Modulo 3 VPN

57
Redes privadas virtuales basadas en IPsec

Transcript of Modulo 3 VPN

Page 1: Modulo 3 VPN

Redes privadas virtuales basadas en IPsec

Page 2: Modulo 3 VPN

Programa del módulo

Introducción

IPsec: Características básicas

Modos IPsec

IKE y sus fases

Modos de IKE

Mecanismo de intercambio de claves Diffie-Hellman

Creación de una VPN sitio a sitio

Configuración de una VPN sitio a sitio

Tunelización con GRE sobre IPsec

Opciones para alta disponibilidad con IPsec

Page 3: Modulo 3 VPN

Introducción

Una VPN crea una conexión a red privada entre 2 puntos finales. Se le llama “virtual” ya que no utiliza una infraestructura física privada, sino que compartida o pública.

IPsec es quien agrega una capa de seguridad, o protección, a los datos que se van a enviar por la VPN. De esta forma, para el usuario se crea la imagen de una red privada virtualmente.

Antiguamente las empresas debían contratar costosos enlaces privados para conectar sus sucursales. Hoy en día, simplemente contratan accesos a Internet en dichas sucursales (infraestructura pública), los que son de mucho menor costo, y generan una conexión usando Internet , enviando los datos protegidos por IPsec.

El concepto original de VPN no incluía la protección de los datos. Cualquier modalidad bajo la cual un red compartida por muchos grupos de usuarios podía generar la “ilusión” de ser privada para cada uno de éstos, ganaba la denominación de VPN.

Page 4: Modulo 3 VPN

IPsecCaracterísticas fundamentales

IPsec corresponde a un conjunto de protocolos, o suite, diseñado para proteger paquetes IP que son enviados desde un punto a otro.

IPsec entrega protección a nivel de paquete (capa 3) y capas superiores, es decir, Transporte y Aplicación.

Los servicios que ofrece IPsec son:

Confidencialidad de datos (algoritmos de encriptación) (opcional)

Integridad de datos (funciones de hash)

Autenticación de los datos (algoritmos de autenticación)

Protección anti copia de los datos (opcional)

Estos servicios son implementados por medio de una serie de protocolos estandarizados que forman parte de la suite. Estos protocolos son:

IKE (Internet Key Exchange)

ESP (Encapsulating Security Payload)

AH (Authentication Header)

Page 5: Modulo 3 VPN

IPsecCaracterísticas fundamentales

IPsec no especifica los algoritmos de encriptación, autenticación, integridad, técnicas de generación de claves, etc. Sólo regula los protocolos que serán los que negocien dichos algoritmos a usar en la conexión.

Page 6: Modulo 3 VPN

IKE: Internet Key Exchange es un marco protocolar (framework) para la negociación e intercambio de parámetros de seguridad y claves de autenticación.

ESP: Encapsulating Security Payload proporciona el framework para la implementación de los servicios de confidencialidad, integridad, autenticación y opcionalmente anti-copia. Es el único protocolo que ofrece servicio de encriptación. Dicha encriptación se realiza en base a los algoritmos tales como DES, 3DES y AES.

AH: Authentication Header proporciona el framework para la implementación de servicios de integridad, autenticación y opcionalmente anti-copia. Al no proporcionar encriptación, su uso ha bajado en favor de ESP.

Para los servicios de autenticación e integridad, tanto ESP como AH usan funciones HMAC (Hash-Based Message Authentication Code), especificamente MD-5 y SHA-1.

IPsecCaracterísticas fundamentales

Page 7: Modulo 3 VPN

IPsec define 2 modos que determinan el grado de protección del paquete original. Estos modo son: transporte y túnel.

En modo transporte, la cabecera IP original es expuesta y no protegida. Sólo se benefician de los servicios IPsec las capas superiores (Transporte y Aplicación).

En modo túnel, el paquete IP original es encapsulado dentro de un nuevo paquete IP. Las direccíones del paquete IP exterior son los puntos de inicio y término del túnel. Las direcciones del paquete IP interior son las de los dispositivios origen y destino de la información. Este paquete interior (original) es protegido en su totalidad: cabecera y datos.

IPsecModos

Page 8: Modulo 3 VPN

IPsecModos: túnel o transporte

Page 9: Modulo 3 VPN

IPsecModos

Tanto AH como ESP agregan cabeceras al paquete IP original. Ambos se montan encima de la cabecera IP con números de protocolo 51 para AH y 50 para ESP.

Page 10: Modulo 3 VPN

IPsecIKE y sus fases Una conexión usando IPsec puede establecerse configurando claves

secretas en ambos lados de la conexión. Sin embargo, se requiere que dichas claves cambien con el tiempo, ya que si son siempre las mismas, nuestra conexión queda expuesta a ataques.

IKE proporciona un intercambio dinámico de parámetros IPsec y de claves.

IKE entrega un método automatizado de intercambio y renovación de claves, de forma de hacer la sesión IPSec inmune a ataques de fuerza bruta.

IKE establece SA (Security Associations) entre los puntos extremos de la conexión IPsec. Una SA es un acuerdo entre 2 partes sobre una serie de parámetros IPsec.

IKE se fundamenta en 2 protocolos: ISAKMP y Oakley.

ISAKMP (Internet Security Association Key Management Protocol): define procedimientos en cómo establecer, negociar, modificar y borras SAs. Define encapsulamiento, autenticación de cabeceras, modos, etc. ISAKMP ejecuta la autenticación entre extremos pero no realiza intercambio de claves.

Page 11: Modulo 3 VPN

IPsecIKE y sus fases Oakley: este protocolo implementa el algoritmo de intercambio de claves

Diffie-Hellman. Este algoritmo permite que 2 partes obtengan una misma clave secreta sin haberla nunca transmitido por el medio.

Fases de IKE

Fase 1: es obligatoria. Se establece una SA bidireccional entre los extremos de la sesión IPsec. La fase 1 ejecuta autenticación entre extremos y validación de identidad. Además, se negocian parámetros tales como algoritmos de hash y juegos de transformadas (transform sets).Esta fase se puede implementar en 2 modos: Main y Aggressive.Si no hay acuerdo entre las partes, la conexión IPsec no puede establecerce.

Fase 1.5: es opcional. Proporciona una capa adicional de authenticación, llamada Xauth (Extended Authentication). La fase 1 autenticó los equipos que desean establecer una sesión IPSec, pero no hubo forma de autenticar al usuario que está detrás. Con Xauth, se obliga al usuario a identificarse.

Fase 2: es obligatoria. Implementa SAs unidiraccionales entre los extremos de la conexión IPsec. Esta fase utiliza Quick Mode.

Page 12: Modulo 3 VPN

IPsecModos de IKE Fase 1 Main Mode: consiste de un intercambio de 6 mensajes entre los extremos

de la sesión IPsec. Los 6 mensajes se clasifican en 3 grupos:

Parámetros IPsec y política de seguridad: el iniciador envía una o más propuestas y el contestador selecciona alguna.

Intercambio de claves Diffie-Hellmann: claves públicas son enviadas entre los extremos de la conexión IPSec.

Autenticación de sesión con ISAKMP: cada parte se autentica frente a la otra.

Aggressive Mode: es una versión abreviada del modo Main. Los 6 mensajes del modo Main se condensan en 3.

El iniciador envía toda la data, incluyendo parámetros IPSec, políticas de seguridad y claves públicas Diffie-Hellman.

El contestador autentica el paquete y envía la propuesta de parámetros y claves de vuelta hacia al iniciador.

El iniciador autentica el paquete.

Page 13: Modulo 3 VPN

IPsecModo de IKE Fase 2 Quick Mode: negocia las SAs usadas para la protección de los datos a lo

largo del canal IPsec. También administra el intercambio de claves de esas SAs.

