You are on page 1of 3

Laboratorio de Administracin de Redes

2013

Prctica 8, VPN
Introduccin
La VPN (Virtual Private Network) o Red Privada Virtual permite proveer un canal de comunicacin (tnel) seguro a travs de una red pblica (insegura), evitando los altos costos de los enlaces dedicados equivalentes. Una VPN puede habilitarse para interconectar: Un usuario nico a una red (client to site connection). Oficinas remotas a una oficina central (site to site connection). Dos usuarios nicos (client to client connection).

Contra replicacin (anti-replay) al evitar la duplicacin de paquetes cifrados (asignacin de identificador de secuencia nico).

Los protocolos que conforman a IPSEC son: AH (Authentication Header) Su funcin es proveer servicios de autenticacin e integridad. Utiliza algoritmos de hash para obtener valores hash del encabezado y cuerpo de paquete. ESP (Encapsulation Security Payload) provee servicios de confidencialidad, autenticacin e integridad. ESP realiza cifrado y por tanto se considera ms seguro que AH.

Cada uno de los protocolos de IPSEC (AH y ESP) pueden operar en 2 modos: Modo transporte. Los encabezados originales IP se dejan intactos. Se utiliza cuando se desea asegurar la comunicacin de un dispositivo nico a otro dispositivo (client to client). Modo tnel. Al paquete original se le aplican cifrado y/o hashing (encabezados y datos del paquete). Se genera un encabezado temporal para transportar el paquete a travs del tnel.

Una VPN puede implementarse en diferentes capas del modelo de referencia OSI. Cuando se configura una VPN en una capa determinada del modelo, slo hay proteccin desde esa capa hacia los niveles superiores. Capa de enlace de datos. Su principal ventaja es soportar protocolos no IP. Los principales protocolos son: PPTP (Point to Point Tunneling Protocol), L2P (Layer 2 Forwarding), L2TP (Layer 2 Tunneling Protocol), L2SP (Layer 2 Security Protocol). Capa de Red. IPSEC (IP Security). Capa de Aplicacin. SSH, SSL, TLS.

IKE (Internet Key Exchange) para la asociacin de seguridad en IPSEC


Una asociacin de seguridad (SA) es el establecimiento de atributos de seguridad compartidos entre 2 entidades de red para soportar la comunicacin segura. IKE es utilizado para establecer una SA. IKE debe definir un conjunto de polticas de seguridad (manejadas con ISAKMP -Internet Security Association and Key Management Protocol-) por cada participante. Los valores que componen una poltica de seguridad son: Algoritmo de cifrado (DES, 3DES, AES). Algoritmo de hashing (MD5, SHA-1). Mtodo de autenticacin (clave precompartida o firmas RSA). Grupo de Diffie-Hellman (DH) para crear y compartir llaves. Tiempo de vida de la asociacin de seguridad (segundos o KB enviados).

IP Security (IPSec)
Es una pila de protocolos y estndares que permiten proteger el trfico que viaja sobre una red insegura (por ejemplo, Internet). Los servicios que provee IPSEC son: Confidencialidad al evitar el robo de las datos (algoritmos cifrado). Integridad asegurando que los datos no han sido manipulados o alterados (algoritmos de hashing). Autenticacin al confirmar la identidad del host que enva los datos (usando claves precompartidas o usando una autoridad certificadora). 1 Elaboraron: M. C. Javier Len Cotonieto e Ing. Aldo Jimnez Arteaga

Laboratorio de Administracin de Redes IKE funciona en 2 fases de negociacin: Fase 1. Establece un tnel inicial (conocido como tnel IKE o ISAKMP-SA) para autenticacin usando intercambio por Diffie-Hellman (canal bidireccional ISAKMPSA nico). Fase 2. Con el canal seguro establecido en la fase 1, los participantes negocian la asociacin de seguridad de otros servicios (IPSec SA). Al menos 2 canales (envo y recepcin) unidireccionales (IPSec Transform Set) son establecidos.

2013

La topologa debe construirse utilizando 2 routers 2811, 3 PC-PT, 1 Server-PT, 1 switch 2950, 1 DSL-Modem-PT y 1 Cloud-PT. Los enlaces deben realizarse acorde a la tabla 1. Dispositivo Inicial Router0 - Fa0/0 Router1 - Fa0/0 Switch0 - Fa0/1 PC0 - PC2 Server0 DSL Modem0 Dispositivo Final DSL Modem0 Cloud0 Router0 - Fa0/1 Switch0 Router1 - Fa0/1 Cloud0 - Modem4
Tabla 1. Tipos de conexiones.

Cable UTP UTP UTP UTP UTP Telefnico

Material
1 PC con Packet Tracer 5.3.3.

Desarrollo
Para crear una VPN se conectar la topologa mostrada en la figura 1, la cual incluir una nube de red que tomar el papel de una red pblica (insegura).

Configuracin de los segmentos de red


El segmentos de red conectado a la nube debe configurarse de acuerdo con las direcciones pblicas proporcionadas por un Proveedor de Servicios de Internet (ISP). Para esta prctica, las direcciones pblicas que se asignarn a las routers en su respectiva interface Fa0/0 son: Router0, 10.10.10.1/8; Router1, 10.10.10.2/8. Las direcciones de red para cada Intranet son (atendiendo al nmero de router al que estn conectadas): Intranet0, 192.168.0.0/24; Intranet1, 192.168.1.0/24. Adicionalmente, es necesario que se configuren tablas de ruteo estticas en cada router, para cada uno de los segmentos de red no adyacentes. Comprueba que existe comunicacin entre segmentos. La comunicacin entre segmentos no debe ser exitosa; incluso la comunicacin entre routers. El problema se debe a que la nube de red no tiene enlaces para soportar el trfico entre el mdem y el router. Para configurar la nube de red, da clic sobre ella y en la pestaa Config da clic en la opcin DSL. Selecciona en la lista desplegable izquierda la opcin Modem4, y en la lista derecha Ethernet6; da clic en Agregar. Ahora la comunicacin debe ser exitosa.

Figura 1. Topologa de red.

Elaboraron: M. C. Javier Len Cotonieto e Ing. Aldo Jimnez Arteaga

Laboratorio de Administracin de Redes

2013

Configuracin de la VPN
Es necesario que los routers se pongan de acuerdo en la forma de autenticarse. Para ello es necesario el establecimiento de un tnel para el intercambio de autenticacin. Para los dos routers es necesario establecer el servicio ISAKMP, que permite habilitar IPsec, mediante las siguientes instrucciones: Router(config)# crypto isakmp enable Router(config)# crypto isakmp policy 1 Router(config-isakmp)# authentication pre-share Router(config-isakmp)# encryption aes Router(config-isakmp)# hash sha Router(config-isakmp)# group 2 Router(config-isakmp)# exit Una vez establecido el canal seguro, se requiere establecer un conjunto de transformaciones en ambos routers para poder comunicarse en el canal, tambin indicando qu trfico viajar por la VPN (creacin de una lista de acceso). NOTA: la mscara wildcard del gateway slo est representando un host; por lo tanto, debe ser 0.0.0.0. Router(config)# crypto isakmp key 0 address GATEWAY_ROUTER WILDCARD_GATEWAY Router(config)# crypto ipsec transform-set rpv1 esp-aes esp-sha-hmac Router(config)# crypto ipsec security-association lifetime seconds 86400 Router(config)# ip access-list extended lista1 Router(config-ext-nacl)# permit ip RED_SRC WILDCARD_SRC RED_DTN WILDCARD_DTN Router(config-ext-nacl)# exit donde RED_SRC es la direccin de red de la Intranet conectada al router que se est configurando (origen), WILDCARD_SRC es la mscara wildcard de la Intranet conectada al router que se est configurando, RED_DTN es la direccin de red de la Intranet conectada al router que no se est configurando (destino), y WILDCARD_DTN es la mscara wildcard de la Intranet conectada al router que no se est configurando.

Una vez establecidos el tnel y las asociaciones de seguridad, es necesario indicarle al router cul es el destino del tnel creado, sobre qu interface debe aplicarse, y ligarlo a las polticas de intercambio de autenticacin. Para ello se crea un mapa que realiza las aplicaciones indicadas. Router(config) #crypto map maparpv1 100 ipsec-isakmp Router(config-crypto-map) #match address lista1 Router(config-crypto-map) #set peer GATEWAY_ROUTER Router(config-crypto-map) #set pfs group2 Router(config-crypto-map) #set transform-set rpv1 Router(config-crypto-map) #exit Router(config) #interface fa 0/0 Router(config-if) #crypto map maparpv1 Este proceso debe realizarse con los dos routers. Si se configura un solo router, se perder la comunicacin entre Intranets, ya que el router perteneciente a la VPN no podr autenticar a uno de los segmentos. Verifica con los siguientes comandos que la VPN est configurada correctamente. Router# Router# Router# Router# show crypto Isakmp policy show crypto isakmp sa show crypto map show crypto ipsec transform-set

Argumenta qu muestra la salida de cada comando.

Elaboraron: M. C. Javier Len Cotonieto e Ing. Aldo Jimnez Arteaga

You might also like