Documentos de Académico
Documentos de Profesional
Documentos de Cultura
IPSec VPN PDF
IPSec VPN PDF
IPSec VPN:
IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es asegurar
las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un
flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.
Combina tecnologías de clave pública RSA, algoritmos de cifrado (DES, 3DES, IDEA, Bolwfish), algoritmos
de hash (MD5, SHA-1) y certificados digitales
Puertos IPSec
Los puertos utilizados (Security Appliance) para VPN sobre IPSec son los siguientes:
ISAKMP-Internet Security Association Key Management Protocol (UDP 500). Este se utiliza en la creación
de Fase I de la VPN.
NAT-Traversal (UDP 4500). En caso de que el equipo que realiza la VPN se encuentre detrás de otro que
realiza NAT, el router encapsula ESP en el puerto UDP 4500.
Arquitectura de IPSec:
Al utilizar el mecanismo de AH se aplican algoritmos de autenticación.
Con la aplicación del mecanismo ESP, además de autenticación, también algoritmos de
encriptación
El esquema de interoperabilidad se maneja a través de Asociaciones de Seguridad (SA),
almacenadas en una base de datos.
Modo Transporte:
El contenido transportado dentro del datagrama AH o ESP son datos de la capa de transporte.
Por lo tanto la cabecera IPSec se inserta a continuación de la cabecera IP y antes de los datos
que se desean proteger.
El modo transporte solo se cifra los datos, las cabeceras AH y ESP quedan igual.
Modo Túnel:
Fase 1
a. El modo principal:
b. El modo agresivo:
En el modo principal los dos primeros mensajes negocian los parámetros de seguridad (la del ISAKMP
SA) los dos siguientes sirven para intercambiarse los valores públicos de Diffie Hellman (protocolo de
establecimiento de claves) y los dos últimos sirven para autenticarse.
En el modo agresivo los dos primeros paquetes negocian la seguridad e intercambian los valores
públicos de Diffie Hellman, el tercer paquete sirve para identificar al receptor y el cuarto para autenticar
al emisor.
En la fase 1 el punto clave es la Autenticación. Una vez que los usuarios se han autenticado entonces ya
pueden generar una clave de sesión mediante los valores públicos de Diffie Hellman.
Fase 2
Ahora que ya disponemos de una comunicación segura (el ISAKMP) ya podemos comenzar a negociar los
parámetros de la SA, esto sucede en la fase 2.
En esta fase se utiliza el modo rápido que consiste en que el usuario presenta una serie de alternativas al
otro quien o bien elige una de ellas o presenta otra serie de alternativas y así hasta llegar a un acuerdo.
Overlapping Subnets:
A site-to-site VPN configuration sometimes has the problem that the private subnet addresses at each
end are the same. You can resolve this problem by remapping the private addresses using virtual IP
addresses (VIP). VIPs allow computers on those overlapping private subnets to each have another set of
IP addresses that can be used without confusion. The FortiGate unit maps the VIP addresses to the
original addresses. This means if PC1 starts a session with PC2 at 10.31.101.10, FortiGate_2 directs that
session to 10.11.101.10 — the actual IP address of PC2. The next figure shows this — Finance network
VIP is 10.21.101.0/24 and the HR network is 10.31.101.0/24.
Overlapped subnets example
• Enable overlapping subnets. This is needed because the IPsec and GRE tunnels will use the same
addresses.
• Configure a route-based IPsec VPN on the external interface.
• Configure a GRE tunnel on the virtual IPsec interface. Set its local gateway and remote gateway
addresses to match the local and remote gateways of the IPsec tunnel.
• Configure security policies to allow traffic to pass in both directions between the GRE virtual interface
and the IPsec virtual interface.
• Configure security policies to allow traffic to pass in both directions between the protected network
interface and the GRE virtual interface.
• Configure a static route to direct traffic destined for the network behind the Cisco router into the GRE-
over-IPsec tunnel.
By default, each FortiGate unit network interface must be on a separate network. The configuration
described in this chapter assigns an IPsec tunnel end point and the external interface to the same
network. Enable subnet overlap as follows:
The topology of your network will determine how remote peers and clients connect to the VPN and how
VPN traffic is routed. You can read about various network topologies and find the high-level procedures
needed to configure IPsec VPNs in one of these sections
IPSec VPN MONITOR:
You can use the IPsec Monitor to view activity on IPsec VPN tunnels and start or stop those tunnels. The
display provides a list of addresses, proxy IDs, and timeout information for all active tunnels, including
tunnel mode and route-based (interface mode) tunnels.
To view the IPsec monitor, go to VPN > Monitor > IPsec Monitor.
For dialup VPNs, the list provides status information about the VPN tunnels established by dialup clients,
and their IP addresses. For static IP or dynamic DNS VPNs, the list provides status and IP addressing
information about VPN tunnels, active or not, to remote peers that have static IP addresses or domain
names. You can also start and stop individual tunnels from the list.
Configuración IPSec:
1. Go to VPN > IPsec > Manual Key and select Create New.
2. Include appropriate entries as follows:
3. Select ok.
Le indicamos un nombre a la conexión. En Remote Gateway será el Fortigate destino que se conectara a
su IP pública. En Local Interface se especificará por cual saldrá, en nuestro caso por la external, también
se modifica el tipo de autenticación y una clave que después deberemos ponerla en el resto de los
equipos igual. Seleccionamos el tipo de encriptación y en qué grupo de Diffie Hellman (DH Group)
negociarán.