PORTADA

1
VPN
Virtual Private
Network
¿Qué es una VPN?
VPN (Virtual Private Network) por su siglas en inglés, es una red privada
virtual, la cual es una tecnología que protege nuestra privacidad
en internet, este sistema oculta nuestra dirección IP real y enruta tanto
nuestro tráfico de Internet como nuestros datos a través de un túnel
privado y cifrado de forma segura a través de redes que sí son públicas.

Existen muchas razones para usar una VPN,

una razón muy común por la cual se emplea
es para que los miembros de una organización
puedan utilizar los recursos dentro de su
red interna y así acceder a los servidores de manera
segura sin exponerlos a posibles ataques.
TOPOLOGIA
Para esta presentación nos basaremos
en la topología de red que tenemos en
la siguiente imagen.

4
Configuración de una VPN site to site
Habilitar las políticas IKE en el router.
IPsec es un marco abierto que permite el intercambio de protocolos de seguridad a medida que se desarrollan nuevas tecnologías
y algoritmos de cifrado. Hay dos elementos de configuración centrales en la implementación de una VPN IPsec:
• Implementar parámetros de intercambio de claves de Internet (IKE).
• Implementar parámetros de IPsec.

IKE debe estar habilitado para Ipsec funcione, normalmente esta desactivado por efecto pero se habilita con el siguiente
comando:

R3 (config) # crypto isakmp enable

Nota: Esta configuración se basa en el router terminal, ya que existen otros routers que se deben configurar previamente, pero la
explicación de otros dispositivos haría demasiado extensa esta presentación y no se tocarían a detalle los puntos de interés requeridos,
pero los identificaremos como R1 y R2 para los comandos que los llaman.
5
Paso 2: Establezca una política ISAKMP (Internet Security Association
and Key Management Protocol) y vea las opciones disponibles.

Para permitir la negociación de IKE, debe crear una política ISAKMP y configurar una asociación de pares que involucre esa
política ISAKMP. Una política ISAKMP define los algoritmos de autenticación y cifrado, y la función hash que se utiliza para
enviar el tráfico de control entre los dos puntos finales de VPN.

Comando del modo de configuración global en el R1 para la política 10.

R1 (config) # crypto isakmp policy 10

También puede ver los diversos parámetros IKE disponibles

utilizando la ayuda de Cisco IOS escribiendo un signo de interrogación (?).

R1 (config-isakmp) # ?

6
Comandos ISAKMP:
authentication: Establece el método de autenticación para la suite de protección
default: Establece un comando en sus valores predeterminados
encryption: Establece el algoritmo de cifrado para el conjunto de protección
exit: Sale del modo de configuración de la suite de protección ISAKMP
group: Establece el grupo Diffie-Hellman.¹
hash: Establece el algoritmo hash para la suite de protección. ²
lifetime: Establece la duración de la asociación de seguridad ISAKMP.
no: Niega un comando o establecer sus valores predeterminados.

¹El algoritmo Diffie-Hellman (DH) es un protocolo de intercambio de claves que permite a dos partes que se comunican a través de un canal
público establecer un secreto mutuo sin que se transmita a través de Internet. DH les permite a los dos usar una clave pública para encriptar y
desencriptar su conversación o datos usando criptografía simétrica.

²El hash es el proceso de convertir una clave determinada en otro valor. Se utiliza una función hash para generar el nuevo valor de acuerdo con
un algoritmo matemático. El resultado de una función hash se conoce como valor hash o simplemente hash .
7
Configurar los parámetros de la política ISAKMP
en el R3.
El algoritmo de cifrado determina qué tan confidencial es el canal de control entre los puntos finales. El
algoritmo hash controla la integridad de los datos, lo que garantiza que los datos recibidos de un par no
hayan sido manipulados en tránsito. El tipo de autenticación asegura que el paquete fue enviado y
firmado por el par remoto. El grupo Diffie-Hellman se utiliza para crear una clave secreta compartida
por los pares que no se ha enviado a través de la red.

