2012

VPN IPSEC EN PACKET TRACER

Ing.EdmundoRivasVargas http://redesbolivia.blogspot.com 09/06/2012

VPN IPSEC CON PRESHARE KEY 2012

INDICE
INDICE.............................................................................................................................................1 1.- INTRODUCCIN........................................................................................................................2 2.- TOPOLOGIAS DE VPN.............................................................................................................3 2.1. VPN SITIO A SITIO........................................................................................................................3 2.2. VPN DE ACCESO REMOTO.......................................................................................................4 3.- VPN CON IPSEC........................................................................................................................4 3.1. ESTRUCTURA DE IPSEC.................................................................................................................4 4.- IMPLEMENTACION DE VPN IPSEC SITIO A SITIO EN PACKET TRACER........................6 4.1. TOPOLOGIA DE LA SIMULACION.............................................................................................6 4.2. DISEO DE LA RED.....................................................................................................................7 4.3. SOLUCIN DE LA SIMULACIN...............................................................................................7 4.3.1. Configuracin Bsica de los Router....................................................................................7 4.3.2. Configurar ACLS compatibles. ............................................................................................8 . 4.3.3. Configurar Polticas IKE en los routers R1 y R2...............................................................9 4.3.4. Configurar las PSK..............................................................................................................12 4.3.5. Configurar el conjunto de transformacin........................................................................13 4.3.6. Configurar las ACLs crypto................................................................................................15
4.3.6.1. Identificacin de los flujos de trfico a proteger.......................................................................15 4.3.6.2. Aplicar la crypto-map...................................................................................................................16

4.3.7. Verificacin del funcionamiento de IPSec........................................................................18 ANEXO............................................................................................................................................ 3 2

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

1.- INTRODUCCIN.

VPN
SITIO REMOTO

INTERNET VPN

OFICINA CENTRAL

USUARIO REMOTO

Hoy en da, las empresas necesitan extender sus redes en forma segura utilizando la red de redes, INTERNET. Lo que actualmente, estn utilizando para lograr esta expansin es mediante implementar redes privadas virtuales (VPNs). Las VPNs son redes privadas que se crean utilizando tneles sobre una red pblica, generalmente, Internet. Las VPNs utilizan conexiones virtuales enrutadas a travs de Internet desde la central de la empresa hasta el sitio remoto. Ejemplos de VPNs son Frame Relay, ATM, PVCs, MPLS. Hoy, las VPNs tienen el acceso estrictamente controlado para permitir conexiones entre pares dentro de sitios remotos definidos. Esta confidencialidad se logra mediante el cifrado del trfico dentro del tnel. Las VPNs proveen el ms alto nivel de seguridad, mediante utilizar protocolos de cifrado y autenticacin, de tal manera de proteger la transferencia de datos entre los sitios remotos. Tambin permiten que las corporaciones implementen este servicio utilizando a los ISP locales, permitiendo una comunicacin segura sin que la organizacin implemente infraestructura significativa.

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

Los principales protocolos de tnel sobre la capa 2 son los siguientes: PPTP (Protocolo de tnel punto a punto): es un protocolo de capa 2 desarrollado por Microsoft, 3Com, Ascend, US Robotics y ECI Telematics. L2F (Reenvo de capa dos): es un protocolo de capa 2 desarrollado por Cisco, Northern Telecom y Shiva. Actualmente es casi obsoleto. L2TP (Protocolo de tnel de capa dos): el resultado del trabajo del IETF (RFC 2661), incluye todas las caractersticas de PPTP y L2F. Es un protocolo de capa 2 basado en PPP. Entre los protocolos de tnel sobre la capa 3 se encuentran: GRE: Protocolo desarrollado por Cisco y luego estandarizado como RFC 1701, 1702. Se establecen conexiones de sitios punto a punto. Los datos transferidos en el tnel se encapsulan en un encabezado de entrega. IPSEC: Es un conjunto de protocolos, cuyo desarrollo fue respaldado por la IETF, con el objetivo de obtener servicios seguros sobre redes IP de conmutacin de paquetes. En otras palabras, sobre la red Internet por la disponibilidad de sta. Esto significa que una VPN sobre IPSEC implementada sobre internet reduce costos a una empresa, si comparamos con implementar una VPN sobre una lnea dedicada alquilada. IPSEC provee autenticacin, integridad, control de acceso y confidencialidad. MPLS: Establece conexiones any to any entre varios sitios. Utilizan etiquetas para encapsular los datos originales para formar una VPN.