IKE también realiza otras tareas:

Dead Peer Detection (DPD): envío de Keepalives para detección de falla del compañero IPSec (por defecto cada 10 segundos).

NAT-T (Nat Traversal): inserción de una cabecera UDP no encriptada antes de la cabecera ESP. Con ello, el dispositivo que realiza la función de NAT/PAT tiene un número de puerto origen disponible para ser cambiado y almacenado en su tabla.

Mode configuration: corresponde a un método de enviar atributos IPSec desde un “servidor IPsec” a un “cliente” IPsec. Estos pueden ser dirección IP, servidores DNS, etc. Con esto, la configuración en el “cliente” es mínima. Cisco Easy VPN Solution usa este método.

Xauth: autenticación de usuario via username/password, CHAP, OTP (One Time Password o S/KEY).

Page 14: Modulo 3 VPN

IPsecNAT TRAVERSAL (NAT-T)

Puerto UDP origen y destino 4500

Page 15: Modulo 3 VPN

IPsecAlgoritmos de encriptación Algoritmos simétricos: utilizan una única clave, la cual es usada para

encriptar como para desencriptrar. Los más usados son DES, 3DES y AES. Utilizan poco recurso de CPU.

Algoritmos asimétricos: utilizan una clave diferente para encriptar que para desencriptar. La clave de encriptación se denomima clave pública y la de desencriptación, clave privada. RSA es el algoritmo asimétrico por excelencia. Utilizan mucho recurso de CPU.

Intercambio de claves Diffie-Hellman

Corresponde a un mecanismo que utiliza cripotgrafía asimétrica para deducir una misma clave secreta en ambos lados de la conexión, sin que ésta nunca haya sido transmitida por el enlace. Una vez que es obtenida esta clave secreta, se utiliza para encriptar simétricamente el tráfico de datos. El proceso Diffie-Hellman comienza cuando cada lado de la conexión elige un número primo grande de una cierta cantidad de bits. Esta cantidad de bits debe ser configurada en lo que se denominan Grupos Diffie-Hellman. Estos grupos son: Grupo 1 (768 bits), Grupo 2 (1024 bits), Grupo 5 (1536 bits) y Grupo 7 (163 bits, orientado a PDAs).

Page 16: Modulo 3 VPN

IPsecMétodo de intercambio de claves Diffie-Hellman

PB

R

PA

R

Page 17: Modulo 3 VPN

Creación de una VPN de sitio a sitio Para el establecimiento y terminación de una conexión segura basada en

IPsec entre 2 sitios, deben llevarse a cabo varias etapas.

Generación de tráfico interesante

IKE Fase 1

IKE Fase 2

Transferencia segura de datos

Terminación del túnel IPsec

Page 18: Modulo 3 VPN

Creación de una VPN de sitio a sitio Generación de tráfico interesante: se debe definir qué tipo de tráfico

requiere ser protegido por IPsec, y por ende, enviado hacia el otro extremo de la conexión IPsec, y qué tráfico no debe ser protegido y por tanto enviado a Internet. Pare ello se utilizan ACLs extendidas. El tráfico permitido por la ACL será protegido por IPsec.

IKE Fase 1

Modo Main

Page 19: Modulo 3 VPN

Creación de una VPN de sitio a sitioIKE Fase 1 Durante este intercambio de mensajes se negocian los transform-sets de

IKE, lo cuales son combinaciones de parámetros IPsec. Estos transfrom-sets también se conocen como Políticas IKE (IKE Policies).

Los dos extremos de la conexión IPsec debe tener alguna política IKE en común para que la fase 1 sea exitosa. De lo contrario, la conexión IPSec falla.

Son 5 los parámetros que conforman una política IKE:

Algoritmo de encriptación (DES, DES, AES)

Algoritmo de integridad (hash) (MD-5, SHA-1)

Mecanismo de autenticación (Precompartida, Firmas RSA, Números RSA encriptados)

Grupo para el método Diffie-Hellman (1, 2, 5, o 7)

Tiempo de vida del túnel IKE (por tiempo y/o cantidad de Bytes transferidos)

Page 20: Modulo 3 VPN

Creación de una VPN de sitio a sitioIKE Fase 1

Page 21: Modulo 3 VPN

Creación de una VPN de sitio a sitioIKE Fase 1

Durante el intercambio final de mensajes en la fase 1 de IKE, se lleva a cabo la autenticación, la cual puede ser de 3 formas:

Clave precompartida: clave manualmente ingresada en cada equipo extremo de la conexión.

Firmas RSA: se autentica por medio de certificados digitales.

Números RSA encriptados: se genera un número aleatorio, se encripta y se envía hacia el otro extremo de la conexión. Este número cambia cada vez que se renueva la SA de esta fase.

IKE Fase 2

Los verdaderos parámetros de seguridad que protegerán el tráfico de datos son negociados en esta fase. IKE Fase 1 sólo crea un canal seguro para que pueda operar la Fase 2.

Page 22: Modulo 3 VPN

Creación de una VPN de sitio a sitioIKE Fase 2

Durante la fase 2 se lleva a cabo:

Negociación de parámetros IPsec vía transform-sets de IPsec.

Establecimiento de SAs de IPsec unidireccionales.

Renegociación periódica de las SAs de IPsec.

Intercambio Diffie-Hellmman adicional (opcional).

Transform-sets de IPsec

Son 5 los parámetros que conforman un trasnform-set para IPsec:

Protocolo IPSec (AH o ESP)

Encriptación (DES, 3DES o AES)

Autenticación/Integridad (MD-5, SHA-1)

Modo IPsec (Túnel, Transporte)

Tiempo de vida de la SA de IPsec (segundos o kiloBytes)

Page 23: Modulo 3 VPN

Creación de una VPN de sitio a sitioIKE Fase 2

Page 24: Modulo 3 VPN

Creación de una VPN de sitio a sitioIKE Fase 2 Una SAs negociada durante la fase 2 de IKE, se identifica mediante un

número llamado SPI (Security Parameter Index). Este número viaja con cada paquete protegido por IPsec.

Cada cliente IPsec usa una base de datos llamada SA Database, donde se almacenan todas las SAs en donde el cliente participa. La SAD contiene:

Dirección IP del otro extremo de la sesión IPsec

Número SPI

Protocolo IPsec (ESP o AH)

Una segunda base de datos llamada SPD (Security Policy Database) contiene los parámetros de seguridad que fueron acordados para cada SA en los transform-sets. Para cada SA, la base de datos contiene:

Algoritmo de encriptación (DES, 3DES, AES)

Algoritmo de autenticación (MD-5, SHA-1)

Modo IPSec (túnel o transporte)

Tiempo de vida de la SA (segundos o kiloBytes)

Page 25: Modulo 3 VPN

Creación de una VPN de sitio a sitioTransferencia segura de datos

Una vez que la fase 2 de IKE se ha completado, el tráfico interesante podrá ser protegido de acuerdo a las SAs.

Terminación de túnel IPsec

Existen 2 causas para que un túnel IPsec sea terminado:

Si la SA expira, el túnel será desmantelado, a menos que más tráfico interesante debe seguir fluyendo.

Tambien es posible manualmente desmantelar el túnel.

Una vez que la conexión IPsec termina, toda información acerca de las SAs utilizadas es removida de la SAD y la SPD.

Page 26: Modulo 3 VPN

Configuración de una VPN sitio a sitio

Los pasos para la configuración son los siguietes:

Configurar la(s) política(s) ISAKMP (fase 1 de IKE).

Configurar los transform-sets de IPsec (fase 2 de IKE y terminación del túnel).

Configurar la ACL criptográfica que definirá el tráfico interesante.

