Seguridad en redes. Guía 8 1 Tema: Implementación de redes privadas virtuales VPN de punto a punto. Contenidos Configuración de VPN de punto a punto Troubleshooting de infraestructura de VPN de punto a punto Objetivos Específicos Facultad: Ingeniería Escuela: Electrónica Asignatura: Seguridad en redes Desarrollar habilidades para la configuración de VPN de punto a punto. Comprender los mecanismos necesarios para la implementación de canales seguros. Desarrollar habilidades para la implementación de infraestructuras de VPN. Materiales y Equipo PC con GNS3 instalado. IOS con soporte para seguridad de enrutadores Cisco. Introducción Teórica Bibliografía Los túneles GRE son la forma más generalizada de crear VPN fijas, sin embargo es posible crear una simplificación de conexiones VPN sin tener que crear formalmente los Guía túneles 1 GRE, siempre que el tráfico que se transporte sea estrictamente IP y de tipo unicast, con esto se puede generar una simplificación de la caja de encripción que se aplica al tráfico haciendo más eficiente este proceso para los dispositivos intermedios. Es importante considerar que para el caso de este tipo de VPN las redes que se protegerán deben ser visibles en los dominios públicos, por lo que los espacios de direccionamiento privados no pueden ser elegibles para su implementación, si se hace uso de espacios de direccionamiento privado será necesario implementar además un mecanismo de traducción de direcciones, lo cual no es aconsejable para este tipo de modelos de VPN. Las VPN punto a punto por tanto desarrollan el proceso de aseguramiento del canal de comunicación de forma más eficiente que los GRE ya que no es necesario
2 Seguridad en redes. Guía 7 implementar de forma previa el túnel, sin embargo estas solo pueden asegurar trafico estrictamente IP y de tipo Unicast, restricción que no tiene GRE, así la selección de una implementación especifica de VPN dependerá del tipo de tráfico que se desea proteger, de la disponibilidad de direcciones públicas y del soporte y carga de los dispositivos intermedios que servirán para su funcionamiento. Procedimiento Parte Bibliografía I. Implementación de la topología de trabajo. 1. Lance el aplicativo GNS3 e implemente la topología que muestra en la figura 1, utilice el router modelo 3700; recuerde reducir el uso del CPU buscando un Idle PC. Guía 1 Figura 1. Topología de trabajo. 2. Etiquete la topología con toda la información mostrada en la figura 1. 3. Abra las consolas de cada uno de los enrutadores y desarrolle la configuración para garantizar su completa conectividad, una vez completo este paso debe existir conectividad entre todas las direcciones IP públicas de todos los enrutadores. Para este paso puede usar las habilidades desarrolladas en el curso de comunicación de datos I o bien usar las configuraciones propuestas en la siguiente tabla:
Seguridad en redes. Guía 8 3 LocNet1 hostname LocNet1 interface Loopback0 ip address 112.168.0.1 255.255.255.0 interface Loopback1 ip address 112.168.1.1 255.255.255.0 interface Loopback2 ip address 112.168.2.1 255.255.255.0 ip address 10.1.1.2 255.255.255.0 ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 Site1 hostname Site1 ip address 10.1.1.1 255.255.255.0 interface FastEthernet0/1 ip address 168.1.1.2 255.255.255.252 router eigrp 1 redistribute static network 168.1.1.0 0.0.0.3 no auto-summary ip route 112.168.0.0 255.255.255.0 Fa0/0 ip route 112.168.1.0 255.255.255.0 Fa0/0 ip route 112.168.2.0 255.255.255.0 Fa0/0 hostname R3 ip address 168.1.1.1 255.255.255.252 interface FastEthernet0/1 ip address 200.1.1.1 255.255.255.252 router eigrp 1 network 168.1.1.0 0.0.0.3 network 200.1.1.0 0.0.0.3 no auto-summary LocNet2 hostname LocNet2 interface Loopback0 ip address 202.168.0.1 255.255.255.0 interface Loopback1 ip address 202.168.1.1 255.255.255.0 interface Loopback2 ip address 202.168.2.1 255.255.255.0 ip address 10.2.2.1 255.255.255.0 ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 Site2 hostname Site2 ip address 10.2.2.2 255.255.255.0 interface FastEthernet0/1 ip address 200.1.1.2 255.255.255.252 router eigrp 1 redistribute static network 200.1.1.0 0.0.0.3 no auto-summary ip route 202.168.0.0 255.255.255.0 Fa0/0 ip route 202.168.1.0 255.255.255.0 Fa0/0 ip route 202.168.2.0 255.255.255.0 Fa0/0 R3
