Saltar navegación

Defensa Adrián Álvarez

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 26 de enero de 2026 por Raquel R.

1 visualizaciones

Más información Transcripción

Descargar la transcripción

Buenas tardes. Hoy, día 22, a las 16.30, estamos convocados a través de Jefatura de Departamento 00:00:07
para la defensa del módulo profesional del proyecto de ciclo formativo de grado superior de ASIR. 00:00:14
Te informo de que esta defensa está siendo grabada y que dicha grabación se utilizará en el entorno cerrado de EducaMadrid 00:00:20
con fines educativos y sólo estará a disposición de los profesores evaluadores en el aula virtual 00:00:28
para llevar a cabo la evaluación y calificación de la defensa del proyecto. 00:00:33
En el aula virtual de proyectos habéis sido informados de los criterios y de la rúbrica de calificación. El orden de la presentación del proyecto es el siguiente. 15 minutos máximo para la defensa del proyecto, 15 minutos máximo para las preguntas por parte del tribunal. Dicho esto, su tiempo de exposición comienza a partir de este momento. Adelante y mucha suerte. 00:00:37
Buenas tardes, soy Adrián Álvarez. Voy a presentaros este TPC en el cual hemos, perdón, he implementado un servicio de OpenVPN con Active Directory, con un servidor de dominio de Windows y hemos añadido, perdón, he añadido una capa extra de seguridad con verificación en dos pasos y Google Authenticator, ¿vale? 00:01:02
Bueno, mi principal motivación para llevar a cabo y dar este servicio es el auge del teletrabajo, que como bien sabéis, desde el año 2020, desde la época de pandemia, son muchas las empresas que quieren incorporar o que incorporan de dos a tres días de trabajo remoto en sus jornadas laborales, ¿vale? 00:01:23
El departamento de estas propias empresas se puede ver comprometido, se puede ver con varios desafíos a la hora de querer o necesitar trasladar la seguridad que podrían tener los sitios desde los cuales se puedan conectar los usuarios o clientes que vayan a utilizar esta VPN, ¿vale? 00:01:41
Este tema de la seguridad ha sido solucionado mediante un cifrado de la conexión VPN, es decir, que si se hubiera comprometido la red de algún cliente o de algún usuario y se realizara una captura de paquetes que puedan viajar a través de esta VPN, no se va a haber comprometido los datos de la empresa por un tema de cifrado, ¿vale? 00:02:05
Y también se va a estipular o se va a definir una complejidad mínima para las contraseñas del directorio activo, en las cuales no se van a permitir contraseñas de menos de 8 caracteres o contraseñas que no incluyan caracteres especiales. 00:02:26
Bien, 4 objetivos que tendríamos para este proyecto, porque hemos elegido estos 2 productos, los cuales son open source, no tendrían ningún tipo de licencia. 00:02:41
también necesitamos tener una gestión centralizada de los usuarios en el directorio activo esto es 00:02:58
importante sobre todo en empresas que puedan llegar a ser un poquito más grande de 15 a 20 00:03:06
usuarios las cuales ya necesitamos tener una gestión una organización con estos usuarios 00:03:10
para prevenir errores de seguridad o errores en un momento dado se puede dar de baja un usuario 00:03:15
en una máquina VPN que no se dé baja en el dominio o al revés, ¿vale? 00:03:22
Y necesitamos implementar también la verificación en dos pasos 00:03:26
que veremos más adelante porque es tan importante, ¿vale? 00:03:30
En cuanto a la arquitectura del sistema, tenemos una arquitectura bastante sencilla 00:03:34
compuesta por tres puntos. En un extremo tenemos un cliente 00:03:38
que se va a conectar por el cliente de OpenVPN GUI, ¿vale? 00:03:40
En el medio tenemos la máquina Debian que va a definir un poco la seguridad 00:03:45
de lo que viene a ser el perímetro de la red interna, es decir, el perímetro extremo de la arquitectura. 00:03:51
Aquí tendríamos tanto el servidor de dominio, que en este caso podría llegar a tener carpetas compartidas con datos, 00:04:04
o distintos servicios que puedan dar en esta red interna. 00:04:10
Bien, cuatro de las tecnologías que hemos utilizado en este proyecto, perdón, que he utilizado, 00:04:15
Vamos a hacer especial hincapié en esta diapositiva en Debian y en OpenVPN 00:04:21
Más adelante veremos el tema de SSD y el LDAP y el PAM de Google Authenticator 00:04:27
Bien, hemos decidido utilizar Debian porque se trata de una solución bastante sencilla 00:04:32
En la cual no hace falta tener unos grandes recursos de hardware 00:04:40
No hace falta tener una buena máquina física que puede disparar un poco los costes económicos en cuanto a montar el proyecto. También pasa un poco lo mismo con OpenVPN. Son los dos open source, no requieren de licencias y esto para llegar a implementarlo quizás en pequeñas y medianas empresas puede hacer bastante más amigable el proyecto en cuanto a costes. 00:04:45
Vale, OpenVPN hemos utilizado UDP para montarlo, se podría utilizar también TCP, pero por cómo funciona el protocolo TCP, daría problemas en cuanto a la entidad. 00:05:10
El servicio SSD, vale, aquí lo vamos a utilizar para la integración de la máquina Linux con el servidor de dominio, para que podamos leer tanto los usuarios y podamos realizar ciertas configuraciones relevantes. 00:05:27
En este caso, SSD, si no me equivoco, son las islas de System Security Service. Lo hemos utilizado junto con el directorio activo para configurar un ADAC filter. Esto lo que nos va a permitir va a ser que puedan acceder a la máquina de VPN, que solo se pueden autenticar los usuarios que estén dentro del grupo de dominio de usuarios de VPN. 00:05:40
Esto nos permite gestionar qué usuarios de nuestro dominio van a poder utilizar la VPN y en un momento dado podríamos darles acceso solo los días en los que estos vayan a teletrabajar o simplemente nos permite quitarle el acceso a un usuario a la VPN sin necesidad de tener que deshabilitar o dar de baja el usuario del dominio. 00:06:06
El otro punto que tenemos es la autenticación en doble factor. Esto lo consideramos muy importante. Hoy en día se ven muchos casos de phishing en los cuales se sustrae directamente la contraseña de directorio activo o similar de los usuarios. 00:06:30
Y por eso hemos querido implementar tanto una cosa que sabemos, que en este caso sería la contraseña de nuestro dominio de Windows, como una cosa que tenemos que sería el código de Google Authenticator. Va a ir cambiando cada 30 segundos y no va a permitir que en un momento dado, si se nos pinta la contraseña del directorio activo, se nos pueda suplantar la identidad y acceder a los datos de la empresa. 00:06:47
Aquí es donde entra sobre todo la validación en cadena que va a hacer el protocolo de PAM, perdón, el servicio de PAM, el cual lo que va a hacer va a ser, primero, verificar contra el directorio activo que tenemos bien, tanto la contraseña que hemos introducido de dominio como que pertenecemos al grupo de usuarios de VPN. 00:07:11
Si considera que estos dos valores son correctos, va a pasar la cadena de texto que hemos introducido, en la cual vendría nuestra contraseña de dominio por un lado y los últimos seis dígitos del módulo de Google Authenticator. 00:07:32
Lo va a pasar al módulo de Google Authenticator, que va a verificar que estos seis últimos dígitos sean correctos. 00:07:46
En ese caso ya tendríamos acceso a la red interna. 00:07:54
Una vez dentro de esta red interna, hemos configurado un poco la máquina Debian a modo de router NAT, por así decirlo, ¿vale? Esta máquina lo que nos va a hacer va a ser repartirnos una IP dentro de la red 10, ¿vale? 00:07:56
De esta manera, a los servidores o servicios que tengamos dentro de la red interna, ¿vale? Se va a encargar un poco de gestionar los accesos y demás. 00:08:14
Bien, antes de proceder con el vídeo 00:08:32
Un par de retos, problemas que he podido encontrar 00:08:37
A lo largo de montar el proyecto 00:08:40
Que considero que son importantes a tener en cuenta 00:08:45
Son los problemas con los NTPs 00:08:47
Con algunos servidores de tiempo 00:08:49
He visto casos en los que el cliente que se va a conectar 00:08:51
No se encuentra en la misma franja horaria 00:08:54
O tiene problemas simplemente con la sincronización de la hora 00:08:56
Lo cual compromete el uso del propio Google Authenticator 00:08:58
En este caso, hemos configurado Google Authenticator para que nos facilite 5 códigos de emergencia que se puedan utilizar en un momento dado si no tenemos acceso a este teléfono o si no tenemos la hora configurada, ¿vale? 00:09:02
si te parece bien, antes de ver las conclusiones 00:09:18
vamos a pasar a ver el vídeo 00:09:22
lo voy a poner aquí, no sé si 00:09:23
Raquel puede escuchar 00:09:25
si no se escucha 00:09:26
confirmas 00:09:29
no se ve 00:09:31
vale, no hay problema 00:09:35
lo comentamos por encima 00:09:37
bueno, vamos a crearlo primero 00:09:38
en nuestro servidor 00:09:41
tenemos que poner 00:09:43
bueno, ciertos 00:09:53
caracteres especiales y demás vamos a hacer el usuario miembro del grupo usuarios de vpn para 00:09:56
poder así una vez esté dentro del grupo ya podemos pasar si si está todo correcto a la 00:10:03
configuración que hacerla dentro de la máquina vpn vale bueno estamos viendo ahora mismo una 00:10:16
consola conectada por ssh a esta máquina vpn en la cual vamos a utilizar el módulo de google 00:10:22
autenticator nos va a hacer varias preguntas según vayamos a configurar el usuario lo primero que nos 00:10:28
va a preguntar en este caso es si queremos un módulo basado y nos vamos a cambiarlo con el 00:10:34
el teléfono, en este caso, perdón, en caso de no tener cámara no hay problema, ¿vale? Porque tenemos esta clave secreta, este número que nos genera debajo del código QR que nos va a permitir añadir la mano también, ¿vale? Pues si no tuviésemos cámara en el dispositivo que queremos usar para la configuración. 00:10:52
Nos va a generar también estos cinco códigos de emergencia, que son los que comentaba antes. También nos pueden funcionar a modo de verificación. Si no tuviésemos acceso, por lo que sea, al teléfono, podríamos usar estos códigos. Lo ideal sería almacenarlos, ¿vale? 00:11:09
Bueno, nos va a preguntar también si queremos diferentes patrullas de seguridad, como puede ser que los tokens vayan cambiando segundos y no se permita más que una única autorización. 00:11:22
hemos autenticado nosotros, ¿vale? 00:11:35
He configurado para la máquina también para evitar problemas con la diferencia de tiempo 00:11:47
que permita usar el código que se ha generado anteriormente o el código que viene después, 00:11:50
por si estamos metiendo el código y quedan pocos segundos para introducirlo 00:11:57
o si hay un pequeño rebaso de 10 o 20 segundos en la configuración 00:12:01
que no se vea comprometido el acceso de los usuarios, ¿vale? 00:12:06
Bueno, esto nos va a generar un filtro de Google Authenticator. Vamos a moverlos a una ruta general. En este caso, está dentro de la carta de Google Authenticator. 00:12:09
Y, por lo tanto, tiene el usuario el dominio. Es importante para llevar una gestión correcta, por tener solo permisos de lectura, que si son permisos excesivos en el archivo, la máquina no lo coge correctamente, ¿vale? 00:12:23
Bueno, vamos a abrir por aquí que tenía preparado ya el cliente de conexión de la VPN en el cual vamos a tener que importar previamente el certificado que nos genera la máquina cuando la configuramos y vamos a acceder con nuestro usuario que acabamos de crear, ¿vale? 00:12:50
En este caso, ponemos en un primer momento la contraseña y luego a posteriori vamos a añadir los seis dígitos que nos ha quitado el PPD. 00:13:06
Si es que no nos va a dar ningún error. 00:13:18
Por aquí nos ha sido la... 00:13:33
...pueda auditar de alguna manera qué usuarios hay conectados en qué momento o qué usuarios se han llegado a conectar. 00:13:45
Para esto tenemos este fichero de Dolo, que va a registrar varios datos de los usuarios que ha conectado, que nos registra el usuario que acabamos de crear, que conecta desde la IP real de su máquina, la 1.38, le asigna la IP interna de la VPN, la 806 y la hora de conexión, que es bastante importante, sobre todo para hacer auditorías o revisión de usuarios conectados. 00:13:51
¿Vale? Bueno, sería un poco el funcionamiento, dentro ya de la VPN se podrían acceder a las carpetas compartidas que tenemos en el servidor y podríamos trabajar con normalidad como si estuviéramos dentro de la red interna de la empresa, ¿vale? 00:14:17
Bueno, conclusiones un poco que hemos sacado, perdón, que he sacado al finalizar el proyecto. Considero que hemos levantado, por así decirlo, un entorno que es bastante seguro, que es bastante estable. En un momento dado, si llegara a fallar la máquina, como debían, es una máquina que apenas requiere recursos de discos. 00:14:32
Si hubiera que levantar la máquina de un backup o de una copia de seguridad, no tardaríamos apenas 10 minutos, que puede tardar en restaurar una copia de la máquina, o incluso si tuviéramos la de una, en cosas de dos horas tendríamos la máquina funcionando. 00:14:50
Es un tema que en entornos reales es importante tener una disponibilidad bastante alta. 00:15:05
¿Qué es lo que hemos hecho con Linux y Windows? Funciona bastante bien para auditar tanto los usuarios con esta máquina Linux como con los propios registros que puede dejar el Windows Server y que gestiona mucho los usuarios de forma centralizada. 00:15:11
Y hemos utilizado, yo considero, una estructura bastante barata en cuanto a costes económicos por haber utilizado dos paquetes que son open source, en este caso Debian y VPN, que facilita mucho, que hace un poco más amigable el proyecto para pequeñas y medianas empresas, incluso para grandes empresas con muchos empleados que no quieran gastarse el dinero que pueden pedir otras marcas reconocidas. 00:15:30
para montar estos servicios, ¿vale? 00:16:00
Vamos a la esta o que mantenga la presentación en pantalla. 00:16:16
¿Has terminado? 00:16:20
Sí. 00:16:22
A ver, te comento, es que se ha ido un montón de veces la conexión, ¿vale? 00:16:23
Entonces, te voy a hacer una serie de preguntas 00:16:27
porque me he perdido algunas cosas de la presentación, ¿vale? 00:16:30
A lo mejor algunas las has explicado, pero no se han visto en el vídeo, ¿vale? 00:16:34
Vale, vale. 00:16:40
Entonces, por ejemplo, ¿por qué elegiste OpenVPN frente a otras soluciones como, por ejemplo, WebWare? 00:16:41
Pues mira, OpenVPN ofrece estas facilidades que hemos visto de poder integrarlo con usuarios de directorio activo de Windows. 00:16:49
Sí que es verdad que es una solución con la que he trabajado bastante, trabajo prácticamente día a día con ella y no requiere muchos recursos a nivel de hardware, además es open source. Desconozco WireWare, no sé si requiere de licencia, no sé si requiere de algún tipo de hardware específico. 00:17:06
OpenVPN sí que la conocía, ya digo, había trabajado bastante con ella 00:17:24
y es muy cómoda a la hora de generar estos certificados 00:17:28
porque permite, que ya digo que no sé si WordBar lo permite 00:17:32
pero permite generar un único certificado privado para distintos usuarios 00:17:35
es decir, que si tienes que integrarlo en una red, por ejemplo, de 50 usuarios 00:17:39
puedes simplemente compartir el fichero de certificado privado, por así decirlo, con todos 00:17:44
y cada uno de ellos puede iniciar sesión con sus credenciales 00:17:50
Si no me equivoco, con WireGuard y con la VPN de Windows esto no es posible. 00:17:54
Certificado por cada usuario. 00:18:00
A la hora de integrarlo un poco en entornos no reales es un poco más labor. 00:18:02
Vale, se ha cortado la conexión otra vez. 00:18:09
Vale, vamos con otra pregunta. 00:18:16
A ver, ¿qué aporta el doble factor de autentificación frente a una VPN tradicional con solo usuario y contraseña? 00:18:18
Aporta un factor muy, muy importante. Como he comentado, está a la orden del día todo el tema del phishing y todo el tema de la sustracción de contraseñas. 00:18:29
Entonces, en un momento dado en el cual se pueda sustraer la contraseña de un usuario o en el día a día, 00:18:38
que vemos usuarios que directamente apuntan las credenciales en distintos sitios, en un propio blog de notas o sitios que claramente no son seguros, aporta una capa extra de seguridad de la cual si se ve comprometida la contraseña del usuario, no se van a ver aceptados los datos de la empresa porque no se va a ver comprometido este código de doble verificación que va a cambiar cada 30 segundos. 00:18:44
En el sentido de que si se filtrara también uno de los códigos, a los 30 segundos se dejaría de ser válido, ¿no? Entonces, no tendríamos esta facilidad para sustraer datos de la empresa, ¿no? Es un tema importante. 00:19:06
Vale. Y otra cosa que no se ha visto muy bien en la presentación porque se ha ido la esto es, ¿por qué es necesario activar el IP forwarding, vale, y configurar el NAT en el servidor VPN? 00:19:22
No hay problemas. La presentación te diría que está hecha, entonces no recuerdo si queda activado el IP forwarding. Tendría que mirarlo y a esa pregunta no te lo podría contestar con la claridad que me gustaría. 00:19:34
La máquina en ese sentido, ya digo, tendría que revisar un poco toda la configuración de red que quedó configurada en la máquina para la VPN y la gestión de las redes. El plan inicial cuando se empezó a preparar el proyecto era separar varias redes con distintas VPNs montadas y por tema de tiempo al final se montó solo una. Entonces no sabría contestarte con claridad. 00:19:51
Vale. Y ahora imagínate que un usuario consigue conectarse con la VPN, pero no puede acceder al recurso del dominio, ¿vale? O sea, no puede acceder a carpetas ni a nada. ¿Qué habría que comprobar? 00:20:19
A ver, lo primero comprobar que si ya está dentro del VPN, ya asumimos que está dentro de la red de la empresa, yo verificaría en un primer momento que no le haya caducado la contraseña del dominio y alguna cosa así, las credenciales que tenga en su equipo que estén bien para acceso y los permisos de las carpetas a las que quiera acceder, que tenga permisos, que tenga acceso. 00:20:35
Miraríamos también los logs que nos va a facilitar el AD 00:21:01
En los cuales si, por ejemplo, vemos en el registro del AD 00:21:06
Que se está intentando acceder con un usuario incorrecto 00:21:09
Podría ser el tema de caducidad 00:21:12
O podría ser que en el gestor de credenciales de Windows 00:21:14
Se ha guardado unas credenciales que no son las correctas 00:21:17
O no son las que tiene el usuario de dominio de la propia máquina 00:21:20
Probablemente sea un tema de credenciales o de permisos 00:21:24
Una vez ya dentro de la 00:21:27
Vale 00:21:28
Pues con esto yo creo que ya está todo 00:21:30
Voy a terminar la grabación 00:21:33
Muchas gracias Adrián 00:21:35
Muchas gracias a ti 00:21:37
Y paro de grabar 00:21:38
Etiquetas:
Gestión de proyectos
Niveles educativos:
▼ Mostrar / ocultar niveles
  • Formación Profesional
    • Ciclo formativo de grado superior
      • Primer Curso
      • Segundo Curso
Subido por:
Raquel R.
Licencia:
Reconocimiento
Visualizaciones:
1
Fecha:
26 de enero de 2026 - 17:05
Visibilidad:
Clave
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Duración:
22′ 12″
Relación de aspecto:
2.08:1
Resolución:
1080x520 píxeles
Tamaño:
33.77 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid