Tema: Implementación de redes privadas virtuales VPN de punto a punto.



Documentos relacionados
Tema: Implementación de túneles GRE cifrados con IPSec.

Tema: Implementación de redes privadas virtuales VPN de sitio a sitio.

Packet Tracer: Configuración de VPN (optativo)

Tema: Configuración de túneles IPSec

CISCO Site-to-Site VPN

Configuración básica de VPN LAN-2-LAN con routers.

CONFIGURACIÓN VPN SITE TO SITE YADFARY MONTOYA NATALIA HERNÁNDEZ SONIA DEYANIRA CARATAR BRENDA MARCELA TOVAR ADMINISTRACIÓN DE REDES DE COMPUTADORES

Presentado a: Milton García. Presentado por: Paula Díaz Heidy solano Wilmar Albarracín

access-list deny permit log

CISCO IOS Easy VPN Server

VPN TUNEL SITIO A SITIO EN GNS3. Trabajo realizado por: Brenda Marcela Tovar. Natalia Hernández. Yadfary Montoya. Sonia Deyanira Caratar G.

IPSec/GRE con el NAT en el ejemplo de configuración del router IOS

Tema 3 Implantación de Técnicas de Acceso Remoto

REDES PRIVADAS VIRTUALES VPN

VPN de acceso remoto. Vicente Sánchez Patón I.E.S Gregorio Prieto. Tema 3 SAD

Tema: Configuración inicial Firewall PIX

Seguridad y alta disponibilidad

REDES DE COMPUTADORES Laboratorio

REDES DE COMPUTADORES Laboratorio

Configuración de IPSec entre dos routers y Cisco VPN Client 4.x

Tema: NAT. Contenidos. Objetivos Específicos. Materiales y Equipo. Procedimiento. Bibliografía. Guía 1

CCNA 2. Laboratorio Enrutamiento por defecto con los protocolos RIP e IGRP (Hecho con Packet Tracer 4.11)

Manual para Conexión a Servidores Virtuales. Infrastructure-as-a-Service. Triara.com SA de CV. Todos los derechos reservados

Práctica de laboratorio 8.3.3: Configuración y verificación de las ACL estándar

Configuración de IPSec sobre ADSL en un Cisco 2600/3600 con módulos de encripción del hardware y ADSL-WIC.

Ejemplo de Configuración de GRE sobre IPSec con EIGRP para Rutear a través de un Hub y Múltiples Sitios Remotos

Mikrotik User Meeting - Colombia LOGO

Laboratorio práctico 5.5.3: Desarrollo de las ACL para implementar conjuntos de reglas de firewall

Configuración de IPSec con EIGRP e IPX usando tunelización GRE

BREVE INTRODUCCIÓN A IPSEC

7.2.2 Plan de prueba de conectividad básica. Construcción de red (Configuración) Fecha de prueba

Laboratorio práctico 7.3.5: Prueba de una red prototipo

Túnel ipsec de LAN a LAN entre un Cisco VPN 3000 Concentrator y un router con el ejemplo de configuración AES

Redes de Área Local: Configuración de una VPN en Windows XP

Examen Cisco Online CCNA4 V4.0 - Capitulo 5. By Alen.-

Introducción Cisco-Pix Firewall. Ing. Civil en Sistemas Ricardo E. Gómez M.

Red Privada Virtual. IPSec

UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS COORDINACION DE COMPUTACION

Práctica 3: Configuración de protocolo OSPF.

CCNA 4 v3.1 Módulo 1: Escalabilidad de direcciones IP. 2004, Cisco Systems, Inc. All rights reserved.

