Tema 3 SAD - · PDF fileAhora empezamos con los comandos de la configuración VPN. ......
-
Upload
trinhtuong -
Category
Documents
-
view
223 -
download
2
Transcript of Tema 3 SAD - · PDF fileAhora empezamos con los comandos de la configuración VPN. ......
Tema 3 SAD
Vicente Sánchez Patón
I.E.S Gregorio Prieto
Tema 3 SAD
VPN sitio a sitio
a)Simulación VPN sitio a sitio, utilizando Packet Tracer.
El escenario será el siguiente.
Primero vamos a configurar R1, para ello realizamos los siguientes comandos.
Hacemos ping del PC1 de la oficina central al PC1 de la oficina remota, para
ver que se hacen ping y esta todo configurado.
Ahora empezamos con los comandos de la configuración VPN.
Una política IKE define una combinación de parámetros de seguridad
(cifrado, hash, autenticación y DH) que serán usados durante la negociación
IKE.
● En ambos nodos deben crearse políticas (tantas como se quieran
ordenadas por prioridad) y, al menos, debe existir una igual en los 2
extremos.
● También se deben configurar paquetes IKE keepalives (o paquetes hello)
para detectar posibles pérdidas de conectividad.
Crear una nueva política IKE. Cada política se identifica por su número de
prioridad (de 1 a 10.000; 1 la más prioridad más alta).
Especificar el algoritmo de cifrado a utilizar: 56-bit Data Encryption
Standard (DES [des]) o 168-bit Triple DES (3des).
Elegir el algoritmo de hash a usar: Message Digest 5 (MD5 [md5] ) o Secure
Hash Algorithm (SHA [sha]).
Determinar el método de autenticación: pre-shared keys (pre-share), RSA1
encrypted nonces (rsa-encr), o RSA signatures (rsa-slg).
Especificar el identificador de grupo Diffie-Hellman: 768-bit Diffie-
Hellman (1) o 1024-bit Diffie-Hellman (2).
Determinar el tiempo de vide de la Asociación de Seguridad (SA) en
segundos. 86400 segundos = 1 día.
Volver al modo de configuración global.
En función del método de autenticación elegido hay que llevar a cabo una
tarea más antes de que IKE e IPSec puedan usar la política creada.
● RSA signatures: hay que configurar ambos nodos para obtener los
certificados de una CA.
● RSA encrypted nonces: cada nodo debe tener en su poder la clave pública
del otro nodo.
● Pre-Shared keys:
1. Establecer la identidad ISAKMP de cada nodo (nombre o IP)
2. Establecer el secreto compartido en cada nodo.
En la oficina central: elegir la identidad ISAKMP (address o hostname) que
el router usará en las negociaciones IKE.
En la oficina central: establecer el secreto compartido que se usará con el
router de la oficina remota.
En la oficina remota: elegir la identidad ISAKMP (address o hostname) que
el router usará en las negociaciones IKE.
En la oficina remota: establecer el secreto compartido que se usará con el
router de la oficina central.
Las Crypto ACL se usan para definir el tráfico que será protegido mediante
cifrado.
En la oficina central: cifrar todo el tráfico IP que salga de la oficina central
hacia la oficina remota.
En la oficina remota: cifrar todo el tráfico IP que salga de la oficina remota
hacia la oficina central.
Definir los Transform Sets.
Establece las políticas de seguridad IPSEC que se usarán en las
comunicaciones, eligiendo el modo transporte (AH) o túnel (ESP).
Crear un crypto map de nombre VICEN1, y establecer el número de
secuencia de esta entrada, obligando a usar IKE para establecer SAs.
De los transform sets que se hayan definido, especificar cuál se usara en
esta entrada del crypto-map.
Activar Perfect Forward Secrecy.
Definir la dirección del host remoto.
Establecer el tráfico que se va a cifrar (definido previamente en una ACL).
Entrar al modo de configuración de la interfaz donde se aplicará el crypto
map.
Esta es la configuración VPN de sitio a sitio.
b) CISCO CCNA Security 1. 1. Laboratorio Lab- 8- A: VPN sitio-a-
sitio
- Realizar en el laboratorio virtual (GNS3) individualmente.
- Realizar en el laboratorio físico por grupos de alumnos.
Por CCP
Nos creamos un usuario para poder configurar el router de forma CCP.
Después abrimos la aplicación e introducimos el usuario y contraseña creada
con la dirección Ip a configurar. Después pulsamos ok.
Se nos mostrara la siguiente pantalla donde pulsaremos a discover sobre la
ip a configurar.
Después pulsamos al botón configure situada en la esquina superior
izquierda y podremos ver que podemos modificar y configurar las carpetas
de la barra izquierda.
Pulsamos sobre la opción vpn sitio a sitio y se nos mostrara la imagen de la
derecha.
Pulsamos "Launchtheselectedtask", pulsamos la segunda opción y seguimos el
asistente.
Ahora introducimos los siguientes datos:
- Seleccionamos la interfaz por donde va a realizarse la VPN.
- Ponemos la dirección remota al router R1.
- Ponemos una contraseña para compartir (cisco12345)
Configuramos la política de IKE que se utilizan para configurar el canal de
control entre los dos puntos finales de VPN para el intercambio de claves.
El conjunto de transformación es la directiva IPsec se utiliza para cifrar
hash y autenticarse paquetes que pasan a través del túnel.
Debemos definir el tráfico interesante para ser protegida a través del
túnel VPN. El tráfico interesante se define a través de una lista de acceso
aplicada al router.
Para eso ingresamos las direcciones en la siguiente ventana:
Podemos ver un resumen de lo configurado:
Finalmente lo guardamos pulsando en el checkbox.
Ahora hacemos un espejo que consiste en realizar la misma configuración
pero en el otro router.
Ahora para comprobar que funciona pulsamos en la opción “test tunnel”.
Ponemos la dirección de destino y le damos a continue.
Le damos a test tunnel y esperamos a que chequee el proceso, vemos que el
tunnelesta up.