Configuracin Avanzada de Routers

Laboratorio VPN Site to Site En la topologa mostrada configuremos VPN Site to Site usando CLI sobre 2 routers 1721 con advancesecurity IOS. Separemos por etapas la configuracin: 1.- La configuracin habitual de enrutamiento con EIGRP AS = 101

Router R1 R2 R3

Serial 0 10.1.1.1 /30 10.2.2.2 /30 -----------------

Serial 1 -----------------10.1.1.2 /30 10.2.2.1 /30

FastEthernet 0 192.168.1.1 / 24 ----------------192.168.3.1 / 24

Sobre eigrp ejecutar no auto-summary, para visualizar las subredes con tracert. 2.- Habilitar las opciones de encriptacin para generar el tnel VPN. Implementar los parmetros de intercambio de Llaves de Internet, IKE. Implementar los parmetros de IPsec Verificar que IKE es soportado y habilitado.
- INICTEL - UNI 1

Configuracin Avanzada de Routers

R3(config)#crypto isakmp enable IKE define el mtodo de intercambio de llaves usado para pasar y validar las polticas entre pares del VPN. En la siguiente fase los pares intercambian y validan sus polticas antes creadas, para autenticar y encriptar el trfico de datos. 3.- Generar la poltica basado en un identificador que puede ser numrico: R3(config)#crypto isakmp policy 10 R3(config-isakmp)# ? opciones 4.- Crear las reglas de la politica 10 Habilitamos el intercambio de llaves compartidas. R3(config-isakmp)# authentication pre-share Definimos el algoritmo de encriptacin para proteger el tunel R3(config-isakmp)# encrypcion aes 256 Definimos el algoritmo de hashing para la transferencia encriptada. R3(config-isakmp)# hash sha Definimos el grupo 5 R3(config-isakmp)# group 5 Definimos el tiempo de vida para la asociacin de seguridad a travs de ISAKMP. R3(config-isakmp)# lifetime 3600 Verificamos que las polticas han sido creadas R3#show crypto isakmp policy
Global IKE policy Protection suite of priority 10 - INICTEL - UNI 2

Configuracin Avanzada de Routers encryption algorithm: AES - Advanced Encryption Standard (256 bit keys). hash algorithm: Secure Hash Standard authentication method: Pre-Shared Key Diffie-Hellman group: #5 (1536 bit) lifetime: 3600 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit

5.- Configurar las llaves compartidas R3(config)# crypto isakmp key cisco123 address 10.1.1.1 6.- Configurar la conversion a IPsec y los tiempos de vida. R3(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac ESP es el protocolo de seguridad del encapsulado. Estos parmetros deben coincidir con el otro extremo. Tambin podemos definir el tiempo de vida de 3600 por otro dentro del IPsec para la asociacin con el otro extremo del tnel. R3(config)#crypto ipsec security-association lifetime seconds 1800 7.- Definimos el trfico de inters. Para definir esto se ha de crear una ACL que permita el matching, con el trafico que nosotros deseemos que pase por la VPN. R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 8.- Crear y aplicar el crypto map. Creamos el crypto map en R3 llamado CMAP con un numero 10 de secuencia, se mostrara un mensaje de edicin. R3(config)# crypto map CMAP 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.

Usar el comando match address con el nmero de la ACL, para especificar el trafico de inters a encriptar.
- INICTEL - UNI 3

Configuracin Avanzada de Routers

R3(config-crypto-map)#match address 101 Luego establecer la direccin del otro extremo del tnel. R3(config-crypto-map)#set peer 10.1.1.1 R3(config-crypto-map)#set pfs group5 R3(config-crypto-map)#set transform-set 50 R3(config-crypto-map)#set security-association lifetime seconds 900 9.- Lo ultimo seria aplicar el mapa a la interface. Para R3 es Serial 1 R3(config)#interface serial 1 R3(config-if)#crypto map CMAP 10.- Verificamos nuestros resultados Verificar la configuracin del IPsec R3#show crypto ipsec transform-set

Transform set 50: { esp-256-aes esp-sha-hmac } will negotiate = { Tunnel, },

R3#show crypto ipsec transform-set

Transform set 50: { esp-256-aes esp-sha-hmac } will negotiate = { Tunnel, },

R3#show crypto map

Crypto Map "CMAP" 10 ipsec-isakmp Peer = 10.1.1.1 Extended IP access list 101 access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 Current peer: 10.1.1.1 Security association lifetime: 4608000 kilobytes/900 seconds PFS (Y/N): Y DH group: group5 Transform sets={ 50, } Interfaces using crypto map CMAP: Serial1

Verificamos la Operacion del VPN R3#show crypto isakmp sa

dst 10.1.1.1 src 10.2.2.1

state conn-id slot status QM_IDLE 1 0 ACTIVE - INICTEL - UNI 4

Configuracin Avanzada de Routers

Mostramos la asociacin de seguridad IPsec. R3#show crypto ipsec sa

interface: Serial1 Crypto map tag: CMAP, local addr 10.2.2.1

protected vrf: (none) local ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) current_peer 10.1.1.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 7, #pkts encrypt: 7, #pkts digest: 7 #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 3, #recv errors 0 local crypto endpt.: 10.2.2.1, remote crypto endpt.: 10.1.1.1 path mtu 1500, ip mtu 1500, ip mtu idb Serial1 current outbound spi: 0x7719BC01(1998175233) inbound esp sas: spi: 0xF1B9F20A(4055495178) transform: esp-256-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2001, flow_id: 1, crypto map: CMAP sa timing: remaining key lifetime (k/sec): (4573501/771) IV size: 16 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x7719BC01(1998175233) transform: esp-256-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2002, flow_id: 2, crypto map: CMAP sa timing: remaining key lifetime (k/sec): (4573501/748) IV size: 16 bytes replay detection support: Y Status: ACTIVE outbound ah sas: - INICTEL - UNI 5

Configuracin Avanzada de Routers outbound pcp sas:

11.- Aseguramos nuestros routers con SSH y HTTPS. R3(config)#ip domain-name inictel.gob.pe R3(config)#crypto key generate rsa

The name for the keys will be: R3.inictel.gob.pe Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: % Generating 512 bit RSA keys, keys will be non-exportable...[OK] *Mar 1 06:27:10.667: RSA key size needs to be atleast 768 bits for ssh version 2 *Mar 1 06:27:10.671: %SSH-5-ENABLED: SSH 1.5 has been enabled

Creamos el usuario administrador Habilitamos SSH como nico protocolo de sesin hacia el router. R3(config)#username admin privilege 15 password class R3(config)#line vty 0 4 R3(config-line)#transport input ssh R3(config-line)#login local Habilitamos HTTPS R3(config)#ip http secure-server

% Generating 1024 bit RSA keys, keys will be non-exportable... *Mar 1 06:35:17.115: %PKI-6-AUTOSAVE: Running configuration saved to NVRAM

Ing. Nstor Bautista

- INICTEL - UNI -