2.- TOPOLOGIAS DE VPN.

2.1. VPN SITIO A SITIO.
Este tipo de VPN se crea cuando los dispositivos de conexin en ambos extremos de la conexin conocen la configuracin de VPN anticipadamente. La VPN, se puede decir, permanece esttica y los hosts dentro de cada LAN no saben de la existencia de la VPN. Los hosts de las LANs involucradas en la conexin, envan y reciben trafico a travs del Gateway VPN. ste es responsable de encapsular, y cifrar el trfico saliente de un sitio y enviarlo a travs del tnel VPN sobre Internet hasta el destino. El Gateway Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

destino recibe el trfico, le quita los encabezados, descifra el contenido y lo direcciona hasta el host destino dentro de la LAN.

2.2. VPN DE ACCESO REMOTO.

En este caso, la informacin de la VPN cambia en forma dinmica y puede ser habilitada y deshabilitada. Esto se debe a que el equipo remoto puede estar en cualquier lugar, el equipo remoto es el responsable de establecer la VPN. Este tipo de VPN soportan una arquitectura cliente-servidor, donde un cliente VPN (el usuario remoto) requiere un acceso seguro a la red de la empresa mediante un servidor VPN instalado en el lmite de la red de la corporacin.

3.- VPN CON IPSEC.

IPSEC es un estndar IETF basado en la RFC 2401, 2412, donde se define la manera en que una conexin VPN debe configurarse utilizando el protocolo IP. IPSEC es un framework de estndares abiertos que define las reglas para comunicaciones seguras. Se basa en algoritmos existentes para implementar el cifrado, la autenticacin y el intercambio de claves. IPSEC funciona en la capa de red, protegiendo y autenticando los paquetes IP entre los dispositivos IPSEC que forman la conexin. Esto quiere decir, que IPSEC protege todo el trafico de aplicaciones, porque la proteccin se implementa desde la capa 4 hasta la 7 del modelo OSI. Los encabezados IP de IPSEC estn en texto plano.

3.1. Estructura de IPSEC.

La estructura de IPSEC est formado por cinco bloques: a. PROTOCOLO IPSEC: Incluye ESP o AH. AH (AUTHENTICATION HEADER), es el protocolo IP 51. No provee confidencialidad. Todo el texto se transporta sin cifrar . ESP (ENCAPSULATION SECURITY PAYLOAD), es el protocolo IP 50, provee confidencialidad y autenticacin.

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

b. ALGORITMO DE CIFRADO: Provee la confidencialidad en la comunicacin entre pares. Se puede utilizar DES, 3DES, AES y SEAL. La eleccin de uno de ellos, depende del nivel de seguridad que se requiera entre los pares. c. ALGORITMO DE INTEGRIDAD: Garantiza la integridad del mensaje utilizando un valor de hash. Se puede elegir entre los algoritmos MD5 o SHA. d. ALGORITMO DE AUTENTICACION: Se refiere a que los dispositivos en cada extremo de la red deben reconocerse mutuamente, esto se llama autenticacin. Es el mtodo de cmo se establecer la clave secreta compartida. Se puede elegir entre PSK (Pre shared key) y firma digital utilizando RSA. e. ALGORITMO DE INTERCAMBIO DE CLAVES: Se trata de elegir un algoritmo para el intercambio de claves publicas secretas entre dos pares que solo ellos conocen. Para ello, se puede elegir entre las variaciones del algoritmo de intercambio de claves Diffie-Hellman (DH). El grafico siguiente muestra las opciones de configuracin del protocolo IPSec.

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

4.- IMPLEMENTACION DE VPN IPSEC SITIO A SITIO EN PACKET TRACER.

OBJETIVO: Configurar un tnel VPN IPSEC entre R1 y R2 usando la CLI. En otras palabras, se trata que el PC1 pueda acceder al SERVER1 sin que el router ISP se entere de sta comunicacin.

4.1. TOPOLOGIA DE LA SIMULACION.

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

4.2. DISEO DE LA RED.

4.3. SOLUCIN DE LA SIMULACIN.

4.3.1. Configuracin Bsica de los Router. Se debe configurar las interfaces en cada router tal como se muestra en la tabla anterior, tambin la configuracin IP en Server1 como en PC1. No hay que olvidar de desconectar el DNS lookup en cada router con el siguiente comando: no ip domain-lookup. Se debe configurar un protocolo de enrutamiento para que exista comunicacin extremo a extremo en la red. En la presente simulacin se utiliz rutas estticas.

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

4.3.2. Configurar ACLS compatibles. Hay que verificar que las ACLs existentes en los routers participantes del tnel VPN, en la realidad, los routers perimetrales, no bloqueen el trfico IPSec. Se debe tomar en cuenta que en stos routers, se implementan polticas de seguridad restrictivas con ACLs que slo permiten trfico especfico y se niega otro trfico. Por esto, se debe agregar sentencias especficas de permiso en las ACLs. Se debe habilitar el trfico ISAKMP, ESP y AH creando ACLs en cada router perimetral participante de la VPN. Hay que tomar en cuenta que: ESP tiene asignado el protocolo IP 50. AH tiene asignado el protocolo IP 51. ISKMP utiliza el puerto UDP 500

Las ACLs que se deben habilitar son las siguientes que se muestra en el siguiente grafico, tanto en R1 como en R2

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

4.3.3. Configurar Polticas IKE en los routers R1 y R2.

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

El comando crypto isakmp enable verifica que el IOS del router soporta IKE y que est conectado. El comando crypto isakmp policy 10 es para configurar los parmetros dentro de la poltica IKE. El nmero 10 indica la prioridad de la poltica implementada. Este nmero vara entre 1 y 10000 siendo uno la prioridad ms alta. Este es el nico valor, en esta parte, que puede ser diferente en el otro router, en este caso, en R2. El parmetro authentication define el mtodo de autenticacin de pares. Se puede elegir entre: pre-share: claves precompartidas. rsa-encr: Nonces RSA cifrados. rsa-sig: Firmas RSA

El valor por defecto, si no se especifica ninguna, es rsa-sig. En la simulacin, se utilizar pre-share. El comando encryption indica el algoritmo de cifrado del mensaje. Para este caso se utilizar aes 256. Existen otros como: des: data encryption standard. 3des: Triple des. aes: AES de 128 bits. aes 192: AES de 192 bits. aes 256: AES de 256 bits.

El valor por defecto es des. El parmetro hash indica el algoritmo de integridad del mensaje. En la simulacin se muestra que se utiliza sha. Tambin se puede utilizar MD5. El valor por defecto es sha.

10

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

El comando group invoca los parmetros de intercambio de claves mediante el identificador de grupo DH. Cisco IOS acepta los siguientes tres grupos: Group 1: Diffie Hellman (DH) de 768 bits. Group 2: DH de 1024 bits. Group 5: DH de 1536 bits.

En ste caso se selecciono group 5. El valor por defecto es group 1. El parmetro lifetime especifica el tiempo de vida de SA establecidos por ISAKMP, sta configurado en segundos. En el ejemplo se utilizar 3600. El valor por defecto es de 86400 segundos, que equivalen a un da. Los comandos de configuracin en R2 sern:

No se debe olvidar, que todos estos parmetros deben ser iguales en los dos routers perimetrales que conforman la VPN, lo nico que puede ser diferente es la prioridad de la poltica de seguridad configurada.

11

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

4.3.4. Configurar las PSK. Se debe configurar una PSK si es que se ha configurado el comando authentication pre-share en la primera parte, es decir, en la configuracin de las polticas ISAKMP. El comando es el siguiente: crypto isakmp key clave adress peer-address En los grficos siguientes se muestra la configuracin mencionada:

Se debe hacer notar que cuando se configura R1 apuntamos a la entrada del otro router, R2, y la contrasea compartida en este caso es configuracionvpn.

Como se puede apreciar, repetimos la contrasea configuracionvpn y hacemos apuntar a R2 al IP del otro router, R1.

12

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

4.3.5. Configurar el conjunto de transformacin. Un conjunto de transformacin es una combinacin de transformaciones IPSec individuales, las cuales son designadas para representar una poltica de seguridad de trfico especfica. Los conjuntos de transformacin consisten en una combinacin de transformaciones AH, una transformacin ESP y el modo IPSec. El comando para configurar ste conjunto de transformacin es el siguiente: crypto ipsec transform set nombre-conjunto-transformacin transform1

transform2 transform3 transform4 Se debe recordar que cada transformacin representa un protocolo de seguridad IPSec (AH o ESP) adems del algoritmo asociado. Se debe tomar en cuenta, que cuando se selecciona un protocolo ESP, debe especificarse tambin un conjunto de transformacin de cifrado ESP o bien un conjunto de transformacin de cifrado ESP y un conjunto de transformacin de autenticacin ESP. La tabla siguiente muestra las variantes que se pueden escoger en la configuracin del conjunto de transformacin: TipodeTransformacin TransformacinAH (Sedebeseleccionarslouna) Transformacin ahmd5hmac Descripcin AHconalgoritmodeautenticacin MD5,unavarianedeHMAC. AHconalgoritmodeautenticacinSHA unavariantedeHMAC. ESPconcifradoAESde128bits. ESPconcifradoAESde192bits. ESPconcifradoAESde256bits. ESPconcifradoDESde56bits. ESPconcifradoDESde168bits. ESPsinalgoritmodecifrado. ESPconcifradoSEALde160bits.

ahshahmac

TransformacindecifradoESP (Sedebeseleccionarslouna)

espaes espaes192 espaes256 espdes esp3des espnull espseal

13

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

Transformacinde autenticacinESP (Sedebeseleccionarslouna) espmd5hmac ESPconautenticacinMD5,una varianteHMAC. ESPconautenticacinSHA,variante HMAC. CompresinIPconalgoritmoLempel ZivStac(LZS)

espshahmac

Transformacindecompresin IP

complzs

En el ejemplo de simulacin tenemos:

El nmero 50 representa el protocolo de IPSec, en este caso ESP. esp-aes 256 describe la transformacin de cifrado ESP. esp-sha-hmac representa la transformacin de autenticacin ESP.

14

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

Estos parmetros de transformacin en ambos pares deben ser iguales. 4.3.6. Configurar las ACLs crypto. 4.3.6.1. Identificacin de los flujos de trfico a proteger. Las cryto ACLs identifican el trfico que se debe proteger. Las cryto ACLs de salida seleccinan el trafico saliente que IPSec debe proteger, por lo tanto, el trfico no seleccionado se enva como texto plano. En resumen, las crypto ACLs de salida definen el trafico interesante que debe cifrarse. Todo el trafico restante ser transmitido en texto plano. Las crypto ACLs de entrada informan al router qu trfico debe recibirse como trfico cifrado. Cuando el trfico coincide con una sentencia permit, el router espera que el mismo se encuentre cifrado. Los comandos para R1 y R2 de la simulacin implementa es la que se muestra en las imgenes siguientes:

15

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

En las imgenes anteriores se puede apreciar que cuando se configura R1 la ACL permite a la red conectada a R1 salir hasta la subred conectada a R2, es decir, el trafico que debe ser encriptado para que transite por la VPN. En el caso de R2 sucede de igual forma, de donde viene hacia dnde va es el punto que se debe considerar al aplicar la crypto ACL. 4.3.6.2. Aplicar la crypto-map. Las entradas de la crypto-map creadas para IPSec combinan los parmetros de configuracin necesarios para las SAs IPsec incluyendo las siguientes: Qu trfico se debe proteger, utilizando una crypto ACL. Granularidad del flujo a proteger mediante un conjunto de SAs. Quin es el par remoto IPSec, lo cual determina hacia dnde debe enviarse el trfico protegido por IPSec. Direccin local del trfico IPSec (opcional) Qu tipo de seguridad IPSec debe aplicarse a este trfico seleccionado a partir de una lista de uno o ms conjuntos de transformacin. Las imgenes muestran los comandos utilizados en la simulacin:

