Introducción al Acceso Remoto

Seguridad en Acceso Remoto con PFSENSE
En esta guía se abordará la implementación de seguridad y autenticación en el acceso remoto, cubriendo desde la instalación de PFSense hasta la configuración del cortafuegos para redirigir el tráfico RDP y Samba al servidor local.
by Enrique Serrano Lendines
 
Importancia de la Seguridad y Autenticación en el Acceso Remoto
La seguridad y autenticación en el acceso remoto son fundamentales para proteger los datos y garantizar un entorno de trabajo fiable. La implementación de mecanismos de seguridad robustos es crucial para prevenir vulnerabilidades.
1
Protección de Datos
Garantiza la confidencialidad e integridad de la información sensible.
2
Prevención de Accesos No Autorizados
Reduce el riesgo de intrusiones y amenazas externas.
3
Seguridad en la Transmisión de Datos
Asegura la privacidad durante la transferencia de información.
Instalación de PFSense
El proceso detallado de la instalación de PFSense como máquina virtual es crucial para establecer una sólida infraestructura de seguridad.
Paso 2: Crear una nueva máquina virtual
Dirígete al sitio web oficial de PFSense (​https://www.pfsense.org/download/​) y descarga la última versión estable del archivo de imagen ISO.
Paso 2: Crear una nueva máquina virtual
Abre tu software de virtualización (por ejemplo, VirtualBox o VMware).
Crea una nueva máquina virtual y selecciona "Instalación desde un archivo ISO" como método de instalación.
Selecciona el archivo ISO de PFSense que descargaste en el Paso 1.
Paso 3: Configuración de la máquina virtual
Asigna recursos a tu máquina virtual según los requisitos de PFSense (por ejemplo, al menos 1 GB de RAM y 10 GB de almacenamiento).
Configura al menos dos interfaces de red:
Una interfaz para la red WAN (adaptador solo anfitrió).
Otra interfaz para la red LAN (adaptador de puente para conectividad local).
Paso 4: Inicia la máquina virtual
Una vez configurada la máquina virtual, iníciala y sigue las instrucciones en pantalla para iniciar la instalación de PFSense.
Durante la instalación, asigna direcciones IP a las interfaces de red WAN y LAN según tu configuración de red.
Instalar FreeRadius en PFSense
Una vez dentro en la interfaz de pfsense entramos en System/Package Manager y en available packages buscamos (radius) e instalaos el paquete:
Configuración de FreeRadius en PFSense
Para configurar FreeRadius tenemos que crear nuestros clientes y los Nas clientes
Usuarios
Clientes NAS
Configuración del Router WiFi
Las instrucciones detalladas para configurar el router WiFi con autenticación Radius son esenciales para garantizar un acceso remoto seguro. También se incluirán capturas de pantalla de la configuración del router WiFi.
1
Información del Router
2
Seguridad del Router
3
Configuración del Radius en el Router
Acceso a la red local desde móvil - PC
Conexión desde móvil
Para acceder a la red wifi por Radius hay que poner las siguientes configuraciones en el dispositivo:
Modo EAP: PEAP
Autenticación de fase 2: MSCHAPV2
Certificado AC: No validar
Conexión desde el PC
Regitro en el servidor PFsense
Si no se puede establecer la conexión, podemos revisar los registros en (/var/log/radius.log). La captura indica que la conexión se realizó exitosamente y se validaron las credenciales del cliente.
Métodos de Autenticación
Además de Radius, se explorarán otros métodos de autenticación remota posibles. Se incluirán capturas de pantalla con ejemplos de configuración de estos métodos, proporcionando una visión integral de las opciones disponibles.
1
Autenticación Multifactor (MFA)
Agrega capas adicionales de seguridad al requerir múltiples formas de verificación de identidad, como contraseñas junto con códigos de verificación enviados a dispositivos móviles.
2
Protocolo LDAP (Protocolo de Acceso Ligero a Directorios)
Se utiliza para autenticar usuarios contra un directorio centralizado que almacena información de cuentas de usuario, como nombres de usuario y contraseñas..
3
Integración SSO (Inicio de Sesión Único)
Permite a los usuarios acceder a múltiples sistemas o aplicaciones con un solo conjunto de credenciales, evitando la necesidad de autenticarse repetidamente en diferentes servicios.
4
La autenticación de fase 2 mediante MSCHAPV2
MSCHAPV2 es un método de autenticación en redes Wi-Fi y VPNs. Verifica la identidad del usuario mediante un intercambio seguro de desafíos y respuestas entre el cliente y el servidor.
Configuración de la VPN Autenticada por Radius
1
Navegación a la Configuración VPN
Una vez en el panel de administración, navegue a la sección VPN y seleccione la opción "OpenVPN".
2
Configuración de la VPN con Autenticación Radius
Dentro de la configuración de OpenVPN, haga clic en la pestaña "Configuración de Autenticación" y seleccione la opción "Autenticación por Radius".
Añadimos  nuestro servidor Radius:
3
Configuración de Certificados y Claves
Configure los certificados y las claves necesarias para la autenticación y el cifrado de la conexión VPN. Puede generar certificados auto-firmados o utilizar certificados existentes según sea necesario.
Creamos un nuevo certificado y lo damos a next:
Lo añadimos:
4
Configuración de Parámetros
En el apartado de configuración tunnel asignamos la ip de la red local y la de la del tunel:
Le asignamos los DNS:
5
Ajustes de Firewall
Realice los ajustes necesarios en el firewall para permitir el tráfico de la VPN a través del puerto correspondiente. Asegúrese de crear reglas de firewall adecuadas para garantizar un acceso seguro y protegido.
Se te guarda la configuración de la nueva interfaz:
Por ultimo añadimos la interfaz creada OPT1:
6
Pruebas y Verificación
Una vez completada la configuración, realice pruebas de conexión para asegurarse de que la VPN esté funcionando correctamente. Verifique la autenticación mediante el servidor Radius y asegúrese de que el acceso remoto sea seguro y confiable.
Para conectarnos a la VPN ingfresams el siguiente comando:
sudo openvpn [*.ovpn]
Ahora si ejecuramos en la terminal (ip a) para ver nuestras interfaces:
Conclusión
La configuración de una VPN con autenticación Radius en pfSense ofrece una solución sólida para garantizar un acceso remoto seguro a la red. Las instrucciones detalladas y las capturas de pantalla proporcionan una guía clara y concisa para los administradores de red, asegurando una implementación efectiva y confiable. Esta configuración refuerza la seguridad de la red al requerir autenticación adicional, lo que proporciona tranquilidad tanto para los administradores como para los usuarios finales.
Más entradas…
enriqueserrano.netlify.app
Enrique Serrano Lendines
Blog personal de Enrique Serrano.
Made with Gamma