Virtual Private Networks - VPNs

Transcripción

1 Virtual Private Networks - VPNs Qué es una VPN? Una VPN es una red privada que conecta interlocutores a través de redes públicas como por ejemplo Internet. Una VPN no garantiza en sí misma confidencialidad. Métodos Criptograficos son incorporados a la VPN. Puede también asegurar la autenticidad de los datos. Una VPN básicamente es un túnel de información encriptado. IPsec es un marco de seguridad para VPNs Define varios protocolos que aseguran los siguientes 3 parámetros: a) Confidencialidad b) Autenticidad 1 c) Integridad

2 Virtual Private Networks - VPNs 2

3 Dos tipos: VPNs de Acceso Remoto: TOPOLOGÍAS VPN Usuarios remotos deben tener acceso de banda ancha principalmente El usuario establece un túnel VPN a través del ISP El tunel se establece sólo cuando se necesita. Los parámetros VPN se negocian dinámicamente. Coste asociado sólo a la conexión a Internet. Site-to-site VPNs Configuradas entre dos dispositivos compatibles en los extremos de la conexión. Provee conectividad a mútiples redes en ambos lados de la comunicación En cada extremo el túnel actúa como una puerta de enlace a las diferentes redes 3

4 Sustituye conexiones antiguas ISDN. Conexiones seguras a un nodo Central Necesita un software cliente VPN (Como Cisco VPN Client) Factible para un único host O redes pequeñas 4

5 Siempre conectadas. Conecta redes enteras unas con otras. Compañeros de Negocios. Con otras compañías Oficinas SOHO con conexiones de banda ancha Los dispositivos VPN actúan como gateways. 5

6 SSL VPNs Tecnología de acceso remoto emergente Solamente se necesita un navegador compatible SSL. Proporciona acceso a aplicaciones TCP sin un software VPN. Todo el procesamiento se hace por software. Implementación sencilla. Dos modos de acceso: clientless (descrito arriba) thin client : El usuario debe ejecutar un pequeño applet de java. 6

7 7

8 Tuneles GRE 8

9 Encapsulación GRE GRE (Generic Routing Encapsulation): RFC 1702 and 2784 Es un protocolo de tunneling de capa 3 OSI. Originalmente desarrollado por Cisco, aunque ahora es un estandard. Puede encapsular múltiples tipos de protocolos en un túnel IP Añade una cabecera adicional entre la capa 3 del túnel y el campo payload. Esta cabecera identifica el protocolo encapsulado. IF transport network 9

10 Cabecera del Túnel GRE Los túneles GRE no tienen estado Los puntos finales no mantienen información sobre el estado o la disponibilidad de cada uno. Ellos no proveen autentificación muy fuerte ni mecanisnos de confidencialidad. 10

11 GRE soporta tráfico no-ip sobre una red IP Tráfico GRE/IPsec Al contrario de IPsec, GRE soporta tráfico multicast y broadcast GRE soporta protocolos de Routing GRE no encripta datos sin IPsec. User Traffic IP Only? Yes No Use GRE Tunnel No Unicast Only? Yes Use IPsec VPN 11

12 5 pasos para configurar un tunel GRE 1. Crea un interface para el túnel: interface tunnel 0 2. Asigna una dirección IP al túnel. 3. Identifica el interface fuente del túnel: tunnel source 4. Identifica el destino del túnel: tunnel destination 5. (Opcional) Identifica el protocolo de encapsulación en el túnel GRE: tunnel mode gre ip Por defecto, GRE es tunelizado en un paquete IP. 12

13 Ejemplo de túnel GRE Los extremos del túnel son interfaces virtuales. El túnel se mapea a un interface físico local y conecta con un interface remoto. El túnel es una subred en sí mismo. La definición del tipo de túnel es opcional GRE es el modo por defecto. 13

14 Ejemplo de túnel GRE 14

15 Probando los túneles GRE Un túnel GRE podría fallar por las siguientes razones: Conectividad con el túnel destino. El tráfico del túnel GRE podría estar bloqueado por una ACL o un firewall. El túnel en ambos extremos debe ser el mismo. 15

16 IPsec Framework 16

17 Qué es IPsec? IPsec es un estandar IETF (RFC ) Define formas de implementar VPNs utilizando el protocolo de direccionamiento IP. Es un marco de estándares abiertos que describen la forma de conseguir una comunicación segura. Se basa en los algoritmos existentes para proporcionar: o Encryption o Authentication o Data integrity o Secure key exchange 17

