REDES PRIVADAS VIRTUALES (VPN) · PDF fileVPN de acceso remoto CISCO CCNA Security 1.1....

Luis Alfonso Sánchez Brazales

REDES PRIVADAS VIRTUALES (VPN)

VPN sitio a sitio

a) Simulación VPN sitio a sitio, utilizando Packet Tracer.

b) CISCO CCNA Security 1. 1. Laboratorio Lab- 8- A: VPN sitio-a-sitio

- Realizar en el laboratorio virtual (GNS3) individualmente.

Este es el esquema donde vamos a realizar una vpn de sitio a sitio, para ello nos vamos a ir a la

consola del router 1

Con el primer comando lo que vamos a hacer es crear una nueva política IKE, cada política se identifica por su número de prioridad, en nuestro caso vamos a ponerle la prioridad más alta que es 1. Con el segundo comando lo que vamos a especificar es el algoritmo de cifrado que vamos a utilizar El tercer comando elegimos el algoritmo de hash que vamos a usar El cuarto comando determina el método de autenticación El quinto comando se especifica el identificador de grupo diffie-hellman El sexto comando determinamos el tiempo de vida de la asociación de seguridad Con el séptimo comando salimos para volver al modo de configuración global El octavo comando lo que hacemos es elegir la identidad ISAKMP que el router usara en las

negociaciones IKE, pero este comando como podemos ver en la imagen no funciona y ya no

podemos continuar realizando la vpn de sitio a sitio


Realizar en el laboratorio físico por grupos de alumnos.

Hicimos esta práctica siguiendo el manual

Configuraremos 1º los parametros de enrutamiento e interfaces para establecer la

conectividad:

R1:

Realizamos los mismos pasos de configuración de la red en los demás routers, de acuerdo con

el escenario en concreto.

Bien ahora comprobamos la conectividad:


La elección de un algoritmo de cifrado determina la confidencialidad del canal de control entre

los extremos es. El algoritmo de control controla la integridad de los datos, garantizando que

los datos recibidos de un par no ha sido alterado en el tránsito. El tipo de autenticación

garantiza que el paquete fue enviado en efecto y firmada por el par remoto. El grupo de Diffie-

Hellman se utiliza para crear una clave secreta compartida por los pares que no ha sido

enviado a través de la red.

una. Configurar un tipo de autenticación de claves pre-compartidas. El uso de encriptación AES

256, SHA como su algoritmo de hash, y Diffie-Hellman de intercambio de claves grupo 5 de

esta política IKE.

b. Dar la política de un tiempo de vida de 3600 segundos (una hora). Configure la misma

política en R3. Las versiones anteriores de Cisco IOS no admiten el cifrado AES 256 y SHA como

algoritmo de hash. Sustituya cualquier algoritmo de cifrado y hashing su router soporta.

Asegúrese de que los mismos cambios se realizan en el otro extremo de VPN para que estén

en sincronía.

Verifique la política IKE con el comando show crypto ISAKMP policy

Cada dirección IP que se utiliza para configurar los equivalentes de IKE también se conoce

como la dirección IP del extremo remoto VPN. Configurar la clave pre-compartida de cisco123

en el router R1 mediante el comando siguiente. Redes de producción deben utilizar una clave

compleja. Este comando apunta a la dirección IP remota pares R3 S0/0/1


En R1 y R3, cree un conjunto de transformación con la etiqueta 50 y utiliza un protocolo de seguridad de encapsulación (ESP) transformar con un cifrado AES 256 con ESP y la función SHA hash. Los conjuntos de transformación debe coincidir.

En R1 y R3, configure la seguridad de IPsec asociación de por vida a 30 minutos, o segundos

1800.

Configure la VPN IPsec interesante tráfico ACL en el R1.

Cree el mapa crypto en R1, el nombre de CMAP, y utilizar 10 como el número de secuencia. Aparecerá un mensaje después de que el comando se emite.

Usa el comando match address access-list para especificar qué lista de acceso define el tráfico que va a cifrar.

Setting a peer IP or host name is required, so set it to R3’s remote VPN endpoint interface using the following command.


Codificar el conjunto de transformación que se utilizará a este mismo nivel, utilizando el conjunto de transfor-mando conjunto de etiquetas. Ajuste el tipo de desvío secreto perfecto con el comando set pfs tipo, y también modificar el valor por defecto de seguridad IPsec tiempo de vida con el comando set security-association lifetime seconds seconds:

Aplicar los mapas de las interfaces de Cifrado párr adecuadas en R1Apply los mapas de cifrado

para las interfaces adecuadas en R1

Anteriormente has usado el comando show crypto isakmp policy Aplicar las interfaces de los mapas de las Cifrado adecuadas en R1 Apply los mapas de las interfaces de Cifrado adecuadas en R1, show crypto ipsec transform-set command muestra las políticas IPsec configuradas en la forma de los conjuntos de transformación.

Utilice el comando show crypto map para visualizar los mapas criptográficos que se aplicarán

al router

.


El comando show crypto ipsec sa muestra la SA no utilizada SA entre R1 y R3. Anote el

número de paquetes enviados a través y la falta de asociaciones de seguridad que figuran en la

parte inferior de la salida. La salida de R1 se muestra aquí.

Bien, tras realizar esto, compartiremos una carpeta en el equipo 192.168.1.3:


Bien ahora accedemos con el otro equipo el 192.168.3.3 y comprobamos que se envian los

protocolos TCP de la conexión, (nota: no capturamos el protocolo IPsec ya que Wireshark no

permite capturarlo)

Comprobamos que accedemos a la carpeta compartida.


VPN de acceso remoto

CISCO CCNA Security 1.1. Laboratorio Lab-8-B; VPN Acceso.remoto

Realizar en el laboratorio físico por grupos de alumnos.


Click the Configure button at the top of the CCP screen, and choose Security >Firewall > Firewall

Choose Basic Firewall and click the Launch the selected task button. On the Basic Firewall Configuration wizard screen, click Next.

c. Check the Inside (Trusted) check box for FastEthernet0/1 and the Outside (Untrusted) check box for Serial0/0/1. Click Next. Click OK when the CCP launch warning for Serial0/0/1 is displayed.


In the next window, select Low Security for the security level and click Next.

e. In the Summary window, click Finish.

f. Click Deliver to send the commands to the router. Click OK in the Commands Delivery Status window. Click OK on the Information window. You are returned to the Edit Firewall Policy tab as shown below.

Click Deliver to send the commands to the router. Click OK in the Commands Delivery Status window. Click OK on the Information window. You are returned to the Edit Firewall Policy tab as shown below


firewall functionality. a. From PC-C, ping the R2 interface S0/0/1 at IP address 10.2.2.2.

Click the Configure button at the top of the CCP home screen. Choose Security > VPN > Easy VPN Server.

b. Click on the Launch Easy VPN Server Wizard button.


Now we select deliver:

Select the interface on which the client connections terminate. Click the Unnumbered to radio button and select the Serial0/0/1 interface from the pull-down menu.

b. Choose Pre-shared Keys for the authentication type and click Nextto continue.


In the IKE Proposals window, the default IKE proposal is used for R3.

Click Next to accept the default transform set.


In the Group Authorization and Group Policy Lookup window, choose the Local option

In the User Authentication (XAuth) window, you can select where user credentials will be configured. You can select an external server, such as a RADIUS server, a local database, or both. Check the Enable User Authentication check box and accept the default of Local Only


In the User Accounts window, click the Add button to add another user. Enter the username VPNuser1 with a password of VPNuser1pass. Select the check box for encrypting the password using the MD5 hash algorithm. Leavetheprivilegelevel at 1.

Click Add to create a group policy.

c. In the Add Group Policy window, enter VPN-Access as the name of this group. Enter a new pre-shared key of cisco12345 and then re-enter it.

d. Leave the Pool Information box checked and enter a starting address of 192.168.3.100, an ending address of 192.168.3.150, and a subnet mask of 255.255.255.0.

e. Enter 50 for the Maximum Connections Allowed.

f. Click OK to accept the entries


When you return to the Group Authorization window, check the Configure Idle Timer check box and enter one hour (1). This disconnects idle users if there is no activity for one hour and allows others to connect. Click Next to continue.

i. When the Cisco Tunneling Control Protocol (cTCP) window displays, do not enable cTCP. ClickNexttocontinue.

No check


When the Easy VPN Server Passthrough Configuration window displays, make sure that the Action Modify check box is checked. This option allows CCP to modify the firewall on S0/0/1 to allow IPsec VPN traffic to reach the internal LAN. ClickOK tocontinue

Scroll through the commands that CCP will send to the router. Do not check the check box to test the VPN. Click Finish.

b. When prompted to deliver the configuration to the router, click Deliver.


You are returned to the main VPN window with the Edit Easy VPN Server tab selected. Click the Test VPN Server button in the lower right corner of the screen.

b. In the VPN Troubleshooting window, click the Start button. Your screen should look similar to the one below. Click OK to close the information window.

ClickClosetoexitthe VPN Troubleshootingwindow.


CLIENTE


Start the Cisco VPN Client and choose Connection Entries > New, or click the New icon with the red plus sign (+) on it.

Enter the following information to define the new connection entry. Click Save when you are finished. Connection Entry: VPN-R3 Description: Connection to R3 internal network Host: 10.2.2.1 (IP address of the R3 S0/0/1 interface) Group Authentication Name: VPN-Access (defines the address pool configured in Task 2) Password: cisco12345 (pre-shared key configured in Task 2) Confirm Password: cisco12345


Select the newly created connection VPN-R3 and click the Connect icon. You can also double-click the connection entry.

Enter the previously created username VPNuser1 in the VPN Client User Authentication dialog box and enter the password VPNuser1pass. Click OK to continue. The VPN Client window minimizes to a lock icon in the tools tray of the taskbar. When the lock is closed, the VPN tunnel is up. When it is open, the VPN connection is down.

Comprobamos la conectividad


Nos conectamos al cliente

Accedemos a sus carpetas compartidas.


VPN sobre red local

a) Instalación de un servidor VPN en Windows XP/7/ Windows 2003/2008 Server.

Windows 2003 Server

Añadimos 2 tarjetas de red, una en modo puente y otra en en red interna.

Modo puente

Red interna


Creamos la conexión VPN


Windows XP

En conexiones de red, creamos una nueva conexión de red.

Elegimos configuración avanzada


Aceptamos conexiones entrantes

Pulsamos siguiente


Marcamos permitir conexiones privadas virtuales

Permitimos al administrador la conexión VPN


Abrimos la propiedades del protocolo TCP/IP

Establecemos un rango de direcciones


Finalizamos el asistente

Ya tenemos creada nuestra conexión VPN en Windows XP


b) Instalación de un servidor VPN en GNU/Linux (Ubuntu/Debian/Fedora/Zentyal,…).

Instalamos el servidor VPN

Editamos el fichero /etc/pptpd.conf y descomentamos la línea señalada.

En el mismo fichero configuramos el rango de direcciones


Abrimos el fichero /etc/ppp/pptpd-options

Configuramos la parte de autentificación de la siguiente manera

Configuramos el fichero /etc/ppp/chap-secrets. Donde usuario es el nombre del usuario,

Ubuntu es el nombre del servidor VPN, clave es la contraseña del usuario y el * significa que

admite todas las direcciones IP.

Reiniciamos el servicio VPN


Configuramos los interfaces de red

Reiniciamos los interfaces de red

Conexión desde un cliente Windows y GNU/Linux VPN a un servidor VPN.

Windows


Comprobamos como se conecta

LINUX

Abrimos conexiones de red, VPN y añadir.


Crear

Configuramos la conexión VPN


d) Configurar el router Linksys RV200 como un servidor VPN sobre red local.

Utiliza el simulador http://ui.linksys.com/files/WRV200/1.0.29/SetupDHCP.htm

Nos vamos a la pestaña vpn client Access ponemos el nombre de usuario y la contraseña,

le damos add/save

Nos saldrá esta pantalla y pondremos la dirección ip y la submascara y le daremos a save settings para guardar los cambios Cuando tenemos esto configurado ya nos tenemos que ir a un cliente y configurarlo para

poder conectarnos

http://ui.linksys.com/files/WRV200/1.0.29/SetupDHCP.htm


Configurar el router Linksys RV042 como un servidor VPN sobre red local.

Utiliza primero el simulador para practicar:

http://ui.linksys.com/files/RV042/1.2.3/home.htm

Nos vamos a vpn y le damos a client to Gateway, marcamos la opción de tunnel y le ponemos

un nombre como vemos en la imagen y en la interface le dejamos la WAN1

En el desplegable vamos a seleccionar la opción de solo ip y nos saldrá la dirección ip que

tengamos configurada en nuestro router, luego pondremos la dirección ip con la que va a

tener nuestra subred y la máscara, luego volvemos a seleccionar solo ip y ponemos la dirección

ip del equipo con el que vamos a hacer la vpn

http://ui.linksys.com/files/RV042/1.2.3/home.htm


En esta parte lo que podemos ver son configuraciones de seguridad que las dejaremos como vienen en la imagen y le daremos a save settings para guardar los cambios. Ahora nos iremos al cliente y configuraremos el software necesario para podernos

conectar.

REDES PRIVADAS VIRTUALES (VPN) · PDF fileVPN de acceso remoto CISCO CCNA Security 1.1....

Documents

Transcript of REDES PRIVADAS VIRTUALES (VPN) · PDF fileVPN de acceso remoto CISCO CCNA Security 1.1....