Laboratorio práctico Monitoreo del tráfico de VLAN

PORTAFOLIO DE EVIDENCIAS. REDES

Práctica de laboratorio c Funciones de múltiples listas de acceso (Desafío)

Práctica 4 - Network Address Translation (NAT)

Laboratorio práctico Cómo hacer un diagrama de los flujos de tráfico de Intranet

Manual 123, LP-1521 Enrutador Banda Ancha. Configuración de VPN entre dos LP (Sólo aplica para configuraciones en modo WISP con IP fija)

CONFIGURACIÓN BÁSICA DE UNA VPN EN WINDOWS XP PROFESIONAL

Nota de aplicación Creando VPNs IPsec con un MRD-310

Práctica 7 Network Address Translation en routers Cisco

Introducción. Algoritmos

Aspectos Básicos de Networking

REDES CISCO Guía de estudio para la certificación CCNA Security. Ernesto Ariganello

Migración de OSPF a IS- IS. Talleres ISP

Acceso ASA al ASDM de una interfaz interior sobre un ejemplo de la configuración del túnel VPN

UNIVERSIDAD NACIONAL EXPERIMENTAL POLITECNICA DE LAS FUERZAS ARMADAS INGENIERIA EN TELECOMUNICACIONES

WINDOWS SERVER SERVICIOS DE RED Y DIRECTORIO ACTIVO

Tema: Enrutamiento dinámico EIGRP

Tema: Enrutamiento estático

Configuración de una NIC

Configuración de Aspel-SAE 6.0 para trabajar Remotamente

10.3.1: Actividad de desafío de integración de aptitudes del Packet Tracer. Diagrama de topología

Ubuntu Server HOW TO : SERVIDOR VPN. EN ESTE SE REALIZA LO SIGUIENTE: En este how to se le va a enseñar como usar vpn. Qué es una VPN?

66.69 Criptografía y Seguridad Informática Ipsec

Para detalles y funcionalidades ver Manual para el Administrador

Semana 11: Fir Fir w e a w lls

Consideraciones Generales: Tradicionalmente, debido al medio de transmisión físico, las redes cableadas son más seguras que las redes inalámbricas.

HOWTO: Cómo configurar SNAT

ESPECIFICACIONES TECNICAS PROTAP VIA VPN Última Revisión 17/06/2010

IPSEC. dit. Objetivo: proporcionar a IP (IPv4( IPv4, IPv6) ) mecanismos de seguridad. Servicios de Seguridad

INSTALACIÓN DE MICROSOFT ISA SERVER 2006 Y CONFIGURACIÓN DE ACCESO VPN POR MEDIO DE POINT-TO-POINT TUNNELING PROTOCOL

Semana 10: Fir Fir w e a w lls

Estudio de caso. Enrutamiento. Programa de las Academias de Networking de Cisco CCNA 2: Principios básicos de routers y enrutamiento v3.

Cartilla resumida de comandos y parámetros Cisco para la configuración de MPLS

Gemelo Backup Online P E R S O N A L I N D I C E. Qué es Gemelo Backup Online Personal. Gemelo Backup Online WEB

Que diferencias existen entre RADIUS y TACACS+ servers, y en que cambia su aplicacion cuando implementamos un AAA server o auth-proxy server?

Diseño de redes VPN seguras bajo Windows server 2008

Configuración de Aspel-SAE 6.0 para trabajar Remotamente

Análisis de rendimiento de IPsec y OpenVPNPresentación Final d

Redes WAN VPN. Esteban De La Fuente Rubio L A TEX. 13 may Universidad Andrés Bello

CONEXIÓN A INTERNET Y USO DEL ANCHO DE BANDA CON EQUIPOS VS-DVR

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata Universidad de Antioquia

PRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE

Aspectos Básicos de Networking

Laboratorio de PCs. Práctica 3: Montaje de una red de Área local

Laboratorio práctico Exploración de QoS de red

UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS COORDINACION DE COMPUTACIÓN GUIA DE LABORATORIO # 10

Configuración de Aspel-SAE 5.0 para trabajar Remotamente

Fortigate - Conexión IPSEC entre dos Fortigate

Práctica 9: Configuración de NAT y DHCP

Práctica de laboratorio 6.3.2: Configuración de la sumarización de OSPF

Hotel pide permiso a ipcop para que por el puerto 339 (control remoto) pueda recibir y enviar paquetes de la empresa y viceversa.

Módulo Nº 7. Aspectos de Seguridad en Redes de Área Extendida

Qué es el enrutamiento estático?

