2. CONFIGURACIÓN DE UNAVPN

Transcripción

1 2. CONFIGURACIÓN DE UNAVPN Esquema de red VPN Figura Qué es una VPN? Una VPN (Virtual Private Network, o Red Virtual Privada), son redes privadas que realizan un proceso de comunicación cifrada o encapsulada, en la que se transfieren datos de una manera segura entre redes LAN privadas a través de una red WAN pública como Internet. 1

2 2.2 Clase de Configuración de la VPN Hay varias clases de configuración de VPNs, 1 estas son: 1. VPN intranet: Permite a los empleados internos de una compañia, conectarse a un servidor interno desde oficinas remotas. Ejemplo: intranet de LAN a LAN. 2. VPN de acceso remoto: Permite a los empleados internos conectarse a los servidores desde otra ciudad. Ejemplo: Marcación a una ISP local y establecimiento de un túnel hacia su organización. 3. VPN extranet: Utilizada por los fabicantes, proveedores y clientes externos, para establecer un túnel a un servidor seguro. Ejemplo: e-bussiness. 4. VPN interna: Permite el empleo de comunicaciones cifradas dentro de la red de la compañía con el fin de protegerla contra fallas de seguridad internas, estas son muy poco utilizadas. 2.3 Requisitos de Seguridad de las VPN Las VPNs necesitan cumplir con una serie de requisitos para que la transmisión de los datos a través de las redes públicas sean seguras, y esto incluye: cifrado, los dispositivos de seguirdad como los firewalls que soportan VPNs, la autenticación, el proceso sin rechazos, el cifrado punto a punto, la administración centralizada de las políticas de seguridad y los procedimientos de respaldo. 1 Configuraciones de RPV, Capítulo 8: Instalación de una RPV, parte I, Pág

3 2.4 Cuales son los Algoritmos de Cifrado que Soportan los NS25 Y NS5XT Rfc-2406 de Carga con seguridad de encapsulamiento(esp) La norma de carga con seguridad de encapsulamiento (ESP) proporciona confianza, autenticación, integridad sin conexión y servicios contra repeticiones. El ESP puede emplearse en dos modos, transporte y de túnel, para las dos versiones de IP. Con ESP se utilizan algoritmos de cifrado y de autenticación. Para la autenticación, la norma ESP llama a un algoritmo de cifrado simétrico y a una función de transformación del código. Por consiguiente, los algoritmos obligatorios de ESP son: DES en modo CBC 3DES HMAC con MD5 HMAC con SHA-1 Algoritmo de autenticación NULL Algortimo de cifrado NULL 2. Rfc-2402 del encabezado de autenticación (AH) AH proporciona autenticación en el encabezado IP en la medida de lo posible, al igual que en los datos de protocolos de nivel superior. Sin embargo, algunos campos de los encabezados IP pueden cambiar en el trayecto y los valores de estos campos, cuando el paquete llega el receptor, podrían no ser predecibles por el emisor. Los valores de tales campos no pueden protegerse con AH. Por lo tanto, la protección que AH proporciona al encabezado IP se degrada en cierta forma. 2 Copyright 1998, the Internet Society. Todos los derechos reservados. Para mas información sobre estos algoritmos referenciar las normas RFC-2403, RFC-2404, RFC-2405 y RFC

4 2.5 Implementación de una VPN Paso a Paso. La implementación de una VPN (Virtual Private Network, por sus siglas en inglés), se va a llevar a cabo de la siguiente manera. Primero, se realizará la configuración para el NS25 y seguidamente la del NS5XT. En esta parte, se irá paso a paso a través de un ejemplo de cómo implementar una VPN. En la sección anterior, se analizó lo que es indispensable para la reiniciación de los equipos, así que en esta parte se van a nombrar, más no a detallar Configuración del NS25 Paso 1: Se deben reiniciar los equipos NS25 y NS5XT dejándolos con los valores de fábrica, como se realizó en el ejemplo anterior. Ver figura 20. Figura 20 Paso 2: Se realizan los direccionamiento a las zonas, se ingresan los comandos dados en el ejemplo de la siguiente manera: 4

