Redes privadas virtuales basadas en IPsec

Programa del mdulo Introduccin IPsec: Caractersticas bsicas Modos IPsec IKE y sus fases Modos de IKE ecanismo de intercambio de claves Diffie-Hellman Creacin de una VPN sitio a sitio Configuracin de una VPN sitio a sitio Tunelizacin con GRE sobre IPsec Opciones pa ra alta disponibilidad con IPsec

Introduccin Una VPN crea una conexin a red privada entre 2 puntos finales. Se le llama virtual ya que no utiliza una infraestructura fsica privada, sino que compartida o pblica. IPsec es quien agrega una capa de seguridad, o proteccin, a los datos que se van a enviar por la VPN. De esta forma, para el usuario se crea la imagen de una re d privada virtualmente. Antiguamente las empresas deban contratar costosos enlace s privados para conectar sus sucursales. Hoy en da, simplemente contratan accesos a Internet en dichas sucursales (infraestructura pblica), los que son de mucho m enor costo, y generan una conexin usando Internet , enviando los datos protegidos por IPsec. El concepto original de VPN no inclua la proteccin de los datos. Cualq uier modalidad bajo la cual un red compartida por muchos grupos de usuarios poda generar la ilusin de ser privada para cada uno de stos, ganaba la denominacin de VPN.

IPsec Caractersticas fundamentales IPsec corresponde a un conjunto de protocolos, o sui te, diseado para proteger paquetes IP que son enviados desde un punto a otro. IPs ec entrega proteccin a nivel de paquete (capa 3) y capas superiores, es decir, Tr ansporte y Aplicacin. Los servicios que ofrece IPsec son: Confidencialidad de dat os (algoritmos de encriptacin) (opcional) Integridad de datos (funciones de hash) Autenticacin de los datos (algoritmos de autenticacin) Proteccin anti copia de los datos (opcional) Estos servicios son implementados por medio de una serie de pr otocolos estandarizados que forman parte de la suite. Estos protocolos son: IKE (Internet Key Exchange) ESP (Encapsulating Security Payload) AH (Authentication Header)

IPsec Caractersticas fundamentales IPsec no especifica los algoritmos de encriptacin, autenticacin, integridad, tcnica s de generacin de claves, etc. Slo regula los protocolos que sern los que negocien dichos algoritmos a usar en la conexin.

IPsec Caractersticas fundamentales IKE: Internet Key Exchange es un marco protocolar (f ramework) para la negociacin e intercambio de parmetros de seguridad y claves de a utenticacin. ESP: Encapsulating Security Payload proporciona el framework para la implementacin de los servicios de confidencialidad, integridad, autenticacin y op cionalmente anti-copia. Es el nico protocolo que ofrece servicio de encriptacin. D icha encriptacin se realiza en base a los algoritmos tales como DES, 3DES y AES. AH: Authentication Header proporciona el framework para la implementacin de servi cios de integridad, autenticacin y opcionalmente anti-copia. Al no proporcionar e ncriptacin, su uso ha bajado en favor de ESP. Para los servicios de autenticacin e integridad, tanto ESP como AH usan funciones HMAC (Hash-Based Message Authentic ation Code), especificamente MD-5 y SHA-1.

IPsec Modos IPsec define 2 modos que determinan el grado de proteccin del paquete original. E stos modo son: transporte y tnel. En modo transporte, la cabecera IP original es expuesta y no protegida. Slo se benefician de los servicios IPsec las capas super iores (Transporte y Aplicacin). En modo tnel, el paquete IP original es encapsulad o dentro de un nuevo paquete IP. Las direccones del paquete IP exterior son los p untos de inicio y trmino del tnel. Las direcciones del paquete IP interior son las de los dispositivios origen y destino de la informacin. Este paquete interior (o riginal) es protegido en su totalidad: cabecera y datos.

IPsec Modos: tnel o transporte

IPsec Modos Tanto AH como ESP agregan cabeceras al paquete IP original. Ambos se monta n encima de la cabecera IP con nmeros de protocolo 51 para AH y 50 para ESP.

IPsec IKE y sus fases Una conexin usando IPsec puede establecerse configurando claves s ecretas en ambos lados de la conexin. Sin embargo, se requiere que dichas claves cambien con el tiempo, ya que si son siempre las mismas, nuestra conexin queda ex puesta a ataques. IKE proporciona un intercambio dinmico de parmetros IPsec y de c laves. IKE entrega un mtodo automatizado de intercambio y renovacin de claves, de forma de hacer la sesin IPSec inmune a ataques de fuerza bruta. IKE establece SA (Security Associations) entre los puntos extremos de la conexin IPsec. Una SA es un acuerdo entre 2 partes sobre una serie de parmetros IPsec. IKE se fundamenta e n 2 protocolos: ISAKMP y Oakley. ISAKMP (Internet Security Association Key Manag ement Protocol): define procedimientos en cmo establecer, negociar, modificar y b orras SAs. Define encapsulamiento, autenticacin de cabeceras, modos, etc. ISAKMP ejecuta la autenticacin entre extremos pero no realiza intercambio de claves.

IPsec IKE y sus fases Oakley: este protocolo implementa el algoritmo de intercambio de claves Diffie-Hellman. Este algoritmo permite que 2 partes obtengan una misma c lave secreta sin haberla nunca transmitido por el medio. Fases de IKE Fase 1: es obligatoria. Se establece una SA bidireccional entre los extremos de la sesin IP sec. La fase 1 ejecuta autenticacin entre extremos y validacin de identidad. Adems, se negocian parmetros tales como algoritmos de hash y juegos de transformadas (t ransform sets).Esta fase se puede implementar en 2 modos: Main y Aggressive.Si n o hay acuerdo entre las partes, la conexin IPsec no puede establecerce. Fase 1.5: es opcional. Proporciona una capa adicional de authenticacin, llamada Xauth (Ext ended Authentication). La fase 1 autentic los equipos que desean establecer una s esin IPSec, pero no hubo forma de autenticar al usuario que est detrs. Con Xauth, s e obliga al usuario a identificarse. Fase 2: es obligatoria. Implementa SAs unid iraccionales entre los extremos de la conexin IPsec. Esta fase utiliza Quick Mode .

IPsec Modos de IKE Fase 1 Main Mode: consiste de un intercambio de 6 mensajes entre lo s extremos de la sesin IPsec. Los 6 mensajes se clasifican en 3 grupos: Parmetros IPsec y poltica de seguridad: el iniciador enva una o ms propuestas y el contestado r selecciona alguna. Intercambio de claves Diffie-Hellmann: claves pblicas son en viadas entre los extremos de la conexin IPSec. Autenticacin de sesin con ISAKMP: ca da parte se autentica frente a la otra. Aggressive Mode: es una versin abreviada del modo Main. Los 6 mensajes del modo Main se condensan en 3. El iniciador enva toda la data, incluyendo parmetros IPSec, polticas de seguridad y claves pblicas Di ffie-Hellman. El contestador autentica el paquete y enva la propuesta de parmetros y claves de vuelta hacia al iniciador. El iniciador autentica el paquete.

IPsec Modo de IKE Fase 2 Quick Mode: negocia las SAs usadas para la proteccin de los da tos a lo largo del canal IPsec. Tambin administra el intercambio de claves de esa s SAs. IKE tambin realiza otras tareas: Dead Peer Detection (DPD): envo de Keepali ves para deteccin de falla del compaero IPSec (por defecto cada 10 segundos). NATT (Nat Traversal): insercin de una cabecera UDP no encriptada antes de la cabecer a ESP. Con ello, el dispositivo que realiza la funcin de NAT/PAT tiene un nmero de puerto origen disponible para ser cambiado y almacenado en su tabla. Mode confi guration: corresponde a un mtodo de enviar atributos IPSec desde un servidor IPsec a un cliente IPsec. Estos pueden ser direccin IP, servidores DNS, etc. Con esto, la configuracin en el cliente es mnima. Cisco Easy VPN Solution usa este mtodo. Xauth: autenticacin de usuario via username/password, CHAP, OTP (One Time Password o S/K EY).

IPsec NAT TRAVERSAL (NAT-T) Puerto UDP origen y destino 4500

IPsec Algoritmos de encriptacin Algoritmos simtricos: utilizan una nica clave, la cual es usada para encriptar como para desencriptrar. Los ms usados son DES, 3DES y AES. Utilizan poco recurso de CPU. Algoritmos asimtricos: utilizan una clave diferent e para encriptar que para desencriptar. La clave de encriptacin se denomima clave pblica y la de desencriptacin, clave privada. RSA es el algoritmo asimtrico por ex celencia. Utilizan mucho recurso de CPU. Intercambio de claves Diffie-Hellman Co rresponde a un mecanismo que utiliza cripotgrafa asimtrica para deducir una misma clave secreta en ambos lados de la conexin, sin que sta nunca haya sido transmitid a por el enlace. Una vez que es obtenida esta clave secreta, se utiliza para enc riptar simtricamente el trfico de datos. El proceso Diffie-Hellman comienza cuando cada lado de la conexin elige un nmero primo grande de una cierta cantidad de bit s. Esta cantidad de bits debe ser configurada en lo que se denominan Grupos Diff ie-Hellman. Estos grupos son: Grupo 1 (768 bits), Grupo 2 (1024 bits), Grupo 5 ( 1536 bits) y Grupo 7 (163 bits, orientado a PDAs).

IPsec Mtodo de intercambio de claves Diffie-Hellman PB PA R R

Creacin de una VPN de sitio a sitio Para el establecimiento y terminacin de una conexin segura basada en IPsec entre 2 sitios, deben llevarse a cabo varias etapas. Generacin de trfico interesante IKE Fase 1 IKE Fase 2 Transferencia segura de datos Terminacin del tnel IPsec

Creacin de una VPN de sitio a sitio Generacin de trfico interesante: se debe definir qu tipo de trfico requiere ser prot egido por IPsec, y por ende, enviado hacia el otro extremo de la conexin IPsec, y qu trfico no debe ser protegido y por tanto enviado a Internet. Pare ello se util izan ACLs extendidas. El trfico permitido por la ACL ser protegido por IPsec. IKE Fase 1 Modo Main

Creacin de una VPN de sitio a sitio IKE Fase 1 Durante este intercambio de mensajes se negocian los transform-sets d e IKE, lo cuales son combinaciones de parmetros IPsec. Estos transfromsets tambin se conocen como Polticas IKE (IKE Policies). Los dos extremos de la conexin IPsec debe tener alguna poltica IKE en comn para que la fase 1 sea exitosa. De lo contra rio, la conexin IPSec falla. Son 5 los parmetros que conforman una poltica IKE: Alg oritmo de encriptacin (DES, DES, AES) Algoritmo de integridad (hash) (MD-5, SHA-1 ) Mecanismo de autenticacin (Precompartida, Firmas RSA, Nmeros RSA encriptados) Gr upo para el mtodo Diffie-Hellman (1, 2, 5, o 7) Tiempo de vida del tnel IKE (por t iempo y/o cantidad de Bytes transferidos)

Creacin de una VPN de sitio a sitio IKE Fase 1

Creacin de una VPN de sitio a sitio IKE Fase 1 Durante el intercambio final de mensajes en la fase 1 de IKE, se llev a a cabo la autenticacin, la cual puede ser de 3 formas: Clave precompartida: cla ve manualmente ingresada en cada equipo extremo de la conexin. Firmas RSA: se aut entica por medio de certificados digitales. Nmeros RSA encriptados: se genera un nmero aleatorio, se encripta y se enva hacia el otro extremo de la conexin. Este nme ro cambia cada vez que se renueva la SA de esta fase. IKE Fase 2 Los verdaderos parmetros de seguridad que protegern el trfico de datos son negociados en esta fase . IKE Fase 1 slo crea un canal seguro para que pueda operar la Fase 2.

Creacin de una VPN de sitio a sitio IKE Fase 2 Durante la fase 2 se lleva a cabo: Negociacin de parmetros IPsec va tran sform-sets de IPsec. Establecimiento de SAs de IPsec unidireccionales. Renegocia cin peridica de las SAs de IPsec. Intercambio Diffie-Hellmman adicional (opcional) . Transform-sets de IPsec Son 5 los parmetros que conforman un trasnform-set para IPsec: Protocolo IPSec (AH o ESP) Encriptacin (DES, 3DES o AES) Autenticacin/Inte gridad (MD-5, SHA-1) Modo IPsec (Tnel, Transporte) Tiempo de vida de la SA de IPs ec (segundos o kiloBytes)

Creacin de una VPN de sitio a sitio IKE Fase 2

Creacin de una VPN de sitio a sitio IKE Fase 2 Una SAs negociada durante la fase 2 de IKE, se identifica mediante un nmero llamado SPI (Security Parameter Index). Este nmero viaja con cada paquete p rotegido por IPsec. Cada cliente IPsec usa una base de datos llamada SA Database , donde se almacenan todas las SAs en donde el cliente participa. La SAD contien e: Direccin IP del otro extremo de la sesin IPsec Nmero SPI Protocolo IPsec (ESP o AH) Una segunda base de datos llamada SPD (Security Policy Database) contiene lo s parmetros de seguridad que fueron acordados para cada SA en los transform-sets. Para cada SA, la base de datos contiene: Algoritmo de encriptacin (DES, 3DES, AE S) Algoritmo de autenticacin (MD-5, SHA-1) Modo IPSec (tnel o transporte) Tiempo d e vida de la SA (segundos o kiloBytes)

Creacin de una VPN de sitio a sitio Transferencia segura de datos Una vez que la fase 2 de IKE se ha completado, el trfico interesante podr ser protegido de acuerdo a las SAs. Terminacin de tnel IPsec Existen 2 causas para que un tnel IPsec sea terminado: Si la SA expira, el tnel s er desmantelado, a menos que ms trfico interesante debe seguir fluyendo. Tambien es posible manualmente desmantelar el tnel. Una vez que la conexin IPsec termina, to da informacin acerca de las SAs utilizadas es removida de la SAD y la SPD.

Configuracin de una VPN sitio a sitio Los pasos para la configuracin son los siguietes: Configurar la(s) poltica(s) ISAK MP (fase 1 de IKE). Configurar los transform-sets de IPsec (fase 2 de IKE y term inacin del tnel). Configurar la ACL criptogrfica que definir el trfico interesante. C onfigurar el mapa criptogrfico que aglutina parmetros de la SA de IPsec. Aplicar e l mapa criptogrfico a una interfaz. Configuracin de ACLs adicionales para permitir trfico IPsec entrante.

Configuracin de una VPN sitio a sitio Polticas ISAKMP

Configuracin de una VPN sitio a sitio Transform-sets de IPsec, mapa criptogrfico y ACL criptogrfica

Configuracin de una VPN sitio a sitio Transform-sets de IPsec

Configuracin de una VPN sitio a sitio Aplicar mapa criptogrfico a la interfaz

Configuracin de una VPN sitio a sitio ACLs adicionales para permitir trfico IPsec entrante

Configuracin de una VPN sitio a sitio Verificacin del estado de la SA de fase 1

Configuracin de una VPN sitio a sitio Verificacin del estado de las SAs de fase 2

Tunelizacin con GRE sobre IPsec GRE (Generic Routing Encapsulation) es un protocolo desarrollado por Cisco para transportar o tunelizar mltiples protocolos enrutados sobre redes puramente IP. GRE agrega una nueva cabecera (4 Bytes como mnimo) al paquete original (puede ser IP u otro protocolo enrutado), el cual es entonces encapsulado en un paquete exter no (IP) que ser enrutado hasta el otro extremo del tnel GRE. En dicho extremo, la cabecera IP externa es extrada y el paquete original vuelvo a ser expuesto. Algun as caractersticas de GRE son: Es similar a IPsec; se genera un tnel con 2 extremos . Un tnel GRE no es orientado a la sesin. No existe un proceso para levantarel tnel o para desmantelarlo. Un paquete original tan slo viaja encapsulado (tunelizado) d entro de otro. GRE no entrega seguridad. No presta ningn servicio de autenticacin, ni encriptacin o integridad.

Tunelizacin con GRE sobre IPsec GRE originalmente incluye un procedimiento para encriptar, pero por ser relativa mente burdo, no ofrece seguridad alguna. A diferencia de IPsec, GRE s puede trans portar protocolos tales como OSPF o EIGRP lo largo de la conexin. Igualmente, GRE tambin soporta trfico multicast, el cual no era soportado por IPsec. A partir de IOS 12.4(4)T multicast sobre IPsec s es soportado.

Tunelizacin con GRE sobre IPsec Configuracin bsica de GRE

Tunelizacin con GRE sobre IPsec Encapsulamiento de GRE sobre IPsec Generalmente los extremos del tnel IPsec y del tnel GRE son los mismos, por ende, el modo trasnporte es el ms frecuentemente usado.

