Guion practica 6 VPN

8/7/2019 Guion practica 6 VPN

1/11

PRACTICA 6 VPN

Objetivos:- Conocer los conceptos bsicos asociados a las VPN: IPSec, encriptacin,

autenticacin, tnel VPN, asociaciones seguras (SA),...- Configurar los parmetros de un tnel VPN en un router

- Configurar los parmetros de un PC cliente remoto con windows XP

En primer lugar se proporciona un ejemplo configurado que el grupo de prcticastendr que adaptar segn la lista de tareas

Escenario:

F0192.168.138.1

192.168.136.0

192.168.136.11Router1720

S0192.168.137.2

Router2514

Video server192.168.138.11

S1192.168.137.1

E0192.168.136.1Frame relay

Se va a configurar un tunel seguro VPN en la red de la figura entre el cliente XP y el

interfaz serie del router 1720. El interfaz ethernet del 1720 est conectado a un servidor

Windows 2000 denominado videoserver que permite conexiones remotas de un usuario

User01 con contrasea pepe1492.

Conceptos previos:

IKE, Internet Key Exchange es un protocolo que define el mtodo de intercambiode claves sobre IP en una primera fase de negociacin segura. Est formado por una

cabecera de autenticacin, AH o Authentication Header, que en nuestro caso noutilizaremos, o una cabecera de autenticacin ms encriptacin que se conoce como

Encapsulating Security Payload o ESP)Es importante entender que IPSec ofrece dos modos de operacin segn utilice AH

ESP para proteger los datos sobre IP. Se conocen como modo de transporte

(seemplea AH) o modo tnel (se utiliza ESP). En la prctica emplearemos estesegundo modo.

SA, o Security Asociations: Son conjuntos de parmetros que se utilizan para definirlos requerimientos de seguridad de una comunicacin en una direccin particular

(entrante o saliente) Una SA puede utilizar AH o ESP pero no ambas


2/11

Pasos para la configuracin:

1.Preparar la red para IPSEC e IKE (este paso es previo a la configuracin)

a.En esta tarea hay que configurar una conexin bsica entre los dos

routers, y verificar que hay conectividad entre los extremos de la red. En

este caso concreto el enlace entre los routers es frame relay con las

siguientes configuraciones:

Router 1720

interface Serial0

ip address 192.168.137.2 255.255.255.0

encapsulation frame-relay IETF

bandwidth 64

frame-relay lmi-type ansi

frame-relay inverse-arp ip 16

frame-relay map ip 192.168.137.1 25 broadcast IETF

frame-relay switching

frame-relay intf-type dce

clockrate 2000000

Router 2514

interface Serial1

ip address 192.168.137.1 255.255.255.0

encapsulation frame-relay IETF

bandwidth 64

frame-relay lmi-type ansi

frame-relay inverse-arp ip 16

frame-relay map ip 192.168.137.2 25 broadcast IETF

b.Definir cules son los algoritmos de encriptacin y autenticacin (en estecaso se van a utilizar DES y SHA respectivamente tanto en el router

como en el PC)

c.Definir ACLS, comprobar que son adecuadas (en este caso se va a

permitr todo el trfico IP entre servidor W2000 y destino XP y se va a

denegar el trfico IP con origen en el servidor W2000 y cualquier otro

destino)

2.Crear listas de acceso en router 1720

Las listas de acceso se emplean para filtrar el trafico entrante o saliente basndose

en algunos criterios. Slo se permiten aquellos paquetes que encajan en las

reglas especficas.

Comando:

Router (config)# access-listaccess-list-number{deny | permit} protocol source-address source-wildcard destination-address destination-wildcard[eqport-number] [log]


3/11

En nuestro ejemplo se configuran las siguientes listas de acceso (en

router(config)# )

Router (config)# access-list 110 permit ip 192.168.138.0 0.0.0.255 192.168.136.0

0.0.0.255

Router (config)# access-list 110 deny ip 192.168.138.0 0.0.0.255 any

3.Configurar el Transform Set

El transform set define las polticas de seguridad que sern aplicadas al trfico que

entra o sale de la interfaz. El estndar IPSec especifica el uso de Security

Asociations para determinar qu polticas de seguridad se aplican al trfico

deseado. Los transform-set se definen a travs de crypto-maps.

3.1.Definicin del protocolo de transform-set

Este commando selecciona si se utiliza AH o ESP

Comando

Router (config)# crypto ipsec transform-settransform-set-name transform1[transform2 [transform3]]

Nuestro ejemplo (en este caso se escoge como protocolo de encriptacin esp elalgoritmo des y como protocolo de autentificacin la variante may del algoritmo

sha. Es importante que este protocolo coincida con el que se configura en el

extremo XP del tunel para que haya conectividad)

Router (config)# crypto ipsec transform-set rtpset esp-des esp-sha-hmac

3.2.Especificar el Modo del transform-set

Este comando especifica el modo en el que opera IPSec (modo transporte o modo

tunel)

Comando:

Router (cfg-crypto-tran)# mode [tunnel | transport]Nuestro ejemplo:

Router (cfg-crypto-tran)# modetunnel

4.Configurar el crypto-map con IKE

4.1Crear el crypto-map con IKE

Un crypto-map se crea especificando el nombre del mapa, el nmero de secuencia

del mapa y el tipo de gestin de clave que se va a emplear entre los dos extremos.

Comando:

Router (config)# crypto mapmap-name seq-numipsec-isakmpNuestro ejemplo:

Router (config)# crypto map rtp 1 ipsec-isakmp

4.2Especificar el trfico de datos

Se especifica el trfico que se quiere encriptar. Es aquel trfico que ha sido definido

en las listas de acceso

Comando:

Router (config-crypto-map)# match address access-list-numberNuestro ejemplo:

Router (config-crypto-map)# match address 110


4/11

4.3Especificar el extremo destino del tunel VPN

Se da la direccin IP del host destino (en nuestro caso el PC XP)

Comando:

Router (config-crypto-map)# set peer {host name | ip-address}Nuestro ejemplo:

Router (config-crypto-map)# set peer 192.168.136.11

4.4Especificar el transform-set a utilizar

De los transform-set que se hayan definido se especifica cual se aplica en este tnel

Comando:

Router (config-crypto-map)# set transform-set transform-set-nameNuestro ejemplo:

Router (config-crypto-map)# set transform-set rtpset

4.5Activar PFS (Perfect Forward Security)

Por defecto es un comando que est desactivado. Como se va a utilizar en el

extremo XP es necesario activarlo.

Comando:

Router (config-crypto-map)# set pfs {group 1 | group2}Nuestro ejemplo:

Router (config-crypto-map)# set pfs

4.6Configurar IKE

Esto supone tres pasos:

4.6.1Habilitar IKE

Comando:

Router (config)# crypto isakmp enable

4.6.2Crear una IKE policy (poltica de encriptacin de IKE)

4.6.2.1Definir la prioridad

Esta prioridad se utiliza para ordenar la aplicacin de las polticas deencriptacin cuando existen varias

Comando:

Router (config)# crypto isakmp policypriorityNuestro ejemplo:

Router (config)# crypto isakmp policy 1

4.6.2.2Especificar el algoritmo de encriptacin que se utiliza en IKE

Comando:

Router (config-isakmp)# encryption {des|3des}Nuestro ejemplo:

DES por defecto y no se configura

4.6.2.3Especificar el algoritmo hash

Cisco permite utilizar SHA o MD5

Comando:

Router (config-isakmp)# hash {sha|md5}Nuestro ejemplo:

SHA por defecto y no se configura


5/11

4.6.2.4Especificar el mtodo de autenticacin

Mtodo de autenticacin para el intercambio de claves. Puede ser RSA, RSA

encriptado y claves pre-configuradas (las dos primeras necesitan un servidor

de autoridad)

Comando:

Router (config-isakmp)# authentication {rsa-sig | rsa-encr | pre-share}

Nuestro ejemplo:Router (config-isakmp)# authentication pre-share

4.6.2.5Especificar el identificador de grupo del algoritmo de Diffie Hellman

Comando:

Router (config-isakmp)# group {1|2}Nuestro ejemplo:

No se usa

4.6.2.6Especificar el tiempo de seguridad asociado

Tiempo mximo en el que una poltica de seguridad se utiliza sin necesidad

de negociarla de nuevo

Comando:Router (config-isakmp)# lifetime secondsNuestro ejemplo:

Router (config-isakmp)# lifetime 28800

4.6.3Definir una clave (key)

Como hemos escogido utilizar claves pre-configuradas que se intercambien en la

negociacin inicial es necesario configurarla en cada extremo

Comando:

Router (config)# crypto isakmp key clave address peer-addressNuestro ejemplo:

Router (config)# crypto isakmp key cisco123 address 192.168.136.11

5.Aplicar el crypto-map al interface extremo del tnel VPN

En nuestro caso hay que aplicar el crypto-map definido al puerto serie del router

1720.

Comando:

Router (config-if)# crypto map map-nameNuestro ejemplo:

Router (config-if)# crypto map rtp

6.Configurar la conexin VPN en el PC con windows XP siguiendolos pasos siguientes del guin Configuring IPSec between aMicrosoft Windows XP professional (1NIC) and the VPNrouter que se puede encontrar en la pgina web de laasignatura.

A partir del guin especificado, se incluyen a continuacin nicamente aquellas

ventanas que en el ejemplo del guin no coinciden con el ejemplo de configuracin


6/11

de esta prctica considerando que el windows XP es el extremo opuesto al router

1720 del tunel VPN.


7/11

Extremo de WIN XP a VPN


8/11


9/11

Extremo de VPN a WIN XP


10/11


11/11

HOJA DE TAREAS

A partir del siguiente esquema de red:

F0

192.168.138.1

192.168.14X.2Router

1720

S0192.168.137.2

Router2514

Video server192.168.138.11

S1192.168.137.1

E0192.168.14X.1Frame relay

1.- Definir las subredes del esquema de acuerdo con el nmero del grupo

2.- Conectar fsicamente los equipos

3.- Configurar el enlace frame relay segn los parmetros proporcionados en elejemplo y las direcciones IP definidas en el apartado 1

4.- Configurar la VPN entre el interfaz serie del router 1720 y el PC windows XP, a

partir del ejemplo proporcionado y las direcciones IP definidas.

5.- Utilizar los comandos show crypto para comprobar el tunel creado6.- Utilizar los comandos debug para comprobar que se establece un canal seguro7.- Utilizar un analizador de protocolos (p. ej. Ethereal) y comprobar la diferencia

que existe entre los paquetes enviados con y sin VPN.

Guion practica 6 VPN

Documents

Transcript of Guion practica 6 VPN