Seguridad y alta disponibilidad

VPN sitio a sitio

Simulacin VPN sitio a sitio, utilizando Packet Tracer

Este es el esquema donde vamos a realizar una vpn de sitio a sitio, para ello nos vamos a ir a la consola del router 1

Con el primer comando lo que vamos a hacer es crear una nueva poltica IKE, cada poltica se identifica por su nmero de prioridad, en nuestro caso vamos a ponerle la prioridad ms alta que es 1. Con el segundo comando lo que vamos a especificar es el algoritmo de cifrado que vamos a utilizar El tercer comando elegimos el algoritmo de hash que vamos a usar El cuarto comando determina el mtodo de autenticacin El quinto comando se especifica el identificador de grupo diffie-hellman El sexto comando determinamos el tiempo de vida de la asociacin de seguridad Con el sptimo comando salimos para volver al modo de configuracin global El octavo comando lo que hacemos es elegir la identidad ISAKMP que el router usara en las negociaciones IKE, pero este comando como podemos ver en la imagen no funciona y ya no podemos continuar realizando la vpn de sitio a sitio

Gabriel Montas Len

Seguridad y alta disponibilidad

VPN sitio a sitio armario ccp

Nos creamos un usuario para poder configurar el router de forma CCP.

Despus abrimos la aplicacin e introducimos el usuario y contrasea creada con la direccin Ip a configurar. Despus pulsamos ok.

Gabriel Montas Len

Seguridad y alta disponibilidad

Se nos mostrara la siguiente pantalla donde pulsaremos a discover sobre la ip a configurar. Despus pulsamos al botn configure situada en la esquina superior izquierda y podremos ver que podemos modificar y configurar las carpetas de la barra izquierda.

Pulsamos sobre la opcin vpn sitio a sitio y se nos mostrara la imagen de la derecha.

Gabriel Montas Len

Seguridad y alta disponibilidad

Pulsamos "Launch the selected task", pulsamos la segunda opcin y seguimos el asistente.

Ahora introducimos los siguientes datos: - Seleccionamos la interfaz por donde va a realizarse la VPN. - Ponemos la direccin remota al router R1. - Ponemos una contrasea para compartir (cisco12345)

Gabriel Montas Len

Seguridad y alta disponibilidad

Configuramos la poltica de IKE que se utilizan para configurar el canal de control entre los dos puntos finales de VPN para el intercambio de claves.

Gabriel Montas Len

Seguridad y alta disponibilidad

El conjunto de transformacin es la directiva IPsec se utiliza para cifrar hash y autenticarse paquetes que pasan a travs del tnel.

Debemos definir el trafico interesante para ser protegida a travs del tnel VPN. El trafico interesante se define a travs de una lista de acceso aplicada al router. Para eso ingresamos las direcciones en la siguiente ventana:

Gabriel Montas Len

Seguridad y alta disponibilidad

Podemos ver un resumen de lo configurado:

Finalmente lo guardamos pulsando en el checkbox.

Ahora hacemos un espejo que consiste en realizar la misma configuracin pero en el otro router.

Gabriel Montas Len

Seguridad y alta disponibilidad

Ahora para comprobar que funciona pulsamos en la opcin test tunnel.

Gabriel Montas Len

Seguridad y alta disponibilidad

Ponemos la direccin de destino y le damos a continue

Le damos a test tunnel y esperamos a que chequee el proceso, vemos que el tunnel esta up

Gabriel Montas Len

Seguridad y alta disponibilidad

VPN de acceso remoto

Simulacin VPN de acceso remoto, utilizando Packet Tracer.

Este es el escenario donde vamos a ralizar una vpn de acceso remoto

El primer comando lo que hacemos es que creamos un grupo de direcciones ip para que se puedan conectar los clientes Con el siguiente comando lo que hacemos es activar la funcionalidad aaa Con el siguiente definimos la lista de mtodos de autenticacin cuando un usuario hace login El siguiente comando establece los parmetros que restringen el acceso de los usuarios a la red El ultimo comando creamos una cuenta de usuario que usaran los cliente vpn para autenticarse en el servidor

El primer comando crea una nuevo poltica IKE, cada poltica se identifica por el numero de prioridad El segundo comando especificamos el algoritmo de cifrado a utilizar Con el tercer comando elegimos el algoritmo hash a usar Con el ultimo comando determinamos el mtodo de autenticacion

10

Gabriel Montas Len

Seguridad y alta disponibilidad

El primer comando especificamos el identificador de grupo diffie-hellman El segundo comando crea un grupo IKE para los clientes VPN El tercer comando establece el secreto compartido para el grupo El ltimo comando selecciona el rango de direcciones para los clientes

El primer comando establece las polticas de seguridad IPSEC que se usaran en las comunicaciones El segundo comando crea un crypto map dinamico que se usa cuando la IP del host remoto no se conoce, como es en este caso de vpn de acceso remoto El tercer comando asocia el transfor set VPNSET al crypto map dinamico El ultimo comando activa el reverse router injection

El primer comando configura un crypto map estatico que puede ser asociado a una interfaz El segundo comando define el conjunto de usuarios con permisos de autenticacin El tercer comando establece el grupo de usuarios y los parmetros de acceso a la red El cuarto comando asocia el crypto map dinamico creado para los clientes de acceso remoto

Con el primer comando accedemos a la interfaz por la que se conectaran los clientes VPN El segundo Asociamos el crypto map a la interfaz

11

Gabriel Montas Len

Seguridad y alta disponibilidad

Nos vamos a la parte de conexin vpn y rellenamos los campos que nos hacen falta para podernos conectar, y como vemos en la imagen no nos deja conectarnos ya que nos da conexin timed out

VPN de acceso remoto armario ccp

Nos creamos un usuario para poder configurar el router de forma CCP.

12

Gabriel Montas Len

Seguridad y alta disponibilidad

Despus abrimos la aplicacin e introducimos el usuario y contrasea creada con la direccin Ip a configurar. Despus pulsamos ok.

Se nos mostrara la siguiente pantalla donde pulsaremos a discover sobre la ip a configurar. Despus pulsamos al botn configure situada en la esquina superior izquierda y podremos ver que podemos modificar y configurar las carpetas de la barra izquierda.

13

Gabriel Montas Len

Seguridad y alta disponibilidad

Nos vamos a Security > Firewall, marcamos la opcion de basic firewall y le damos a launch the search task

Marcamos la interfaz que va a estar dentro y fuera del router 1 y le damos a siguiente

14

Gabriel Montas Len

Seguridad y alta disponibilidad

Ponemos la seguridad a nivel bajo del firewall y le damos a siguiente

Permitimos las actualizaciones de eigrp a travs del firewall y le damos a siguiente

15

Gabriel Montas Len

Seguridad y alta disponibilidad

Marcamos la opcin para que se guarden las configuraciones en el router y le damos a deliver

Nos vamos a security > firewall > vpn > easy vpn server, le damos a launch

16

Gabriel Montas Len

Seguridad y alta disponibilidad

Pulsamos la casilla de guardar la configuracin en el router y le damos a deliver para que tengan efecto los cambios

Nos saldr esta pantalla de bienvenida, le damos a siguiente

17

Gabriel Montas Len

Seguridad y alta disponibilidad

Marcamos la opcin de unnumbered to y seleccionamos el serial, le damos a siguiente

Seleccionamos el que viene por defecto y le damos a siguiente

18

Gabriel Montas Len

Seguridad y alta disponibilidad

Seleccionamos el que viene por defecto y le damos a siguiente

Seleccionamos la opcin del mtodo local y le damos a siguiente

19

Gabriel Montas Len

Seguridad y alta disponibilidad

Habilitamos la autenticacin por usuarios, luego marcamos la opcin de solo local

Aadimos los usuarios con su contrasea y ponemos el nivel de privilegios en 1 y Ok

20

Gabriel Montas Len

Seguridad y alta disponibilidad

Creamos el grupo y le ponemos la contrasea, ponemos un rango de direcciones que se pueden conectar a la red a travs de la vpn por acceso remoto

Habilitamos el grupo y en el id tnel ponemos un 1

21

Gabriel Montas Len

Seguridad y alta disponibilidad

En esta pantalla le damos a Ok

Nos aparece un resumen y le damos a finalizar

22

Gabriel Montas Len

Seguridad y alta disponibilidad

Marcamos la casilla para que se guarden la configuracin en el router y le damos a deliver

