VPN PUNTO A PUNTO Y ROAD WARRIOR

EN UN ROUTER CISCO 3700 EN GNS3

ADMINISTRADO DESDE SDM.

POR:

Maicol Muñoz.

INSTRUCTOR:

Andres Mauricio Ortiz.

Gestión de la seguridad de la red.

35442.

Tecnólogo en administración de redes

Informáticas.

Servicio nacional de aprendizaje (SENA) -

Antioquia

Centro de Servicios y Gestión Empresarial.

(CESGE)

2011

INTRODUCCION

Un firewall es un dispositivo que funciona como cortafuegos entre

redes, permitiendo o denegando las transmisiones de una red a la

otra. Un uso típico es situarlo entre una red local y la red Internet,

como dispositivo de seguridad para evitar que los intrusos puedan

acceder a información confidencial.

Un firewall es simplemente un filtro que controla todas las

comunicaciones que pasan de una red a la otra y en función de lo

que sean permite o deniega su paso. Para permitir o denegar una

comunicación el firewall examina el tipo de servicio al que

corresponde, como pueden ser el web, el correo. Dependiendo del

servicio el firewall decide si lo permite o no.

MARCO TEORICO

FIREWALL

Un Firewall como su nombre lo dice es un "muro de fuego" este tiene la función de realizar un filtrado de paquetes hacia los diferentes destinos valiéndose de reglas configuradas a nuestro gusto. Es decir que si no queremos que a el Equipo A le lleguen paquetes de ningún equipo, del tipo TCP con puerto de origen 80 configuraremos dicha regla en el Firewall para que esto se filtre. Existen varios tipos de Firewall y varias maneras de definirlos, por ahora nos centraremos en que existen Firewall de Host y Firewall de Red. Un Firewall de Host es con el que contamos en nuestros equipos, el que viene de manera nativa en nuestro Sistema Operativo como lo son las IPTABLES en Linux o el Contrafuegos de Windows y solo filtra paquetes desde y hacia nuestro equipo y un Firewall de Red es el que se puede instalar en dispositivos como routers para filtrar todo el tráfico que circule a través de el desde y hacia las diferentes subredes. GNS3 Los routers son dispositivos costosos y al ser una práctica de laboratorio contamos con herramientas libres como GNS3 para emular un Router, según Wikipedia GNS3 es un "simulador gráfico de red que te permite diseñar topologías de red complejas y poner en marcha simulaciones sobre ellos". Para permitir completar simulaciones, GNS3 está estrechamente vinculada con: Dynamips, un emulador de IOS que permite a los usuarios ejecutar binarios imágenes IOS de Cisco Systems. Dynagen, un front-end basado en texto para Dynamips Qemu, un emulador de PIX.GNS3 es una excelente herramienta complementaria a los verdaderos laboratorios para los administradores de redes de Cisco o las personas que quieren pasar sus CCNA, CCNP, CCIE DAC o certificaciones. En si GNS3 es un software diseñado para emular realmente una topología de red completa como si tuvieras en realidad un Router, enrutando paquetes desde tus maquinas virtuales de Virtual Box hacia Internet u otras subredes según lo que quieras diseñar.

SDM Muchas personas no están familiarizadas con los comandos de los routers Cisco y los entiendo porque para mí también fue difícil en los primeros años pero para dichas personas existen soluciones como esta, el cual es un software diseñado para simplificarnos la vida al utilizar una interfaz gráfica de JAVA para administrar vía WEB los routers Cisco sin tener que aprendernos todos los comandos que deberíamos ejecutar. VIRTUALBOX Este es muy conocido, es un emulador de maquinas o de sistemas operativos, es como tener varios PC dentro de tu PC.

DESARROLLANDO VPN PUNTO A PUNTO.

Lo que primero realizaremos será configurar cada una de las interfaces de nuestros routers. Procedemos a asignarle una ip estática a nuestra (LAN) que es por donde administraremos nuestro Router.

Ahora simularemos una conexión WAN para nuestras interfaces

externas.

Y los pasos anteriores también tendremos que aplicárselos a

nuestro otro Router Bogotá con sus respectivas direcciones ip.

Ahora para que haya conexión entra las dos sedes (Medellín y

Bogotá) tendremos que realizar un enrutamiento, el enrutamiento

que yo voy a aplicar será un enrutamiento por defecto.

Para saber más sobre este enrutamiento pueden ir a:

http://maicolqm.blogspot.com/2011/08/laboratorio-enrutamineto-por-

defecto-en.html

Enrutamiento Medellín.

Enrutamiento Bogotá.

Procedemos entonces ya a la configuración de nuestro Router para

la autenticación de nuestros usuarios locales del Router.

##Aquí crearemos un usuario con nivel de privilegios 15 con su contraseña. Router(config)#username sdm privilege 15 password sdm ##Aquí habilitaremos el servidor HTTP y HTTPS y se creara un certificado. Router(config)#ip http server Router(config)#ip http secure-server % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] *Mar 1 00:05:07.491: %SSH-5-ENABLED: SSH 1.99 has been enabled *Mar 1 00:05:08.079: %PKI-4-NOAUTOSAVE: Configuration was modified. Issue "write memory" to save new certificate ##Ahora permitiremos el ingreso via SSH y telnet para finalizar. Router(config)#ip http authentication local Router(config)#line vty 0 4 Router(config-line)#login local Router(config-line)#transport input telnet ssh

Empezamos con la instalación, es totalmente grafica y sencilla.

Algo muy importante es tener actualizado nuestro navegador

internet Explorer y también tener el complemento java.

Ya con nuestro navegador y complementos actualizados ya solo

deberemos ejecutar el paquete SDM cisco.

Procedemos a instalarlo.

A instalado correctamente, finalizamos

Así es como nos aparece en el escritorio, lo ejecutaremos dándole

doble clic

Para poder administrar nuestro Router elegimos nuestra interfaces

f0/1, La ip del Gateway de nuestra LAN.

Nos lóguearemos con el usuario y la contraseña que le creamos al

Router.

Le damos que permita todas las ventanas emergentes para poder

entrar a administrar nuestro Router.

Esta es la página de inicio de administración, nos abrirá otra

ventana.

Nos autenticamos en java, con el mismo usuario y contraseña del

Router.

Este es el inicio del SDM

Vamos a la pestaña de configurar y crearemos una regla de NAT .

Elegimos nuestra interfaz LAN.

Para configurar el túnel VPN vamos a la pestaña Configurar, VPN,

VPN Sitio a Sitio, Iniciar la tarea seleccionada.

Elegimos el modo de configuración del túnel VPN, lo haremos por

pasos para que sea más sencillo y nos muestre más

detalladamente los parámetros.

Ingresamos la interfaz que será configurada como el primer extremo

del túnel VPN (serial Router Medellín), el direccionamiento y la IP

del otro extremo del túnel (serial Router Bogotá) y el tipo de

autenticación que usara el túnel que será llaves pre compartidas .

Especificamos el algoritmo de cifrado y el tipo de autenticación

Damos agregar para agregar un conjunto de transformación

Agregamos el conjunto de transformación

Especificamos el tráfico a proteger, en este caso vamos a proteger

todo el tráfico en los dos extremos.

El resumen de la configuración, verificamos si la información es

correcta, recordemos que este procedimiento lo aplicamos en los 2

routers.

Aplicando todos los comandos realizados

Ahora para no hacer muy extenso esta configuración solo les

mostrare las imágenes de cómo configure la vpn en el otro Router

(Bogotá), es prácticamente los mismo pero con los datos invertidos.

Y listo todas las anteriores imágenes nos muestran la configuración

del extremo vpn Bogotá.

Procedemos entonces Ahora a probar el funcionamiento del túnel

VPN.

Un alerta del SDM que permitirá todas las depuraciones del Router.

Especificamos una IP de destino hacia la cual generar el tráfico de

prueba del túnel que por lo común siempre es el Gateway del otro

extremo.

El túnel VPN está activo.

Lo mismo realizamos en el otro extremo para probar que también

este cativo el túnel.

Probamos dándole un ping (ICMP) de Router a Router y podemos

ver que es exitoso.

También hacemos una captura del trafico con wireshark con

cualquier protocolo ya sea un ping una petición web y el protocolo a

y deberá aparecer el protocolo ESP

CONFIGURACION DE UNA VPN ROAD WARRIOR

Con esta topología es la que trabajaremos.

Colocamos la interfaz por DHCP para que podamos tener internet

por esa interfaz.

Nos dirigimos a la pestaña Configurar, VPN, Servidor Easy VPN,

Iniciar el asistente para servidores Easy VPN.

Activamos el servicio AAA.

Aplicando todos los comandos.

Y el servicio AAA se ha activado correctamente.

Comenzamos el asistente para configurar la VPN.

Especificamos la interfaz que estará a la escucha de las peticiones

por parte de los clientes VPN y el modo de autenticación que es en

mi caso será claves pre compartidas.

Especificamos el tipo de algoritmo que vamos a utilizar.

Agregamos la política del IKE, el cifrado será 3DES y el hash será

SHA_1 el tipo de autenticación y el grupo.

Damos siguiente.

Especificamos el conjunto de transformaciones.

Especificamos donde estarán las políticas de grupos.

Habilitamos la autenticación de usuarios y que solamente sea local.

Agregamos las políticas de grupo de usuarios y autorización de

grupos.

Especificamos el nombre del grupo de usuarios, la clave

precompartida, el rango de direcciones que les asignaremos a los

usuarios que se conecten y el número máximo de conexiones

permitidas.

Configuramos el temporizador de inactividad que es cuánto tiempo

va a estar activo el túnel VPN.

El resumen de la configuración, verificamos que todo este correcto y

finalizamos.

Aplicando los cambios realizados

Ahora probaremos el túnel VPN

Los detalles del túnel y le damos iniciar

El túnel VPN ha finalizado correctamente

Ahora con un software que me permita conectarme a una VPN en

mi caso estoy utilice (VPN-CLIENT) con un cliente en internet, le

damos nuevo

Nombre de conexión y al host que nos vamos a conectar (IP publica

de la interface f0/1 del Router Medellín), el nombre y la clave

precompartida.

Conexión, pode ver la dirección del host y el trasport IPSEC/UDP

Ahora el usuario para la conexión deberemos créalo en el Router

(Medellín).

Y ya solo tocara iniciar la conexión.

Y Podemos ver que el adaptador 3 nos muestra el rango de la vpn

que le asignamos, y si probamos con un PING entre los Router son

exitosos.

Glosario:

DMZ:

Una DMZ es una red con seguridad perimetral, lo que se hace es

ubicar una subred entre la LAN y la WAN.

LAN:

Una red de área local.

WAN:

Las Redes de área amplia.

Router:

Enrutador, encaminador. Dispositivo hardware o software para

interconexión de redes de computadoras que opera en la capa tres

(nivel de red) del modelo OSI. El Router interconecta segmentos de

red o redes enteras. Hace pasar paquetes de datos entre redes

tomando como base la información de la capa de red.

SDM:

SDM es la abreviatura de Cisco Router and Security Device

Manager. Una herramienta de mantenimiento basada en una

interfaz web desarrollada por Cisco. No es simplemente una interfaz

web. Es una herramienta java accesible a través del navegador.

Esta herramienta soporta un amplio número de routers Cisco IOS.

En la actualidad se entrega preinstalado en la mayoría de los

routers nuevos de Cisco.

SSH:

SSH (Secure SHell, en español: intérprete de órdenes segura) es el

nombre de un protocolo y del programa que lo implementa, y sirve

para acceder a máquinas remotas a través de una red. Permite

manejar por completo la computadora mediante un intérprete de

comandos, y también puede redirigir el tráfico de X para poder

ejecutar programas gráficos si tenemos un Servidor X (en sistemas

Unix y Windows) corriendo.

JAVA:

Java es un lenguaje de programación.

Existe un gran número de aplicaciones y sitios Web que no

funcionan a menos que Java esté instalado, y muchas más que se

crean a diario. Java es rápido, seguro y fiable. De portátiles a

centros de datos, de consolas de juegos a súper equipos científicos,

de teléfonos móviles a Internet, Java está en todas partes.

NAT:

En las redes de computadoras, NAT es el proceso de modificación

de la dirección IP de información en los encabezados de paquetes

IP, mientras que en tránsito a través de un tráfico de dispositivos de

enrutamiento

El tipo más simple de NAT proporciona una traducción a una de las

direcciones IP.

DNS:

Es un sistema de nomenclatura jerárquica para computadoras,

servicios o cualquier recurso conectado a Internet o a una red

privada. Este sistema asocia información variada con nombres de

dominios asignados a cada uno de los participantes. Su función

más importante, es traducir (resolver) nombres inteligibles para los

humanos en identificadores binarios asociados con los equipos

conectados a la red, esto con el propósito de poder localizar y

direccionar estos equipos mundialmente.

TCP:

s uno de los principales protocolos de la capa de transporte del

modelo TCP/IP. En el nivel de aplicación, posibilita la administración

de datos que vienen del nivel más bajo del modelo, o van hacia él,

(es decir, el protocolo IP). Cuando se proporcionan los datos al

protocolo IP, los agrupa en datagramas IP, fijando el campo del

protocolo en 6 (para que sepa con anticipación que el protocolo es

TCP). TCP es un protocolo orientado a conexión, es decir, que

permite que dos máquinas que están comunicadas controlen el

estado de la transmisión.

UDP:

UDP son las siglas de Protocolo de Datagrama de Usuario (en

inglés User Datagram Protocol) un protocolo sin conexión que,

como TCP, funciona en redes IP.

UDP/IP proporciona muy pocos servicios de recuperación de

errores, ofreciendo en su lugar una manera directa de enviar y

recibir datagramas a través una red IP. Se utiliza sobre todo cuando

la velocidad es un factor importante en la transmisión de la

información, por ejemplo, RealAudio utiliza el UDP.

El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las

siglas de Protocolo de Transferencia de Archivos Triviales (en inglés

Trivial File Transfer Protocol), y puesto que es trivial, perder algo de

información en la transferencia no es crucial

Stateless:

Crear reglas de ida y de respuesta.

Statefull:

Crear reglas de ida y las reglas de respuestas son automáticas no

hay que crearlas.

Mascara wildcard:

Una máscara wildcard es sencillamente una agrupación de 32 bits

dividida en cuatro bloques de ocho bits cada uno (octetos). La

apariencia de una máscara wildcard le recordará probablemente a

una máscara de subred. Salvo esa apariencia, no existe otra

relación entre ambas.

Por ejemplo, una máscara wildcard puede tener este aspecto:

192.168.1.0 mascara normal 255.255.255.0 mascara wildcard

0.0.0.255.

Mascara normal 255.255.0.0 mascara wildcard 0.0.255.255

mascara normal 255.0.0.0 mascara wildcard 0.255.255.255

ISA server:

ISA Server es un Gateway integrado de seguridad

Perimetral que protege su entorno de IT frente a amenazas basadas

en Internet y permite a los usuarios un acceso remoto rápido y

seguro a las aplicaciones y los datos.

Servidor:

En informática, un servidor es una computadora que, formando

parte de una red, provee servicios a otras computadoras

denominadas clientes.

WPAD:

Web Proxy Automatic Discovery es un metodo usado por los

navegadores para encontrar los proxys automáticamente, es decir

que cuando configuramos un navegador para que detecte

automáticamente el proxy, el se dirigirá al DNS buscando cual es la

IP que responda al nombre de WPAD y con dicha respuesta sabrá

cual es el proxy al que debe conectarse.

Red privada virtual (VPN):

Una red privada virtual, RPV, o VPN de las siglas en inglés de

Virtual Private Network, es una tecnología de red que permite una

extensión de la red local sobre una red pública o no controlada,

como por ejemplo Internet.

Ejemplos comunes son la posibilidad de conectar dos o más

sucursales de una empresa utilizando como vínculo Internet,

permitir a los miembros del equipo de soporte técnico la conexión

desde su casa al centro de cómputo, o que un usuario pueda

acceder a su equipo doméstico desde un sitio remoto, como por

ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.