


Hay muchos proveedores de VPN en Internet que permiten una navegación segura y anónima. Muchos son de pago y haya algunos gratuítos. Ojo con estos últimos, no adelantamos mucho navegando en modo cifrado si el servidor VPN no es confiable, Yo nunca realizaría una transacción bancaria o un pago con tarjeta a través de un servidor de este tipo.

La utilización de una conexión VPN gratuíta o de pago nos permite:

  • Que nuestros paquetes de datos estén cifrados, por lo que nadie conoce qué estamos realizando.
  • Podemos conectar a un servidor VPN de la zona geográfica que nos interese (por ejemplo EEUU), con lo que accederíamos a portales como Netflix.
  • Si el proxy de la empresa no nos deja acceder a YouTube, podemos conectar a un servidor VPN y acceder con la IP de la red virtual a YouTube. El proxy de la empresa no puede ver los datos de nuestros paquetes, dado que van cifrados, por lo que no puede restringirnos el acceso.

Protocolos VPN

El protocolo estándar de facto es el IPSEC, pero también están PPTP, L2F, L2TP, SSL/TLS, SSH, etc.

Los distintos protocolos VPN tienen puntos fuertes y puntos débiles. Vamos a comparar las tres más comunes:

  • PPTP. PPTP (Protocolo de Túnel Punto a Punto) es un buen protocolo VPN ligero que ofrece una seguridad básica en línea y velocidades rápidas. PPTP está integrado en una gran variedad de equipos de sobremesa y dispositivos móviles y cuenta con encriptación de 128 bits. PPTP es una buena elección si OpenVPN no está disponible en su dispositivo y la velocidad es la máxima prioridad.
  • IPSEC. L2TP (Protocolo de tunelización de Capa 2) con IPsec (Seguridad de IP) es un protocolo integrado muy seguro para una amplia variedad de dispositivos de escritorio y móviles. L2TP/IPsec ofrece un encriptado de 256-bits, pero la seguridad extra de sobrecarga requiere más uso del CPU que PPTP. L2TP/IPsec es una elección excelente si OpenVPN no está disponible en su dispositivo, pero usted quiere más seguridad que PPTP.
  • OpenVPN(SSL). OpenVPN es el protocolo VPN premier diseñado para redes de banda ancha modernas, pero no es compatible con los dispositivos móviles y tablets. OpenVPN ofrece un encripado de 256-bits y es extremadamente estable y rápido en las redes con largas distancias y alto tiempo de espera. Provee mayor seguridad que PPTP y requere menor uso de CPU que L2TP/IPsec. OpenVPN es el protocolo recomendado para escritorios incluyendo Windows, Mac OS X, y Linux.

Lo habitual es utilizar software tanto en el servidor como en los clientes VPN, pero también se puede montar la VPN mediante hardware, lo que da una mayor velocidad a las comunicaciones, pero es mucho mas caro y ofrece menos versatilidad.

Conectar a un servidor VPN desde Ubuntu 12.04

Instalación del software cliente

Vamos a ver ahora como conectar a un servidor VPN con Ubuntu 12.04. Lo primero será instalar el software cliente. En Ubuntu 12.04 viene preinstalado con un cliente para el protocolo PPTP, vamos a instalar también un cliente para el protocolo SSL (Openvpn). Para ello ejecutaremos en la consola el comando:

    sudo apt-get install network-manager-pptp
    sudo apt-get install network-manager-openvpn

Por último reiniciamos el equipo

Configurar una conexión VPN a un servidor VPN de tipo PPTP

Vamos a conectar con una red VPN-PPTP gratuíta (http://www.vpnbook.com/) (ojo con la fiabilidad de estos servicios gratuítos). Los pasos a dar son:

  • Abrimos el panel de configuración de la red, haciendo clic con el botón derecho del ratón en el icono de red de la esquina superior derecha de la pantalla y seleccionando la opción "Configuración de la red".
  • Bajo la lista de conexiones de red, pulsamos el botón "+" para añadir la interfaz VPN y pulsamos crear.
  • Elegimos ahora una conexión de tipo PPTP y pulsamos crear.
  • En la pantalla de configuración introducimos los datos proporcionados por el servidor VPN:

        Pasarela: euro1.vpnbook.com
        Usuario: vpnbook
        Contraseña: adv7ebeh
        Opciones avanzadas. Activamos la opción usar cifrado MPPE

Pulsamos el botón Guardar y listo.