18 Topología IPsec IPsec trabaja en el nivel de red, asegurando y autentificando paquetes IP IPsec solo provee el marco de trabajo, el administrador escoge qué algoritmos serán usados dependiendo de los requerimientos de seguridad. 18

19 Construyendo bloques IPsec: Protocolo IPsec: Dos elecciones: AH (Authentication Header) y ESP (Encapsulating Security Payload) Algoritmos que proveen confidencialidad (encryption): Ejemplos: DES, 3DES, AES, SEAL Algoritmos que aseguran la integridad: Examples: MD5, SHA, junto con otras versiones Algoritmos que definen el método de autentificación: La elección incluye: pre-shared keys (PSK) o RSA. El mecanismo que envía la clave compartida: Varios grupos DH (Diffie-Hellman) 19

20 Confidencialidad IPsec 20

21 Confidencialidad IPsec DES Symmetric-key encryption, procesamiento rápido, 56-bit keys. 3DES Symmetric-key encryption, claves de 56-bit encryption keys sobre bloques de 64-bit. AES Muy seguro y más rápido que 3DES. Symmetric-key encryption usando 128, 192 y 256-bit keys. SEAL (Software Optimized Encryption Algorithm) Cifrado de cadena con 160-bit symmetric keys 21

22 IPsec:Integridad HMAC-Message Digest 5 (HMAC-MD5) Usa 128-bit shared secret key para un hash de 128-bit. HMAC-Secure Hash Algorithm 1 (HMAC-SHA1) Usa 160-bit secret key para calcular un hash de 160-bit. 22

23 IPsec: Autenticación Los peers deben ser autenticados antes de que una comunicación pueda ser considerada segura. Dos métodos de autentificación: Pre-shared keys (PSK) Se introducen manualmente en cada extremo. Fácil de configurar, pero no escala bien. RSA signatures El intercambio de certificados digitales autentifica a los peers. Para validar certificados digitales, los pares de claves públicas / privadas deben ser usados. 23

24 IPsec: Intercambio de clave segura Los algoritmos de encriptación tales como DES, 3DES y AES requieren una clave secreta para realizar la encriptación/desencriptación. HMAC-MD5 y HMAC-SHA-1 también necesitan claves secretas para proveer integridad. Como intercambian dos dispositivos las claves secretas? DH (Diffie-Hellman) es un método para hacerlo. Permiten a los dos extremos intercambiar una clave secreta sobre canales inseguros. A las variaciones de DH se les llaman grupos. 24

25 IPsec:Intercambio de clave segura Hay 4 grupos DH. Un grupo determina la dificultad de la clave usada en el proceso de intercambio. El grupo DH 1, 2 y 5 soporta claves de 768 bits, 1024 bits and 1536 bits, respectivamente. AES soporta los grupos DH 2 y 5. El Grupo 7 soporta Elliptical Curve Cryptography (ECC), el cual reduce el tiempo necesario para generar las claves. Durante el setup del túnel VPN,los dispositivos negocian qué grupo DH usarán. 25

26 IPsec:Protocolos de Seguridad 26

27 IPsec: Authentication Header/ESP 27

28 Protocolos de cabecera de Autenticación El valor hash AH-calculado no incluye campos variables en el paquete IP(TTL). NAT crea problemas porque AH no espera que la cabecera IP cambie. AH no nos da ningún método de encriptación: Sólo autenticidad e integridad. 28

29 Encapsulating Security Payload (ESP) ESP provee confidencialidad encriptando el payload. Usa por defecto 56-bit DES. ESP puede también darnos integridad y autenticación. Usa los mismos protocolos y métodos que AH. Opcionalmente, ESP puede aplicar métodos anti-replay. Protección contra paquetes duplicados enviados por un atacante. Cómo? Hashea un número de secuencia junto con la cabecera, el paquete y la clave secreta. 29

30 Protocolos ESP 30

31 Encapsulación de protocolos de seguridad IPsec Los datos están protegidos: El paquete entero IP puede ser encriptado. Los datos están autenticados: El paquete IP entero y la cabecera ESP son hashed. Las nuevas direcciones en la nueva cabecera IP son usadas para enrutar el paquete. Encriptación antes que autenticación