16

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

El trmino MIMAPA es el nombre de la crypto map que el administrador le asigna. ipsec-isakmp indica que ISAKMP ser utilizado para establecer las asociaciones de seguridad en IPSec. El comando match address indica el nmero de la crypto ACL extendida, en el caso presente, es la 102 que se ha configurado anteriormente. El comando peer especifica los pares IPSec por direccin IP. El comando pfs especifica el grupo DH, en esta simulacin se ha definido con anterioridad el Group 5. El comando security-association lifetime configura los parmetros de tiempo de vida de las asociaciones de seguridad en segundos, que tambin puede ser en Kilobytes. En esta simulacin se configura con 900 segundos. Adicionalmente, se debe aplicar la crypto map en la interface del flujo interesante de la VPN, es por ello que en las imgenes se aplican a la interface de salida de R1 como de R2.

17

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

4.3.7. Verificacin del funcionamiento de IPSec. Existen una variedad de comandos para verificar su operacin y resolver problemas cuando sea necesario. ComandoshowparaVPN showcryptomap showcryptoisakmppolicy showcryptoipsecsa showcryptoipsectransformset Descripcin Muestraloscryptomapsconfigurados MuestralaspolticasIKEconfiguradas. MuestralostnelesIPSecestablecidos. Muestralosconjuntosdetransformacin IPSecconfigurados. DepuraloseventosIKE DepuraloseventosIPSec

debugcryptoisakmp debugcryptoipsec

Examine los siguientes grficos y trate de relacionar con los comandos y configuracin utilizada en la simulacin:

18

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

19

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

20

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

21

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

Como se puede apreciar, los grficos muestran el funcionamiento del tnel VPN IPSec.

22

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

ANEXO.
A continuacin presentamos los comandos utilizados en la presente simulacin, para una configuracin rpida de una VPN IPSec con pre-share key. Lo que est escrito con negrita aplica solo a sta simulacin. Si se usa otra topologa y diseo de red se deben cambiar para el caso de estudio. Para R1: R1(config)# crypto isakmp enable R1(config)# crypto isakmp policy 10 R1(config-isakmp)# authentication pre-share R1(config-isakmp)# encryption aes 254 R1(config-isakmp)# hash sha R1(config-isakmp)# group 5 R1(config-isakmp)# lifetime 3600 R1(config-isakmp)# exit R1(config)# crypto isakmp key configuracionvpn address 10.5.5.2 R1(config)#crypto ipsec transform-set 50 esp-aes256 esp-sha-hmac R1(config)# access-list 102 permit ip 192.168.6.0 0.0.0.255 192.168.7.0 0.0.0.255 R1(config)# crypto map MIMAPA 10 ipsec-isakmp R1(config-crypto-map)# match address 102 R1(config-crypto-map)# set peer 10.5.5.2 R1(config-crypto-map)# set pfs group5 R1(config-crypto-map)# set transform-set 50 R1(config-crypto-map)# set security-association lifetime seconds 900 R1(config-crypto-map)# exit R1(config)# int s0/2/0 R1(config)# crypto map MIMAPA

23

Ing.EdmundoRivasVargas

VPN IPSEC CON PRESHARE KEY 2012

R1(config)# end R1#wr Para R2: R2(config)# crypto isakmp enable R2(config)# crypto isakmp policy 10 R2(config-isakmp)# authentication pre-share R2(config-isakmp)# encryption aes 256 R2(config-isakmp)# hash sha R2(config-isakmp)# group 5 R2(config-isakmp)# lifetime 3600 R2(config-isakmp)# exit R2(config)# crypto isakmp key configuracionvpn address 10.4.4.2 R2(config)#crypto ipsec transform-set 50 esp-aes256 esp-sha-hmac R2(config)# access-list 102 permit ip 192.168.7.0 0.0.0.255 192.168.6.0 0.0.0.255 R2(config)# crypto map MIMAPA 10 ipsec-isakmp R2(config-crypto-map)# match address 102 R2(config-crypto-map)# set peer 10.4.4.2 R2(config-crypto-map)# set pfs group5 R2(config-crypto-map)# set transform-set 50 R2(config-crypto-map)# set security-association lifetime seconds 900 R2(config-crypto-map)# exit R2(config)# int s0/2/0 R2(config)# crypto map MIMAPA R2(config)# end R2#wr

24

Ing.EdmundoRivasVargas