Tema: Implementación de redes privadas virtuales VPN de sitio a sitio.

Transcripción

1 Seguridad en redes. Guía 10 1 Tema: Implementación de redes privadas virtuales VPN de sitio a sitio. Contenidos Configuración de VPN de punto a punto. Troubleshooting de infraestructura de VPN de punto a punto. Objetivos Específicos Facultad: Ingeniería Escuela: Electrónica Asignatura: Seguridad en redes Desarrollar habilidades para la configuración de VPN de punto a punto. Comprender los mecanismos necesarios para la implementación de canales seguros. Desarrollar habilidades para la implementación de infraestructuras de VPN. Materiales y Equipo PC con GNS3 instalado. IOS con soporte para seguridad de enrutadores Cisco. Introducción Teórica Los túneles GRE son la forma más generalizada de crear VPN fijas, sin embargo es posible crear una simplificación de conexiones VPN sin tener que crear formalmente los túneles GRE, siempre que el tráfico que se transporte sea estrictamente IP y de tipo unicast, con esto se puede generar una simplificación de la caja de encripción que se aplica al tráfico haciendo más eficiente este proceso para los dispositivos intermedios. Es importante considerar que para el caso de este tipo de VPN las redes que se protegerán deben ser visibles en los dominios públicos, por lo que los espacios de direccionamiento privados no pueden ser elegibles para su implementación, si se hace uso de espacios de direccionamiento privado será necesario implementar además un mecanismo de traducción de direcciones, lo cual no es aconsejable para este tipo de modelos de VPN. Las VPN punto a punto por tanto desarrollan el proceso de aseguramiento del canal de comunicación de forma más eficiente que los GRE ya que no es necesario

2 2 Seguridad en redes. Guía 10 implementar de forma previa el túnel, sin embargo estas solo pueden asegurar trafico estrictamente IP y de tipo Unicast, restricción que no tiene GRE, así la selección de una implementación especifica de VPN dependerá del tipo de tráfico que se desea proteger, de la disponibilidad de direcciones públicas y del soporte y carga de los dispositivos intermedios que servirán para su funcionamiento. Procedimiento Parte I. Implementación de la topología de trabajo. 1. Lance el aplicativo GNS3 e implemente la topología que muestra en la figura 1, utilice el router modelo Figura 1. Topología de trabajo. 2. Etiquete la topología con toda la información mostrada en la figura Abra las consolas de cada uno de los enrutadores y desarrolle la configuración para garantizar su completa conectividad, una vez completo este paso debe existir conectividad entre todas las direcciones IP públicas de todos los enrutadores. Para este paso puede usar las habilidades desarrolladas en el curso de comunicación de datos I o bien usar las configuraciones propuestas en la siguiente tabla:

3 Seguridad en redes. Guía 10 3 LocNet1 hostname LocNet1 interface Loopback0 ip address interface Loopback1 ip address interface Loopback2 ip address ip address ip route FastEthernet0/0 Site1 hostname Site1 ip address interface FastEthernet0/1 ip address router eigrp 1 redistribute static network no auto-summary ip route Fa0/0 ip route Fa0/0 ip route Fa0/0 hostname R3 ip address interface FastEthernet0/1 ip address router eigrp 1 network network no auto-summary LocNet2 hostname LocNet2 interface Loopback0 ip address interface Loopback1 ip address interface Loopback2 ip address ip address ip route FastEthernet0/0 Site2 hostname Site2 ip address interface FastEthernet0/1 ip address router eigrp 1 redistribute static network no auto-summary ip route Fa0/0 ip route Fa0/0 ip route Fa0/0 R3

4 4 Seguridad en redes. Guía Garantice la conectividad antes de pasar a la siguiente sección, realice ping desde: Site1 a las interfaces loopback de LoNet1. Site2 a las interfaces loopback de LoNet2. Site1 a la interface publica de Site2. Nota: Por el momento no debe de existir conexión entre las redes loopback de LoNet1 y LoNet2. Parte II. Implementación de las VPN de punto a punto. Para poder implementar este paso es necesario que la conectividad de todas las direcciones IP públicas este funcional, con esto procedemos a desarrollar las VPNs. 1. Configuración de los pares de llaves y las políticas de intercambio de llaves de Internet IKE que se usaran en la caja de encripción, debe usar autenticación de llaves previamente compartidas, protocolo de cifrado AES 256, algoritmo de garantía de integridad SHA, grupo de intercambio Diffie-Hellman 5 y tiempo de vida de la llave de una hora; use los siguientes comandos para esta tarea y anote sus observaciones a fin de entender el proceso: Site1(config)# crypto isakmp policy 10 Site1(config-isakmp)# authentication pre-share Site1(config-isakmp)# encryption aes 256 Site1(config-isakmp)# hash sha Site1(config-isakmp)# group 5 Site1(config-isakmp)# lifetime 3600 Site2(config)# crypto isakmp policy 10 Site2(config-isakmp)# authentication pre-share Site2(config-isakmp)# encryption aes 256 Site2(config-isakmp)# hash sha Site2(config-isakmp)# group 5 Site2(config-isakmp)# lifetime Definición de los pares de interfaces físicas que definen el túnel a proteger con el IPSec llamaremos al canal protegido SiteSecure ; use los siguientes comandos para esta tarea y anote sus observaciones a fin de entender el proceso: Site1(config)# crypto isakmp key 6 SiteSecure address Site2(config)# crypto isakmp key 6 SiteSecure address