32 Encapsulación IPsec : Modo Túnel Modo túnel: Provee seguridad para el paquete original IP completo. Conocido como IP-in-IP encryption. Puede ser usado para extender LANs sobre Internet Las direcciones IP encapsuladas pueden ser privadas. El paquete es enrutado al destino usando solamente la cabecera IP de salida. El dispositivo VPN receptor desencapsula el paquete, comprueba su integridad y autenticidad y puede encaminar el paquete utilizando además la cabecera IP interna. 33

33 SA (Security Associations) Los puntos finales de VPN negocian los parámetros de seguridad, para que puedan "hablar" entre sí. Los parámetros finales negociados se llaman asociación de seguridad (SA). Las entradas SA se mantienen en una SADB (base de datos) y contienen: parámetros para el cifrado de IPsec parámetros para el intercambio seguro de claves DH se utiliza para crear las claves compartidas necesarias para el cifrado. Sin embargo, el protocolo IKE lleva a cabo el proceso de intercambio de claves. Tened en cuenta que las claves públicas / privadas se utilizan para autenticación e intercambio de claves y las claves simétricas se utilizan para el cifrado. 34

34 Parámetros de seguridad SA (Security Associations) 35

35 Internet Key Exchange (IKE) En lugar de transmitir las claves directamente sobre la red, IKE intercambia una serie de paquetes de datos que permiten que ambos compañeros calculen las claves. El cambio no puede permitir a un tercero deducir la clave. IKE se define en el RFC 2409 y utiliza el puerto UDP 500. Protocolo híbrido, que combina: o Asociación de Seguridad de Internet y el protocolo de administración de claves (ISAKMP) o Métodos de intercambio de claves Oakley y SKEME o ISAKMP define el formato de los mensajes y el proceso de negociación llevado a cabo para establecer las SAs de IPsec. 36

36 Cómo IPsec usa (IKE) 1. Outbound packet is sent from Alice to Bob. No IPsec SA. 4. Packet is sent from Alice to Bob protected by IPsec SA. IPsec IPsec 37

37 Fase IKE El protocolo IKE ejecuta dos fases para establecer un canal seguro: Fase 1 La negociación de IKE SAs. El propósito de la Fase 1 es autenticar los compañeros y negociar los conjuntos de políticas IKE (parámetros del túnel). Se establece un canal seguro. Fase 2 El canal seguro es utilizado por ISAKMP para negociar las SAs IPsec, esta vez para el cifrado del tráfico. Después de esta fase, los dos compañeros se autentican y conocen la misma clave secreta. Después de que ambas fases se han completado, los compañeros están listos para transferir datos cifrados. 38

38 Fase 1 IKE: Primer Intercambio Los algoritmos se agrupan en conjuntos de políticas IKE, que se intercambian en primer lugar. Los peers(extremos) negocian los algoritmos utilizados para asegurar las comunicaciones IKE. El intercambio se inicia por una propuesta enviada desde el transmisor. Si el receptor puede ajustarse a la propuesta, se utilizará esta propuesta. Podrían necesitarse diferentes conjuntos de políticas IKE que configurar si el par se conecta a varios compañeros. 39

39 Fase 1-IKE - Segundo Intercambio El segundo intercambio afecta al envío de las claves DH entre los compañeros. Se utiliza el grupo DH incluido en la política IKE previamente acordado por los pares. Esto garantiza que ambos pares utilizan el mismo algoritmo de generación de claves y que van a obtener el mismo resultado. La clave es calculada por ambos compañeros sin enviar la clave en sí misma. Todas las nuevas negociaciones serán cifradas con la clave secreta DH recién calculada. 40

40 Intercambio de la clave DH RouterA escoge una cadena aleatoriamente y la envía al RouterB. RouterB codifica la cadena recibida junto con la clave pre-share secreta y produce un valor hash. RouterA calcula su propia hash de la cadena aleatoria, junto con la clave secreta pre-share y lo compara con el resultado recibido. Si coinciden el Router B conoce la clave pre-share y se considera autenticado RouterB envía el resultado del hashing al RouterA. 41