Tunelizacin con GRE sobre IPsec Configuracin de GRE sobre IPsec Topologa de ejemplo

Tunelizacin con GRE sobre IPsec Configuracin de GRE sobre IPsec Configuracin bsica del tnel GRE R1(config)# interface tunnel 0 R1(config-if)# ip address 172.16.13.1 255.255.255 .0 R1(config-if)# tunnel source fastethernet0/0 R1(config-if)# tunnel destinatio n 192.168.23.3 R3(config)# interface tunnel0 R3(config-if)# ip address 172.16.13.3 255.255.255. 0 R3(config-if)# tunnel source serial0/0/1 R3(config-if)# tunnel destination 192 .168.12.1

Tunelizacin con GRE sobre IPsec Configuracin de GRE sobre IPsec Topologa de ejemplo Configuracin de EIGRP sobre el tnel GRE R1(config)#router eigrp 2 R1(config-router)# no auto-summary R1(config-router)# network 172.16.0.0 R3(config)# router eigrp 2 R3(config-router)# no auto-summary R3(config-router)# network 172.16.0.0

Tunelizacin con GRE sobre IPsec Configuracin de GRE sobre IPsec Configuracin de poltica ISAKMP R1(config)# crypto isakmp policy 10 R1(config-isakmp)# authentication pre-share R1(config-isakmp)# encryption aes 256 R1(config-isakmp)# hash sha R1(config-isak mp)# group 5 R1(config-isakmp)# lifetime 3600 R3(config)# crypto isakmp policy 1 0 R3(config-isakmp)# authentication pre-share R3(config-isakmp)# encryption aes 256 R3(config-isakmp)# hash sha R3(config-isakmp)# group 5 R3(config-isakmp)# li fetime 3600

Tunelizacin con GRE sobre IPsec Configuracin de GRE sobre IPsec Configuracin de autenticacin ISAKMP y Transform-set s de IPsec R1(config)# crypto isakmp key cisco address 192.168.23.3 R3(config)# crypto isakmp key cisco address 192.168.12.1 R1(config)# crypto ipsec transform-set mytrans esp-aes 256 esp-sha-hmac ah-shahm ac R1(cfg-crypto-trans)# exit R1(config)# R3(config)# crypto ipsec transform-set mytrans esp-aes 256 esp-sha-hmac ah-shahmac R3(cfg-crypto-trans)# exit

Tunelizacin con GRE sobre IPsec Configuracin de GRE sobre IPsec Definicin mediante ACL del trfico que debe ser encr iptado (GRE) R1(config)# access-list 101 permit gre host 192.168.12.1 host 192.168.23.3 R3(config)# access-list 101 permit gre host 192.168.23.3 host 192.168.12.1

Tunelizacin con GRE sobre IPsec Configuracin de GRE sobre IPsec Creacin y aplicacin de mapa criptogrfico R1(config)# crypto map mymap 10 ipsec-isakmp % NOTE: This new crypto map will re main disabled until a peer and a valid access list have been configured. R1(conf ig-crypto-map)# match address 101 R1(config-crypto-map)# set peer 192.168.23.3 R 1(config-crypto-map)# set transform-set mytrans R1(config-crypto-map)# exit R1(c onfig)# interface fastethernet 0/0 R1(config-if)# crypto map mymap *Jan 22 07:01 :30.147: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Tunelizacin con GRE sobre IPsec Configuracin de GRE sobre IPsec Creacin y aplicacin de mapa criptogrfico R3(config)# crypto map mymap 10 ipsec-isakmp % NOTE: This new crypto map will re main disabled until a peer and a valid access list have been configured. R3(conf ig-crypto-map)# match address 101 R3(config-crypto-map)# set peer 192.168.12.1 R 3(config-crypto-map)# set transform-set mytrans R3(config-crypto-map)# interface serial 0/0/1 R3(config-if)# crypto map mymap *Jan 22 07:02:47.726: %CRYPTO-6-IS AKMP_ON_OFF: ISAKMP is ON

