Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
VPN
Virtual Private
Network
¿Qué es una VPN?
VPN (Virtual Private Network) por su siglas en inglés, es una red privada
virtual, la cual es una tecnología que protege nuestra privacidad
en internet, este sistema oculta nuestra dirección IP real y enruta tanto
nuestro tráfico de Internet como nuestros datos a través de un túnel
privado y cifrado de forma segura a través de redes que sí son públicas.
4
Configuración de una VPN site to site
Habilitar las políticas IKE en el router.
IPsec es un marco abierto que permite el intercambio de protocolos de seguridad a medida que se desarrollan nuevas tecnologías
y algoritmos de cifrado. Hay dos elementos de configuración centrales en la implementación de una VPN IPsec:
• Implementar parámetros de intercambio de claves de Internet (IKE).
• Implementar parámetros de IPsec.
IKE debe estar habilitado para Ipsec funcione, normalmente esta desactivado por efecto pero se habilita con el siguiente
comando:
Nota: Esta configuración se basa en el router terminal, ya que existen otros routers que se deben configurar previamente, pero la
explicación de otros dispositivos haría demasiado extensa esta presentación y no se tocarían a detalle los puntos de interés requeridos,
pero los identificaremos como R1 y R2 para los comandos que los llaman.
5
Paso 2: Establezca una política ISAKMP (Internet Security Association
and Key Management Protocol) y vea las opciones disponibles.
Para permitir la negociación de IKE, debe crear una política ISAKMP y configurar una asociación de pares que involucre esa
política ISAKMP. Una política ISAKMP define los algoritmos de autenticación y cifrado, y la función hash que se utiliza para
enviar el tráfico de control entre los dos puntos finales de VPN.
R1 (config-isakmp) # ?
6
Comandos ISAKMP:
authentication: Establece el método de autenticación para la suite de protección
default: Establece un comando en sus valores predeterminados
encryption: Establece el algoritmo de cifrado para el conjunto de protección
exit: Sale del modo de configuración de la suite de protección ISAKMP
group: Establece el grupo Diffie-Hellman.¹
hash: Establece el algoritmo hash para la suite de protección. ²
lifetime: Establece la duración de la asociación de seguridad ISAKMP.
no: Niega un comando o establecer sus valores predeterminados.
¹El algoritmo Diffie-Hellman (DH) es un protocolo de intercambio de claves que permite a dos partes que se comunican a través de un canal
público establecer un secreto mutuo sin que se transmita a través de Internet. DH les permite a los dos usar una clave pública para encriptar y
desencriptar su conversación o datos usando criptografía simétrica.
²El hash es el proceso de convertir una clave determinada en otro valor. Se utiliza una función hash para generar el nuevo valor de acuerdo con
un algoritmo matemático. El resultado de una función hash se conoce como valor hash o simplemente hash .
7
Configurar los parámetros de la política ISAKMP
en el R3.
El algoritmo de cifrado determina qué tan confidencial es el canal de control entre los puntos finales. El
algoritmo hash controla la integridad de los datos, lo que garantiza que los datos recibidos de un par no
hayan sido manipulados en tránsito. El tipo de autenticación asegura que el paquete fue enviado y
firmado por el par remoto. El grupo Diffie-Hellman se utiliza para crear una clave secreta compartida
por los pares que no se ha enviado a través de la red.
9
Configurar claves previamente compartidas
Debido a que las pre-shared keys se utilizan como método de autenticación en la política IKE, se debe configurar una clave
en cada enrutador que apunte al otro extremo de la VPN. Estas claves deben coincidir para que la autenticación sea correcta.
En el modo de configuración crypto isakmp key key-string address ip-address, el comando se usa para ingresar una clave
previamente compartida.
La dirección IP es la interfaz remota que usaría el par para enrutar el tráfico al enrutador local
10
Configurar el conjunto de transformación IPsec y la duración.
El conjunto de transformación IPsec es otro parámetro de configuración de cifrado que los enrutadores negocian para formar
una asociación de seguridad. Se configura mediante el comando de configuración global crypto ipsec transform-set tag.
R3 (config) # crypto ipsec transform-set ESP-TUNNEL ? (Este comando nos muestra los tags disponibles)
11
Definir el tráfico interesante.
Para hacer uso del cifrado IPsec con la VPN, es necesario definir listas de acceso extendidas para indicarle al enrutador qué
tráfico cifrar. Un paquete que está permitido por una lista de acceso utilizada para definir el tráfico IPsec se cifra si la sesión
IPsec está configurada correctamente. Un paquete denegado por una de estas listas de acceso no se descarta. El paquete se
envía sin cifrar. Además, como cualquier otra lista de acceso, hay una denegación implícita al final, lo que significa que la
acción predeterminada es no cifrar el tráfico. Si no hay una asociación de seguridad IPsec configurada correctamente, no se
cifra el tráfico y el tráfico se reenvía sin cifrar.
12
Referencias Bibliográficas.
https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/5409-ipsec-d
ebug-00.html
https://vpnoverview.com/vpn-information/what-is-a-vpn/
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/1180
97-configure-asa-00.html
https://www.cisco.com/c/en/us/products/security/adaptive-security-device-manager/index.html#:~:text=
Cisco%20Adaptive%20Security%20Device%20Manager%20(ASDM)%20lets%20you%20manage%20Cisco,F
eatures
13
Conclusión
Navegar por el internet en busca de conocimiento,
herramientas, socializar o por cualquier otro motivo es
algo muy bueno para nosotros, pero también puede ser
un arma de doble filo si no se usa de un modo adecuado
y seguro, nuestra información privada podría terminar
en las manos de un delincuente.
Gracias a muchas personas que se dedican a desarrollar
tecnologías de seguridad, tenemos hoy en día una
herramienta llamada “VPN”, la cual protege nuestra
información y la de nuestra empresa u organización
hasta su destino final, por ello como conclusión a este
trabajo puedo recomendar abiertamente el uso de las
VPN con buenos fines.
GRACIAS!
Alguna
pregunta?
15