41 Fase 1-IKE - Tercer Intercambio El ultimo intercambio de la primera fase de autenticación entre extremos conlleva: Una clave pre-shared(psk) Firma RSA La autenticación en los extremos es mutua. Después del tercer intercambio, se establece una SA IKE en ambos sentidos. Esta fase de intercambio es llamada modo principal y usa 6 paquetes (3 para cada peer). Hay un modo agresivo en el cual se envían solo 3 paquetes. 42

42 Fase 1-IKE Fase 1-IKE Intercambio en modo principal: Fase 1-IKE Intercambio en modo agresivo: 43

43 Fase 2-IKE El propósito de esta fase es negociar los parámetros IPsec que serán usados para asegurar el túnel IPsec. La fase 2 tiene solamente un modo: Llamado Quick mode (Similar al modo agresivo de la fase 1) La fase 2 negocia otro conjunto de SAs. Las asociaciones de seguridad son unidireccionales. Un intercambio de claves separadas es necesario en ambos extremos. 44

44 Fase 2-IKE Fase 2 IPsec:Funciones Negocia parámetros de seguridad IPsec, llamados Transform Sets Estable asociaciones de seguridad IPsec. Periódicamente renegocia las SAs IPsec(seguridad extra). Opcionalmente realiza otro intercambio DH adicional. 45

45 Fase 2-IKE Negociación de parámetros Transform Set 46

46 Fase 2-IKE Security Associations 47

47 Site-to-Site IPsec VPNs 48

48 Comportamiento de un túnel VPN 49

49 Flujo de datos IPsec/IKE 50

50 1. Configuración ACL Asegurarse de que las ACLs existentes no bloqueen el tráfico IPsec o/y IKE. AH es protocolo IP número 51 ESP es el protocolo IP número 50 IKE usa el puerto UDP número 500 No confundir número de Protocolo con número de Puerto. 51

51 1. Ejemplo de configuración ACL R1(config)# access-list 102 permit ahp host host R1(config)# access-list 102 permit esp host host R1(config)# access-list 102 permit udp host host eq isakmp R1(config)# R1(config)# interface Serial0/0/0 R1(config-if)# ip address R1(config-if)# ip access-group 102 in! R1(config)# exit R1# show access-lists access-list 102 permit ahp host host access-list 102 permit esp host host access-list 102 permit udp host host eq isakmp 52

52 2. Política de configuración IKE Múltiples políticas pueden ser aplicadas: o Cada una con un número de prioridad único (De 1 a 10000). Los números más bajos implican mayor prioridad. o Las SAs se actualizan desde el conjunto de políticas más bajos que ambos peer soporten. La política IKE incluye parámetros que hagan segura la comunicación. 53

53 2. Crear política de configuración IKE 54

54 Parámetros de configuración IKE or AES or D-H 5 55

55 2. Política de configuración IKE Entrar la política de configuración ISAKMP: R1(config)#crypto isakmp policy 110 Conjunto de parámetros ISAKMP R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encryption des R1(config-isakmp)#group 1 R1(config-isakmp)#hash md5 R1(config-isakmp)#lifetime Si no se dan valores a los parámetros se toman por defecto Los números son significativos a nivel local solamente (110). Los números a nivel local no tienen porqué coincidir, solo sus contenidos(deben ser iguales para una política a aplicar). 56

56 2.Parámetros de las Políticas IKE/ISAKMP 57

57 2. Negociación de las diferentes políticas ISAKMP En este ejemplo, las políticas 100 y 200 pueden ser negociadas pero no así la 300. Un extremo envía todas sus políticas a su otro extremo. Ese otro extremo intenta encontrar una coincidencia completa (match) con sus propias politicas. 58

58 2. Negociación de las diferentes políticas ISAKMP 59

59 2. Configuración IKE : pre-shared Si las claves pre-shared se especifican (y negocian) en la política IKE, entonces la clave debe ser configurada. La clave PSK debe ser idéntica para los dos extremos que crean una SA. Diferentes PSKs pueden ser establecidas entre diferentes comunicaciones con otros peers. Ejemplo: R1(config)#crypto isakmp key cisco123 address [similar config for R2, using R1 s IP address] 60

60 2. Configuración IKE : pre-shared 61

61 3. Transform set Un transform set es un conjunto de pares protocolo-algoritmo designado para proteger el flujo de datos a través del túnel. Cada uno de los pares protocolo-algoritmo es llamado transform. Un conjunto de transformaciones pueden ser: Un método de autenticación AH Un método de encriptación ESP Un método de autenticación ESP Un método de compresión Durante la negociación los extremos buscan un conjunto de transformaciones coincidentes entre ambos peers. Si ISAKMP no se utiliza para establecer las SAs, solamente un conjunto de transform sera usado. 62

62 3. Transform IPsec en IOS Cisco IOS software suporta las transform IPsec siguientes: CentralA(config)# crypto ipsec transform-set transform-set-name? ah-md5-hmac AH-HMAC-MD5 transform ah-sha-hmac AH-HMAC-SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-des ESP transform using DES cipher (56 bits) esp-md5-hmac ESP transform using HMAC-MD5 auth esp-sha-hmac ESP transform using HMAC-SHA auth esp-null ESP transform w/o cipher Note: esp-md5-hmacy esp-sha-hmac proveen más integridad de los datos. Ellos son compatibles con NAT/PAT y se usan más frecuentemente que ah-md5-hmac y ah-sha-hmac. 63

63 3. Ejemplo de política IPsec: 64

64 RouterA# show crypto isakmp policy Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys) hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman Group: #1 (768 bit) lifetime: seconds, no volume limit RouterA# show crypto map Crypto Map MYMAP" 10 ipsec-isakmp Peer = Extended IP access list 102 access-list 102 permit ip host host Current peer: Security association lifetime: kilobytes/3600 seconds PFS (Y/N): N Transform sets={ MY-SET, } RouterA# show crypto ipsec transform-set MY-SET Transform set MY-SET: { esp-des } will negotiate = { Tunnel, }, 65

65 Configuración de Transform Sets 66

66 Negociación de Transform Sets 67

67 Negociación de Transform Sets 68

68 Configuración del tiempo de vida de SAs Configura el tiempo de vida global IPsec usado cuando negocia IPsec SA(security associations). IPsec SA lifetimes son negociados durante la fase 2 IKE. 69

69 3. Combinación de Transform permitidas AH transform: ah-md5-hmac; ah-sha-hmac ESP encryption transform: esp-aes; esp-aes 192; esp-aes 256 esp-des; esp-3des esp-seal; esp-null ESP authentication transform: esp-md5-hmac esp-sha-hmac IP compression transform: comp-lzs 70

70 3. Transform set: Ejemplos: R(config)#crypto ipsec transform-set RED ah-md5-hmac esp-3des esp-md5- hmac comp-lzs O Usa AH con HMAC-MD5 authentication O Usa ESP con autenticación HMAC-MD5 y encriptación 3DES O Usa compresión con el algoritmo LZS R(config)#crypto ipsec transform-set YELLOW ah-md5-hmac esp-aes O Usa AH con autenticación HMAC-MD5 O Usa ESP con encriptación AES R(config)#crypto ipsec transform-set BLUE esp-aes esp-sha-hmac O Usa ESP encriptación AES y ESP autenticación HMAC-SHA. 71

71 4. Crypto ACLs Las Crypto ACL son ACLs que seleccionan el flujo de tráfico que protegen. Sobre un interface de salida la crypto ACL: o Una sentencia permit indica que tráfico debe ser encriptado o Una sentencia deny indica que tráfico debe enviarse en texto claro. o El tráfico no es rechazado con deny en Crypto ACL Sobre un interface de entrada la crypto ACL: o Una sentencia permit debe coincidir con el tráfico de entrada encriptado o Una sentencia deny debe coincidir con el tráfico de entrada sin encriptar o Las ACL de entrada se usan para descartar tráfico que debería estar protegido por IPsec. 72

72 4. Crypto ACLs tcp 73

73 4. Configuración simétrica entre peers RouterA#(config) access-list 110 permit tcp RouterB#(config) access-list 110 permit tcp

74 4.Configura los mapas IPsec Crypto 75

75 4.Configura los mapas IPsec Crypto 76

76 4.Configura los mapas IPsec Crypto 77

77 4.Configura los mapas IPsec Crypto 78

78 4. Ejemplo: RouterA(config)# crypto map MYMAP 110 ipsec-isakmp RouterA(config-crypto-map)# match address 110 RouterA(config-crypto-map)# set peer RouterA(config-crypto-map)# set peer RouterA(config-crypto-map)# set transform-set MINE RouterA(config-crypto-map)# set security-association lifetime

79 4. Aplicando Crypto map al interface 80

80 4. Ejemplos de configuración 81

81 Comando CLEAR: Limpia la SA en la base de datos del router. Router# clear crypto sa clear crypto sa peer <IP address peer name> clear crypto sa map <map name> clear crypto sa entry <destination-address protocol spi> 82

82 Verificando las políticas RouterA# show crypto isakmp policy Protection suite of priority 110 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: pre-share Diffie-Hellman group: #1 (768 bit) lifetime: seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: seconds, no volume limit 83

83 Conjunto de vistas definidas A E0/ E0/ RouterA# show crypto ipsec transform-set MY-SET Transform set MY-SET: { esp-des } will negotiate = { Tunnel, }, 84

84 A E0/ E0/ RouterA# show crypto ipsec sa interface: Ethernet0/1 Crypto map tag: MYMAP, local addr local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer: PERMIT, flags={origin_is_acl,} #pkts encaps: 21, #pkts encrypt: 21, #pkts digest 0 #pkts decaps: 21, #pkts decrypt: 21, #pkts verify 0 #send errors 0, #recv errors 0 local crypto endpt.: , remote crypto endpt.: path mtu 1500, media mtu 1500 current outbound spi: 8AE1C9C 85

85 A E0/ E0/ RouterA# show crypto map Crypto Map MYMAP" 10 ipsec-isakmp Peer = Extended IP access list 102 access-list 102 permit ip host host Current peer: Security association lifetime: kilobytes/3600 seconds PFS (Y/N): N Transform sets={ MINE, } 86

86 5. El mapa Crypto(Crypto map) Es una suma de todos los elementos de configuración vistos hasta ahora. Esto combina los siguientes parámetros: La cripto ACL indica qué tráfico proteger Quién es el interlocutor remoto? Qué dirección local se utiliza para el tráfico de IPsec (opcional)? Qué transform set se utilizará en la negociación? Los mapas Crypto tienen nombres y número de secuencia. o Los mapas con el mismo nombre y números distintos son agrupados en un conjunto de mapas. Sólo un crypto map puede ser asignado a un interface. Múltiples interfaces pueden compartir el mismo mapa criptográfico. 87

87 5. Configuración del crypto map R1(config)# crypto map MYMAP 10 ipsec-isakmp Nombre del mapa y número de secuencia R1(config-crypto-map)# match address 110 Crypto ACL debe coinicidir en el tráfico encriptado. R1(config-crypto-map)# set peer default Configura el extremo primario R1(config-crypto-map)# set peer Opcionalmente, configure un extremo secundaria. R1(config-crypto-map)# set pfs group1 Configura el grupo DH. Las claves no son generadas basándose en claves anteriores. R1(config-crypto-map)# set transform-set mine Asignan un conjunto de transfomaciones para usar en el túnel IPsec. R1(config-crypto-map)# set security-association lifetime seconds Especifica un tiempo de vida para una SA. 88

88 Verificación y troubleshooting IPsec show crypto map Show command Descripción Muestra los crypto maps configurados. show crypto isakmp policy Muestra las políticas IKE configuradas. show crypto ipsec sa Muestra los túneles IPsec establecidos. show crypto ipsec transform-set Muestra el conjunto de transformaciones IPsec. debug crypto isakmp Muestra posibles eventos IKE. debug crypto ipsec Depuración de eventos IPsec. 89

89 Comenzando VPN Wizard 1. Click Configure in main toolbar Wizards for IPsec Solutions, includes type of VPNs and Individual IPsec components 3. Choose a wizard 2. Click the VPN button to open the VPN page 4. Click the VPN implementation subtype 4 5 VPN implementation Subtypes. Vary based On VPN wizard chosen. 5. Click the Launch the Selected Task button 90

90 Componentes VPN VPN Wizards SSL VPN parameters Individual IPsec components used to build VPNs Easy VPN server parameters Componentes VPN Public key certificate parameters Encrypt VPN passwords 91

91 Configurando una Site-to-Site VPN Choose Configure > VPN > Site-to-Site VPN Click the Create a Site-to-Site VPN Click the Launch the Selected Task button 92

92 Site-to-Site VPN Wizard Choose the wizard mode Click Next to proceed to the configuration of parameters. 93

93 Quick Setup Configure the parameters Interface to use Peer identity information Authentication method Traffic to encrypt 94

94 Verificando Parámetros 95

95 Paso a Paso Wizard 1 2 Choose the outside interface that is used to connect to the IPSec peer Specify the IP address of the peer 3 Choose the authentication method and specify the credentials 4 Click Next 96

96 Creando un IKE a medida 2 Make the selections to configure the IKE Policy and click OK 1 Click Add to define a proposal 3 Click Next 97

97 Define and specify the transform set name, integrity algorithm, encryption algorithm, mode of operation and optional compression Creando nuestro IPSec Transform Set 2 1 Click Add 3 Click Next 98

98 Protegiendo Tráfico Subred a Subred Click Protect All Traffic Between the Following subnets Define the IP address and subnet mask of the local network Define the IP address and subnet mask of the remote network 99

99 Protegiendo Tráfico con una ACL 1 Click the Create/Select an Access-List for IPSec Traffic radio button Click the ellipses button to choose an existing ACL or create a new one 2 To use an existing ACL, choose the Select an Existing Rule (ACL) option. To create a new ACL, choose the Create a New Rule (ACL) and Select option 3 100

100 Añade una Regla 1 Give the access rule a name and description 2 Click Add 101

101 Configurando una Nueva Regla de entrada Choose an action and enter a description of the rule entry 1 2 Define the source hosts or networks in the Source Host/Network pane and the destination hosts or network in the Destination/Host Network pane 3 (Optional) To provide protection for specific protocols, choose the specific protocol radio box and desired port numbers 102

102 Configuración Resumen Click Back to modify the configuration. Click Finish to complete the configuration. 103

103 Verifica Configuración VPN Choose Configure > VPN > Site-to-Site VPN > Edit Site-to-Site VPN Check VPN status. Create a mirroring configuration if no Cisco SDM is available on the peer. Test the VPN configuration. 104

104 Monitorizando Choose Monitor > VPN Status > IPSec Tunnels 1 Lists all IPsec tunnels, their parameters, and status. 105

105 Acceso Remoto 106

106 Acceso Remoto Las VPNs ofrecen acceso remoto a los recursos internos de las redes locales. Las VPNs pueden ser gateways a cualquier destino para cualquier aplicación. Dos métodos para el acceso VPN: IPsec y SSL VPNs 107

107 Comparación entre SSL e IPsec SSL IPsec Aplicaciones Aplicaciones Web, file sharing, Todas aplicaciones IP Encriptación Autenticación Facilidad uso Moderada Longitud claves desde 40/128 bits Moderada One-way / two-way authentication Muy alta Fuerte Longitud claves desde 56/256 bits Fuerte Two-way authentication usando shared secrets o certificados digitales Moderada Puede suponer un desafio Seguridad General Moderada Cualquier dispositivo conecta Fuerte Sólo determinados equipos pueden conectar 108

108 SSL VPNs Integra Seguridad y Encaminamiento Basada en Navegador SSL VPN acceso Internet SSL VPN Headquarters SSL VPN Tunnel Workplace Resources 109

109 Tipos de Acceso 110

110 Modo de acceso Full Tunnel 111

111 Estableciendo una sesión SSL 112

112 Cisco Easy VPN Método de implementación simplificada para el lado del cliente. Todos los parámetros de VPN se definen en el servidor de Cisco IOS Easy VPN Todas las políticas de seguridad son configuradas en los clientes que se conectan. Configuración del cliente se reduce al mínimo. Los datos se aseguran de forma automática, con una mínima interacción del cliente. Cisco Easy VPN automatiza: Negociación de parámetros de túnel (direcciones, algoritmos, tiempo de vida..) Establecimiento del túnel Creación NAT / PAT y ACL Autenticación de usuario La gestión de seguridad de las claves La autenticación, el cifrado y el descifrado de los paquetes de datos 113

113 Establecimiento de sesión en Cisco Easy VPN 114

114 Configurando Easy VPN Server 115

115 Configura interface físico Cisco Easy VPN Server 116

116 Configurando directivas IKE 117

117 Configurando Transform Set 118

118 Configurando Lista de Métodos de Autenticación VPN 119

119 Configurando Políticas de Autenticación de Grupo 120

120 Resumen de la Configuración 121

121 Editar Easy VPN Server 122

122 Test Easy VPN Server 123

123 Conexión usando el cliente R1 R1-vpn-cluster.span.com 124