UCSP - Ing.

Electrónica y de telecomunicaciones 2022-I

Curso: Redes de ordenadores

Redes de ordenadores

10 Guía de Prácticas:
Virtual Private Network

Grupo: Fecha: Horario: Alumno(a): Nota:

I. Introducción
Por medio de la siguiente guía podremos entender, configurar e interpretar cómo es el
funcionamiento y dinámica dentro de una VPN, red privada virtual. Partiendo de que es
posible el traslado de paquetes dentro de sistemas autónomos (AS), así como entre AS.
Es necesario poder entender que existen situaciones que nos llevan a plantear
escenarios en donde algunos usuarios no necesariamente estarán dentro de nuestra
LAN; pero se mantendrán como usuarios remotos en la red fuera de la LAN, esto
implica la importancia de seguridad en la red, y para ello se reconocen propiedades
para que mediante el transporte de los paquetes se identifique que son seguros. Con el
objetivo q de que solo el emisor y el receptor pueda entender el mensaje que será
encriptado.
Es importante que no haya manipulación ni alteración en estos mensajes, uno de los
mecanismos adicionales es el conocimiento entre ambos puntos de interacción con los
mensajes, conociendo su identidad y esto se verá reflejado en la obtención de firmas
digitales.

Los servidores también se encuentran a disposición de entornos que puedan brindar

seguridad a toda la conexión, evidenciando resultados en las últimas capas del nivel
OSI. IPsec por su parte dará alternativas de seguridad para la protección de
datagramas, y de esta forma podría crear una onda de confidencialidad para que
atraviese todos los paquetes dentro y fuera de la LAN, al usar redes privadas virtuales
en donde se intente ocultar los datagramas frente a terceros configurando los equipos
de frontera permitiendo que por el uso de este la seguridad al entorno.

Podría emplearse con empresas grandes y con presencia de usuarios remotos para
garantizar la seguridad en los paquetes, y una de las formas podría verse empleada en
la creación de una red física que resulta cara, por ello se opta por los túneles seguros a
través de la IP Pública, a través de la configuración de envío de paquetes de forma
segura de VPN y túneles dotadas de encriptación y encapsulación.

1
UCSP - Ing. Electrónica y de telecomunicaciones 2022-I
Curso: Redes de ordenadores

IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya

función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) entregando
mecanismos de confidencialidad, autenticación de fuente, integridad de mensajes y
prevención de ataques.

Los protocolos de IPsec actúan en la capa de red, la capa 3 del modelo OSI. Otros
protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan
de la capa de aplicación (capa 7 del modelo OSI). Esto hace que IPsec sea más
flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo
TCP y UDP.

IPsec está implementado por un conjunto de protocolos criptográficos para (1) asegurar
el flujo de paquetes, (2) garantizar la autenticación mutua y (3) establecer parámetros
criptográficos.

La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad (SA)

como base para construir funciones de seguridad en IP. Una asociación de seguridad
es simplemente el paquete de algoritmos y parámetros (tales como las claves) que se
está usando para cifrar y autenticar un flujo particular en una dirección. Por lo tanto, en
el tráfico normal bidireccional, los flujos son asegurados por un par de asociaciones de
seguridad. La decisión final de los algoritmos de cifrado y autenticación (de una lista
definida) le corresponde al administrador de IPsec.

Para decidir qué protección se va a proporcionar a un paquete saliente, IPsec utiliza el

índice de parámetro de seguridad (SPI), un índice a la base de datos de asociaciones
de seguridad (SADB), junto con la dirección de destino de la cabecera del paquete, que
juntos identifican de forma única una asociación de seguridad para dicho paquete. Para
un paquete entrante se realiza un procedimiento similar; en este caso IPsec toma las
claves de verificación y descifrado de la base de datos de asociaciones de seguridad.

