Practica Ty

4
Laboratorio de Administración de Redes 2015 1 Elaboraron: M. C. Javier León Cotonieto e Ing. Aldo Jiménez Arteaga Práctica 8, VPN y DMZ VPN La VPN (Virtual Private Network) o Red Privada Virtual permite proveer un canal de comunicación (túnel) seguro a través de una red pública (insegura), evitando los altos costos de los enlaces dedicados equivalentes. Una VPN puede habilitarse para interconectar: Un usuario único a una red (client to site connection). Oficinas remotas a una oficina central (site to site connection). Dos usuarios únicos (client to client connection). Una VPN puede implementarse en diferentes capas del modelo de referencia OSI. Cuando se configura una VPN en una capa determinada del modelo, sólo hay protección desde esa capa hacia los niveles superiores. Capa de enlace de datos. Su principal ventaja es soportar protocolos no IP. Los principales protocolos son: PPTP (Point to Point Tunneling Protocol), L2P (Layer 2 Forwarding), L2TP (Layer 2 Tunneling Protocol), L2SP (Layer 2 Security Protocol). Capa de Red. IPSEC (IP Security). Capa de Aplicación. SSH, SSL, TLS. IP Security (IPSec) Es una pila de protocolos y estándares que permiten proteger el tráfico que viaja sobre una red insegura (por ejemplo, Internet). Los servicios que provee IPSEC son: Confidencialidad al evitar el robo de las datos (algoritmos cifrado). Integridad asegurando que los datos no han sido manipulados o alterados (algoritmos de hashing). Autenticación al confirmar la identidad del host que envía los datos (usando claves precompartidas o usando una autoridad certificadora). Contra replicación (anti-replay) al evitar la duplicación de paquetes cifrados (asignación de identificador de secuencia único). Los protocolos que conforman a IPSEC son: AH (Authentication Header) Su función es proveer servicios de autenticación e integridad. Utiliza algoritmos de hash para obtener valores hash del encabezado y cuerpo de paquete. ESP (Encapsulation Security Payload) provee servicios de confidencialidad, autenticación e integridad. ESP realiza cifrado y por tanto se considera más seguro que AH. Cada uno de los protocolos de IPSEC (AH y ESP) pueden operar en 2 modos: Modo transporte. Los encabezados originales IP se dejan intactos. Se utiliza cuando se desea asegurar la comunicación de un dispositivo único a otro dispositivo (client to client). Modo túnel. Al paquete original se le aplican cifrado y/o hashing (encabezados y datos del paquete). Se genera un encabezado temporal para transportar el paquete a través del túnel. IKE (Internet Key Exchange) para la asociación de seguridad en IPSEC Una asociación de seguridad (SA) es el establecimiento de atributos de seguridad compartidos entre 2 entidades de red para soportar la comunicación segura. IKE es utilizado para establecer una SA. IKE debe definir un conjunto de políticas de seguridad (manejadas con ISAKMP -Internet Security Association and Key Management Protocol-) por cada participante. Los valores que componen una política de seguridad son: Algoritmo de cifrado (DES, 3DES, AES). Algoritmo de hashing (MD5, SHA-1). Método de autenticación (clave precompartida o firmas RSA). Grupo de Diffie-Hellman (DH) para crear y compartir llaves. Tiempo de vida de la asociación de seguridad (segundos o KB enviados).

description

BUENISISMO

Transcript of Practica Ty

  • Laboratorio de Administracin de Redes 2015

    1 Elaboraron: M. C. Javier Len Cotonieto e Ing. Aldo Jimnez Arteaga

    Prctica 8, VPN y DMZ VPN La VPN (Virtual Private Network) o Red Privada Virtual permite proveer un canal de comunicacin (tnel) seguro a travs de una red pblica (insegura), evitando los altos costos de los enlaces dedicados equivalentes. Una VPN puede habilitarse para interconectar:

    Un usuario nico a una red (client to site connection). Oficinas remotas a una oficina central (site to site connection). Dos usuarios nicos (client to client connection).

    Una VPN puede implementarse en diferentes capas del modelo de referencia OSI. Cuando se configura una VPN en una capa determinada del modelo, slo hay proteccin desde esa capa hacia los niveles superiores.

    Capa de enlace de datos. Su principal ventaja es soportar protocolos no IP. Los principales protocolos son: PPTP (Point to Point Tunneling Protocol), L2P (Layer 2 Forwarding), L2TP (Layer 2 Tunneling Protocol), L2SP (Layer 2 Security Protocol).

    Capa de Red. IPSEC (IP Security). Capa de Aplicacin. SSH, SSL, TLS.

    IP Security (IPSec) Es una pila de protocolos y estndares que permiten proteger el trfico que viaja sobre una red insegura (por ejemplo, Internet). Los servicios que provee IPSEC son:

    Confidencialidad al evitar el robo de las datos (algoritmos cifrado). Integridad asegurando que los datos no han sido manipulados o alterados

    (algoritmos de hashing). Autenticacin al confirmar la identidad del host que enva los datos (usando

    claves precompartidas o usando una autoridad certificadora).

    Contra replicacin (anti-replay) al evitar la duplicacin de paquetes cifrados (asignacin de identificador de secuencia nico).

    Los protocolos que conforman a IPSEC son:

    AH (Authentication Header) Su funcin es proveer servicios de autenticacin e integridad. Utiliza algoritmos de hash para obtener valores hash del encabezado y cuerpo de paquete.

    ESP (Encapsulation Security Payload) provee servicios de confidencialidad, autenticacin e integridad. ESP realiza cifrado y por tanto se considera ms seguro que AH.

    Cada uno de los protocolos de IPSEC (AH y ESP) pueden operar en 2 modos:

    Modo transporte. Los encabezados originales IP se dejan intactos. Se utiliza cuando se desea asegurar la comunicacin de un dispositivo nico a otro dispositivo (client to client).

    Modo tnel. Al paquete original se le aplican cifrado y/o hashing (encabezados y datos del paquete). Se genera un encabezado temporal para transportar el paquete a travs del tnel.

    IKE (Internet Key Exchange) para la asociacin de seguridad en IPSEC Una asociacin de seguridad (SA) es el establecimiento de atributos de seguridad compartidos entre 2 entidades de red para soportar la comunicacin segura. IKE es utilizado para establecer una SA. IKE debe definir un conjunto de polticas de seguridad (manejadas con ISAKMP -Internet Security Association and Key Management Protocol-) por cada participante. Los valores que componen una poltica de seguridad son:

    Algoritmo de cifrado (DES, 3DES, AES). Algoritmo de hashing (MD5, SHA-1). Mtodo de autenticacin (clave precompartida o firmas RSA). Grupo de Diffie-Hellman (DH) para crear y compartir llaves. Tiempo de vida de la asociacin de seguridad (segundos o KB enviados).

  • Laboratorio de Administracin de Redes 2015

    2 Elaboraron: M. C. Javier Len Cotonieto e Ing. Aldo Jimnez Arteaga

    IKE funciona en 2 fases de negociacin:

    Fase 1. Establece un tnel inicial (conocido como tnel IKE o ISAKMP-SA) para autenticacin usando intercambio por Diffie-Hellman (canal bidireccional ISAKMP-SA nico).

    Fase 2. Con el canal seguro establecido en la fase 1, los participantes negocian la asociacin de seguridad de otros servicios (IPSec SA). Al menos 2 canales (envo y recepcin) unidireccionales (IPSec Transform Set) son establecidos.

    Material 1 PC con Packet Tracer 5.3.3.

    Desarrollo Se construir la topologa mostrada en la figura 1.

    Figura 1. Topologa de red.

    La topologa est compuesta por 3 routers 2811, 4 PC-PT, 3 Server-PT y 3 switches 2950. Los enlaces deben realizarse acorde a la tabla 1.

    Red Dispositivo Inicial Dispositivo Final

    Red Privada 1

    Router0 - Fa0/0 Switch0 - Fa0/1

    Switch0 - Fa0/2 Server0 - Fa

    Switch0 - Fa0/3 PC0 - Fa

    DMZ Router0 - Fa0/1 Server1 - Fa

    WAN 1 Router0 - Fa1/0 Router1 - Fa1/0

    Internet

    Router1 - Fa0/0 Switch1 - Fa0/1

    Switch1 - Fa0/1 PC1 - Fa

    Switch1 - Fa0/2 Server2 - Fa

    WAN 2 Router1 - Fa0/1 Router2 - Fa0/1

    Red Privada 2

    Router2 - Fa0/0 Switch2 - Fa0/1

    Switch2 - Fa0/2 PC2 - Fa

    Switch2 - Fa0/3 PC3 - Fa Tabla 1. Tipos de conexiones.

    Configuracin de los segmentos de red Las direcciones de cada dispositivo e interface deben configurarse de acuerdo a la tabla 2. El octeto X de cada direccin representa el nmero de nodo dnde ests trabajando, y el octeto Y es el grupo de laboratorio donde ests inscrito; todas las subredes tienen un prefijo /24.

    Una vez que estn configuradas las interfaces respectivas de cada router, se requiere comunicacin entre todos los nodos de la topologa. Para ello, levanta en cada uno de los routers enrutamiento dinmico mediante RIPv2; coloca las interfaces adecuadas en modo pasivo para evitar generar trfico innecesario dentro de las redes privadas o Internet. Los respectivos segmentos de red se muestran en la tabla 3.

    Al final de la configuracin, las comunicaciones por medio de las llamadas de eco deben ser exitosas en toda la topologa.

  • Laboratorio de Administracin de Redes 2015

    3 Elaboraron: M. C. Javier Len Cotonieto e Ing. Aldo Jimnez Arteaga

    Dispositivo Interface Direccin

    Server0 -- 192.Y.X.1

    PC0 -- 192.Y.X.2

    Router0

    Fa0/0 192.Y.X.254

    Fa0/1 192.Y+2.X.254

    Fa1/0 132.Y.X.254

    Server1 -- 192.Y+2.X.1

    Router1

    Fa0/0 10.Y.X.254

    Fa0/1 175.Y.X.254

    Fa1/0 132.Y.X.253

    Server2 -- 10.Y.X.1

    PC1 -- 10.Y.X.2

    Router2 Fa0/1 175.Y.X.253

    Fa0/0 195.Y.X.254

    PC2 -- 195.Y.X.1

    PC3 -- 195.Y.X.2 Tabla 2. Direcciones de dispositivos e interfaces.

    Segmento Direccin de Red

    Privada 1 192.Y.X.0

    DMZ 192.Y+2.X.0

    WAN 1 132.Y.X.0

    Internet 10.Y.X.0

    WAN 2 175.Y.X.0

    Privada 2 195.Y.X.0 Tabla 3. Direcciones de red de los segmentos.

    Crea dos copias del archivo; una servir para la VPN y otra para la DMZ.

    Escenario 1: Configuracin de una VPN Una VPN es un enlace cifrado a travs de un canal inseguro. El tnel cifrado entre redes privadas se establecer entre los routers Router0 y Router2.

    Como primer paso, es necesario que los routers se pongan de acuerdo en la forma de autenticarse. Para ello es necesario el establecimiento de una negociacin para el intercambio de autenticacin; esto se logra mediante el servicio ISAKMP, que indicar la poltica de cifrado y autenticacin de la VPN. Cada enlace VPN requiere de su propia poltica para el uso de algoritmos en el canal de comunicacin.

    Router(config)# crypto isakmp enable Router(config)# crypto isakmp policy 1 Router(config-isakmp)# authentication pre-share Router(config-isakmp)# encryption aes Router(config-isakmp)# hash sha Router(config-isakmp)# group 2 Router(config-isakmp)# exit

    Una vez establecida la poltica, se requiere establecer un conjunto de transformaciones en ambos routers para poder comunicarse en el canal (cmo se utilizar la poltica dada de alta):

    Router(config)# crypto isakmp key VPNPASS address PEER 0.0.0.0 Router(config)# crypto ipsec transform-set VPNTS esp-aes esp-sha-hmac Router(config)# crypto ipsec security-association lifetime seconds 86400

    donde VPNPASS es la clave sin cifrar que se intercambiar para el acceso a la VPN; PEER es la direccin de final del tnel VPN, por ejemplo, si se configura Router0 el final del tnel es la direccin pblica de Router2; VPNTS es el nombre del conjunto de transformaciones. Ntese que la wildcard del PEER es 0.0.0.0, lo cual designa a un solo host.

    Es necesario utilizar una lista de acceso extendida para ligarla a la poltica, al conjunto de transformaciones y al mapa criptogrfico de la VPN. El objetivo de la lista es darle a conocer al router qu trfico est permitido ingresar a la VPN y qu trfico no.

  • Laboratorio de Administracin de Redes 2015

    4 Elaboraron: M. C. Javier Len Cotonieto e Ing. Aldo Jimnez Arteaga

    Router(config)# access-list 102 permit ip SRC WILDCARD_SRC DTN WILDCARD_DTN

    donde SRC es la direccin de red de la red privada conectada al router que se est configurando (origen), WILDCARD_SRC es la respectiva mscara wildcard; en tanto que DTN es la direccin de red de la red privada conectada al otro extremo del tnel (destino), y WILDCARD_DTN es la respectiva mscara wildcard de dicha red privada. Por ejemplo, si se est configurando Router0, la red privada conectada es 192.Y.X.0, el origen (SCR); la red de destino es la red privada conectada a Router2: 195.Y.X.0, el destino (DTN).

    Una vez establecidos la poltica y el conjunto de transformaciones, el router debe saber cmo y dnde aplicar dichas configuraciones; para ello se construye el mapa criptogrfico que indicar cul es el destino del tnel creado, sobre qu interface debe aplicarse, qu poltica de autenticacin se usar y cmo se har el cifrado de datos. El mapa criptogrfico enlaza la poltica de cifrado, el conjunto de transformaciones y se aplica a la interface de salida del router que se est configurando. Se requiere un mapa por cada enlace VPN que se requiera configurar, as como la lista de control de acceso adecuada.

    Router(config) #crypto map VPNMAP 100 ipsec-isakmp Router(config-crypto-map) #match address 102 Router(config-crypto-map) #set peer PEER Router(config-crypto-map) #set pfs group2 Router(config-crypto-map) #set transform-set VPNTS Router(config-crypto-map) #exit Router(config) #interface FaX/X Router(config-if) #crypto map VPNMAP

    donde X/X es la interface Fa1/0 de Router0 y la interface Fa0/1 de Router2, y VPNMAP es el nombre del mapa criptogrfico.

    Este proceso debe realizarse en los dos routers que conectan las redes privadas (Router0 y Router2). Si se configura un solo router, se perder la comunicacin entre dichas redes, ya que el router perteneciente a la VPN no podr autenticar a uno de los segmentos.

    Verifica con los siguientes comandos que la VPN est configurada correctamente.

    Router# show crypto isakmp policy Router# show crypto isakmp sa Router# show crypto map Router# show crypto ipsec transform-set

    Argumenta qu muestra la salida de cada comando. Enva un ping de una Intranet a otra y verifica la asociacin de seguridad con

    Router# show crypto isakmp sa

    En este caso, se debe mostrar que la VPN ya est activa. Para verificar que los paquetes estn siendo cifrados a nivel de red, ejecuta el modo de simulacin de Packet Tracer y analizalos en su camino de una VPN a otra.

    VPNIP Security (IPSec)IKE (Internet Key Exchange) para la asociacin de seguridad en IPSEC

    MaterialDesarrolloConfiguracin de los segmentos de redEscenario 1: Configuracin de una VPN