5.2.- Configuración de un Servidor DHCP en Windows 2003 Server

Universidad Evangélica de El Salvador Facultad de Ingeniería Protocolo de Comunicación de Red Ing. Oscar H. Díaz Jurado

Tema: Analizador de tráfico

Howto: Cómo configurar el mapeo estático de puertos en el router/firewall corporativo para las redes VPN de Panda GateDefender Integra

Laboratorio práctico Monitoreo del rendimiento de la red

Práctica de laboratorio 9.6.3: Práctica de laboratorio de resolución de problemas de EIGRP

MODELO: EVR-100 CONFIGURACIÓN DE TÚNELES VPN PUNTO A PUNTO SYSCOM, VANGUARDIA EN TECNOLOGÍA. EnGenius, Conectando al Mundo

Transcripción:

Seguridad en redes. Guía 8 1 Tema: Implementación de redes privadas virtuales VPN de punto a punto. Contenidos Configuración de VPN de punto a punto Troubleshooting de infraestructura de VPN de punto a punto Objetivos Específicos Facultad: Ingeniería Escuela: Electrónica Asignatura: Seguridad en redes Desarrollar habilidades para la configuración de VPN de punto a punto. Comprender los mecanismos necesarios para la implementación de canales seguros. Desarrollar habilidades para la implementación de infraestructuras de VPN. Materiales y Equipo PC con GNS3 instalado. IOS con soporte para seguridad de enrutadores Cisco. Introducción Teórica Bibliografía Los túneles GRE son la forma más generalizada de crear VPN fijas, sin embargo es posible crear una simplificación de conexiones VPN sin tener que crear formalmente los Guía túneles 1 GRE, siempre que el tráfico que se transporte sea estrictamente IP y de tipo unicast, con esto se puede generar una simplificación de la caja de encripción que se aplica al tráfico haciendo más eficiente este proceso para los dispositivos intermedios. Es importante considerar que para el caso de este tipo de VPN las redes que se protegerán deben ser visibles en los dominios públicos, por lo que los espacios de direccionamiento privados no pueden ser elegibles para su implementación, si se hace uso de espacios de direccionamiento privado será necesario implementar además un mecanismo de traducción de direcciones, lo cual no es aconsejable para este tipo de modelos de VPN. Las VPN punto a punto por tanto desarrollan el proceso de aseguramiento del canal de comunicación de forma más eficiente que los GRE ya que no es necesario

2 Seguridad en redes. Guía 7 implementar de forma previa el túnel, sin embargo estas solo pueden asegurar trafico estrictamente IP y de tipo Unicast, restricción que no tiene GRE, así la selección de una implementación especifica de VPN dependerá del tipo de tráfico que se desea proteger, de la disponibilidad de direcciones públicas y del soporte y carga de los dispositivos intermedios que servirán para su funcionamiento. Procedimiento Parte Bibliografía I. Implementación de la topología de trabajo. 1. Lance el aplicativo GNS3 e implemente la topología que muestra en la figura 1, utilice el router modelo 3700; recuerde reducir el uso del CPU buscando un Idle PC. Guía 1 Figura 1. Topología de trabajo. 2. Etiquete la topología con toda la información mostrada en la figura 1. 3. Abra las consolas de cada uno de los enrutadores y desarrolle la configuración para garantizar su completa conectividad, una vez completo este paso debe existir conectividad entre todas las direcciones IP públicas de todos los enrutadores. Para este paso puede usar las habilidades desarrolladas en el curso de comunicación de datos I o bien usar las configuraciones propuestas en la siguiente tabla:

