INTRODUCCION A LAS VPN SITE TO SITE Las primeras conexiones por conmutacin de circuitos pueden considerarse las primeras

implementaciones de VPN. Fueron conexiones privadas entre 2 sistemas por medio de PVC o SVC segn el servicio dado

Con el crecimiento de Internet los mismo proveedores de servicios empezaron a ofrecer conectividad convirtindose asi en proveedores de servicios de Internet(ISP) IPsec ha permitido establecer comunicaciones seguras entre extremos a travs de Internet. CREACION DE VPN IPsec SITE TO SITE PASO 1: Especificacin de trafico interesante El trafico interesante es todo aquello que se quiera proteger con IPsec para ser enviado a travs del tnel IPsec. El trafico se categoriza como interesante mediante el uso de ACL extendidas. PASO 2: IKE FASE 1 IKE puede utilizarse de dos modos: modo main o agresivo, en modo agresivo es significativamente menor que en el modo main. La siguiente figura muestra de manera grafica IKE fase 1, modo main.

En modo main el primer par de paquetes negocian los parmetros de seguridad usados para establecer el tnel IKE, Los 2 extremos intercambian proposiciones en la forma de transform sets. El segundo par de paquetes intercambia las llaves publicasDiffie-Hellman necesarias para crear el tnel seguro IKE. El tercer par de paquetes lleva la autenticacin de iguales. Una funcin de claves o hash se utiliza para confirmar la identidad y asegurar que los dispositivos no autorizados no pueden establecer un canal de comunicacin seguro.

El modo agresivo reduce la IKE fase 1 a un intercambio de 3 paquetes El primer paquete es enviado desde el iniciador al receptor. Contiene la propuesta de polticas, la llave publica Diffie-Hellman y un medio de autenticacin. El segundo paquete viaja desde el receptor al iniciador. Contiene la propuesta de oliticas aceptada, su llave publicaDiffie-Hellman y un numero de secuencia aleatorio para la autenticacin. El tercer paquete es una confirmacin del iniciador al receptor. IKE TRANSFORM SETS Transform set es una agrupacion de parmetros de seguridad. Parmetros de seguridad comn o transform sets comunes. Existen 5 parametros que deben ser coordinados durante IKE fase 1: Algoritmo de encriptacin(DES, 3DES o AES) Algoritmo de autenticacin(MD5 o SHA-1) Llave (pre-compartida, firmas RSA) Version de Diffie-Hellman(1,2 o 5) Tiempo de vida del tnel IKE (tiempo o numer de bytes)

La siguiente figura muestra como 2 extremos IPsec utilizar IKE transfor para coordinar el tnel IKE.

INTERCAMBIO DIFFIE-HELMAN El protocolo DH es usado para intercambiar las llaves que sern utilizadas en la Fase1. Una vez que las llaves Diffie-Hellman son intercambiadas y la clave secreta se comparte, se crea la SA ara la fase 1. Esta SA de fase 1 es utilizada ara intercambiar material clave para la Fase 2

AUTENTICACIN DE IGUALES Existen 3 metodos: Llaves pre-compartidas: Se configuran en cada uno de los peers y son intercambiadas en las polticas IKE. Firmas RSA: Se basa en el uso de certificados digitales para autenticar peers. Numeros de un solo uso encriptados RSA: Estos nmeros son generados aleatoriamente por cada peer, encriptado y enviado. PASO 3: IKE FASE 2 Los tunelesIPsec son establecidos en la fase 2, crea un canal de comunicaciones seguro sobre el cual el tnel IPsec podr ser establecido. Durante IKE Fase 2 se llevan a cabo las siguientes funciones: Negociacin de parmetros de seguridad con IPsectransform sets. Establecimiento de las SA de IPsec (tunelesIPsec unidireccionales) Renegociacioneriodica de SA de IPsec para afianzar la seguridad. Un intercambio Diffie-Hellman adicional

IKE fase 2 tiene solamente un modo llamado modo quick que abarca todos los procesos que se producen en esta fase, tambin monitoriza la caducidad de las SA y establece nuevas SA cuando es necesario. IPsecTransform Sets Protocolo (ESpo AH) Tipo de encriptacin(DES, 3DES o AES) Autenticacion (MD5 o SHA-1) Modo (Tunel o transporte) Tiempo de vida de las SA(segundos o Kbyte)

La figura muestra como dos peers de IPsec utilizan Transform sets para coordinar las SA de IPsec.

ASOCIACIONES DE SEGURIDAD Cada SA es una conexin unidireccional entre dos peers.elfujo de datos ha de ser bidireccional por lo tanto son necesarias dos SA, las cuales han de tener las medidas de seguridad acordadas mediante el uso de transform sets. Cada Sa es referenciada poSPi, El SPI viaja con los paquetes IPsec y se utiliza para referencias y confirmar los valores de seguridad en el extremo. Cada cliente IPsec emplea un SAD(SA Database) para rastrear cada una de las SA en las que el cliente participa. La SAD contiene informacin acerca de la conexin IPsec como la siguiente: IP destino Numero SPI Protocolo IPsec (ESP o Ah)

Una segunda base de datos llamada SPD contiene los parmetros de seg(DES,3DES o AES) Algoritmo de autenticacin(MD5 0 Sha-1) Modo de IPsec (Tunel o transporte) Vida de la clave(segundos o Kbyte)

TIEMPO DE VIDA DE SA Uno de los parmetros de seguridad que deben ser acordados en los transform sets es el tiempo de vida, cuando la clave esta a punto de caducar se sigu enviando trafico. Dicho flujo no se vera afectado. Nuevaas claves sern intercambiadas y nuevos tuneles construidos.

PASO 4: TRANSFERENCIA SEGURA DE LOS DATOS Luego de actualizar SAD y SPD el trafico puede fluir a travs del tnel IPsec, Teniendo e cuenta que solo el trafico identificado como interesante fluir a travs del tnel, el resto saldr sencillamente por la interfaz PASO5: TERMINACION DEL TNEL Existen 2 eventos que pueden causar que el tnel termine. El tiempo de vida de la SA expira. Se debe tener en cuenta que si en ese momento todava hay trafico en el tnel, un nuevo tune ser construido sin alternar el flujo de los datos Manualmente. El administrador tiene la capacidad para terminar el tnel CONFIGURACION DE UNA VPN SITE TO SITE Tiene los siguientes 6 pasos. 1. 2. 3. 4. 5. 6. Configuracin de la poltica ISAKMP(IKE fase 1) Configuracin de los IPsectransfrom sets(IKE fase 2, terminacin del tnel) Configuracin de la crypto ACL (trafico interesante, transferencia segura de los datos) Configuracion del cryptomap(IKE fase 2) Aplicacin del criptomap a la interfaz. Configuracion de la ACL para la interfaz.

SECURITY DEVICE MANAGER SDM es una potente herramienta de configuracin que permite configurar routers Cisco desde las series 800 a 3800 via web. Con esta herramiento podemos llevar a cabo las siguientes funciones Configuracion inicial del router Configuracion del firewall Site-to-siteVPNs Lockdown Auditorias de seguridad.

CONFIGURACION VPN SITE TO SITE CON SDM Para acceder a la configuracin de la VPN se accede a la opcin VPN de la barra Task en la pagina Configure. La siguiente figura muestra las opciones de configuracin. Cada una de ellas se encargara el asistente de configuracin correspondiente. El asistente de configuracin de VPN usa opciones pre configuraciones junto con la informacin aportada por el usuario.