5 Dirección ip con máscara a la zona trust del NS25, Dirección ip con máscara a la zona untrust Ver figura 21 Figura 21 Paso 3: Se debe abrir una página Web, y en la barra de direcciones, ingresar la dirección anteriormente configurada a la zona trust, pero sin la máscara de subred. Para establecer una VPN, se necesita crear un túnel entre la sede principal y la sede remota y viceversa. Paso 4: En este paso se le dan las direcciones ip a las zonas y se debe crear el túnel, en la parte izquierda del menú haga: Ver figura 22 Network >Interface >Edit: Para la ethernet1 (Trust): Zone name: Trust Nombre de la zona IP Address/Netmask: /16 dirección ip zona trust Network >Interface >Edit: Para la ethernet3 (Untrust): Zone name: Untrust Nombre de la zona IP Address/Netmask: /24 dirección ip zona untrust local 5

6 Figura 22 Ahora se debe crear el túnel o enlace directo, que va a ir de la zona untrust (ehternet3, NS25) de la sede Principal, a la zona untrust (NS5XT) de la sede remota. Esto se realiza de la siguiente forma: Ver figura 23 Network >Interface >Túnel IF New: Tunnel Interface Name: tunnel.2 Identificador del túnel. Zone: Untrust La zona con la cual se va a conectar el túnel entre las sedes. Unnumbered: Se debe seleccionar esta opción, para que funcione como gateway del NS25. Interface: ehternet3 (Untrust) Figura 23 6

7 Paso 5: En este paso se crean listas de direcciones ip de la sede principal y de la sede remota. En esta parte se asocian los nombres de las sedes a las direcciones ip de la zona trust de cada una de ellas. Se debe dirigir al menú y entrar en la siguiente ruta: Objects >Address >List >New: Ver figura 24 Address Name: Trust_LanP Nombre de la sede principal IP/Netmask: /16 La dirección de red de la sede principal, es decir la dirección de red de la zona trust que es la zona privada. Zone: Trust Zona por donde se encuentra ubicada la red LAN de la sede principal. Objects >Address >List >New: Ver figura 25 Address Name: Sede_Remota Nombre de la sede remota IP/Netmask: /16 La dirección de red de la sede remota, es decir la dirección de red de la zona trust que es la zona privada. Zone: Untrust Zona por donde se encuentra ubicada la sede remota. 7

8 Figura 24 Figura 25 Paso 6: Se prosigue a configurar la VPN utilizando los algoritmos de cifrado previamente descritos. En el menú se debe seguir la ruta VPNs >Manual Key: Ver figura 26 VPNs >Manual Key >New: VPN Tunnel Name: SedeP_SedeR El nombre de la VPN Gateway IP: La dirección ip de la zona untrust de la sede remota. Security Index: 3020(Local) 3030 (Remote) este número debe ser mayor de Es un identificador de seguridad para diferenciar las zonas. 8

9 Outgoing Interface: ethernet3 Es la zona por la cual van a salir los paquetes de la zona trust de la sede principal. ESP-CBC: Se selecciona para escoger el algoritmo de encriptación. Encryption Algorithm: 3DES-CBC Es el algoritmo de encriptación de los datos. Generate Key by Password: redes Se escribe una contraseña de seguridad que se cifra y se envía con el paquete. Authentication Algorithm: SHA-1 Algoritmo de transformación de código seguro. Generate Key by Password: re05d Se escribe una contraseña para la autenticación de los datos. >Advanced: Bind to Ver figura 27 Túnel Interface: Se debe seleccionar túnel.2 El túnel creado previamente en el paso 4. Clic en Return. Figura 26 9

10 VPN finalizada. Ver figura 28 Figura 27 Figura 28 Paso 7: Ahora, se deben crear las rutas virtuales entre las sedes, hay que tener en cuenta que se deben hacer dos, una P.E 3 del router que sirve para encaminar los paquetes por el canal WAN, y la otra P.E la sede remota que es el destino de los paquetes. Ver figura 29 Network >Routing >Routing Table >trust-vr New: Network Address/Netmask: /0 Esto quiere decir que no importa que direcciones tenga la zona privada, los paquetes van a salir por la ethernet3. Gateway: Se selecciona. Interface: ethernet3 La interfaz por donde van a salir los paquetes y además, se conecta el túnel de la sede principal. 3 P.E: Puerta de Enlace o Gateway 10

