Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INDICE
INDICE.............................................................................................................................................1 1.- INTRODUCCIN........................................................................................................................2 2.- TOPOLOGIAS DE VPN.............................................................................................................3 2.1. VPN SITIO A SITIO........................................................................................................................3 2.2. VPN DE ACCESO REMOTO.......................................................................................................4 3.- VPN CON IPSEC........................................................................................................................4 3.1. ESTRUCTURA DE IPSEC.................................................................................................................4 4.- IMPLEMENTACION DE VPN IPSEC SITIO A SITIO EN PACKET TRACER........................6 4.1. TOPOLOGIA DE LA SIMULACION.............................................................................................6 4.2. DISEO DE LA RED.....................................................................................................................7 4.3. SOLUCIN DE LA SIMULACIN...............................................................................................7 4.3.1. Configuracin Bsica de los Router....................................................................................7 4.3.2. Configurar ACLS compatibles. ............................................................................................8 . 4.3.3. Configurar Polticas IKE en los routers R1 y R2...............................................................9 4.3.4. Configurar las PSK..............................................................................................................12 4.3.5. Configurar el conjunto de transformacin........................................................................13 4.3.6. Configurar las ACLs crypto................................................................................................15
4.3.6.1. Identificacin de los flujos de trfico a proteger.......................................................................15 4.3.6.2. Aplicar la crypto-map...................................................................................................................16
Ing.EdmundoRivasVargas
1.- INTRODUCCIN.
VPN
SITIO REMOTO
INTERNET VPN
OFICINA CENTRAL
USUARIO REMOTO
Hoy en da, las empresas necesitan extender sus redes en forma segura utilizando la red de redes, INTERNET. Lo que actualmente, estn utilizando para lograr esta expansin es mediante implementar redes privadas virtuales (VPNs). Las VPNs son redes privadas que se crean utilizando tneles sobre una red pblica, generalmente, Internet. Las VPNs utilizan conexiones virtuales enrutadas a travs de Internet desde la central de la empresa hasta el sitio remoto. Ejemplos de VPNs son Frame Relay, ATM, PVCs, MPLS. Hoy, las VPNs tienen el acceso estrictamente controlado para permitir conexiones entre pares dentro de sitios remotos definidos. Esta confidencialidad se logra mediante el cifrado del trfico dentro del tnel. Las VPNs proveen el ms alto nivel de seguridad, mediante utilizar protocolos de cifrado y autenticacin, de tal manera de proteger la transferencia de datos entre los sitios remotos. Tambin permiten que las corporaciones implementen este servicio utilizando a los ISP locales, permitiendo una comunicacin segura sin que la organizacin implemente infraestructura significativa.
Ing.EdmundoRivasVargas
Ing.EdmundoRivasVargas
Ing.EdmundoRivasVargas
Ing.EdmundoRivasVargas
Ing.EdmundoRivasVargas
4.3.2. Configurar ACLS compatibles. Hay que verificar que las ACLs existentes en los routers participantes del tnel VPN, en la realidad, los routers perimetrales, no bloqueen el trfico IPSec. Se debe tomar en cuenta que en stos routers, se implementan polticas de seguridad restrictivas con ACLs que slo permiten trfico especfico y se niega otro trfico. Por esto, se debe agregar sentencias especficas de permiso en las ACLs. Se debe habilitar el trfico ISAKMP, ESP y AH creando ACLs en cada router perimetral participante de la VPN. Hay que tomar en cuenta que: ESP tiene asignado el protocolo IP 50. AH tiene asignado el protocolo IP 51. ISKMP utiliza el puerto UDP 500
Las ACLs que se deben habilitar son las siguientes que se muestra en el siguiente grafico, tanto en R1 como en R2
Ing.EdmundoRivasVargas
Ing.EdmundoRivasVargas
El valor por defecto, si no se especifica ninguna, es rsa-sig. En la simulacin, se utilizar pre-share. El comando encryption indica el algoritmo de cifrado del mensaje. Para este caso se utilizar aes 256. Existen otros como: des: data encryption standard. 3des: Triple des. aes: AES de 128 bits. aes 192: AES de 192 bits. aes 256: AES de 256 bits.
El valor por defecto es des. El parmetro hash indica el algoritmo de integridad del mensaje. En la simulacin se muestra que se utiliza sha. Tambin se puede utilizar MD5. El valor por defecto es sha.
10
Ing.EdmundoRivasVargas
En ste caso se selecciono group 5. El valor por defecto es group 1. El parmetro lifetime especifica el tiempo de vida de SA establecidos por ISAKMP, sta configurado en segundos. En el ejemplo se utilizar 3600. El valor por defecto es de 86400 segundos, que equivalen a un da. Los comandos de configuracin en R2 sern:
No se debe olvidar, que todos estos parmetros deben ser iguales en los dos routers perimetrales que conforman la VPN, lo nico que puede ser diferente es la prioridad de la poltica de seguridad configurada.
11
Ing.EdmundoRivasVargas
Se debe hacer notar que cuando se configura R1 apuntamos a la entrada del otro router, R2, y la contrasea compartida en este caso es configuracionvpn.
Como se puede apreciar, repetimos la contrasea configuracionvpn y hacemos apuntar a R2 al IP del otro router, R1.
12
Ing.EdmundoRivasVargas
transform2 transform3 transform4 Se debe recordar que cada transformacin representa un protocolo de seguridad IPSec (AH o ESP) adems del algoritmo asociado. Se debe tomar en cuenta, que cuando se selecciona un protocolo ESP, debe especificarse tambin un conjunto de transformacin de cifrado ESP o bien un conjunto de transformacin de cifrado ESP y un conjunto de transformacin de autenticacin ESP. La tabla siguiente muestra las variantes que se pueden escoger en la configuracin del conjunto de transformacin: TipodeTransformacin TransformacinAH (Sedebeseleccionarslouna) Transformacin ahmd5hmac Descripcin AHconalgoritmodeautenticacin MD5,unavarianedeHMAC. AHconalgoritmodeautenticacinSHA unavariantedeHMAC. ESPconcifradoAESde128bits. ESPconcifradoAESde192bits. ESPconcifradoAESde256bits. ESPconcifradoDESde56bits. ESPconcifradoDESde168bits. ESPsinalgoritmodecifrado. ESPconcifradoSEALde160bits.
ahshahmac
TransformacindecifradoESP (Sedebeseleccionarslouna)
13
Ing.EdmundoRivasVargas
espshahmac
Transformacindecompresin IP
complzs
El nmero 50 representa el protocolo de IPSec, en este caso ESP. esp-aes 256 describe la transformacin de cifrado ESP. esp-sha-hmac representa la transformacin de autenticacin ESP.
14
Ing.EdmundoRivasVargas
15
Ing.EdmundoRivasVargas
16
Ing.EdmundoRivasVargas
El trmino MIMAPA es el nombre de la crypto map que el administrador le asigna. ipsec-isakmp indica que ISAKMP ser utilizado para establecer las asociaciones de seguridad en IPSec. El comando match address indica el nmero de la crypto ACL extendida, en el caso presente, es la 102 que se ha configurado anteriormente. El comando peer especifica los pares IPSec por direccin IP. El comando pfs especifica el grupo DH, en esta simulacin se ha definido con anterioridad el Group 5. El comando security-association lifetime configura los parmetros de tiempo de vida de las asociaciones de seguridad en segundos, que tambin puede ser en Kilobytes. En esta simulacin se configura con 900 segundos. Adicionalmente, se debe aplicar la crypto map en la interface del flujo interesante de la VPN, es por ello que en las imgenes se aplican a la interface de salida de R1 como de R2.
17
Ing.EdmundoRivasVargas
debugcryptoisakmp debugcryptoipsec
Examine los siguientes grficos y trate de relacionar con los comandos y configuracin utilizada en la simulacin:
18
Ing.EdmundoRivasVargas
19
Ing.EdmundoRivasVargas
20
Ing.EdmundoRivasVargas
21
Ing.EdmundoRivasVargas
Como se puede apreciar, los grficos muestran el funcionamiento del tnel VPN IPSec.
22
Ing.EdmundoRivasVargas
ANEXO.
A continuacin presentamos los comandos utilizados en la presente simulacin, para una configuracin rpida de una VPN IPSec con pre-share key. Lo que est escrito con negrita aplica solo a sta simulacin. Si se usa otra topologa y diseo de red se deben cambiar para el caso de estudio. Para R1: R1(config)# crypto isakmp enable R1(config)# crypto isakmp policy 10 R1(config-isakmp)# authentication pre-share R1(config-isakmp)# encryption aes 254 R1(config-isakmp)# hash sha R1(config-isakmp)# group 5 R1(config-isakmp)# lifetime 3600 R1(config-isakmp)# exit R1(config)# crypto isakmp key configuracionvpn address 10.5.5.2 R1(config)#crypto ipsec transform-set 50 esp-aes256 esp-sha-hmac R1(config)# access-list 102 permit ip 192.168.6.0 0.0.0.255 192.168.7.0 0.0.0.255 R1(config)# crypto map MIMAPA 10 ipsec-isakmp R1(config-crypto-map)# match address 102 R1(config-crypto-map)# set peer 10.5.5.2 R1(config-crypto-map)# set pfs group5 R1(config-crypto-map)# set transform-set 50 R1(config-crypto-map)# set security-association lifetime seconds 900 R1(config-crypto-map)# exit R1(config)# int s0/2/0 R1(config)# crypto map MIMAPA
23
Ing.EdmundoRivasVargas
24
Ing.EdmundoRivasVargas