VPN sitio a sitio. Vicente Sánchez Patón I.E.S Gregorio Prieto. Tema 3 SAD

Transcripción

1 Tema 3 SAD VPN sitio a sitio Vicente Sánchez Patón I.E.S Gregorio Prieto Tema 3 SAD

2 a)simulación VPN sitio a sitio, utilizando Packet Tracer. El escenario será el siguiente. Primero vamos a configurar R1, para ello realizamos los siguientes comandos. Hacemos ping del PC1 de la oficina central al PC1 de la oficina remota, para ver que se hacen ping y esta todo configurado. Ahora empezamos con los comandos de la configuración VPN. Una política IKE define una combinación de parámetros de seguridad (cifrado, hash, autenticación y DH) que serán usados durante la negociación IKE. En ambos nodos deben crearse políticas (tantas como se quieran ordenadas por prioridad) y, al menos, debe existir una igual en los 2 extremos. También se deben configurar paquetes IKE keepalives (o paquetes hello) para detectar posibles pérdidas de conectividad. Crear una nueva política IKE. Cada política se identifica por su número de prioridad (de 1 a ; 1 la más prioridad más alta).

3 Especificar el algoritmo de cifrado a utilizar: 56-bit Data Encryption Standard (DES [des]) o 168-bit Triple DES (3des). Elegir el algoritmo de hash a usar: Message Digest 5 (MD5 [md5] ) o Secure Hash Algorithm (SHA [sha]). Determinar el método de autenticación: pre-shared keys (pre-share), RSA1 encrypted nonces (rsa-encr), o RSA signatures (rsa-slg). Especificar el identificador de grupo Diffie-Hellman: 768-bit Diffie- Hellman (1) o 1024-bit Diffie-Hellman (2). Determinar el tiempo de vide de la Asociación de Seguridad (SA) en segundos segundos = 1 día. Volver al modo de configuración global.

4 En función del método de autenticación elegido hay que llevar a cabo una tarea más antes de que IKE e IPSec puedan usar la política creada. RSA signatures: hay que configurar ambos nodos para obtener los certificados de una CA. RSA encrypted nonces: cada nodo debe tener en su poder la clave pública del otro nodo. Pre-Shared keys: 1. Establecer la identidad ISAKMP de cada nodo (nombre o IP) 2. Establecer el secreto compartido en cada nodo. En la oficina central: elegir la identidad ISAKMP (address o hostname) que el router usará en las negociaciones IKE. En la oficina central: establecer el secreto compartido que se usará con el router de la oficina remota. En la oficina remota: elegir la identidad ISAKMP (address o hostname) que el router usará en las negociaciones IKE. En la oficina remota: establecer el secreto compartido que se usará con el router de la oficina central. Las Crypto ACL se usan para definir el tráfico que será protegido mediante cifrado. En la oficina central: cifrar todo el tráfico IP que salga de la oficina central hacia la oficina remota.

5 En la oficina remota: cifrar todo el tráfico IP que salga de la oficina remota hacia la oficina central. Definir los Transform Sets. Establece las políticas de seguridad IPSEC que se usarán en las comunicaciones, eligiendo el modo transporte (AH) o túnel (ESP). Crear un crypto map de nombre VICEN1, y establecer el número de secuencia de esta entrada, obligando a usar IKE para establecer SAs. De los transform sets que se hayan definido, especificar cuál se usara en esta entrada del crypto-map. Activar Perfect Forward Secrecy. Definir la dirección del host remoto. Establecer el tráfico que se va a cifrar (definido previamente en una ACL). Entrar al modo de configuración de la interfaz donde se aplicará el crypto map.

6 Esta es la configuración VPN de sitio a sitio. b) CISCO CCNA Security Laboratorio Lab- 8- A: VPN sitio-asitio - Realizar en el laboratorio virtual (GNS3) individualmente. - Realizar en el laboratorio físico por grupos de alumnos. Por CCP Nos creamos un usuario para poder configurar el router de forma CCP. Después abrimos la aplicación e introducimos el usuario y contraseña creada con la dirección Ip a configurar. Después pulsamos ok.

7 Se nos mostrara la siguiente pantalla donde pulsaremos a discover sobre la ip a configurar. Después pulsamos al botón configure situada en la esquina superior izquierda y podremos ver que podemos modificar y configurar las carpetas de la barra izquierda.

8 Pulsamos sobre la opción vpn sitio a sitio y se nos mostrara la imagen de la derecha. Pulsamos "Launchtheselectedtask", pulsamos la segunda opción y seguimos el asistente. Ahora introducimos los siguientes datos: - Seleccionamos la interfaz por donde va a realizarse la VPN. - Ponemos la dirección remota al router R1. - Ponemos una contraseña para compartir (cisco12345)

9 Configuramos la política de IKE que se utilizan para configurar el canal de control entre los dos puntos finales de VPN para el intercambio de claves.

10 El conjunto de transformación es la directiva IPsec se utiliza para cifrar hash y autenticarse paquetes que pasan a través del túnel. Debemos definir el tráfico interesante para ser protegida a través del túnel VPN. El tráfico interesante se define a través de una lista de acceso aplicada al router. Para eso ingresamos las direcciones en la siguiente ventana:

11 Podemos ver un resumen de lo configurado: Finalmente lo guardamos pulsando en el checkbox.

12 Ahora hacemos un espejo que consiste en realizar la misma configuración pero en el otro router. Ahora para comprobar que funciona pulsamos en la opción test tunnel.

13 Ponemos la dirección de destino y le damos a continue. Le damos a test tunnel y esperamos a que chequee el proceso, vemos que el tunnelesta up.

14