11 Gateway IP Address: la puerta de enlace del router. Porque los paquetes van a pasar por el canal WAN a través de Internet. Network >Routing >Routing Table >trust-vr New: Network Address/Netmask: /16 la dirección de la sede remota. Gateway: Se selecciona. Interface: tunnel.2 La ruta que van a seguir los paquetes para llegar a la sede remota. Gateway IP Address: sin P.E, por que ya se tiene la dirección de llegada. Figura 29 Paso 8: Una vez creado el túnel y la VPN, quedan por establecer las políticas de seguridad y servicio que deben existir entre las dos sedes para que pueda haber comunicación. Polices > (From Trust, To: Untrust) New: Ver figura 30 Name: pol1 Source Address: Address Book: Trust_LanP Se selecciona la sede principal como la zona trust Destination Address: Address Book: Sede_Remota Se selecciona la sede remota como la sede untrust. 11

12 Service: ANY Todos los servicios. Action: Permit Todos los servicios permitidos. Polices > (From Untrust, To: trust) New: Ver figura 31 Name: SedeR_SedeP Source Address: Address Book: Sede_Remota Se selecciona la sede remota como la sede untrust. Destination Address: Address Book: Trust_LanP Se selecciona la sede principal como la zona trust Service: ANY Todos los servicios. Action: Permit Todos los servicios permitidos. Figura 30 12

13 Figura 31 Figura 32: Todas las políticas. Con esta parte se concluye la configuración del NS25. Ahora, se mostrará la configuración del NS5XT, que es igual a la del NS25, obviamente invirtiendo direcciones. Esta vez, solo se nombrarán los pasos sin detalles Configuración del NS5XT En esta parte se enunciarán los pasos y se mostrarán las imágenes más importantes, debido a que se asumen que ya se han entendido en los pasos dados arriba. 13

14 Paso 1: Se debe reiniciar el equipo NS5XT. Paso 2: Se establecen los direccionamientos a las zonas trust y la untrust. Paso 3: Se debe abrir una pagina Web, y en la barra de direcciones, ingresar la dirección anterior mente configurada a la zona trust, pero sin la mascara de subred. Ver figura 33 Figura 33 Paso 4: En este paso se va a trabajar con las interfaces. Se debe tener en cuenta que este dispositivo por ser más pequeño solo tiene 3 interfaces predeterminadas, de las cuales se van a configurar la zona trust y la zona untrust, de la siguiente manera: Ver figura 34 Network >Interface >Edit: Para la zona Trust: Zone name: Trust Nombre de la zona IP Address/Netmask: /16 dirección ip zona trust de la sede remota. Network >Interface >Edit: Para la Untrust: Zone name: Untrust Nombre de la zona 14

15 IP Address/Netmask: /24 dirección ip zona untrust de la sede remota. Figura 34 Ahora se debe crear el túnel, que va a ir de la zona untrust (NS5XT) de la sede remota, a la zona untrust (NS25) de la sede principal, de la misma manera inicialmente dada. Network >Interface >Tunnel IF New: Ver figura 35 Tunnel Interface Name: tunnel.2 Identificador del túnel. Zone: Untrust (trust-vr) La zona con la cual se va a conectar el túnel entre las sedes. Unnumbered: Se selecciona esta opción, para definir la interfaz untrust como la elegida para ser la puerta de enlace del NS5XT. Interface: Untrust (trust-vr) 15

16 Figura 35 Paso 5: Se continúa con la creación de la lista de direcciones ip de la sede remota y de la sede principal. Objects >Address >List >New: Ver figura 36 Address Name: Trust_LanR Nombre de la sede principal IP/Netmask: /16 La dirección de red de la sede remota Zone: Trust Zona de ubicación de la red LAN de la sede remota. Objects >Address >List >New: Ver figura 37 Address Name: Sede_Principal Nombre de la sede principal IP/Netmask: /16 La dirección de red de la sede principal Zone: Untrust Zona donde se encuentra ubicada la sede principal. 16

17 Figura 36 Figura 37 17

18 Paso 6: Se debe continuar con la configuración de la VPN, de igual forma que la descrita en el NS25. VPNs >Manual Key >New: Ver figura 38 VPN Tunnel Name: Remota_principal El nombre de la VPN Gateway IP: La dirección ip de la zona untrust de la sede principal. Security Index: 3030(Local) 3020 (Remote) El identificador de seguridad para diferenciar las zonas. Outgoing Interface: Untrust Es la zona por la cual van a salir los paquetes de la zona trust de la sede remota. ESP-CBC: Se selecciona para escoger el algoritmo de encriptación. Tiene que ser el mismo que se escogió en el NS25. Encryption Algorithm: 3DES-CBC El algoritmo de encriptación de los datos. Generate Key by Password: redes La contraseña de seguridad. Authentication Algorithm: SHA-1 Algoritmo de transformación de código seguro. Generate Key by Password: re05d La contraseña para la autenticación de los datos. >Advanced: Ver figura 39 Bind to Túnel Interface: Se selecciona, túnel.2 El túnel que se creo en Interface, que une las dos sedes a través de las zonas untrust. Clic en Return. 18

19 Figura 38 Figura 39 Figura 40: VPN finalizada 19

20 Paso 7: Ya creada la VPN, se deben crear las rutas virtuales entre las sedes. Ver figura 41 Network >Routing >Routing Table >trust-vr New: Network Address/Netmask: /0 Esto quiere decir que no importa que direcciones tenga la zona privada, los paquetes van a salir por la ethernet3. Gateway: Se selecciona. Interface: untrust La interfaz por donde van a salir los paquetes y además, se conecta el túnel de la sede principal. Gateway IP Address: La P.E del router. Network >Routing >Routing Table >trust-vr New: Network Address/Netmask: /16 la dirección de la sede principal. Gateway: Se selecciona. Interface: tunnel.2 La ruta que van a seguir los paquetes para llegar a la sede principal. Gateway IP Address: Sin P.E, porque ya se tiene la dirección de llegada. Figura 41 20

21 Paso 8: Una vez establecido el túnel, se deben realizar las políticas de seguridad y servicio que deben existir entre las sedes. Ver figura 42 Polices >(From Trust, To: Untrust) New: Name: pol1 Source Address: Address Book: Trust_LanR Se selecciona la sede remota como origen. Destination Address: Address Book: Sede _ principal Se selecciona la sede principal como destino. Service: ANY Todos los servicios. Action: Permit Todos los servicios permitidos. Polices > (From Untrust, To: trust) New: Name: SedeP_SedeR Source Address: Address Book: Sede_principal Se selecciona la sede principal. Destination Address: Address Book: Trust_LanR Se selecciona la sede remota. Service: ANY Todos los servicios. Action: Permit Todos los servicios permitidos. Figura 42 21

22 Culminada las configuraciones de los equipos, se debe dirigir a probar la conectividad con el comando ping. Para esto se debe abrir una ventana de comandos y hacerle ping dirección de la otra sede. De igual forma se aplica el comando tracert d, para ver los saltos que realiza la trama para llegar de origen al destino. Ver figura 43 Figura 43 22

23 Figura 44 Una manera anexa para comprobar y percibir si los paquetes están en realidad viajando a través de la WAN, es utilizar una herramienta de escaneo llamada Ethereal. Para esto se debe colocar un equipo en la red WAN que contenga el Sniffer para que capture los paquetes que viajan a través de él. Ver figura 45 23

24 Figura 45 Con el Sniffer, se visualiza de igual forma, la conversación que tienen los equipos durante la comunicación. Ver figura 46 24

25 Figura 46 25

26 Con el comando netstat -an, se verifica que se está cumpliendo con la función NAT dada a las zonas trust de cada sede. Se está haciendo un servicio de http del equipo de la sede remota, al equipo de la sede principal. Ver figura 47 Figura 47 26

27 2.5.3 Configuración de los Router Cisco 1700 La configuración que los routers Cisco 1751 deben tener para que halla comunicación con los firewalls se muestra a continuación en las figuras 48 y 49. Figura 48: Router 1 Figura 49: Router 2 27

28 28