Tunelizacin con GRE sobre IPsec Configuracin de GRE sobre IPsec Verificacin del tnel GRE/IPsec R1# show crypto ipsec sa interface: FastEthernet0/0 Crypto map tag: mymap, local addr 192.168.12.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.12.1/255.255.2 55.255/47/0) remote ident (addr/mask/prot/port): (192.168.23.3/255.255.255.255/4 7/0) current_peer 192.168.23.3 port 500 PERMIT, flags={origin_is_acl,} #pkts enc aps: 8, #pkts encrypt: 8, #pkts digest: 8 #pkts decaps: 8, #pkts decrypt: 8, #pk ts verify: 8

Tunelizacin con GRE sobre IPsec Configuracin de GRE sobre IPsec Verificacin del tnel GRE/IPsec (al cabo de algunos segundos) R1# show crypto ipsec sa interface: FastEthernet0/0 Crypto map tag: mymap, local addr 192.168.12.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.12.1/255.255. remote ident (addr/mask/prot/port): (192.168.23.3/255.255. current_peer 192.168. 23.3 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 10, #pkts encrypt: 10 , #pkts digest: 10 #pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10 ... Incremento de paquetes encriptados debido a paquetes Hello de EIGRP.

Opciones de alta disponibilidad con IPsec Debido a la gran cantidad de elementos que pueden fallar en una conexin IPsec sob re Internet, y a que muchos de esos elementos no dependen de nuestra administrac in, es fundamental contar con algn mecanismo de respaldo y/o redundancia ya sea de equipos y enlaces. A la hora de detectarse una falla, existen 2 formas para la recuperacin de la conexin: Stateless: se define una conexin primaria y otra de resp aldo. En caso de detectarse falla en una conexin, se utilizar la otra pero el usua rio notar una interrupcin. Statefull: se utiliza equipamiento redundante, el cual debe ser exactamente de las mismas caractersticas (configuracin, interfaces, etc.) . El usuario no notar interrupcin alguna.

Opciones de alta disponibilidad con IPsec Existen 3 mecanismos Stateless: Dead Peer Detection (DPD) Uso de un IGP sobre GR E sobre IPsec HSRP Existen 2 mecanismos Statefull: HSRP SSO (Statefull Switchove r) Dead Peer Detection Corresponde a una opcin de configuracin del protocolo ISAKM P. En particular son mensajes Keepalive que se envian de un extremo del tnel IPse c al otro. Se puede configurar en modo Peridico u On demanda (opcin por defecto). Router(config)#crypto isakmp keepalive seconds [retries][periodic /ondemand] Para la deteccin temprana del un tnel con falla, lo mejor es usar modo Peridico.

Opciones de alta disponibilidad con IPsec Configuracin de DPD

Opciones de alta disponibilidad con IPsec Configuracin de HSRP en el lado remoto

Opciones de alta disponibilidad con IPsec Configuracin de HSRP en oficina principal

Interfaz Virtual de Tnel (VTI) Configuracin de VTI Topologa de ejemplo Entre la oficina remota y la principal (HQ) existe un enlace primario (lnea dedic ada, fibra oscura, MPLS VPN, etc). En caso de fallar, la comunicacin debe reestab lecerse por un tnel GRE/IPsec a travs de Internet.

Adicional: Interfaz Virtual de Tnel (VTI) Configuracin de VTI Configuracin de EIGRP Configuracin de enrutamiento por defecto para conexin a Internet Creacin de poltica ISAKMP

Adicional: Interfaz Virtual de Tnel (VTI) Configuracin de VTI Configuracin de autenticacin por clave precompartida para ISAKM P Creacin del transform-set de IPsec Creacin de un perfil IPsec

Adicional: Interfaz Virtual de Tnel (VTI) Configuracin de VTI Configuracin de la interfaz VTI En caso de caer en enlace dedicado (en este caso el enlace que va al switch Ethe rnet), la comunicacin entre oficina remota y principal se reestablecer por el tnel GRE/IPsec de respaldo.

Resumen Las redes privadas usando IPsec son una gran herramienta para que empresas pueda n conectar sitios remotos a bajo costo, de forma segura, y con una tecnologa ampl iamente disponible y soportada. Combinando IPsec con GRE logramos que trfico de p rotocolos de enrutamiento tambin puedan pasar por un tnel IPsec. Tambin es posible darle alta disponibilidad a conexiones IPsec por medio de la funcin DPD (Dead Pee r Detection) o usando HSRP. A travs de VTI (Virtual Tunnel Interface) podemos usa r una conexin IPsec como respaldo de otra conexin principal.