Seguridad en redes. Guía 8 3 LocNet1 hostname LocNet1 interface Loopback0 ip address 112.168.0.1 255.255.255.0 interface Loopback1 ip address 112.168.1.1 255.255.255.0 interface Loopback2 ip address 112.168.2.1 255.255.255.0 ip address 10.1.1.2 255.255.255.0 ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 Site1 hostname Site1 ip address 10.1.1.1 255.255.255.0 interface FastEthernet0/1 ip address 168.1.1.2 255.255.255.252 router eigrp 1 redistribute static network 168.1.1.0 0.0.0.3 no auto-summary ip route 112.168.0.0 255.255.255.0 Fa0/0 ip route 112.168.1.0 255.255.255.0 Fa0/0 ip route 112.168.2.0 255.255.255.0 Fa0/0 hostname R3 ip address 168.1.1.1 255.255.255.252 interface FastEthernet0/1 ip address 200.1.1.1 255.255.255.252 router eigrp 1 network 168.1.1.0 0.0.0.3 network 200.1.1.0 0.0.0.3 no auto-summary LocNet2 hostname LocNet2 interface Loopback0 ip address 202.168.0.1 255.255.255.0 interface Loopback1 ip address 202.168.1.1 255.255.255.0 interface Loopback2 ip address 202.168.2.1 255.255.255.0 ip address 10.2.2.1 255.255.255.0 ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 Site2 hostname Site2 ip address 10.2.2.2 255.255.255.0 interface FastEthernet0/1 ip address 200.1.1.2 255.255.255.252 router eigrp 1 redistribute static network 200.1.1.0 0.0.0.3 no auto-summary ip route 202.168.0.0 255.255.255.0 Fa0/0 ip route 202.168.1.0 255.255.255.0 Fa0/0 ip route 202.168.2.0 255.255.255.0 Fa0/0 R3

4 Seguridad en redes. Guía 7 4. Garantice la conectividad antes de pasar a la siguiente sección, utilice ping extendido desde las IPs de las redes loopback de locnet1 hacia las loopback de LocNet2, estos deben de ser exitosos, ejecute un proceso de recuperación de fallas si es necesario. Parte II. Implementación de las VPN de punto a punto. Para poder implementar este paso es necesario que la conectividad de todas las direcciones IP públicas este funcional, con esto procedemos a desarrollar las VPN 1. Configuración de los pares de llaves y las políticas de intercambio de llaves de Internet IKE que se usaran en la caja de encripción, debe usar autenticación de llaves previamente compartidas, protocolo de cifrado AES 256, algoritmo de garantía de integridad SHA, grupo de intercambio Diffie-Hellman 5 y tiempo de vida de la llave de una hora; use los siguientes comandos para esta tarea y anote sus observaciones a fin de entender el proceso: Site1(config)# crypto isakmp policy 10 Site1(config-isakmp)# authentication pre-share Site1(config-isakmp)# encryption aes 256 Site1(config-isakmp)# hash sha Site1(config-isakmp)# group 5 Site1(config-isakmp)# lifetime 3600 Site2(config)# crypto isakmp policy 10 Site2(config-isakmp)# authentication pre-share Site2(config-isakmp)# encryption aes 256 Site2(config-isakmp)# hash sha Site2(config-isakmp)# group 5 Site2(config-isakmp)# lifetime 3600 2. Definición de los pares de interfaces físicas que definen el túnel a proteger con el IPSec llamaremos al canal protegido SiteSecure ; use los siguientes comandos para esta tarea y anote sus observaciones a fin de entender el proceso: Site1(config)# crypto isakmp key 6 SiteSecure address 200.1.1.2 Site2(config)# crypto isakmp key 6 SiteSecure address 168.1.1.2 3. Ahora crearemos el conjunto de transformación al que llamaremos MiTrans que usara la caja de encriptación para asegurar el canal con IPSec; use los siguientes comandos para esta tarea y anote sus observaciones a fin de entender el proceso:

Seguridad en redes. Guía 8 5 Site1(config)#crypto ipsec transform-set MiTrans esp-aes 256 esp-sha-hmac ah-sha-hmac Site2(config)#crypto ipsec transform-set MiTrans esp-aes 256 esp-sha-hmac ah-sha-hmac 4. Definimos el tráfico de interés que deseamos proteger, no es conveniente proteger todo el tráfico que pasa por el túnel para evitar sobrecargar el dispositivo, para nuestro caso protegeremos el tráfico entre los nodos 112.168.2.10 y 202.168.0.100 por lo que solo se aplicara la caja de encripción para el tráfico entre estos nodos; use los siguiente comandos para esta tarea y anote sus observaciones a fin de entender el proceso: Site1(config)# access-list 110 permit ip host 112.168.2.10 host 202.168.0.100 Site2(config)# access-list 110 permit ip host 202.168.0.100 host 112.168.2.10 5. Una vez que tenemos los pares de llaves, el intercambio de políticas, el conjunto de transformación a usar y el tráfico de interés que se protegerá procedemos a definir la política que combina todas estos parámetros; use los siguiente comandos para esta tarea y anote sus observaciones a fin de entender el proceso: Site1(config)# crypto map Site-Sec 10 ipsec-isakmp Site1(config-crypto-map)# match address 110 Site1(config-crypto-map)# set peer 200.1.1.2 Site1(config-crypto-map)# set transform-set MiTrans Site2(config)# crypto map Site-Sec 10 ipsec-isakmp Site2(config-crypto-map)# match address 110 Site2(config-crypto-map)# set peer 168.1.1.2 Site2(config-crypto-map)# set transform-set MiTrans 6. Para finalizar debemos aplicar esta política en la interfaz que se desea proteger; para este caso al no tener una infraestructura de tunel como en la práctica pasada, la protección del tráfico se desarrolla en las interfaces físicas; use los siguientes comandos para esta tarea y anote sus observaciones a fin de entender el proceso: Site1(config)# interface FastEthernet0/1 Site1(config-if)# crypto map Site-Sec Site2(config)# interface FastEthernet0/1 Site2(config-if)# crypto map Site-Sec

6 Seguridad en redes. Guía 7 7. Verificamos la operación del túnel generando tráfico que cumple el criterio de selectividad y tráfico que no lo cumple, de tal forma de comprobar que el túnel está operando coherentemente. Recuerde que para poder probar si efectivamente se protege el tráfico de interés, es necesario cambiar las direcciones de loopback de prueba en los enrutadores LockNet, según las listas de acceso creadas. 8. Use comandos de ping extendido para este proceso de verificación y utilice los comandos que se proponen a continuación, analice las salidas que estos generan y anote sus observaciones: Site2# show crypto ipsec sa interface: FastEthernet0/1 Crypto map tag: Site-Sec, local addr 200.1.1.2 protected vrf: (none) local ident (addr/mask/prot/port): (202.168.0.100/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (112.168.2.10/255.255.255.255/0/0) current_peer 168.1.1.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14 #pkts decaps: 14, #pkts decrypt: 14, #pkts verify: 14 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 1, #recv errors 0 Site2# show crypto map Crypto Map "Site-Sec" 10 ipsec-isakmp Peer = 168.1.1.2 Extended IP access list 110 access-list 110 permit ip host 202.168.0.100 host 112.168.2.10 Current peer: 168.1.1.2 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ MiTrans, } Interfaces using crypto map Site-Sec: FastEthernet0/1 Site2# show crypto ipsec transform-set

Seguridad en redes. Guía 8 7 Transform set MiTrans: { ah-sha-hmac } will negotiate = { Tunnel, }, { esp-256-aes esp-sha-hmac } will negotiate = { Tunnel, }, Las salidas presentadas en los comandos anteriores son de referencia por lo que no necesariamente deben tener los mismos datos de resultado. La selectividad del tráfico de interés se puede hacer tan compleja como lo permitan las técnicas de listas de control de acceso, de igual forma las políticas de definición y aplicación de la caja de encripción pueden granularse para un mejor control del tráfico que se protegerá y una optimización de recursos. Desafío corto Considerando la topología utilizada desarrolle las modificaciones que se proponen para una nueva implementación de VPN punto a punto, con los siguientes criterios: 1. Agregue una red local a cada enrutador LocNet con las siguientes redes simuladas por interfaces de Loopback 200.0.1.0/24 a LocNet1 y 20.0.2.0/24 a LocNet2. 2. Implemente una VPN de punto a punto que encripte el tráfico de toda la red a excepción de las primeras y últimas 16 direcciones IP de la red, es decir no debe encriptar los tráficos de las direcciones x.x.x.0 a x.x.x.15 y x.x.x.240 a x.x.x. 255. 3. Para mejorar el rendimiento esta VPN tendrá una validez de 6 horas, por lo que solo deberá de recalcular el canal una vez se caduque este tiempo. Evaluación Asistencia 20% Desarrollo de la práctica completa 40% Desarrollo del desafío cortó 40% Bibliografía Vijay Bollapragada, Mohamed Khalid, Scott Wainner; IPSec VPN Design, Firts Edition, Cisco Press, 2005. James Henry Carmouche; IPsec Virtual Private Network Fundamentals, Firts Edition, Cisco Press, 2006.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback