lunes, 19 de mayo de 2014

CMAK para distribuir clientes VPN Windows.

En el mundo de la seguridad empresarial el papel del usuario es una pieza clave para el correcto funcionamiento, o al menos, en el cumplimiento de la normativa.

Uno de los retos más habituales es el de la conexiones remotas. Los usuarios viven/vivimos en un mundo en el que lo queremos todo a un click, si puede ser por web mejor !! y muchas veces se usan servicios de alto nivel o de un criticidad alta como las conexiones remotas sin ser conscientes de los riesgos que eso conlleva.

Es habitual encontrar escenarios con conexiones VPN infrautilizadas en incremento de soluciones tipo logmein, teamviewer, varios ssh publicados en el perímetro y en el peor de los casos, un escritorio remoto RDP o VNC, solo por comodidad !!!!.Es mucho más sencillo para el usuario entrar en un servicio de este tipo que configurar un cliente VPN en Windows o Linux.


Vamos a utilizar una herramienta sencilla de Microsoft, el Connection Manager.
Con él vamos a crear un fichero ejecutable que configure los parametros de acceso a nuestra VPN pptp y así evitar la tarea de configurarlo manualmente por parte del usuario.

Debemos instalarlo como función dentro del role del servidor Acceso remoto.


Una vez instalado ejecutamos el sencillo asistente.





Completamos el asistente sin indicar ninguna otra opción.

En el último paso, copiamos la ruta donde el asistente ha generado el fichero exe, que nos permitirá configurar el cliente vpn en los pc de nuestros usuarios con un solo doble click.
En esa ruta editamos el fichero CMS para añadir un par de parámetros.
Domain= el nombre de mi dominio
ConnectionType=1



Estos parámetros nos permiten no introducir el nombre de dominio cuando ingresamos el usuario y contraseña, y establecer la conexión cliente sobre una existente. Si no realizamos este paso al ejecutar el cliente, pedirá al usuario seleccionar una conexión existente... un lío !!!

Como hemos modificado el fichero CMS tenemos que ejecutar el asistente una vez más sin modificar ninguna opción para volcar esa información en el .exe.

Ahora ya tenemos un fichero para distribuir a nuestros usuarios remotos. Podemos colgarlo desde una Intranet o cualquier otro acceso externo.

Espero que os sirva de ayuda.

Gracias por leerme.