5 Seguridad en redes. Guía Ahora crearemos el conjunto de transformación al que llamaremos MiTrans que usara la caja de encriptación para asegurar el canal con IPSec; use los siguientes comandos para esta tarea y anote sus observaciones a fin de entender el proceso: Site1(config)#crypto ipsec transform-set MiTrans esp-aes 256 esp-sha-hmac ah-sha-hmac Site2(config)#crypto ipsec transform-set MiTrans esp-aes 256 esp-sha-hmac ah-sha-hmac 4. Definimos el tráfico de interés que deseamos proteger, no es conveniente proteger todo el tráfico que pasa por el túnel para evitar sobrecargar el dispositivo, para nuestro caso protegeremos el tráfico entre los nodos y por lo que solo se aplicara la caja de encripción para el tráfico entre estos nodos; use los siguiente comandos para esta tarea y anote sus observaciones a fin de entender el proceso: Site1(config)# access-list 110 permit ip host host Site2(config)# access-list 110 permit ip host host Una vez que tenemos los pares de llaves, el intercambio de políticas, el conjunto de transformación a usar y el tráfico de interés que se protegerá procedemos a definir la política que combina todas estos parámetros; use los siguiente comandos para esta tarea y anote sus observaciones a fin de entender el proceso: Site1(config)# crypto map Site-Sec 10 ipsec-isakmp Site1(config-crypto-map)# match address 110 Site1(config-crypto-map)# set peer Site1(config-crypto-map)# set transform-set MiTrans Site2(config)# crypto map Site-Sec 10 ipsec-isakmp Site2(config-crypto-map)# match address 110 Site2(config-crypto-map)# set peer Site2(config-crypto-map)# set transform-set MiTrans 6. Para finalizar debemos aplicar esta política en la interfaz que se desea proteger; para este caso al no tener una infraestructura de tunel como en la práctica pasada, la protección del tráfico se desarrolla en las interfaces físicas; use los siguientes comandos para esta tarea y anote sus observaciones a fin de entender el proceso: Site1(config)# interface FastEthernet0/1 Site1(config-if)# crypto map Site-Sec Site2(config)# interface FastEthernet0/1 Site2(config-if)# crypto map Site-Sec

6 6 Seguridad en redes. Guía Verificamos la operación del túnel generando tráfico que cumple el criterio de selectividad y tráfico que no lo cumple, de tal forma de comprobar que el túnel está operando coherentemente. Recuerde que para poder probar si efectivamente se protege el tráfico de interés, es necesario cambiar las direcciones de loopback de prueba en los enrutadores LockNet, según las listas de acceso creadas. 8. Use comandos de ping extendido para este proceso de verificación y utilice los comandos que se proponen a continuación, analice las salidas que estos generan y anote sus observaciones: Nota: El ping extendido es un método para enviar paquetes ICMP permitiendo al usuario ingresar la interface de origen del paquete. Ejemplo: LocNet1#ping Protocol [ip]: Target IP address: Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of Site2# show crypto ipsec sa interface: FastEthernet0/1 Crypto map tag: Site-Sec, local addr protected vrf: (none) local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14

7 Seguridad en redes. Guía 10 7 #pkts decaps: 14, #pkts decrypt: 14, #pkts verify: 14 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 1, #recv errors 0 Site2# show crypto map Crypto Map "Site-Sec" 10 ipsec-isakmp Peer = Extended IP access list 110 access-list 110 permit ip host host Current peer: Security association lifetime: kilobytes/3600 seconds PFS (Y/N): N Transform sets={ MiTrans, } Interfaces using crypto map Site-Sec: FastEthernet0/1 Site2# show crypto ipsec transform-set Transform set MiTrans: { ah-sha-hmac } will negotiate = { Tunnel, }, { esp-256-aes esp-sha-hmac } will negotiate = { Tunnel, }, Las salidas presentadas en los comandos anteriores son de referencia por lo que no necesariamente deben tener los mismos datos de resultado. La selectividad del tráfico de interés se puede hacer tan compleja como lo permitan las técnicas de listas de control de acceso, de igual forma las políticas de definición y aplicación de la caja de encripción pueden granularse para un mejor control del tráfico que se protegerá y una optimización de recursos.

8 8 Seguridad en redes. Guía 10 Desafío corto Considerando la topología utilizada desarrolle las modificaciones que se proponen para una nueva implementación de VPN punto a punto, con los siguientes criterios: 1. Agregue una red local a cada enrutador LocNet con las siguientes redes simuladas por interfaces de Loopback /24 a LocNet1 y /24 a LocNet2. 2. Implemente una VPN de punto a punto que encripte el tráfico de toda la red a excepción de las primeras y últimas 16 direcciones IP de la red, es decir no debe encriptar los tráficos de las direcciones x.x.x.0 a x.x.x.15 y x.x.x.240 a x.x.x Para mejorar el rendimiento esta VPN tendrá una validez de 6 horas, por lo que solo deberá de recalcular el canal una vez se caduque este tiempo. Bibliografía Vijay Bollapragada, Mohamed Khalid, Scott Wainner; IPSec VPN Design, Firts Edition, Cisco Press, James Henry Carmouche; IPsec Virtual Private Network Fundamentals, Firts Edition, Cisco Press, 2006.