Ya sólo queda activar la conexión VPN PPTP gratuíta y navegar un poco. Ojo donde nos metemos con estas conexiones, sólo hay que probar la velocidad de conexión con portales como http://www.speedtest.com para ver que el servidor VPN está en Rumanía.

Configurar una conexión VPN a un servidor VPN de tipo OpenVPN(SSL)

Vamos a conectar con una red VPN-OpenVPN gratuíta,  para este ejemplo hemos elegido vpnbook (http://www.vpnbook.com/). Ojo con la fiabilidad de estos servicios gratuítos.

Para conectar a una VPN con SSL, usando por elemplo la implementación OpenVPN necesitaríamos:

Certificado cliente. El servidor tiene las claves públicas de los clientes autorizados.
Certificado del servidor. El cliente tiene la clave pública del servidor al que se conecta.

En este ejemplo, no hacemos llegar la clave pública de nuestro certificado (FNMT, DNIe, etc), a vpnbook.com, dado que es un servidor gratuíto. Ellos ofrecen un kit de conexión que incluye la clave pública de un cliente de prueba.

Los pasos a dar son:

  • Descargaremos los certificados del servidor de la URL: http://www.vpnbook.com/free-openvpn-account/VPNBook.com-OpenVPN-Euro1.zip
  • Descomprimimos el zip descargado en algún directorio. Hay varios ficheros de configuración (*.ovpn). Vamos a trabajar con "vpnbook-euro1-tcp80.ovpn", elegimos este fichero porque usará el puerto 80, abierto en la mayoría de routers y usará TCP, protocolo no restringido por los ISP (proveedores de Internet). Dentro de este fichero (pnbook-euro1-tcp80.ovpn) tenemos los datos de conexión y las claves públicas/privadas que necesitaremos para conectar. Abrimos este fichero con gedit y sacamos tres ficheros:

        Fichero cert.pem: Tendrá las líneas comprendidas entre <cert> y </cert>

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----


        Fichero ca.pem: Tendrá las líneas comprendidas entre <ca> y </ca>

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----


        Fichero key.pem: Tendrá las líneas comprendidas entre <key> y </key>

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----


  • Abrimos el panel de configuración de la red, haciendo clic con el botón derecho del ratón en el icono de red de la esquina superior derecha de la pantalla y seleccionando la opción "Configuración de la red".
  • Bajo la lista de conexiones de red, pulsamos el botón "+" para añadir la interfaz VPN y pulsamos crear.
  • Elegimos ahora una conexión de tipo PPTP y pulsamos crear.
  • En la pantalla de configuración introducimos los datos proporcionados por el servidor VPN:

        Pasarela: euro1.vpnbook.com
        Autenticación Tipo: Contraseña concertificado TLS
        Usuario: vpnbook
        Contraseña: adv7ebeh
        Certificado usuario: Seleccionamos el fichero cert.pem
        Certificado ca: Seleccionamos el fichero ca.pem
        Clave privada: Seleccionamos el fichero key.pem
        Opciones avanzadas. Ajustaremos:
                Puerto 80
                Compresion LZO
                Conexion TCP
                Seguridad AES-128-CBC

Pulsamos el botón Guardar y listo.

Ya sólo queda activar la conexión VPN OpenVPN(SSL) gratuíta y navegar un poco. Ojo donde nos metemos con estas conexiones, sólo hay que probar la velocidad de conexión con portales como http://www.speedtest.com para ver que el servidor VPN está en Rumanía.
   
Referencias

http://geekland.hol.es/conectarse-a-un-servidor-vpn-gratis/
http://es.giganews.com/vyprvpn/compare-vpn-protocols.html
http://es.wikipedia.org/wiki/Red_privada_virtual