Configurar el mapa criptográfico que aglutina parámetros de la SA de IPsec.

Aplicar el mapa criptográfico a una interfaz.

Configuración de ACLs adicionales para permitir tráfico IPsec entrante.

Page 27: Modulo 3 VPN

Configuración de una VPN sitio a sitioPolíticas ISAKMP

Page 28: Modulo 3 VPN

Configuración de una VPN sitio a sitioTransform-sets de IPsec, mapa criptográfico y ACL criptográfica

Page 29: Modulo 3 VPN

Configuración de una VPN sitio a sitioTransform-sets de IPsec

Page 30: Modulo 3 VPN

Configuración de una VPN sitio a sitioAplicar mapa criptográfico a la interfaz

Page 31: Modulo 3 VPN

Configuración de una VPN sitio a sitioACLs adicionales para permitir tráfico IPsec entrante

Page 32: Modulo 3 VPN

Configuración de una VPN sitio a sitioVerificación del estado de la SA de fase 1

Page 33: Modulo 3 VPN

Configuración de una VPN sitio a sitioVerificación del estado de las SAs de fase 2

Page 34: Modulo 3 VPN

Tunelización con GRE sobre IPsec

GRE (Generic Routing Encapsulation) es un protocolo desarrollado por Cisco para transportar o “tunelizar” múltiples protocolos enrutados sobre redes puramente IP.

GRE agrega una nueva cabecera (4 Bytes como mínimo) al paquete original (puede ser IP u otro protocolo enrutado), el cual es entonces encapsulado en un paquete externo (IP) que será enrutado hasta el otro extremo del túnel GRE. En dicho extremo, la cabecera IP externa es extraída y el paquete original vuelvo a ser expuesto.

Algunas características de GRE son:

Es similar a IPsec; se genera un túnel con 2 extremos.

Un túnel GRE no es orientado a la sesión. No existe un proceso para “levantar”el túnel o para desmantelarlo. Un paquete original tan sólo viaja encapsulado (tunelizado) dentro de otro.

GRE no entrega seguridad. No presta ningún servicio de autenticación, ni encriptación o integridad.

Page 35: Modulo 3 VPN

Tunelización con GRE sobre IPsec

GRE originalmente incluye un procedimiento para encriptar, pero por ser relativamente burdo, no ofrece seguridad alguna.

A diferencia de IPsec, GRE sí puede transportar protocolos tales como OSPF o EIGRP lo largo de la conexión.

Igualmente, GRE también soporta tráfico multicast, el cual no era soportado por IPsec. A partir de IOS 12.4(4)T multicast sobre IPsec sí es soportado.

Page 36: Modulo 3 VPN

Tunelización con GRE sobre IPsecConfiguración básica de GRE

Page 37: Modulo 3 VPN

Tunelización con GRE sobre IPsecEncapsulamiento de GRE sobre IPsec

Generalmente los extremos del túnel IPsec y del túnel GRE son los mismos, por ende, el modo trasnporte es el más frecuentemente usado.

Page 38: Modulo 3 VPN

Tunelización con GRE sobre IPsecConfiguración de GRE sobre IPsec – Topología de ejemplo

Page 39: Modulo 3 VPN

Tunelización con GRE sobre IPsecConfiguración de GRE sobre IPsec

Configuración básica del túnel GRE

R1(config)# interface tunnel 0

R1(config-if)# ip address 172.16.13.1 255.255.255.0

R1(config-if)# tunnel source fastethernet0/0

R1(config-if)# tunnel destination 192.168.23.3

R3(config)# interface tunnel0

R3(config-if)# ip address 172.16.13.3 255.255.255.0

R3(config-if)# tunnel source serial0/0/1

R3(config-if)# tunnel destination 192.168.12.1

Page 40: Modulo 3 VPN

Tunelización con GRE sobre IPsecConfiguración de GRE sobre IPsec – Topología de ejemplo

Configuración de EIGRP sobre el túnel GRE

R1(config)#router eigrp 2

R1(config-router)# no auto-summary

R1(config-router)# network 172.16.0.0

R3(config)# router eigrp 2

R3(config-router)# no auto-summary

R3(config-router)# network 172.16.0.0

Page 41: Modulo 3 VPN

Tunelización con GRE sobre IPsecConfiguración de GRE sobre IPsec

Configuración de política ISAKMP

R1(config)# crypto isakmp policy 10

R1(config-isakmp)# authentication pre-share

R1(config-isakmp)# encryption aes 256

R1(config-isakmp)# hash sha

R1(config-isakmp)# group 5

R1(config-isakmp)# lifetime 3600

R3(config)# crypto isakmp policy 10

R3(config-isakmp)# authentication pre-share

R3(config-isakmp)# encryption aes 256

R3(config-isakmp)# hash sha

R3(config-isakmp)# group 5

R3(config-isakmp)# lifetime 3600

Page 42: Modulo 3 VPN

Tunelización con GRE sobre IPsecConfiguración de GRE sobre IPsec

Configuración de autenticación ISAKMP y Transform-sets de IPsec

R1(config)# crypto isakmp key cisco address 192.168.23.3

R3(config)# crypto isakmp key cisco address 192.168.12.1

R1(config)# crypto ipsec transform-set mytrans esp-aes 256 esp-sha-hmac ah-sha-hmac

R1(cfg-crypto-trans)# exit

R1(config)#

R3(config)# crypto ipsec transform-set mytrans esp-aes 256 esp-sha-hmac ah-sha-hmac

R3(cfg-crypto-trans)# exit

Page 43: Modulo 3 VPN

Tunelización con GRE sobre IPsecConfiguración de GRE sobre IPsec

Definición mediante ACL del tráfico que debe ser encriptado (GRE)

R1(config)# access-list 101 permit gre host 192.168.12.1 host 192.168.23.3

R3(config)# access-list 101 permit gre host 192.168.23.3 host 192.168.12.1

Page 44: Modulo 3 VPN

Tunelización con GRE sobre IPsecConfiguración de GRE sobre IPsec

Creación y aplicación de mapa criptográfico

R1(config)# crypto map mymap 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

R1(config-crypto-map)# match address 101

R1(config-crypto-map)# set peer 192.168.23.3

R1(config-crypto-map)# set transform-set mytrans

R1(config-crypto-map)# exit

R1(config)# interface fastethernet 0/0

R1(config-if)# crypto map mymap

*Jan 22 07:01:30.147: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Page 45: Modulo 3 VPN

Tunelización con GRE sobre IPsecConfiguración de GRE sobre IPsec

Creación y aplicación de mapa criptográfico

R3(config)# crypto map mymap 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

R3(config-crypto-map)# match address 101

R3(config-crypto-map)# set peer 192.168.12.1

R3(config-crypto-map)# set transform-set mytrans

R3(config-crypto-map)# interface serial 0/0/1

R3(config-if)# crypto map mymap

*Jan 22 07:02:47.726: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Page 46: Modulo 3 VPN

Tunelización con GRE sobre IPsecConfiguración de GRE sobre IPsec

Verificación del túnel GRE/IPsec

R1# show crypto ipsec sa

interface: FastEthernet0/0

Crypto map tag: mymap, local addr 192.168.12.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.12.1/255.255.255.255/47/0)

remote ident (addr/mask/prot/port): (192.168.23.3/255.255.255.255/47/0)

current_peer 192.168.23.3 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8

#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8

Page 47: Modulo 3 VPN

Tunelización con GRE sobre IPsecConfiguración de GRE sobre IPsec

Verificación del túnel GRE/IPsec (al cabo de algunos segundos)

R1# show crypto ipsec sa

interface: FastEthernet0/0

Crypto map tag: mymap, local addr 192.168.12.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.12.1/255.255.

remote ident (addr/mask/prot/port): (192.168.23.3/255.255.

current_peer 192.168.23.3 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10

#pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10

... Incremento de paquetes encriptados debido a paquetes Hello de EIGRP.

Page 48: Modulo 3 VPN

Opciones de alta disponibilidad con IPsec

Debido a la gran cantidad de elementos que pueden fallar en una conexión IPsec sobre Internet, y a que muchos de esos elementos no dependen de nuestra administración, es fundamental contar con algún mecanismo de respaldo y/o redundancia ya sea de equipos y enlaces.

A la hora de detectarse una falla, existen 2 formas para la recuperación de la conexión:

Stateless: se define una conexión primaria y otra de respaldo. En caso de detectarse falla en una conexión, se utilizará la otra pero el usuario notará una interrupción.

Statefull: se utiliza equipamiento redundante, el cual debe ser exactamente de las mismas características (configuración, interfaces, etc.). El usuario no notará interrupción alguna.

Page 49: Modulo 3 VPN

Opciones de alta disponibilidad con IPsec Existen 3 mecanismos Stateless:

Dead Peer Detection (DPD)

Uso de un IGP sobre GRE sobre IPsec

HSRP

Existen 2 mecanismos Statefull:

HSRP

SSO (Statefull Switchover)

Dead Peer Detection

Corresponde a una opción de configuración del protocolo ISAKMP. En particular son mensajes Keepalive que se envian de un extremo del túnel IPsec al otro. Se puede configurar en modo Periódico u On demanda (opción por defecto).

Router(config)#crypto isakmp keepalive seconds [retries][periodic /on-demand]

Para la detección temprana del un túnel con falla, lo mejor es usar modo Periódico.

Page 50: Modulo 3 VPN

Opciones de alta disponibilidad con IPsecConfiguración de DPD

Page 51: Modulo 3 VPN

Opciones de alta disponibilidad con IPsecConfiguración de HSRP en el lado remoto

Page 52: Modulo 3 VPN

Opciones de alta disponibilidad con IPsecConfiguración de HSRP en oficina principal

Page 53: Modulo 3 VPN

Interfaz Virtual de Túnel (VTI)Configuración de VTI – Topología de ejemplo

Entre la oficina remota y la principal (HQ) existe un enlace primario (línea dedicada, fibra oscura, MPLS VPN, etc). En caso de fallar, la comunicación debe reestablecerse por un túnel GRE/IPsec a través de Internet.

Page 54: Modulo 3 VPN

Adicional: Interfaz Virtual de Túnel (VTI)Configuración de VTI

Configuración de EIGRP

Configuración de enrutamiento por defecto para conexión a Internet

Creación de política ISAKMP

Page 55: Modulo 3 VPN

Adicional: Interfaz Virtual de Túnel (VTI)Configuración de VTI

Configuración de autenticación por clave precompartida para ISAKMP

Creación del transform-set de IPsec

Creación de un perfil IPsec

Page 56: Modulo 3 VPN

Adicional: Interfaz Virtual de Túnel (VTI)Configuración de VTI

Configuración de la interfaz VTI

En caso de caer en enlace dedicado (en este caso el enlace que va al switch Ethernet), la comunicación entre oficina remota y principal se reestablecerá por el túnel GRE/IPsec de respaldo.

Page 57: Modulo 3 VPN

Resumen

Las redes privadas usando IPsec son una gran herramienta para que empresas puedan conectar sitios remotos a bajo costo, de forma segura, y con una tecnología ampliamente disponible y soportada.

Combinando IPsec con GRE logramos que tráfico de protocolos de enrutamiento también puedan pasar por un túnel IPsec.

También es posible darle alta disponibilidad a conexiones IPsec por medio de la función DPD (Dead Peer Detection) o usando HSRP.

A través de VTI (Virtual Tunnel Interface) podemos usar una conexión IPsec como respaldo de otra conexión principal.