En el caso de multicast, se proporciona una asociación de seguridad al grupo, y se

duplica para todos los receptores autorizados del grupo. Puede haber más de una
asociación de seguridad para un grupo, utilizando diferentes SPIs, y por ello
permitiendo múltiples niveles y conjuntos de seguridad dentro de un grupo. De hecho,
cada remitente puede tener múltiples asociaciones de seguridad, permitiendo
autenticación, ya que un receptor sólo puede saber que alguien que conoce las claves
ha enviado los datos.
 UCSP - Ing. Electrónica y de telecomunicaciones 2022-I
Curso: Redes de ordenadores

II. Actividades

1. Configure en packet tracer la red mostrada en la figura 01. Los routers R1 y R2,
simulan dos enrutadores que se conectarán a través de una red pública (router
Internet). Ambos routers, tienen redes LAN conectadas a sus interfaces. Pruebe
conectividad entre PC0 y Latop0. ¿Es posible que dos Pcs en redes privadas
distintas tengan comunicación a través de Internet?

Figura 01: Topología de red

2. Verifique si los routers tienen el módulo de seguridad habilitado con el comando

show versión. Si aún no está activo, active una licencia temporal de seguridad den
R1 y R2, luego reinicie los equipos:

R1(config)# license boot module c1900 technology-package securityk9

3. Configure los parámetros de IPSec en R1. Primero configure una ACL 110 para
identificar el tráfico proveniente de la LAN en R1 a la LAN en R3 para activar la VPN
con IPSec. Indique que hace significa una ACL.

R1(config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

UCSP - Ing. Electrónica y de telecomunicaciones 2022-I
Curso: Redes de ordenadores

4. Configurar el protocolo ISAKMP. Configurar la fase 1 que implica:

Parámetros R1 R2

Método de Manual or ISAKMP ISAKMP ISAKMP

distribución de
clave

Algoritmo de DES, 3DES, or AES AES 256 AES 256

encriptación

Algoritmo Hash MD5 or SHA-1 SHA-1 SHA-1

Método de Autenticac pre-share pre-share

Intercambio de claves DH Group 1, 2, or 5 DH 5 DH 5

IKE SA Timepo de 86400 seconds or less 86400 86400

vida

Clave ISAKMP vpnpa55 vpnpa55

R1(config)# crypto isakmp policy 10

R1(config-isakmp)# encryption aes 256
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 5
R1(config-isakmp)# exit
R1(config)# crypto isakmp key vpnpa55 address 60.10.10.2

5. Configure la fase 2 de ISAKMP, considerando los parámetros de la tabla siguiente.

Creará el conjunto de transformaciones VPN-SET para usar ESP- AES y ESP-SHA
HMAC.
Parámetros R1 R3

Conjunto de transformaciones VPN-SET VPN-SET

ESP Transform Encryption esp-aes esp-aes

ESP Transform Authentication esp-sha-hmac esp-sha-hmac

Dirección IP del Peer 60.10.10.2 181.10.10.2

Trafico a ser encriptado access-list 110 (source access-list 110 (source

192.168.1.0 dest 192.168.2.0 dest
192.168.2.0) 192.168.1.0)
UCSP - Ing. Electrónica y de telecomunicaciones 2022-I
Curso: Redes de ordenadores

Nombre de la asignación criptográfica VVPN VPN

Establecimiento de SA ipsec-isakmp ipsec-isakmp

R1(config)# crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

R1(config)# crypto map VPN-MAP 10 ipsec-isakmp
R1(config-crypto-map)# description VPN hacia R2
R1(config-crypto-map)# set peer 60.10.10.2
R1(config-crypto-map)# set transform-set VPN-SET
R1(config-crypto-map)# match address 110
R1(config-crypto-map)# exit

6. Configure la asignación criptográfica en la interfaz de salida G0/0 de R1.

R1(config)# interface g0/0

R1(config-if)# crypto map VPN-MAP

7. Repita los pasos descritos antes para configurar el Router R2

8. Finalmente, verifique la VPN de IPSec. Utilice el comando show crypto ipsec sa

sin hacer ping entre la PC y Laptop y después de hacer una prueba de ping
verifique nuevamente la VPN.

Realizamos el ping de la PC con dirección 192.168.1.2 a Laptop con

dirección192.168.2.2

CONCLUSIONES: