Tema: Redes Privadas Virtuales

Tema: Redes Privadas Virtuales Contenidos Creación de túnel VPN IPSec Sitio-a-Sitio con intercambio IKE Creación de túnel VPN IPSec de cliente Remoto Objetivos Específicos Materiales y Equipo Seguridad en redes. Guía 4 1 Que el alumno sea capaz de experimentar el armado y configuración de una VPN IPSec de sitio a sitio. Que el alumno sea capaz de experimentar el armado y configuración de una VPN IPSec de acceso remoto. PC con Windows XP instalado. Dispositivo concentrador de VPN s. Software de cliente VPN. Facultad: Ingeniería Escuela: Electrónica Asignatura: Seguridad en redes Introducción Teórica REDES PRIVADAS VIRTUALES (VPN) Una Red Privada Virtual (VPN, Virtual Private Network) es una conexión privada que hace uso de una infraestructura de red pública. Una red privada proporciona seguridad sobre un ambiente inseguro. Las VPN s son utilizadas comúnmente para interconectar variadas redes de área local (LAN s) geográficamente distantes a través de Internet u otras redes públicas. Con una VPN, el sitio remoto aparenta estar conectado a la red local como si estuviera conectada localmente. Dependiendo del tipo de VPN que se trate, se requiere de hardware especializado para ser instalado en la red o de un cliente de software que se ejecute en una computadora cliente o un servidor. Las VPN s generalmente utilizan algunos de los siguientes protocolos: Layer 2 Tunning Protocol (L2TP), IPSec o Point-to-Point Tunneling Protocol (PPTP). La figura 1 muestra una red remota interconectada a una LAN utilizando el Internet y una VPN. Esta conexión, como ya se mencionó anteriormente, aparenta ser una conexión local, y todo el tráfico está disponible a través de la VPN.

2 Seguridad en redes. Guía 4 La principal característica de seguridad que ofrecen las VPN s es la encripción. PPTP ofrece algunas capacidades de encripción, aunque ellas son débiles. El protocolo IPSec ofrece un mayor nivel de seguridad, y es el sistema de encripción más ampliamente utilizado en ambientes de red seguros. Figura 1: Dos LAN interconectadas utilizando una VPN a través de Internet Como se mencionó anteriormente, las VPN s son utilizadas para hacer conexiones entre redes privadas a través de una red pública, tal como el Internet. Estas conexiones no tienen garantía de seguridad a menos que un protocolo de entunelamiento (como PPTP) y un sistema de encripción (como IPSec) sean utilizados. Existe un amplio rango de opciones en el mercado para llevar a cabo estas implementaciones, incluyendo tecnologías propietarias. La mayor parte de ISP s y proveedores de comunicación de datos ofrecen hardware dedicado con capacidades de VPN a sus clientes. Muchos servidores también proveen software con capacidades de VPN para ser utilizadas entre dos redes. Finalmente, las VPN pueden ser dedicadas para un protocolo específico, o pueden pasar cualquier protocolo que quiera transitar entre ambos extremos de la VPN. No hay que olvidar que una conexión VPN aparenta ser un cable dedicado entre las redes que se interconectan. Procedimiento Preparación del escenario Bibliografía 1. Con los materiales y equipos que el instructor provea, realizar la interconexión de los dispositivos tal y como se ilustra en el siguiente diagrama de red. Guía 1

Seguridad en redes. Guía 4 3 Firewall ORION IF WAN IF LAN PC3 SWITCH INTERNET Firewall ANTARES IF WAN IF WAN Firewall CASIOPEA IF LAN IF LAN FTP WEB PC1 2. Realizar las configuraciones de las interfaces de red de los equipos cliente como se describe en la siguiente tabla. Nombre del Equipo Dirección IP Máscara de subred PC1 192.168.168.2 255.255.255.0 PC2 192.168.168.2 255.255.255.0 PC3 192.168.168.2 255.255.255.0 PC2 3. Abrir un navegador Web (deshabilite el proxy del navegador) y en la barra de direcciones digitar https://192.168.168.168, la cual es la dirección IP de los Firewall Sonicwall por defecto. 4. Se nos presenta la pantalla de inicio de sesión, utilizaremos las credenciales admin para el nombre de usuario y password como contraseña. 5. En el panel de la izquierda se nos presenta el menú principal donde se encuentran todas las opciones de configuración para este firewall. Mientras que en el panel central es el área de trabajo. 6. En primer lugar configuraremos el nombre del dispositivo Firewall asignado según el diagrama de red ilustrado en el paso 1. Para ello, en el panel izquierdo hacemos clic en System>Administration. Se nos despliega la siguiente pantalla.

4 Seguridad en redes. Guía 4 7. En el campo Firewall Name, ingresar el nombre correspondiente. Luego hacer clic en el botón Apply ubicado en la esquina superior derecha del área de trabajo. 8. Ahora se procederá a la configuración de los parámetros de red de cada uno de los Firewall. Para ello tome como referencia la siguiente tabla y continúe en el paso 9. Nombre del Dirección IP Máscara IF LAN Gateway IF LAN Dirección IP Máscara IF WAN Gateway IF WAN equipo IF LAN IF WAN FW 192.168.10.1 255.255.255.0 N/A 168.243.10.1 255.255.255.0 168.243.10.10 ANTARES FW 192.168.20.1 255.255.255.0 N/A 168.243.10.2 255.255.255.0 168.243.10.10 CASIOPEA FW 192.168.30.1 255.255.255.0 N/A 168.243.10.3 255.255.255.0 168.243.10.10 ORION PC1 192.168.10.2 255.255.255.0 192.168.10.1 N/A N/A N/A PC2 192.168.20.2 255.255.255.0 192.168.20.1 N/A N/A N/A PC3 192.168.30.2 255.255.255.0 192.168.30.1 N/A N/A N/A

Seguridad en redes. Guía 4 5 9. En el panel izquierdo de la interface de configuración, hacer clic en Network>Interfaces. Se nos despliega la siguiente pantalla. En donde se detallan cada una de las interfaces de red con que cuentan estos firewalls. 10. En la tabla Interface Settings, se lista la siguiente información de cada interfase de red disponible: Name, Zone, IP Address, Subnet Mask, IP Assignment, Status, Comment y Configure. 11. Hacer clic en el botón Configure de la interface etiquetada con el nombre WAN. Entonces se nos despliega una pantalla similar a la siguiente imagen.

6 Seguridad en redes. Guía 4 12. Complementar los campos correspondientes que se observan en la figura anterior, con los datos proporcionados en la tabla del paso 8 que hacen referencia a IF WAN en dicha tabla. 13. En las casillas de verificación de la opción Management seleccionar HTTPS y Ping. Luego hacer clic en el botón OK. Con esto se ha configurado la interface del Firewall que se conectará a nuestra «red pública» 14. Luego, regresamos a la sección Interface Settings de la Interfaz gráfica de configuración. 15. Ahora, hacemos clic en el botón Configure de la interface etiquetada como LAN. Se nos despliega la pantalla que se observa en la siguiente imagen. 16. Complementamos los campos correspondientes con los valores de la tabla proporcionada en el paso 8 que hacen referencia a IF LAN. Hacer clic en el botón OK. Después de lo cual seremos desconectados de la interfaz gráfica de configuración. 17. Para reconectarnos a la interfaz de configuración gráfica, se deberá de cambiar la configuración de las interfaces de red de las PC clientes con los valores que se detallan en la tabla del paso 8.

Seguridad en redes. Guía 4 7 18. Cuando los cambios de configuración de red de las máquinas cliente hayan sido aplicados, abrir un navegador Web y en la barra de direcciones digitar el URL https://192.168.x.1. Donde la X representa al tercer octeto de la dirección IP del Firewall asignado. Creación de túnel VPN IPSec Sitio-a-Sitio con intercambio IKE y utilizando Preshared Secret 19. Navegar a la pantalla VPN>Settings. Aquí se nos despliega la pantalla que se observa a continuación, en la cual se puede visualizar el estado de la configuración de las VPN existentes. Cada una de las entradas que aquí se visualizan despliega la siguiente información: a. Name: Despliega el nombre por defecto o el nombre personalizado de la política VPN b. Gateway: Despliega la dirección IP del dispositivo remoto con el cual se establece la conexión c. Destinations: Despliega las direcciones IP de las redes destino internas del otro extremo d. Crypto Suite: Muestra la información acerca del tipo de encripción utilizada en una política VPN e. Enable: Seleccionando la casilla de verificación, habilita la directiva VPN. Limpiando la casilla de verificación la deshabilita f. Configure: Haciendo clic en el ícono Edit permite la modificación de los parámetros de configuración de una directiva VPN en particular

8 Seguridad en redes. Guía 4 20. El Firewall definido como ORION, configurará dos túneles VPN, con los Firewalls ANTARES y CASIOPEA. Mientras que los Firewalls ANTARES y CASIOPEA solamente configurarán un túnel VPN cada uno hacia el Firewall ORION. 21. En el estado actual de conexión, verificar el estado de la comunicación entre las redes LAN de cada uno de los sitios a través de un PING continuo. Cuál es el resultado de dicha prueba? Por qué? 22. Verificar que la opción Enable VPN se encuentre habilitada. Hacer clic en el botón Add, para iniciar la configuración de la VPN Sitio-a-Sitio. Con esto, se nos despliega la pantalla de configuración que se muestra a continuación. 23. En el TAB General complementar los campos que allí se presentan con la información que se describe a continuación: a. IPSec Keying Mode: IKE using Preshared Secret b. Name: Nombre del equipo Remoto con el que se realice la conexión c. IPSec Primary Gateway Name or Address: Dirección IP de la interfase WAN del equipo con el cual se realice la conexión d. IPSec Secondary Gateway Name or Address: Dejar el valor por defecto e. Shared Secret: 1234567890 f. Local IKE ID (optional): Dejar el valor por defecto

Seguridad en redes. Guía 4 9 g. Peer IKE ID (optional): Dejar el valor por defecto 24. Cuáles son las otras opciones posibles para IPSec Keying Mode? 25. Cuando se haya completado la información anterior, hacer clic en el TAB Network, aquí se nos presenta una pantalla similar a la siguiente imagen: 26. Complementar los campos que allí se presentan con la información que se describe a continuación: g. Local Networks: Seleccionar la opción Choose local network from list y del menú desplegable seleccionar la opción LAN SUBNETS h. Destinations Networks: Seleccionar la opción Choose destination network from list y del menú desplegable seleccionar la opción Create New Address Object i. Con esto, se nos despliega una nueva ventana, la cual deberá ser complementada como se detalla a continuación: i. Name: Cualquier nombre que describa a la red local del dispositivo remoto ii. Zone Assigment: VPN iii. Type: Network iv. Network: Dirección IP de la Red Interna de sitio remoto v. Netmask: Máscara de subred de la Red Interna del sitio remoto

10 Seguridad en redes. Guía 4 j. Hacer clic en el botón OK. Con lo cual regresamos a la ventana VPN Policy 27. Cuando se haya completado la información anterior, hacer clic en el TAB Proposal, aquí se nos presenta una pantalla similar a la siguiente imagen: 28. En esta sección se definen los parámetros de seguridad de la directiva VPN que se está creando. Complementar dichos campos con la información que se detalla a continuación: k. IKE (Phase 1) Proposal i. Exchange: Main Mode ii. DH Group: Group 2 iii. Encryption: DES iv. Authentication: SHA1 v. Life Time (seconds): 28800 l. IPSec (Phase 2) Proposal i. Protocol: ESP ii. Encryption: DES iii. Authentication: SHA1 iv. Enable Perfect Forward Secrecy: Deshabilitado v. Life Time (seconds): 28800 29. Cuando se haya completado la información anterior, hacer clic en el TAB Advanced, aquí se nos presenta una pantalla similar a la siguiente imagen:

Seguridad en redes. Guía 4 11 30. En esta sección habilitar la casilla de verificación Enable Keep Alive. 31. Hacer clic en el botón OK, con lo cual la política VPN queda completamente definida y el túnel es creado, lo cual puede ser verificado en VPN>Settings. La cual debería de lucir similar a la imagen que se presenta a continuación. NOTA: Para el caso del Firewall ORION, se hace necesario repetir los pasos del 1 al 13 e esta sección para crear el túnel con cada equipo remoto.

12 Seguridad en redes. Guía 4 32. Explique los cambios de la imagen anterior al compararse con la imagen presentada en el punto 1 de la presente sección. 33. Cuál es el significado de la información desplegada en la sección Currently Active VPN Tunnels? 34. Existe alguna modificación en el estado del PING continuo hacia las redes internas remotas?, Por qué? 35. Realice cualquier otra prueba de conexión entre las redes internas de los sitios remotos. 36. Deshabilitar los túneles VPN existentes. Creación de túnel VPN IPSec de cliente Remoto 37. Navegar a VPN>Settings, hacer clic en el botón Edit para la directiva llamada WAN GroupVPN. La ventana VPN Policy es desplegada. 38. En el TAB General el valor por defecto de Authentication Method es IKE using Preshared Secret, no modificar dicho parámetro. 39. En el campo Shared Secret modificar el valor existente por 12345678. 40. Hacer clic en el TAB Proposals para continuar con el proceso de configuración.

Seguridad en redes. Guía 4 13 41. Configurar la Fase 1 y Fase 2 con los parámetros que se detallan a continuación: a. IKE (Phase 1) Proposal i. DH Group: Group 2 ii. Encryption: AES-128 iii. Authentication: SHA1 iv. Life Time (seconds): 28800 b. IPSec (Phase 2) Proposal i. Protocol: ESP ii. Encryption: AES-128 iii. Authentication: SHA1 iv. Enable Perfect Forward Secrecy: Deshabilitado v. Life Time (seconds): 28800 42. Hacer clic en el TAB Advanced.

14 Seguridad en redes. Guía 4 43. En la sección Client Authentication, seleccionar la opción Require Authentication of VPN Clientsvia XAUTH. 44. Hacer clic en el TAB Client. 45. Configurar los campos de esta sección con los valores que se definen a continuación: a. Cache XAUTH User Name and Password on Client: Never b. Client Connections i. Virtual Adapter Settings: None ii. Allow Connections to: Split Tunnels 46. Dejar el resto de configuraciones en los valores por defecto 47. Hacer clic en el botón OK. 48. Se regresa a la ventana VPN>Settings. 49. En la tabla VPN Policies, habilitar la política llamada WAN GroupVPN. 50. Navegar a la página User>Local Users

Seguridad en redes. Guía 4 15 51. Hacer clic en el botón Add User 52. Crear un nombre de usuario y complementar el campo Name. 53. Crear una contraseña para el usuario y escribirlo en los campos Password y Confirm Password. 54. Hacer clic en el TAB Groups. 55. Verificar que bajo el cuadro Member Of se encuentre el grupo llamado Trusted Users. 56. Hacer clic en el TAB VPN Access. 57. Para permitir que el usuario acceda a la red interna utilizando un túnel VPN, seleccionar LAN Subnets desde el listado Networks y hacer clic en el botón -> para moverlo a Access List.

16 Seguridad en redes. Guía 4 58. Hacer clic en el botón Ok. 59. Intercambiar las credenciales de los usuarios recientemente creados con los otros grupos de trabajo. 60. En la máquina cliente, ir a Inicio > Programas > Sonicwall VPN Client Con lo cual se inicia la aplicación de cliente VPN remoto. 61. Hacer clic en el botón New Connection con lo cual se despliega el Wizzard de configuración de la conexión. 62. Hacer clic en botón Siguiente en la pantalla de bienvenida. 63. Seleccionar la opción Remote Access. Hacer clic en View Scenario para obtener un mayor detalle del tipo de configuración que se está configurando.

Seguridad en redes. Guía 4 17 64. Hacer clic en Siguiente. 65. En la ventana Remote Access, complementar los campos IP Address or Domain Name y Connection Name con los valores que correspondan a la conexión que se está realizando. Hacer clic en Siguiente.

18 Seguridad en redes. Guía 4 66. Hacer clic en el botón Finalizar. 67. Iniciar la conexión haciendo clic en el botón Enable para habilitar la conexión recientemente creada. 68. Realizar pruebas de comunicación hacia la red interna que se está configurando la conexión. Investigación Complementaria Realizar un cuadro comparativo del funcionamiento de las opciones IPSec Keying Mode Cuál es la diferencia entre las funciones de la Fase 1 y la Fase 2 utilizada en Proposals? En que consiste la configuración Hub-and-Spoke en una arquitectura de VPN s? Detalle los pasos necesarios para la configuración de Hub-and-Spoke utilizando los equipos del laboratorio. Cuál es la función del valor de Life Time utilizado durante la configuración de la Fase 1 y Fase 2? Cuál sería la solución para interconectar a través de una conexión VPN dos redes internas con el mismo direccionamiento IP interno? Es posible? Si se comparan los algoritmos de encripción utilizados en las secciones 5.2 y 5.2, cuál de ellos ofrece mayor nivel de seguridad y por qué? Mencione 5 escenarios en los cuales puede ser de utilidad la conexión de Cliente VPN Remoto? Guía 3 Guía 4 fía Bibliografía Fundamentos de Seguridad de Redes, 2ª. Edición, Eric Maiwald. Network Security, Concepts and Facilities, Handbooks UK. Guía 3 Guía 4 fía

Seguridad en redes. Guía 4 19 Guía 4: Redes privadas virtuales Hoja de cotejo: Tema: Presentación del programa Alumno: Máquina GL: No: Docente: Máquina No: 4 1 Alumno: Docente: Docente: GL: Máquina a No: GL: Fecha: EVALUACION % 1-4 5-7 8-10 Nota CONOCIMIENTO 25 Demostró poco conocimiento sobre el tema de la práctica. APLICACIÓN DEL CONOCIMIENTO 70 Interconecta los dispositivos de la topología y realiza la configuración básica. Demostró conocimiento medio sobre el tema de la práctica. Interconecta los dispositivos de la topología y realiza la configuración básica. Crea y comprueba el funcionamiento de la VPN IPSec Sitio-a- Sitio Demostró buen conocimiento sobre el tema de la práctica. Interconecta los dispositivos de la topología y realiza la configuración básica. Crea y comprueba el funcionamiento de la VPN IPSec Sitio-a- Sitio y la VPN IPSec de cliente Remoto ACTITUD 2.5 Es un observador pasivo. 2.5 Es ordenado pero no hace un uso adecuado de los recursos. Participa ocasionalmente o lo hace constantemente pero sin coordinarse con su compañero. Hace un uso adecuado de recursos respetando las pautas de seguridad, pero es desordenado. Participa propositiva e integralmente en toda la práctica. Hace un manejo responsable y adecuado de los recursos conforme a pautas de seguridad e higiene. TOTAL 100