Laboratorio de Administracin de Redes 2013

1 Elaboraron: M. C. Javier Len Cotonieto e Ing. Aldo Jimnez Arteaga

Prctica 8, VPN
Introduccin
La VPN (Virtual Private Network) o Red Privada Virtual permite proveer un canal de
comunicacin (tnel) seguro a travs de una red pblica (insegura), evitando los
altos costos de los enlaces dedicados equivalentes. Una VPN puede habilitarse para
interconectar:
Un usuario nico a una red (client to site connection).
Oficinas remotas a una oficina central (site to site connection).
Dos usuarios nicos (client to client connection).
Una VPN puede implementarse en diferentes capas del modelo de referencia OSI.
Cuando se configura una VPN en una capa determinada del modelo, slo hay
proteccin desde esa capa hacia los niveles superiores.
Capa de enlace de datos. Su principal ventaja es soportar protocolos no IP. Los
principales protocolos son: PPTP (Point to Point Tunneling Protocol), L2P (Layer
2 Forwarding), L2TP (Layer 2 Tunneling Protocol), L2SP (Layer 2 Security
Protocol).
Capa de Red. IPSEC (IP Security).
Capa de Aplicacin. SSH, SSL, TLS.
IP Security (IPSec)
Es una pila de protocolos y estndares que permiten proteger el trfico que viaja
sobre una red insegura (por ejemplo, Internet). Los servicios que provee IPSEC son:
Confidencialidad al evitar el robo de las datos (algoritmos cifrado).
Integridad asegurando que los datos no han sido manipulados o alterados
(algoritmos de hashing).
Autenticacin al confirmar la identidad del host que enva los datos (usando
claves precompartidas o usando una autoridad certificadora).
Contra replicacin (anti-replay) al evitar la duplicacin de paquetes cifrados
(asignacin de identificador de secuencia nico).
Los protocolos que conforman a IPSEC son:
AH (Authentication Header) Su funcin es proveer servicios de autenticacin e
integridad. Utiliza algoritmos de hash para obtener valores hash del
encabezado y cuerpo de paquete.
ESP (Encapsulation Security Payload) provee servicios de confidencialidad,
autenticacin e integridad. ESP realiza cifrado y por tanto se considera ms
seguro que AH.
Cada uno de los protocolos de IPSEC (AH y ESP) pueden operar en 2 modos:
Modo transporte. Los encabezados originales IP se dejan intactos. Se utiliza
cuando se desea asegurar la comunicacin de un dispositivo nico a otro
dispositivo (client to client).
Modo tnel. Al paquete original se le aplican cifrado y/o hashing (encabezados
y datos del paquete). Se genera un encabezado temporal para transportar el
paquete a travs del tnel.
IKE (Internet Key Exchange) para la asociacin de
seguridad en IPSEC
Una asociacin de seguridad (SA) es el establecimiento de atributos de seguridad
compartidos entre 2 entidades de red para soportar la comunicacin segura. IKE es
utilizado para establecer una SA. IKE debe definir un conjunto de polticas de
seguridad (manejadas con ISAKMP -Internet Security Association and Key
Management Protocol-) por cada participante. Los valores que componen una
poltica de seguridad son:
Algoritmo de cifrado (DES, 3DES, AES).
Algoritmo de hashing (MD5, SHA-1).
Mtodo de autenticacin (clave precompartida o firmas RSA).
Grupo de Diffie-Hellman (DH) para crear y compartir llaves.
Tiempo de vida de la asociacin de seguridad (segundos o KB enviados).
Laboratorio de Administracin de Redes 2013

2 Elaboraron: M. C. Javier Len Cotonieto e Ing. Aldo Jimnez Arteaga

IKE funciona en 2 fases de negociacin:
Fase 1. Establece un tnel inicial (conocido como tnel IKE o ISAKMP-SA) para
autenticacin usando intercambio por Diffie-Hellman (canal bidireccional ISAKMP-
SA nico).
Fase 2. Con el canal seguro establecido en la fase 1, los participantes negocian la
asociacin de seguridad de otros servicios (IPSec SA). Al menos 2 canales (envo y
recepcin) unidireccionales (IPSec Transform Set) son establecidos.
Material
1 PC con Packet Tracer 5.3.3.
Desarrollo

Para crear una VPN se conectar la topologa mostrada en la figura 1, la cual incluir
una nube de red que tomar el papel de una red pblica (insegura).

Figura 1. Topologa de red.
La topologa debe construirse utilizando 2 routers 2811, 3 PC-PT, 1 Server-PT, 1
switch 2950, 1 DSL-Modem-PT y 1 Cloud-PT.
Los enlaces deben realizarse acorde a la tabla 1.
Dispositivo Inicial Dispositivo Final Cable
Router0 - Fa0/0 DSL Modem0 UTP
Router1 - Fa0/0 Cloud0 UTP
Switch0 - Fa0/1 Router0 - Fa0/1 UTP
PC0 - PC2 Switch0 UTP
Server0 Router1 - Fa0/1 UTP
DSL Modem0 Cloud0 - Modem4 Telefnico
Tabla 1. Tipos de conexiones.
Configuracin de los segmentos de red
El segmentos de red conectado a la nube debe configurarse de acuerdo con las
direcciones pblicas proporcionadas por un Proveedor de Servicios de Internet
(ISP). Para esta prctica, las direcciones pblicas que se asignarn a las routers en su
respectiva interface Fa0/0 son: Router0, 10.10.10.1/8; Router1, 10.10.10.2/8.
Las direcciones de red para cada Intranet son (atendiendo al nmero de router al
que estn conectadas): Intranet0, 192.168.0.0/24; Intranet1, 192.168.1.0/24.
Adicionalmente, es necesario que se configuren tablas de ruteo estticas en cada
router, para cada uno de los segmentos de red no adyacentes. Comprueba que
existe comunicacin entre segmentos.
La comunicacin entre segmentos no debe ser exitosa; incluso la comunicacin
entre routers. El problema se debe a que la nube de red no tiene enlaces para
soportar el trfico entre el mdem y el router.
Para configurar la nube de red, da clic sobre ella y en la pestaa Config da clic en la
opcin DSL. Selecciona en la lista desplegable izquierda la opcin Modem4, y en la
lista derecha Ethernet6; da clic en Agregar. Ahora la comunicacin debe ser exitosa.
Laboratorio de Administracin de Redes 2013

3 Elaboraron: M. C. Javier Len Cotonieto e Ing. Aldo Jimnez Arteaga

Configuracin de la VPN
Es necesario que los routers se pongan de acuerdo en la forma de autenticarse.
Para ello es necesario el establecimiento de un tnel para el intercambio de
autenticacin. Para los dos routers es necesario establecer el servicio ISAKMP, que
permite habilitar IPsec, mediante las siguientes instrucciones:
Router(config)# crypto isakmp enable
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# authentication pre-share
Router(config-isakmp)# encryption aes
Router(config-isakmp)# hash sha
Router(config-isakmp)# group 2
Router(config-isakmp)# exit
Una vez establecido el canal seguro, se requiere establecer un conjunto de
transformaciones en ambos routers para poder comunicarse en el canal, tambin
indicando qu trfico viajar por la VPN (creacin de una lista de acceso).
NOTA: la mscara wildcard del gateway slo est representando un host; por lo
tanto, debe ser 0.0.0.0.
Router(config)# crypto isakmp key 0 address GATEWAY_ROUTER WILDCARD_GATEWAY
Router(config)# crypto ipsec transform-set rpv1 esp-aes esp-sha-hmac
Router(config)# crypto ipsec security-association lifetime seconds 86400
Router(config)# ip access-list extended lista1
Router(config-ext-nacl)# permit ip RED_SRC WILDCARD_SRC RED_DTNWILDCARD_DTN
Router(config-ext-nacl)# exit
donde RED_SRC es la direccin de red de la Intranet conectada al router que se
est configurando (origen), WILDCARD_SRCes la mscara wildcard de la Intranet
conectada al router que se est configurando, RED_DTNes la direccin de red de la
Intranet conectada al router que no se est configurando (destino), y
WILDCARD_DTNes la mscara wildcard de la Intranet conectada al router que no se
est configurando.
Una vez establecidos el tnel y las asociaciones de seguridad, es necesario indicarle
al router cul es el destino del tnel creado, sobre qu interface debe aplicarse, y
ligarlo a las polticas de intercambio de autenticacin. Para ello se crea un mapa
que realiza las aplicaciones indicadas.
Router(config) #crypto map maparpv1 100 ipsec-isakmp
Router(config-crypto-map) #match address lista1
Router(config-crypto-map) #set peer GATEWAY_ROUTER
Router(config-crypto-map) #set pfs group2
Router(config-crypto-map) #set transform-set rpv1
Router(config-crypto-map) #exit
Router(config) #interface fa 0/0
Router(config-if) #crypto map maparpv1
Este proceso debe realizarse con los dos routers. Si se configura un solo router, se
perder la comunicacin entre Intranets, ya que el router perteneciente a la VPN no
podr autenticar a uno de los segmentos.
Verifica con los siguientes comandos que la VPN est configurada correctamente.
Router# show crypto Isakmp policy
Router# show crypto isakmp sa
Router# show crypto map
Router# show crypto ipsec transform-set
Argumenta qu muestra la salida de cada comando.