Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Prac 5.seguridad
Prac 5.seguridad
cl
REDES DE COMPUTADORES
Laboratorio
Prctica 5
Seguridad en redes IP
1 Parte: Listas de control de acceso
2 Parte: VPN (Virtual Private Network)
Universidad de Alcal
Departamento de Automtica
Universidad de Alcal
Departamento de Automtica
Se puede tener una lista de acceso por protocolo, por direccin y por interfaz. No se
puede tener dos listas de acceso a la direccin entrante de una interfaz. Sin embargo, se
puede tener una lista de acceso de entrada y una de salida aplicada a una interfaz.
Cmo utilizar la mscara wildcard o mscara comodn?
Como ya hemos visto en varias ocasiones las mscaras se utilizan para especificar un
host, red o parte de una red. En el caso de las listas de acceso se utilizan la denominada
mscara wildcard o comodn donde en vez de ser 1s la parte referida a la red y 0s la
parte referida a host es exactamente al revs.
Los ceros y unos en una mscara wildcard determinan si los bits correspondientes de la
direccin IP deben ser revisados o ignorados para los propsitos de ACL.
Ejemplo de Lista de acceso estndar
Vamos a definir una lista de acceso estndar que permita solo a la red 10.0.0.0/8 acceder
al servidor localizado en la interface Fa0/1.
Curso 2014/15
Pgina 3
Universidad de Alcal
Departamento de Automtica
Figura 1
1.1 Crear la topologa de la Figura 1
Utilizando el simulador Cisco Packet Tracer, cree la topologa de red que se muestra en
la figura 1. Guarde el fichero como P5acl.pkt
Nota: Necesitar aadir un mdulo de conexiones al Router B.
Nota: El orden de las interfaces no tiene por qu ser como el de la figura pero recuerde
ser consecuente con las configuraciones.
1.2. Configuracin de interfaces y tablas de enrutamiento
1. Configure los equipos siguiendo el esquema de direccionamiento de la figura:
Asigne una direccin IP apropiada a cada uno de los PCs y a cada una de las
interfaces de los routers.
2. Aada al esquema de Packet Tracer etiquetas con el nmero IP asignado y su
mscara a cada interface y a cada equipo.
Curso 2014/15
Pgina 4
Universidad de Alcal
Departamento de Automtica
1.7 Podemos aplicar esa ACL a otra interfaz del router B? Por qu o por qu
no? Raznelo
Curso 2014/15
Pgina 5
Universidad de Alcal
Departamento de Automtica
Curso 2014/15
Pgina 6
Universidad de Alcal
Departamento de Automtica
2.5 Explica Por qu es necesario poner access-list 101 permit ip any any?
2.6 Comprobaciones:
Repite los pasos del apdo. 2.2 Realiza FTP al servidor desde uno de los PCs de la
RED A
Qu sucede?
Curso 2014/15
Pgina 7
Universidad de Alcal
Departamento de Automtica
Curso 2014/15
Pgina 8
Universidad de Alcal
Departamento de Automtica
VPN IPsec
El objetivo principal de IPsec es proporcionar seguridad en la comunicacin, mientras
que sus datos pasan a travs de la red pblica Internet. Para establecer IPsec se necesita
tener dispositivos compatibles IPsec.
IPsec utiliza la siguiente tecnologa criptogrfica:
Diffie -Hellman de intercambio de claves
Criptografa de clave pblica
Algoritmo de cifrado de datos que ayuda a validar la identidad del remitente.
Algoritmo Hashing que verifica la autenticidad e integridad de los datos.
Protocolos de IPsec
El protocolo IPsec es bsicamente una combinacin de protocolos de paquetes y
protocolos de servicio.
IKE (Internet Key Exchange) es un protocolo que define el mtodo de intercambio de
claves sobre IP en una primera fase de negociacin. Utiliza el proceso de intercambio de
claves Diffie Hellman para ofrecer gestin de claves y asociaciones de seguridad. Est
formado por una cabecera de autenticacin, AH (Authentication Header) o una cabecera
de autenticacin ms encriptacin que se conoce como ESP (Encapsulating Security
Payload).
ESP encripta los datos de los paquetes IP y aade la cabecera ESP. ESP proporciona
confidencialidad, la autenticacin y la integridad de la informacin.
El encabezado AH proporciona autenticacin al paquete IP. AH no ofrece ningn
servicio de cifrado, a diferencia de ESP.
IPSec ofrece dos modos de operacin segn utilice AH o ESP para proteger los datos.
-
As, el modo de transporte IPsec genera menos gastos generales y es ms rpido que el
modo de tnel IPsec. La desventaja del modo de transporte IPsec es que cualquier
atacante puede realizar anlisis de trfico de este paquete ya que la informacin de la
cabecera no est cifrada.
Curso 2014/15
Pgina 9
Universidad de Alcal
Departamento de Automtica
Ejercicio 3: VPN
1. OBJETIVO
Crear una red privada virtual VPN utilizando Packet Tracer simulando una conexin
entre dos redes pertenecientes a una empresa RED A y RED B y que tiene conexin a
Internet, a travs del Router 0.
Se debe permitir a los equipos de la RED A tener acceso a los equipos de la RED B y
viceversa pero se desea que las comunicaciones entre dichas redes se realicen con
integridad y confidencialidad.
Para ello se utilizar encriptacin y autenticacin de datos entre las dos reas utilizando
IPsec modo tnel.
2. CREAR LA TOPOLOGA DE RED
2.1. Creacin de la topologa
Vamos a seguir trabajando con el esquema de la Figura 1 por eso abra el fichero que
salv anteriormente como P5vpn.pkt o bien elimine las listas de acceso creadas en los
apartados anteriores.
Figura 1
2.2. Verificacin de la conectividad
Compruebe la conectividad entre todos los equipos.
Curso 2014/15
Pgina 10
Universidad de Alcal
Departamento de Automtica
3. VPN Y ENCRIPTACIN
Una vez configurados todos los equipos adecuadamente y verificado que existe
conectividad entre todos ellos, vamos a realizar la encriptacin de los paquetes para que
las redes A y B realicen comunicaciones con integridad y confidencialidad es decir que
el resto (Internet Router 0) no conozca el contenido de dichos paquetes:
Pasos:
En Router A:
Configuracin de intercambio de claves.
Este proceso usa ISAKMP para identificar el algoritmo de hash y el mtodo de
autenticacin. Tambin se identifican los extremos del tnel:
Router>enable
Router#config term
Router(config)#
!--- Crear una ISAKMP policy. Definimos la prioridad en nuestro ejemplo 10.
!--- Esta prioridad se utiliza para ordenar la aplicacin de las polticas de
!--- encriptacin cuando existen varias
!--- Negociacin del tunel.
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#hash md5
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#exit
!--- Especificar la clave compartida y la direccin remota del otro extremo del tnel.
!--- Se identifica la clave (vpnuser en este caso) con la que se va a encriptar los datos
Router(config)#crypto isakmp key vpnuser address 192.168.0.6
!--- Crear un transform-set, por ejemplo con el nombre myset. El transform set define
las polticas de seguridad que se aplican al trfico que entra o sale de la interfaz.
Curso 2014/15
Pgina 11
Universidad de Alcal
Departamento de Automtica
!--- Crear un ACL para el trfico que va a ser encriptado. (de la RED A a la RED B)
Router(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0
0.0.0.255
Router(config)#exit
En Router B:
Repetir los pasos haciendo los cambios oportunos, (tngase en cuenta que la
configuracin es simtrica).
Curso 2014/15
Pgina 12
Universidad de Alcal
Departamento de Automtica
4. MONITORIZACIN Y PRUEBAS
4.1 Desde el modo simulacin enve un paquete desde uno de los PCs de la RED A
a uno de los PCs de la RED B
Utilice Capture/Forward.
Seleccione uno de los paquetes de la lista de eventos en los que intervenga Router A o
Router B como destino y abra as la ventana de informacin de la PDU y en dicha
ventana seleccione la pestaa Outbound PDU detail.
Localice: encapsulation security payload y responda a las siguientes cuestiones:
Cmo se encapsulan los datos?
Curso 2014/15
Pgina 13
Universidad de Alcal
Departamento de Automtica
GLOSARIO
IPSec: Internet Protocol Security. Es un conjunto de protocolos que se utilizan para
proteger las comunicaciones IP. IPSec incluye intercambio de claves y cifrado de tnel.
Al crear una VPN IPSec se puede elegir entre una variedad de tecnologas de
seguridad.
ISAKMP (IKE): Internet Security Association and Key Management Protocol.
Proporciona un medio para la autenticacin de pares en una comunicacin segura. Suele
utilizar Internet Key Exchange (IKE), pero tambin se pueden usar otras tecnologas. Se
utilizan claves pblicas o una clave previamente compartida para autenticar las partes en
la comunicacin.
ESP: Encapsulating Security Payload. Es un miembro de la suite de protocolo IPsec
que proporciona autenticidad de origen, integridad, confidencialidad y proteccin de los
paquetes.
AH: Authentication Header. proporciona autenticacin al paquete IP. AH no ofrece
ningn servicio de cifrado, a diferencia de ESP.
MD5: Message-algoritmo Digest 5. (Algoritmo de Resumen del Mensaje 5) es un
algoritmo de reduccin criptogrfico muy utilizado. La codificacin de MD5 de 128 bits
se representa tpicamente como un nmero de 32 dgitos hexadecimales.
SHA: Secure Hash Algorithm. Es un conjunto de funciones de hash criptogrfica
diseado por la Agencia de Seguridad Nacional (NSA). Los algoritmos SHA estn
estructurados de manera diferente y se distinguen como SHA-0, SHA-1 y SHA-2.
DES: Data Encryption Standard. Proporciona encriptacin de 56-bits. Ya no es
considerado un protocolo seguro porque su clave de corta duracin lo hace vulnerable a
ataques de fuerza bruta.
3DES: Triple DES fue diseado para superar las limitaciones y debilidades de DES
usando tres claves diferentes de 56 bits. Los datos se cifran con una clave de 56 bits, a
continuacin, se descifran con otros 56 bits diferentes y el resultado se vuelve a cifrar
con una tercera clave de 56 bits.
AES: Estndar de cifrado avanzado. Fue diseado como reemplazo para DES y 3DES.
Est disponible en diferentes longitudes de clave y se considera generalmente como
unas seis veces ms rpido que 3DES.
HMAC: Hashing Message Authentication Code. Es un tipo de cdigo de autenticacin
de mensajes (MAC). HMAC se calcula mediante un algoritmo especfico que incluye
una funcin de hash criptogrfica en combinacin con una clave secreta.
Curso 2014/15
Pgina 14