¿Qué ZEROSHELL?

Zeroshell es una potente herramienta que permite disponer rápidamente de un

servidor Radius sin tener que montar toda la infraestructura software que ello
requiere y evitando la complejidad que supone, además de una fácil e intuitiva
forma de administración de certificados digitales. Es una distribución
OpenSource para servidores y dispositivos embebidos cuyo objetivo es ofrecer
los principales servicios que una red LAN o WLAN requiere.
Las principales características de esta distribución de Linux para aplicaciones
de red se enumeran a continuación:
 De equilibrio de carga y conmutación por error de varias conexiones a
Internet;
 UMTS/HSDPA conexiones mediante el uso de módems 3G;
 Servidor RADIUS para proporcionar una autenticación segura y la gestión
automática de las claves de cifrado para el Wireless 802.11b, 802.11g y
802.11a redes que soportan el protocolo 802.1x en el EAP-TLS, EAP-TTLS y
PEAP forma o la autenticación menos seguro del cliente de dirección MAC,
WPA con TKIP y WPA2 con CCMP (802.11i queja) se apoyan demasiado, el
servidor RADIUS también puede, en función del nombre de usuario, grupo o
dirección MAC del suplicante, permitir el acceso de un 802.1Q VLAN ;
 Portal Cautivo para apoyar el inicio de sesión web, en redes cableadas e
inalámbricas. Zeroshell actúa como puerta de enlace de las redes en la que el
portal cautivo está activo y en la que las direcciones IP (por lo general
pertenecientes a las subredes privadas) son asignadas dinámicamente por el
servidor DHCP. Un cliente que tiene acceso a esta red privada debe
autenticarse a través de un navegador web utilizando Kerberos 5 nombre de
usuario y contraseña antes de que el firewall del Zeroshell permite al público
acceder a la LAN. El Captive Portal se utiliza a menudo para proporcionar
acceso autenticado a Internet en los hotspots en alternativa al protocolo de
autenticación 802.1X demasiado complicado de configurar para los usuarios.
Zeroshell implementa la funcionalidad de Portal Cautivo en forma nativa, sin
necesidad de utilizar otro software específico NoCat o Chillispot;
 QoS (Quality of Service) y de gestión de tráfico para controlar el tráfico en una
red congestionada. Usted será capaz de garantizar el ancho de banda mínimo,
limitar el ancho de banda máximo y asignar una prioridad a una clase de tráfico
(útil en aplicaciones de red sensibles a la latencia como VoIP). El ajuste
anterior se puede aplicar en interfaces Ethernet, redes privadas virtuales,
bridges y bondings VPN. Es posible clasificar el tráfico mediante el uso de L7
filtros que permitan la inspección profunda de paquetes (DPI), que puede ser
útil para dar forma a las aplicaciones de VoIP y P2P;
 Servidor proxy de HTTP que es capaz de bloquear las páginas web que
contienen virus. Esta característica se implementa con la solución antivirus
ClamAV y el servidor proxy HAVP. El servidor proxy trabaja en proxy
transparente el modo en el que, no es necesario configurar los navegadores de
los usuarios a usarlo, pero las peticiones http será redirigido automáticamente;
 Punto de acceso inalámbrico con múltiples SSID y VLAN de apoyo utilizando
las tarjetas de red WiFi basada en el chipset Atheros. En otras palabras, un
cuadro de Zeroshell con uno de tales tarjetas WiFi podría convertirse en un
punto de acceso IEEE 802.11a/b/g proporciona autenticación fiable y el
intercambio de claves dinámicas de 802.1X y protocolos WPA. Por supuesto, la
autenticación se lleva a cabo con EAP-TLS y PEAP sobre el servidor RADIUS
integrado;
 Host-a-LAN VPN con L2TP/IPsec en el que L2TP (Layer 2 Tunneling
Protocol) autenticado con Kerberos v5 nombre de usuario y la contraseña es
encapsulado dentro de IPSec autenticada con IKE que utiliza certificados
X.509;
 VPN Lan-to-LAN con la encapsulación de datagramas Ethernet en SSL/TLS
de túnel, con soporte para VLAN 802.1Q y configurar en la vinculación de
balanceo de carga (aumento de banda) o la tolerancia a fallos (aumentar la
fiabilidad);
 Enrutador con rutas estáticas y dinámicas (RIPv2);
 Bridge 802.1d con protocolo Spanning Tree para evitar bucles, incluso en la
presencia de rutas redundantes;
 LAN virtual 802.1Q (VLAN etiquetado);
 Firewall Packet Filter y Stateful Packet Inspection (SPI) con filtros aplicables
en las dos rutas y bridges en todo tipo de interfaces, incluyendo VPN y VLAN;
 Es posible rechazar o forma de uso compartido de archivos P2P tráfico
mediante el uso de iptables IPP2P módulo en el Firewall y QoS clasificador;
 NAT para utilizar la red LAN clase de direcciones privadas ocultas en la WAN
con direcciones públicas;
 Port Forwarding TCP/UDP (PAT) para crear servidores virtuales. Esto
significa que clúster de servidores reales se verán con una única dirección IP
(la IP del servidor virtual) y cada solicitud será distribuida con Round Robin
algoritmo a los servidores reales;
 Multizona servidor DNS con la gestión automática de la Resolución Inversa
inaddr.arpa;
 Subred multi servidor DHCP con la posibilidad de IP fija en función de la
dirección MAC del cliente;
 Cliente PPPoE para la conexión a la WAN a través de ADSL, DSL y líneas de
cable (requiere un adecuado MODEM);
 Cliente de DNS dinámico para llegar fácilmente a la sede, incluso cuando la
IP es dinámica;
 NTP (Network Time Protocol) del cliente y el servidor host para mantener
sincronizados los relojes;
 Servidor Syslog para la recepción y catalogación de los registros del sistema
producido por los hosts remotos, incluidos los sistemas Unix, routers, switches,
puntos de acceso Wi-Fi, impresoras de red y otros compatibles con el protocolo
syslog;
 Autenticación Kerberos 5 utilizando un enfoque integrado y transversal
KDCautenticación entre reinos (cross-authentication);
 LDAP, NIS y RADIUS autorización;
 X509 entidad emisora de certificados para la emisión y gestión de certificados
electrónicos;
 Unix y Windows Active Directory mediante la interoperabilidad LDAP y
Kerberos 5 de autenticación reino cruz.
Descarga de Zeroshell Zeroshell es una distribución Live CD, es decir, que no
es necesario instalarlo en el disco duro, ya que puede operar directamente
desde el CD-ROM en el que se distribuye. En la página de Zeroshell podemos
descargar el ISO de esta distribución.
Podemos descargarlo entrando a la página: http://www.zeroshell.org/download/

4.4.1. Instalación de Zeroshell

Al comenzar la instalación se muestra un menú y para continuar pulsar el
número 1, que significa un normal inicio del sistema.
Se muestra cómo se van cargando los componentes de Zeroshell.
Este es el menú de configuraciones de Zeroshell tipo terminal, abre por default
la sesión del administrador. En este menú se puede activar o desactivar un
perfil, cambiar la contraseña del administrador, se pude ver la tabla de
enrutamiento, las reglas del cortafuegos, mostrar las interfaces de red,
administrar las IP’s de las interfaces, entre otras opciones.
Lo primero que se debe hacer es cambiar la dirección IP del servidor, para
poder ingresar a su configuración mediante un navegador web, entonces pulsar
la tecla I para que se muestre las opciones de configuración de la tarjeta de red
del servidor. Por defecto se instala con la dirección IP 192.168.0.75/24.
Luego escogemos la <M>, para poder modificar la dirección IP de una interfaz
especifica.
Esta primera opción es para escribir la interfaz a la cual le deseamos asignar o
modificar la dirección IP. Entonces como vamos a configurar al interfaz 0,
escribimos al frente eth00 y damos enter.
Esto muestra las especificaciones de la interfaz seleccionada, y la siguiente
línea aparecerá para escribir cual IP vamos a modificar, como en este caso
solo es una, escribimos: 1 y damos enter.
Luego sale otra línea que indica la IP que tiene asignada esta interfaz y al
frente tenemos que escribir la nueva IP, y damos enter. Para este caso la IP
nueva será: 192.168.1.X. Esta dirección IP debe ser diferente a la que manejan
o tenga asignada un host, para no crear conflictos. Después aparece en otro
línea la máscara de subred que tenía asignada, y al frente toca escribir la
máscara de la red que tenemos, es decir, 255.255.255.0. Y por último pide el
estado de la interfaz, allí escribimos up. Así queda modificada con éxito, la IP
de la interfaz eth00.
También es importante asignarle un default Gateway al servidor, para que
pueda establecer comunicación con el resto de host que forman parte de la red.
Para esto se ingresa la letra G. El default Gateway será la dirección del Access
Point, en este caso es: 192.168.1.1.
Es necesario cambiar la clave de ingreso para la configuración vía web que
ofrece Zeroshell, por defecto el login es admin y la clave es zeroshell. Para
configurar una clave se pulsa la letra P, se pedirá el ingreso de una nueva
clave y su respectiva confirmación.
Iniciar Sesión
Ahora para seguir con las configuraciones, podemos ingresar a través del
navegador a la sesión del administrador y seguir configurando el servidor de
seguridad. Para ingresar a la interfaz web de Zeroshell, solo debemos colocar
en el navegador la dirección IP de la interfaz eth00.
Al cargar la página, se muestra un mensaje indicando que el servidor posee un
certificado de seguridad no válido, porque aún no se lo ha configurado. Así que,
hacer clic sobre la opción añadir una excepción y aparecerá una ventana
donde se puede confirmar la excepción de seguridad. Se tiene que confirmar la
excepción de seguridad porque el servidor aún no tiene creados sus
certificados.
Realizado esto, se muestra la pantalla de acceso a Zeroshell, en el cual se
ingresa el username que es admin y la contraseña configurada anteriormente.
Después de haberse autenticado, se muestra la interfaz gráfica que posee este
software, además de todas las opciones que presenta.
Es necesario crear una partición en el disco duro virtual mediante un perfil para
guardar los ajustes. Un perfil es la base de datos donde se van a guardar los
ajustes. Mientras no se cree un perfil, cada vez que arranque Zeroshell se
iniciará con la configuración por defecto. Para ello, hacer clic en Storage y
seleccionar el disco duro en el que se va a guardar el perfil.
Como se está trabajando en máquina virtual en la que no se ha creado ninguna
partición aparece un mensaje de error. Así que hay que crear una partición.
Para ello, seleccionar la opción Model: VMware y hacer clic en el botón “New
partition”.
Se muestra una pantalla, en la que se debe ingresar un nombre para el disco
virtual en
Label y hacer clic en “CreatePartition”. Una vez creada la partición, aparecerá
una ventana en la que se seleccionara el disco hda1, para guardar ahí el perfil.
Se indica que la creación de la partición, puede tardar varios minutos.
Se debe crear un perfil, para esto seleccionar la partición creada anteriormente,
y elegir la opción créate DB.
Debe aparecer una ventana en la que hay que ingresar la descripción,
Hostname,
Realm, LDAP Base, la contraseña de administrador y la IP del gateway por
defecto. Una vez especificados estos datos, pulsar el botón Create y se creará
un perfil.
Luego se muestra la base de datos creada anteriormente
Para activar este perfil solo se selecciona
Luego de pulsar aparece un resumen del perfil creado, en el cual aparece un
mensaje de que no está activado.
Pulsar nuevamente el botón activar, aparece un mensaje indicando si está
seguro de activar la base de datos,
Para aplicar los cambios realizados anteriormente el sistema se reiniciara, y
hay que autentificarse nuevamente en el servidor, para que no se genere
errores al querer ingresar por el navegador, hay que eliminar el cache ya que
todavía no es válido el certificado que está configurado.
4.4.2. CREACIÓN DE LA AUTORIDAD CERTIFICADORA
Seleccionar el botón CA X509 en el lado izquierdo de la interfaz web.
Hacer clic en la opción setup, se muestra una pantalla en la que se debe
agregar información como: nombre de la autoridad certificadora, tamaño en bits
que tendrá la clave pública, número de días en los que el certificado digital es
válido, país, provincia, organización, dirección de correo electrónico.
Llenada la información requerida pulsar "Generate", y luego “Ok” en el mensaje
que se muestra, indicando si está seguro o no de crear el certificado.
Por último se acepta y la autoridad certificadora está correctamente
configurada. Cuando se actualiza asegurarse de que todos los campos estén
correctos.
4.4.3. CREAR USUARIOS
A continuación hay que crear los usuarios de RADIUS, para esto hacer clic en
el menú USERS y luego en la opción RADIUS. Y se despliega la lista de
usuarios creados en el sistema, por el momento únicamente existe el usuario
administrador.
Para añadir nuevos usuarios, hacer clic en la pestaña Add.
Llenar los datos requeridos como: nombre de usuario, home directory, nombre
y apellido del usuario, descripción, correo electrónico y la contraseña.
Pulsar submit y a continuación se muestra una pantalla con los detalles del
certificado generado.
Se debe seguir el mismo procedimiento para seguir añadiendo los usuarios que
se necesiten.
4.4.4. CONFIGURACIÓN DEL SERVIDOR RADIUS
Primero se tiene que activar la opción de RADIUS, para esto hacer clic en la
opción “RADIUS” del menú “USERS” que se encuentra a la izquierda de la
pantalla y marcar el casillero que indica enabled.
Se debe registrar los puntos de acceso que van a tener acceso al servidor
RADIUS, para configurar esto hacer clic en la pestaña "Access Point" en la
barra de navegación de la parte superior.
Para añadir un punto de acceso se debe ingresar un nombre para poder
distinguirlo, la dirección IP y mascara de subred en este caso es
192.168.1.1/24, y la clave secreta que compartirá el servidor y el Access Point.
Para que los usuarios que se conectan a la red inalámbrica puedan
autentificarse. Deben tener en cuenta que la clave secreta no puede tener más
de 32 caracteres.
Una vez introducidos los datos de cada punto de acceso pulsar el botón “Add” y
se añadirá a la lista. Cuando termine de añadir puntos de acceso pulsar el
botón “Close”.
Para que los cambios realizados tengan efecto reiniciar Zeroshell con la
pestaña que se encuentra en la parte superior de la página web. Y el servidor
RADIUS está listo para entrar en funcionamiento.
4.4.5. CONFIGURACIÓN DEL ACCESS POINT
Para la implementación de un sistema con RADIUS, se debe utilizar un AP que
soporte este protocolo, en este caso se muestra la configuración de un
LYNKSYS GIGABIT WIRELESS-N modelo WRT310N.
Se configura mediante un navegador web, colocando la dirección IP
192.168.1.1, es bastante sencillo ya que únicamente hay que ingresar en la
opción wireless, en la pestaña wireless security, se tiene que escoger el modo
de seguridad, algoritmo WPA que se va a utilizar, dirección IP del servidor
RADIUS, número de puerto que utiliza este protocolo y la clave compartida que
se configuro anteriormente en el servidor RADIUS.
*NOTA: DEPENDIENDO EL MODELO DEL ACCESS POINT A UTILIZAR
4.4.6. CONFIGURACIÓN DE UN CLIENTE WINDOWS
4.4.6.1. Importación de la Clave Pública
Primero se tiene que exportar la clave pública del servidor, para instalarlo en
los clientes.
Hacer clic en la opción x.509 CA que se encuentra dentro de SECURITY y
escoger la pestaña TrustedCAs.
Seleccionar la autoridad certificadora y pulsar en el botón exportar. Se
descarga un archivo llamado TrustedCA.pem.
4.4.6.2. Importación de la clave Privada
Hacer clic en el menú USERS, la opción Users y se desplegara la lista de los
usuario registrados en el sistema.
Seleccionar el usuario del cual se quiere exportar la clave privada y hacer clic
en la pestaña de X509, que se encuentra en la parte superior de la lista de
usuarios.
Se muestra una nueva ventana con todos los detalles de la clave privada del
usuario en mención.