Con los siguientes comandos se configura una política

ISAKMP con una prioridad de 10, usando pre-shared key
como tipo de autenticación, 3des para el algoritmo de
cifrado, sha como el algoritmo hash, y el grupo
Diffie-Hellman 2 como intercambio de llaves.

R3 (config) # crypto isakmp policy 10

R3 (config-isakmp) # authentication pre-share
R3 (config-isakmp) # encryption 3des
R3 (config-isakmp) # hash sha
R3 (config-isakmp) # group 2
R3 (config-isakmp) # end Imagen Ilustrativa 8
Verificar la política IKE
Para verificar que las políticas se hayan aplicado correctamente se ingresa el siguiente comando:
R3 # show crypto isakmp policy

Como resultado obtenemos lo siguiente:

9
Configurar claves previamente compartidas
Debido a que las pre-shared keys se utilizan como método de autenticación en la política IKE, se debe configurar una clave
en cada enrutador que apunte al otro extremo de la VPN. Estas claves deben coincidir para que la autenticación sea correcta.
En el modo de configuración crypto isakmp key key-string address ip-address, el comando se usa para ingresar una clave
previamente compartida.
La dirección IP es la interfaz remota que usaría el par para enrutar el tráfico al enrutador local

R3 (config) # crypto isakmp key SECRET-KEY address 209.165.200.226

10
Configurar el conjunto de transformación IPsec y la duración.
El conjunto de transformación IPsec es otro parámetro de configuración de cifrado que los enrutadores negocian para formar
una asociación de seguridad. Se configura mediante el comando de configuración global crypto ipsec transform-set tag.
R3 (config) # crypto ipsec transform-set ESP-TUNNEL ? (Este comando nos muestra los tags disponibles)

En nuestra VPN de sitio a sitio, usaremos los dos parámetros resaltados.

R3 (config) # crypto ipsec transform-set ESP-TUNNEL esp-3des esp-sha-hmac

11
Definir el tráfico interesante.
Para hacer uso del cifrado IPsec con la VPN, es necesario definir listas de acceso extendidas para indicarle al enrutador qué
tráfico cifrar. Un paquete que está permitido por una lista de acceso utilizada para definir el tráfico IPsec se cifra si la sesión
IPsec está configurada correctamente. Un paquete denegado por una de estas listas de acceso no se descarta. El paquete se
envía sin cifrar. Además, como cualquier otra lista de acceso, hay una denegación implícita al final, lo que significa que la
acción predeterminada es no cifrar el tráfico. Si no hay una asociación de seguridad IPsec configurada correctamente, no se
cifra el tráfico y el tráfico se reenvía sin cifrar.

Configurar la ACL de tráfico interesante de IPsec VPN en el R3.

R3 (config) # ip access-list extended VPN-ACL
R3 (config-ext-nacl) # remark Link to the CCNAS-ASA
R3 (config-ext-nacl) # permit ip 172.16.3.0 0.0.0.255 192.168.1.0 0.0.0.255
R3 (config-ext-nacl) # exit

12
Referencias Bibliográficas.
https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/5409-ipsec-d
ebug-00.html
 
https://vpnoverview.com/vpn-information/what-is-a-vpn/
 
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/1180
97-configure-asa-00.html
 
https://www.cisco.com/c/en/us/products/security/adaptive-security-device-manager/index.html#:~:text=
Cisco%20Adaptive%20Security%20Device%20Manager%20(ASDM)%20lets%20you%20manage%20Cisco,F
eatures

13
Conclusión
Navegar por el internet en busca de conocimiento,
herramientas, socializar o por cualquier otro motivo es
algo muy bueno para nosotros, pero también puede ser
un arma de doble filo si no se usa de un modo adecuado
y seguro, nuestra información privada podría terminar
en las manos de un delincuente.
Gracias a muchas personas que se dedican a desarrollar
tecnologías de seguridad, tenemos hoy en día una
herramienta llamada “VPN”, la cual protege nuestra
información y la de nuestra empresa u organización
hasta su destino final, por ello como conclusión a este
trabajo puedo recomendar abiertamente el uso de las
VPN con buenos fines.
GRACIAS!
Alguna
pregunta?

15