LAB VPN Ipsec

Seguridad Perimetral
V Ciclo
Laboratorio
“VPN IPSEC”
2024
“VPN IPSEC con Fortigate”
1. OBJETIVOS/ CAPACIDADES:
 Implementar túneles IPSEC.

 Integrar políticas de firewall con el servicio de VPN IPSEC.
TECSUP Laboratorio de VPN IPSEC
 Configurar enrutamiento estático para el servicio VPN IPSEC site to site.
2. INTRODUCCIÓN TEÓRICA
Una VPN proporciona un medio por el que los equipos remotos se comunican de forma segura
a través de una WAN pública, como Internet.
Una conexión VPN puede vincular dos LAN (VPN de sitio a sitio) o un usuario de acceso
telefónico remoto y una LAN. El tráfico que fluye entre estos dos puntos pasa a través de
recursos compartidos tales como routers, conmutadores y otros equipos de red que forman la
WAN pública. Para proteger la comunicación VPN mientras se pasa a través de la WAN, los
dos participantes crean un túnel de seguridad IP (IPsec).
IPsec es un conjunto de protocolos relacionados para proteger las comunicaciones de forma

criptográfica en la capa de paquetes IP. IPsec también proporciona métodos para la
negociación manual y automática de asociaciones de seguridad (SAs).
3. GUIA DE SEGURIDAD:
Favor de seguir estas instrucciones, en tiempos de Covid, para un entrenamiento seguro:
 Lávate las manos hasta el antebrazo con agua y jabón por un mínimo de 20 segundos.
 Al toser o estornudar, cúbrete la boca y nariz con un pañuelo desechable o con tu
antebrazo; nunca lo hagas con tus manos directamente.
 No te toques los ojos, nariz o boca si no te has lavado las manos primero.
 Solo si no cuentas con agua y jabón cerca, utiliza gel antibacterial. Toma en cuenta que
esto no debe reemplazar el lavado de manos.
 Evita el contacto directo con personas que muestren síntomas como los del resfrío o gripe.
Importante tomar en cuenta para ser productivos:
 Una computadora y una buena conexión a Internet.

 Aplicaciones de chat para realizar videoconferencia.
 Un espacio de trabajo dedicado (preferiblemente).
 Un teléfono (opcional).
 Automotivación y disciplina y una rutina estricta.
1
PROGRAMA DE FORMACIÓN REGULAR
Definitivamente no olvidar la seguridad informática:
 Es más, o ideal sería auditar las vulnerabilidades de su propio entorno doméstico antes de
conectar los dispositivos de trabajo. Hay revelaciones continuas sobre dispositivos
vulnerables de Internet de las cosas (IoT), y este es un excelente momento para que los
empleados tomen medidas para asegurarlos con contraseñas seguras y actualizando tanto
el firmware como el software a las últimas versiones disponibles.
 La posibilidad de usar una aplicación de monitoreo, debe ser considerada, antes de

permitir que los dispositivos de trabajo se conecten a las redes domésticas. El escaneo o
monitoreo resaltará los dispositivos con vulnerabilidades conocidas, la existencia de
software o firmware obsoleto o la presencia en uso de contraseñas predeterminadas que
deberían cambiarse.
4. EQUIPOS Y MATERIALES:
● PC Personal.
● Sistema operativo CentOS 7.X u 8
● Sistema operativo Windows 7 o superior
● Software VMware Worskstation 15 o superior.
● Material disponible desde Tecsup Virtual.
● Conexión a red.
5. PROCEDIMIENTO:
1. Vamos a contar con la siguiente topología para el desarrollo del presente laboratorio.
2. En este escenario vamos a unificar dos redes privadas (LAN) a través de un túnel IPSec, de
tal forma que exista conectividad entre ellas y se pueda compartir recursos. Para implementar
una VPN IPSec, de tipo “Site to Site”, existen dos métodos. El primero, usando el wizard que
permite que la implementación sea sencilla y muy rápida. El segundo, realizar la configuración
de forma customizada la cual te permite establecer los parámetros de la fase 1 y fase 2 de
IPSec.
I) Procedimiento usando el Wizard
2
3. El UTM debe tener configurado lo siguiente: IPs de sus interfaces (LAN, WAN), ruta estática
por defecto, servicio DNS para la interface LAN y un hostname; como se muestra a
continuación.
Nota: En el fortigate del site 2 debe realizarse lo mismo con sus respectivos valores.
Fortigate site 1
4. Debemos ir a VPN > IPsec Wizard. Definimos un nombre a nuestro túnel, el tipo de
configuración de NAT y definiremos el template a utilizar.
3
5. Luego, procedemos a definir el peer remoto, es decir la IP Pública del UTM del site 2.
Además, configuraremos una contraseña PSK (“tecsup2022”).
6. Ahora definiremos la interface de la red LAN, la sub-red local y la sub-red remota.
4
7. Cuando se usa el Wizard para la configuración de una VPN “site to site”; se crearán
automáticamente las políticas a nivel de firewall y la ruta estática; como se muestra a
continuación.
Fortigate site 2
8. Debemos ir a VPN > IPsec Wizard. Definiremos un nombre a nuestro túnel, el tipo de
configuración de NAT y definiremos el template a utilizar. Acá pondremos un nombre
diferente al túnel IPsec.
5
9. Luego, procedemos a definir el peer remoto, es decir la IP Pública del UTM del site 1.
Además, configuraremos la misma contraseña PSK (“Tecsup2021”) que se configuró en el site
1.
10. Ahora definiremos la interface de la red LAN, la sub-red local y la sub-red remota.
6
11. Podrá constatar que también se creó automáticamente las reglas del firewall y la ruta estática,
como se muestra a continuación.
12. Debemos ir a Dashboard > Network > IPsec Podremos observar que el túnel está caído.
Para levantarlo debemos hacer clic derecho y seleccionar la opción Bring IP > Phase 2
Selector: To_Site1.
7
13. Ahora que el túnel IPsec está activo realizaremos las pruebas de conectividad. Si nosotros
enviamos un paquete ICMP desde el fortigate-site2 a la IP privada de la interface LAN del
fortigate-site1; veremos que no habrá conectividad (a pesar que el túnel está activo)
¿Por qué pasa eso? porque el paquete ICMP que se genera lleva en el campo “IP Origen” la IP
de la interface WAN del fortigate-site2 y esa sub-red no está publicada en IPsec. Por este
motivo, no habrá conectividad
14. Para realizar una prueba real, debemos modificar el campo “IP ORIGEN” del paquete ICMP,
que se genera, por la IP de la interface LAN del fortigate-site2 (esa IP pertenece a una sub-
red que SÍ está publicada a nivel de IPsec). Al hacer ese cambio veremos que sí hay
conectividad gracias al túnel IPsec.
Parte Nro. 2
Actividades:
Defina un escenario y proceda a crear una red VPN site to site según las indicaciones del docente.
6. DATOS A REGISTRAR
Presentar evidencia (capturas) de la realización del laboratorio.
8
7. OBSERVACIONES Y CONCLUSIONES
Indicar las conclusiones que ha llegado después de desarrollar el laboratorio.
1.
2.
3.
8. BIBLIOGRAFÍA
https://docs.fortinet.com/document/fortigate/6.4.6/administration-guide/954635/getting-
started
9. ANEXOS
NO APLICA
9

LAB VPN Ipsec

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

LAB VPN Ipsec

Cargado por

Copyright:

Formatos disponibles

Seguridad Perimetral

“VPN IPSEC con Fortigate”

 Implementar túneles IPSEC.

 Configurar enrutamiento estático para el servicio VPN IPSEC site to site.

IPsec es un conjunto de protocolos relacionados para proteger las comunicaciones de forma

Favor de seguir estas instrucciones, en tiempos de Covid, para un entrenamiento seguro:

Importante tomar en cuenta para ser productivos:

 Una computadora y una buena conexión a Internet.

Definitivamente no olvidar la seguridad informática:

 La posibilidad de usar una aplicación de monitoreo, debe ser considerada, antes de

I) Procedimiento usando el Wizard

6. Ahora definiremos la interface de la red LAN, la sub-red local y la sub-red remota.

Presentar evidencia (capturas) de la realización del laboratorio.

Indicar las conclusiones que ha llegado después de desarrollar el laboratorio.

También podría gustarte