En la parte superior de la ventana mostrada en el paso anterior, hacer clic en el
botón Export, teniendo en cuenta que el formato en que se debe exportar para
un cliente de Windows es PKCS#12(PFX). Se indica el lugar en el que se va a
guardar el archivo.
Finalmente aceptar y verificar que se haya guardado en el lugar que se indicó.
4.4.6.3. Instalación de la Clave Pública
Para instalar el certificado digital en el cliente pulsar ctrl + tecla de Windows, y
escribir MMC.
Hacer clic en aceptar y se muestra la siguiente consola
Escoger la opción archivo, agregar o quitar complemento del menú archivo.
En el menú que se muestra escoger la opción certificados y hacer clic en
agregar.
Seleccionar la opción para que el complemento administre los certificados de
Mi cuenta de Usuario y finalizar.
Al aceptar se muestra los Certificados del usuario actual, desplegar su
contenido y escoger la carpeta entidades de certificación raíz de confianza y
dentro de esta se encuentra certificados. Al costado derecho de esta ventana
hacer clic en la opción Acciones adicionales, todas las tareas y finalmente en
importar.
Aparece el asistente para importación de certificados y pulsar siguiente.
En la opción examinar, indicar la ubicación de certificado descargado
anteriormente, el cual se va a importar y hacer clic en siguiente.
Escoger como almacén de los certificados a Entidades de certificación raíz de
confianza y siguiente.
Se muestra un resumen de los detalles ingresados durante el proceso de
instalación del certificado, para poder verificar si todo es correcto o realizar
alguna corrección si es necesario.
Pulsar finalizar y aparece un mensaje de advertencia indicando si está seguro o
no de instalar el certificado en el sistema, aceptar.
Se muestra un mensaje que comunica que la importación se ha realizado
correctamente.
Se observa que a la lista de autoridad certificadora anterior se ha añadido, la
CA creada en el servidor RADIUS y llamada RADIUS CA.
Al hacer doble clic sobre la CA se muestran todos los detalles de esta.
4.4.6.4. Instalación de la Clave Privada
Hacer doble clic sobre el certificado que se exporto, se muestra el asistente
para importación de certificados y pulsar siguiente.
Se muestra el lugar donde se encuentra almacenado el certificado, verificar si
es correcto y hacer clic en siguiente.
Para mayor seguridad en la instalación, se pide ingresar la contraseña de la
clave privada que se configuro al crearse el certificado, marcar el casillero para
que se incluyan las propiedades extendidas y hacer clic en siguiente.
A continuación hay que elegir el almacén del certificado.
Marcar en la opción Colocar todos los certificados en el siguiente almacén y
hacer clic en el botón examinar y se mostrara las opciones de almacén con las
que cuenta.
Como es la clave privada hay que elegir como almacén de certificado a
Personal y no a Entidades de certificación de confianza como fue el caso de la
clave pública y aceptar.
Al hacer clic en siguiente se muestran los detalles del certificado que se quiere
instalar, se debe revisar con mucha atención para verificar si existe algún error
y regresar a corregirlo, caso contario hacer clic en finalizar.
Por último se muestra un mensaje indicando que la importación se realizó
correctamente.
4.4.7. CREAR LA RED INALÁMBRICA
Es necesario crear un perfil de red inalámbrica que se ajuste a los parámetros
configurados anteriormente en el servidor RADIUS y en el AP.
Ingresar al panel de control, escoger la opción Redes e Internet, Centro de
redes y recursos compartidos y en Administrar redes Inalámbricas.
Hacer clic en la pestaña agregar.
Escoger la opción crear un perfil de red manualmente.
Ingresar el nombre de la red, el tipo de seguridad y cifrado que tendrá la red,
estos parámetros deben coincidir con los configurados en el Access Point.
Al aceptar se genera un mensaje indicando que la red ha sido agregada
correctamente, para adecuar la red a los requerimientos de RADIUS, hacer clic
en la opción cambiar la configuración de conexión.
En la ventana que se abre, hacer clic en la pestaña seguridad y escoger como
método de autentificación de red a Microsoft EAP protegido (PEAP) y hacer clic
en el botón configuración.
Desmarcar el casillero de Validar un certificado de servidor, en método de
autentificación elegir Contraseña segura (EAP-MSCHAP v2) y hacer clic en el
botón configurar.
Se debe desmarcar la casilla que indica el uso automático del nombre de inicio
de sesión y contraseña de Windows.
Aceptar para que se guarden los cambios realizados, volver a la pantalla
principal de las propiedades de la red inalámbrica que se está configurando y
hacer clic en opciones avanzadas.
En esta ventana se debe elegir el modo de autentificación que se va a utilizar,
para esto hay que marcar la casilla de Especificar modo de autentificación y
escoger únicamente la opción autentificación de usuarios.
Finalmente pulsar en aceptar para que se guarde la configuración realizada, la
red inalámbrica esta lista para ser usada.
4.4.8. REALIZACIÓN DE UNA PRUEBA
Para probar el correcto funcionamiento del servidor, simplemente conectar el
computador a la red inalámbrica configurada anteriormente y se va a mostrar
un cuadro en el cual hay que ingresar el nombre de usuario y contraseña que
se registró en el servidor RADIUS, recordando que únicamente se podrá
autentificar con las credenciales asignadas al usuario del cual se instaló el
certificado digital.
Si el nombre de usuario y contraseña son correctos, el usuario será
exitosamente autenticado a la red y podrá gozar de los recursos que esta
posea.
LO DE ACA NO IMPORTA POR AHORA:
ANEXO
Configurar Adaptadores de red
Seleccionamos la opción NETWORK. Aquí la interfaz muestra las interfaces
creadas anteriormente con sus IPs.
Normalmente ETH00 es el adaptador de red interno (interfaz segura del
servidor de seguridad) y ETH01 es el externo que comunicarse con router.
Using xDSL Añadir botones de IP que puede configurar las direcciones IP
estáticas para estas interfaces. He elegido para la interfaz interna
192.168.0.100 (ETH00) y 192.168.1.1 para el externo (ETH01), ahora me
puedo asignar la puerta de enlace por defecto en el boton DEFAUT GW. Mi
puerta de enlace es 192.168.0.1, ahora puedo comprobar las rutas de la
estática en Menú del router:
Ahora ya podemos empezar a crear políticas para nuestra red interna
(192.168.0.0/24), o usar el portal cautivo para crear usuarios y contraseñas
para los usuarios internos que quieren usar el navegador de internet.
4.5 Navegación por Internet Para que los clientes internos puedan hacer uso de
la conexión a Internet, debemos activar Network Address Translation (NAT)
para protegerlos. Usando el menú Router, hay que hacer clic en la opción NAT,
y una ventana, donde tenemos que pasar la interfaz ETH01 a las interfaces
visibles, así.
5. USUARIOS Esta configuración se hace en el menú USERS. 5.1 Agregar un
usuario Para agregar un nuevo usuario, damos clic en Add. Esto abre dentro de
la interfaz un formulario donde llenamos los datos del nuevo cliente a agregar.
Se llenan los datos, aquí podemos asignar la contraseña a este usuario y para
guardar, damos clic en Submit.
5.2 Ver listado de usuarios Para ver el listado de los usuarios de la red interna
creados, damos clic en la pestaña List. Y esta mostrara la lista de los usuarios
y un detalle de los datos básicos de estos.
5.3 Editar usuarios Para editar los usuarios, tenemos u elegir el usuario en la
lista de usuarios y le damos clic a la pestaña editar.
6. Establecer autenticación Para activar la autenticación tenemos que ingresar
al menú CAPTIVE PORTAL. Primero hay que agregar los servicios que serán
autorizados por el servidor, por defecto este tiene el servicio DNS y el DHCP,
agregamos el de HTTP, con el puerto 80.
Ahora le damos clic a la pestaña autenticación y esta abre la siguiente
visualización:
Podemos modificar el formato http de la autenticación, para que quede
personalizados, le damos guardar en SAVE, y luego ACTIVE. 7. FILTRAR
PÁGINAS La única manera de filtrar páginas en a través de listas negras. Las
listas negras se crean en el menú, HTTP PROXY, en Manage