4 Seguridad en redes. Guía 7 4. Garantice la conectividad antes de pasar a la siguiente sección, utilice ping extendido desde las IPs de las redes loopback de locnet1 hacia las loopback de LocNet2, estos deben de ser exitosos, ejecute un proceso de recuperación de fallas si es necesario. Parte II. Implementación de las VPN de punto a punto. Para poder implementar este paso es necesario que la conectividad de todas las direcciones IP públicas este funcional, con esto procedemos a desarrollar las VPN 1. Configuración de los pares de llaves y las políticas de intercambio de llaves de Internet IKE que se usaran en la caja de encripción, debe usar autenticación de llaves previamente compartidas, protocolo de cifrado AES 256, algoritmo de garantía de integridad SHA, grupo de intercambio Diffie-Hellman 5 y tiempo de vida de la llave de una hora; use los siguientes comandos para esta tarea y anote sus observaciones a fin de entender el proceso: Site1(config)# crypto isakmp policy 10 Site1(config-isakmp)# authentication pre-share Site1(config-isakmp)# encryption aes 256 Site1(config-isakmp)# hash sha Site1(config-isakmp)# group 5 Site1(config-isakmp)# lifetime 3600 Site2(config)# crypto isakmp policy 10 Site2(config-isakmp)# authentication pre-share Site2(config-isakmp)# encryption aes 256 Site2(config-isakmp)# hash sha Site2(config-isakmp)# group 5 Site2(config-isakmp)# lifetime 3600 2. Definición de los pares de interfaces físicas que definen el túnel a proteger con el IPSec llamaremos al canal protegido SiteSecure ; use los siguientes comandos para esta tarea y anote sus observaciones a fin de entender el proceso: Site1(config)# crypto isakmp key 6 SiteSecure address 200.1.1.2 Site2(config)# crypto isakmp key 6 SiteSecure address 168.1.1.2 3. Ahora crearemos el conjunto de transformación al que llamaremos MiTrans que usara la caja de encriptación para asegurar el canal con IPSec; use los siguientes comandos para esta tarea y anote sus observaciones a fin de entender el proceso:
Seguridad en redes. Guía 8 5 Site1(config)#crypto ipsec transform-set MiTrans esp-aes 256 esp-sha-hmac ah-sha-hmac Site2(config)#crypto ipsec transform-set MiTrans esp-aes 256 esp-sha-hmac ah-sha-hmac 4. Definimos el tráfico de interés que deseamos proteger, no es conveniente proteger todo el tráfico que pasa por el túnel para evitar sobrecargar el dispositivo, para nuestro caso protegeremos el tráfico entre los nodos 112.168.2.10 y 202.168.0.100 por lo que solo se aplicara la caja de encripción para el tráfico entre estos nodos; use los siguiente comandos para esta tarea y anote sus observaciones a fin de entender el proceso: Site1(config)# access-list 110 permit ip host 112.168.2.10 host 202.168.0.100 Site2(config)# access-list 110 permit ip host 202.168.0.100 host 112.168.2.10 5. Una vez que tenemos los pares de llaves, el intercambio de políticas, el conjunto de transformación a usar y el tráfico de interés que se protegerá procedemos a definir la política que combina todas estos parámetros; use los siguiente comandos para esta tarea y anote sus observaciones a fin de entender el proceso: Site1(config)# crypto map Site-Sec 10 ipsec-isakmp Site1(config-crypto-map)# match address 110 Site1(config-crypto-map)# set peer 200.1.1.2 Site1(config-crypto-map)# set transform-set MiTrans Site2(config)# crypto map Site-Sec 10 ipsec-isakmp Site2(config-crypto-map)# match address 110 Site2(config-crypto-map)# set peer 168.1.1.2 Site2(config-crypto-map)# set transform-set MiTrans 6. Para finalizar debemos aplicar esta política en la interfaz que se desea proteger; para este caso al no tener una infraestructura de tunel como en la práctica pasada, la protección del tráfico se desarrolla en las interfaces físicas; use los siguientes comandos para esta tarea y anote sus observaciones a fin de entender el proceso: Site1(config)# interface FastEthernet0/1 Site1(config-if)# crypto map Site-Sec Site2(config)# interface FastEthernet0/1 Site2(config-if)# crypto map Site-Sec
6 Seguridad en redes. Guía 7 7. Verificamos la operación del túnel generando tráfico que cumple el criterio de selectividad y tráfico que no lo cumple, de tal forma de comprobar que el túnel está operando coherentemente. Recuerde que para poder probar si efectivamente se protege el tráfico de interés, es necesario cambiar las direcciones de loopback de prueba en los enrutadores LockNet, según las listas de acceso creadas. 8. Use comandos de ping extendido para este proceso de verificación y utilice los comandos que se proponen a continuación, analice las salidas que estos generan y anote sus observaciones: Site2# show crypto ipsec sa interface: FastEthernet0/1 Crypto map tag: Site-Sec, local addr 200.1.1.2 protected vrf: (none) local ident (addr/mask/prot/port): (202.168.0.100/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (112.168.2.10/255.255.255.255/0/0) current_peer 168.1.1.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14 #pkts decaps: 14, #pkts decrypt: 14, #pkts verify: 14 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 1, #recv errors 0 Site2# show crypto map Crypto Map "Site-Sec" 10 ipsec-isakmp Peer = 168.1.1.2 Extended IP access list 110 access-list 110 permit ip host 202.168.0.100 host 112.168.2.10 Current peer: 168.1.1.2 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ MiTrans, } Interfaces using crypto map Site-Sec: FastEthernet0/1 Site2# show crypto ipsec transform-set
Seguridad en redes. Guía 8 7 Transform set MiTrans: { ah-sha-hmac } will negotiate = { Tunnel, }, { esp-256-aes esp-sha-hmac } will negotiate = { Tunnel, }, Las salidas presentadas en los comandos anteriores son de referencia por lo que no necesariamente deben tener los mismos datos de resultado. La selectividad del tráfico de interés se puede hacer tan compleja como lo permitan las técnicas de listas de control de acceso, de igual forma las políticas de definición y aplicación de la caja de encripción pueden granularse para un mejor control del tráfico que se protegerá y una optimización de recursos. Desafío corto Considerando la topología utilizada desarrolle las modificaciones que se proponen para una nueva implementación de VPN punto a punto, con los siguientes criterios: 1. Agregue una red local a cada enrutador LocNet con las siguientes redes simuladas por interfaces de Loopback 200.0.1.0/24 a LocNet1 y 20.0.2.0/24 a LocNet2. 2. Implemente una VPN de punto a punto que encripte el tráfico de toda la red a excepción de las primeras y últimas 16 direcciones IP de la red, es decir no debe encriptar los tráficos de las direcciones x.x.x.0 a x.x.x.15 y x.x.x.240 a x.x.x. 255. 3. Para mejorar el rendimiento esta VPN tendrá una validez de 6 horas, por lo que solo deberá de recalcular el canal una vez se caduque este tiempo. Evaluación Asistencia 20% Desarrollo de la práctica completa 40% Desarrollo del desafío cortó 40% Bibliografía Vijay Bollapragada, Mohamed Khalid, Scott Wainner; IPSec VPN Design, Firts Edition, Cisco Press, 2005. James Henry Carmouche; IPsec Virtual Private Network Fundamentals, Firts Edition, Cisco Press, 2006.