Le damos a test tunnel y start, esperamos a que termine el chequeo y vemos que testa el tnel up

23

Gabriel Montas Len

Seguridad y alta disponibilidad

VPN sobre red local WINDOWS XP

Instalacin de un servidor VPN en Windows XP/7/ Windows 2003/2008 Server

Nos vamos a mis sitios de red y le vamos a dar a ver conexiones de red

Ahora le vamos a dar a crear una conexin nueva

Nos aparecer este asistente que es para crear una conexin nueva y le damos a siguiente

24

Gabriel Montas Len

Seguridad y alta disponibilidad

En esta pantalla lo que hacemos es marcar la opcin de configurar una conexin avanzada y le damos a siguiente

Aqu le vamos a marcar la primera opcin que es aceptar las conexiones entrantes y le damos a siguiente

En esta ventana le vamos a dar a siguiente sin marcar nada

25

Gabriel Montas Len

Seguridad y alta disponibilidad

En esta ventana vamos a marcar la opcin de permitir conexiones privadas virtuales y le damos a siguiente

En esta ventana vamos a elegir un usuario con privilegios de los que tenemos ya creados o como en nuestro caso nos vamos a crear un usuario que va a ser con el que nos vamos a identificar al realizar la conexin remota

Aqu como podemos ver ya tenemos nuestro usuario con el que nos vamos a conectar creado, le damos a siguiente.

26

Gabriel Montas Len

Seguridad y alta disponibilidad

En esta ventana nos muestra los protocolos que usara la conexin para permitir el acceso remoto, dejamos todo como esta y le damos a siguiente

Hacemos clic en finalizar para terminar el asistente de la nueva conexin

Aqu podemos ver en mis sitios de red como se ha creado una conexin nueva

27

Gabriel Montas Len

Seguridad y alta disponibilidad

WINDOWS 2003 SERVER

Para instalar el servicio le vamos a dar a administre su servidor

Nos saldr esta pantalla, le daremos a agregar o quitar funcin

28

Gabriel Montas Len

Seguridad y alta disponibilidad

Primero nos saldr un asistente y le daremos a siguiente hasta llegar a esta pantalla, aqu vamos a seleccionar servidor de acceso remoto y le vamos a dar a siguiente

Nos saldr un asistente para instalar el servicio, le damos a siguiente

En esta pantalla le vamos a dar a la opcin de configuracin personalizada y le damos a siguiente

29

Gabriel Montas Len

Seguridad y alta disponibilidad

Marcamos las opciones que vamos a habilitar y le damos a siguiente

Le damos a finalizar para terminar el asistente

Cuando le damos a finalizar nos sale un mensaje y le decimos si para iniciar el servicio

30

Gabriel Montas Len

Seguridad y alta disponibilidad

Una vez instalado nos vamos a inicio > herramientas administrativas > enrutamiento y acceso remoto

Aqu podemos ver la configuracin de nuestro servidor VPN

Ahora nos vamos a inicio > herramientas administrativas > administracin de equipo y le vamos a dar de alta a un usuario para que tenga permisos de acceso remoto para conectarse a la VPN

31

Gabriel Montas Len

Seguridad y alta disponibilidad

Nos vamos a usuarios y grupos y vamos a agregar un usuario nuevo

Rellenamos los campos y marcamos la opcin de que la contrasea nunca caduca y le damos a crear

Nos ponemos sobre el usuario que hemos creado y le damos botn derecho > propiedades, nos vamos a la pestaa de control remoto y marcamos la opcin de habilitar el control remoto

32

Gabriel Montas Len

Seguridad y alta disponibilidad

Ahora nos vamos a la pestaa de marcado y marcamos la opcin de permitir acceso y aceptamos

Instalacin de un servidor VPN en GNU/Linux (Ubuntu/Debian/Fedora/Zentyal,).

Instalamos el servidor vpn con el siguiente comando: apt-get install pptpd

Nos vamos al fichero de configuracin /etc/ppp/pptpd-options y vamos a escribir la siguientes lneas que no vemos comentadas en el fichero de configuracin

33

Gabriel Montas Len

Seguridad y alta disponibilidad

Vamos comentar todas las lneas del fichero menos esta lnea que vemos al final ya que hemos escrito las lneas que nos hacan falta al principio del fichero como vemos en la imagen anterior

Nos vamos al fichero de configuracin /etc/pptpd.conf y vamos a descomentar las siguientes lneas: ppp /usr/sbin/pppd Option /etc/ppp/pptpd-options

Seguimos bajando en el fichero y descomentamos la lines: Logwtmp

34

Gabriel Montas Len

Seguridad y alta disponibilidad

Nos vamos al final del fichero y vamos a configurar las siguientes lneas que vemos descomentadas

Nos vamos al fichero de configuracin /etc/ppp/chap-secrets y configuramos la siguiente lnea, esa lnea significa que usuariovpn es el usuario con el que nos conectaremos a la red vpn gabriel es el nombre de la red vpn, inves la contrasea con la que vamos a acceder y * es que con cualquier ip pueden acceder a la red vpn

Ahora vamos a reiniciar el servicio vpn con el siguiente comando: /etc/init.d/pptpd restart

Conexin desde un cliente Windows y GNU/Linux VPN a un servidor VPN. Windows

Nos vamos a conexiones de red y le decimos crear una conexin nueva

35

Gabriel Montas Len

Seguridad y alta disponibilidad

Nos saldr un asistente, le daremos a siguiente y nos aparecer esta ventana y vamos a seleccionar la opcin de conectarse a la red de mi lugar de trabajo y le damos a siguiente

En esta ventana vamos a seleccionar la opcin de conexin de red privada virtual y le damos a siguiente

Le ponemos un nombre y le damos a siguiente

36

Gabriel Montas Len

Seguridad y alta disponibilidad

Ponemos la direccin ip del servidor VPN y le damos a siguiente

En esta ventana nos sale el nombre que le hemos puesto a la conexin y marcamos la opcin de agregar un acceso directo al escritorio de la conexin y le damos a finalizar

Ponemos el nombre de usuario y la contrasea del usuario que nos creamos en el servidor, en nuestro caso lo estamos realizando con el servidor de Windows 2003 server y le damos a conectar

37

Gabriel Montas Len

Seguridad y alta disponibilidad

Ahora nos vamos a las conexiones de red y podemos ver cmo estamos conectados al servidor VPN

Linux

Nos vamos a las conexiones de red y le damos a aadir para crear una vpn nueva

Elegimos el nico tipo de conexin que nos da que es de punto a punto

38

Gabriel Montas Len

Seguridad y alta disponibilidad

Donde pone pasarla le pondremos la direccin ip del servidor vpn, luego pondremos usuario y contrasea y le damos a guardar y abrimos el network manager y le damos a conectar

Configurar el router Linksys RV200 como un servidor VPN sobre red local.

Nos vamos a la pestaa vpn client Access ponemos el nombre de usuario y la contrasea, le damos add/save

39

Gabriel Montas Len

Seguridad y alta disponibilidad

Nos saldr esta pantalla y pondremos la direccin ip y la submascara y le daremos a save settings para guardar los cambios Cuando tenemos esto configurado ya nos tenemos que ir a un cliente y configurarlo para poder conectarnos

Configurar el router Linksys RV042 como un servidor VPN sobre red local.

Nos vamos a vpn y le damos a client to Gateway, marcamos la opcin de tunnel y le ponemos un nombre como vemos en la imagen y en la interface le dejamos la WAN1

En el desplegable vamos a seleccionar la opcin de solo ip y nos saldr la direccin ip que tengamos configurada en nuestro router, luego pondremos la direccin ip con la que va a tener nuestra subred y la mscara, luego volvemos a seleccionar solo ip y ponemos la direccin ip del equipo con el que vamos a hacer la vpn

40

Gabriel Montas Len

Seguridad y alta disponibilidad

En esta parte lo que podemos ver son configuraciones de seguridad que las dejaremos como vienen en la imagen y le daremos a save settings para guardar los cambios. Ahora nos iremos al cliente y configuraremos el software necesario para podernos conectar.

41

Gabriel Montas Len