Tema 3 SAD

Vicente Sánchez Patón

I.E.S Gregorio Prieto

Tema 3 SAD

VPN sitio a sitio

a)Simulación VPN sitio a sitio, utilizando Packet Tracer.

El escenario será el siguiente.

Primero vamos a configurar R1, para ello realizamos los siguientes comandos.

Hacemos ping del PC1 de la oficina central al PC1 de la oficina remota, para

ver que se hacen ping y esta todo configurado.

Ahora empezamos con los comandos de la configuración VPN.

Una política IKE define una combinación de parámetros de seguridad

(cifrado, hash, autenticación y DH) que serán usados durante la negociación

IKE.

● En ambos nodos deben crearse políticas (tantas como se quieran

ordenadas por prioridad) y, al menos, debe existir una igual en los 2

extremos.

● También se deben configurar paquetes IKE keepalives (o paquetes hello)

para detectar posibles pérdidas de conectividad.

Crear una nueva política IKE. Cada política se identifica por su número de

prioridad (de 1 a 10.000; 1 la más prioridad más alta).

Especificar el algoritmo de cifrado a utilizar: 56-bit Data Encryption

Standard (DES [des]) o 168-bit Triple DES (3des).

Elegir el algoritmo de hash a usar: Message Digest 5 (MD5 [md5] ) o Secure

Hash Algorithm (SHA [sha]).

Determinar el método de autenticación: pre-shared keys (pre-share), RSA1

encrypted nonces (rsa-encr), o RSA signatures (rsa-slg).

Especificar el identificador de grupo Diffie-Hellman: 768-bit Diffie-

Hellman (1) o 1024-bit Diffie-Hellman (2).

Determinar el tiempo de vide de la Asociación de Seguridad (SA) en

segundos. 86400 segundos = 1 día.

Volver al modo de configuración global.

En función del método de autenticación elegido hay que llevar a cabo una

tarea más antes de que IKE e IPSec puedan usar la política creada.

● RSA signatures: hay que configurar ambos nodos para obtener los

certificados de una CA.

● RSA encrypted nonces: cada nodo debe tener en su poder la clave pública

del otro nodo.

● Pre-Shared keys:

1. Establecer la identidad ISAKMP de cada nodo (nombre o IP)

2. Establecer el secreto compartido en cada nodo.

En la oficina central: elegir la identidad ISAKMP (address o hostname) que

el router usará en las negociaciones IKE.

En la oficina central: establecer el secreto compartido que se usará con el

router de la oficina remota.

En la oficina remota: elegir la identidad ISAKMP (address o hostname) que

el router usará en las negociaciones IKE.

En la oficina remota: establecer el secreto compartido que se usará con el

router de la oficina central.

Las Crypto ACL se usan para definir el tráfico que será protegido mediante

cifrado.

En la oficina central: cifrar todo el tráfico IP que salga de la oficina central

hacia la oficina remota.

En la oficina remota: cifrar todo el tráfico IP que salga de la oficina remota

hacia la oficina central.

Definir los Transform Sets.

Establece las políticas de seguridad IPSEC que se usarán en las

comunicaciones, eligiendo el modo transporte (AH) o túnel (ESP).

Crear un crypto map de nombre VICEN1, y establecer el número de

secuencia de esta entrada, obligando a usar IKE para establecer SAs.

De los transform sets que se hayan definido, especificar cuál se usara en

esta entrada del crypto-map.

Activar Perfect Forward Secrecy.

Definir la dirección del host remoto.

Establecer el tráfico que se va a cifrar (definido previamente en una ACL).

Entrar al modo de configuración de la interfaz donde se aplicará el crypto

map.

Esta es la configuración VPN de sitio a sitio.

b) CISCO CCNA Security 1. 1. Laboratorio Lab- 8- A: VPN sitio-a-

sitio

- Realizar en el laboratorio virtual (GNS3) individualmente.

- Realizar en el laboratorio físico por grupos de alumnos.

Por CCP

Nos creamos un usuario para poder configurar el router de forma CCP.

Después abrimos la aplicación e introducimos el usuario y contraseña creada

con la dirección Ip a configurar. Después pulsamos ok.

Se nos mostrara la siguiente pantalla donde pulsaremos a discover sobre la

ip a configurar.

Después pulsamos al botón configure situada en la esquina superior

izquierda y podremos ver que podemos modificar y configurar las carpetas

de la barra izquierda.

Pulsamos sobre la opción vpn sitio a sitio y se nos mostrara la imagen de la

derecha.

Pulsamos "Launchtheselectedtask", pulsamos la segunda opción y seguimos el

asistente.

Ahora introducimos los siguientes datos:

- Seleccionamos la interfaz por donde va a realizarse la VPN.

- Ponemos la dirección remota al router R1.

- Ponemos una contraseña para compartir (cisco12345)

Configuramos la política de IKE que se utilizan para configurar el canal de

control entre los dos puntos finales de VPN para el intercambio de claves.

El conjunto de transformación es la directiva IPsec se utiliza para cifrar

hash y autenticarse paquetes que pasan a través del túnel.

Debemos definir el tráfico interesante para ser protegida a través del

túnel VPN. El tráfico interesante se define a través de una lista de acceso

aplicada al router.

Para eso ingresamos las direcciones en la siguiente ventana:

Podemos ver un resumen de lo configurado:

Finalmente lo guardamos pulsando en el checkbox.

Ahora hacemos un espejo que consiste en realizar la misma configuración

pero en el otro router.

Ahora para comprobar que funciona pulsamos en la opción “test tunnel”.

Ponemos la dirección de destino y le damos a continue.

Le damos a test tunnel y esperamos a que chequee el proceso, vemos que el

tunnelesta up.