Práctica 6 VPN

Vista previa del material en texto

PRACTICA 6 VPN 
 
Objetivos: 
- Conocer los conceptos básicos asociados a las VPN: IPSec, encriptación, 
autenticación, túnel VPN, asociaciones seguras (SA),... 
- Configurar los parámetros de un túnel VPN en un router 
- Configurar los parámetros de un PC cliente remoto con windows XP 
 
 
En primer lugar se proporciona un ejemplo configurado que el grupo de prácticas 
tendrá que adaptar según la lista de tareas 
 
Escenario: 
 
F0 
192.168.138.1 
192.168.136.0 
192.168.136.11 Router 
1720 
S0 
192.168.137.2 
Router 
2514 
Video server 
192.168.138.11 
S1 
192.168.137.1 
E0 
192.168.136.1 Frame relay 
 
 
Se va a configurar un tunel seguro VPN en la red de la figura entre el cliente XP y el 
interfaz serie del router 1720. El interfaz ethernet del 1720 está conectado a un servidor 
Windows 2000 denominado videoserver que permite conexiones remotas de un usuario 
User01 con contraseña pepe1492. 
 
Conceptos previos: 
IKE , “Internet Key Exchange” es un protocolo que define el método de intercambio 
de claves sobre IP en una primera fase de negociación segura. Está formado por una 
cabecera de autenticación, AH o Authentication Header, que en nuestro caso no 
utilizaremos, o una cabecera de autenticación más encriptación que se conoce como 
Encapsulating Security Payload o ESP) 
Es importante entender que IPSec ofrece dos modos de operación según utilice AH 
ESP para proteger los datos sobre IP. Se conocen como “modo de transporte” (se 
emplea AH) o “modo túnel” (se utiliza ESP). En la práctica emplearemos este 
segundo modo. 
SA, o Security Asociations: Son conjuntos de parámetros que se utilizan para definir 
los requerimientos de seguridad de una comunicación en una dirección particular 
(entrante o saliente) Una SA puede utilizar AH o ESP pero no ambas 
 
 
 
Pasos para la configuración: 
1. Preparar la red para IPSEC e IKE (este paso es previo a la configuración) 
a. En esta tarea hay que configurar una conexión básica entre los dos 
routers, y verificar que hay conectividad entre los extremos de la red. En 
este caso concreto el enlace entre los routers es frame relay con las 
siguientes configuraciones: 
 
Router 1720 
 interface Serial0 
 ip address 192.168.137.2 255.255.255.0 
 encapsulation frame-relay IETF 
 bandwidth 64 
 frame-relay lmi-type ansi 
 frame-relay inverse-arp ip 16 
 frame-relay map ip 192.168.137.1 25 broadcast IETF 
 frame-relay switching 
 frame-relay intf-type dce 
 clockrate 2000000 
 
 
Router 2514 
 interface Serial1 
 ip address 192.168.137.1 255.255.255.0 
 encapsulation frame-relay IETF 
 bandwidth 64 
 frame-relay lmi-type ansi 
 frame-relay inverse-arp ip 16 
 frame-relay map ip 192.168.137.2 25 broadcast IETF 
 
 
b. Definir cuáles son los algoritmos de encriptación y autenticación (en este 
caso se van a utilizar DES y SHA respectivamente tanto en el router 
como en el PC) 
c. Definir ACLS, comprobar que son adecuadas (en este caso se va a 
permitr todo el tráfico IP entre servidor W2000 y destino XP y se va a 
denegar el tráfico IP con origen en el servidor W2000 y cualquier otro 
destino) 
 
2. Crear listas de acceso en router 1720 
Las listas de acceso se emplean para filtrar el trafico entrante o saliente basándose 
en algunos criterios. Sólo se permiten aquellos paquetes que “encajan” en las 
reglas específicas. 
Comando: 
Router (config)# access-list access-list-number{ deny | permit } protocol source-
address source-wildcard destination-address destination-wildcard [eq port-
number] [log] 
 
 
 
En nuestro ejemplo se configuran las siguientes listas de acceso (en 
router(config)# ) 
Router (config)# access-list 110 permit ip 192.168.138.0 0.0.0.255 192.168.136.0 
0.0.0.255 
Router (config)# access-list 110 deny ip 192.168.138.0 0.0.0.255 any 
 
 
3. Configurar el Transform Set 
El transform set define las políticas de seguridad que serán aplicadas al tráfico que 
entra o sale de la interfaz. El estándar IPSec especifica el uso de Security 
Asociations para determinar qué políticas de seguridad se aplican al tráfico 
deseado. Los transform-set se definen a través de crypto-maps. 
 
3.1. Definición del protocolo de transform-set 
Este commando selecciona si se utiliza AH o ESP 
Comando 
Router (config)# crypto ipsec transform-set transform-set-name transform1 
[transform2 [transform3]] 
Nuestro ejemplo (en este caso se escoge como protocolo de encriptación esp el 
algoritmo des y como protocolo de autentificación la variante may del algoritmo 
sha. Es importante que este protocolo coincida con el que se configura en el 
extremo XP del tunel para que haya conectividad) 
Router (config)# crypto ipsec transform-set rtpset esp-des esp-sha-hmac 
 
3.2. Especificar el Modo del transform-set 
Este comando especifica el modo en el que opera IPSec (modo transporte o modo 
tunel) 
Comando: 
Router (cfg-crypto-tran)# mode [tunnel | transport ] 
Nuestro ejemplo: 
Router (cfg-crypto-tran)# mode tunnel 
 
 
4. Configurar el crypto-map con IKE 
 
4.1 Crear el crypto-map con IKE 
Un crypto-map se crea especificando el nombre del mapa, el número de secuencia 
del mapa y el tipo de gestión de clave que se va a emplear entre los dos extremos. 
Comando: 
Router (config)# crypto map map-name seq-num ipsec-isakmp 
Nuestro ejemplo: 
Router (config)# crypto map rtp 1 ipsec-isakmp 
4.2 Especificar el tráfico de datos 
Se especifica el tráfico que se quiere encriptar. Es aquel tráfico que ha sido definido 
en las listas de acceso 
Comando: 
Router (config-crypto-map)# match address access-list-number 
Nuestro ejemplo: 
Router (config-crypto-map)# match address 110 
 
4.3 Especificar el extremo destino del tunel VPN 
Se da la dirección IP del host destino (en nuestro caso el PC XP) 
Comando: 
Router (config-crypto-map)# set peer { host name | ip-address} 
Nuestro ejemplo: 
Router (config-crypto-map)# set peer 192.168.136.11 
 
4.4 Especificar el transform-set a utilizar 
De los transform-set que se hayan definido se especifica cual se aplica en este túnel 
Comando: 
Router (config-crypto-map)# set transform-set transform-set-name 
Nuestro ejemplo: 
Router (config-crypto-map)# set transform-set rtpset 
 
4.5 Activar PFS (Perfect Forward Security) 
Por defecto es un comando que está desactivado. Como se va a utilizar en el 
extremo XP es necesario activarlo. 
Comando: 
Router (config-crypto-map)# set pfs { group 1 | group2} 
Nuestro ejemplo: 
Router (config-crypto-map)# set pfs 
 
4.6 Configurar IKE 
Esto supone tres pasos: 
4.6.1 Habilitar IKE 
Comando: 
Router (config)# crypto isakmp enable 
 
4.6.2 Crear una IKE policy (política de encriptación de IKE) 
4.6.2.1 Definir la prioridad 
Esta prioridad se utiliza para ordenar la aplicación de las políticas de 
encriptación cuando existen varias 
Comando: 
Router (config)# crypto isakmp policy priority 
Nuestro ejemplo: 
Router (config)# crypto isakmp policy 1 
 
4.6.2.2 Especificar el algoritmo de encriptación que se utiliza en IKE 
Comando: 
Router (config-isakmp)# encryption {des|3des} 
Nuestro ejemplo: 
DES por defecto y no se configura 
 
4.6.2.3 Especificar el algoritmo hash 
Cisco permite utilizar SHA o MD5 
Comando: 
Router (config-isakmp)# hash {sha|md5} 
Nuestro ejemplo: 
SHA por defecto y no se configura 
 
4.6.2.4 Especificar el método de autenticación 
Método de autenticación para el intercambio de claves. Puede ser RSA, RSA 
encriptado y claves pre-configuradas (las dos primeras necesitan un servidor 
de autoridad) 
Comando: 
Router (config-isakmp)# authentication {rsa-sig | rsa-encr | pre-share} 
Nuestro ejemplo: 
Router (config-isakmp)# authentication pre-share 
 
4.6.2.5 Especificar el identificador de grupo del algoritmo de Diffie Hellman 
Comando: 
Router (config-isakmp)# group {1|2} 
Nuestro ejemplo: 
No se usa 
 
4.6.2.6 Especificar el tiempo de seguridad asociado 
Tiempo máximo en el que una política de seguridad se utiliza sin necesidad 
de negociarla de nuevo 
Comando: 
Router (config-isakmp)# lifetime seconds 
Nuestro ejemplo: 
Router (config-isakmp)# lifetime28800 
 
4.6.3 Definir una clave (key) 
Como hemos escogido utilizar claves pre-configuradas que se intercambien en la 
negociación inicial es necesario configurarla en cada extremo 
Comando: 
Router (config)# crypto isakmp key clave address peer-address 
Nuestro ejemplo: 
Router (config)# crypto isakmp key cisco123 address 192.168.136.11 
 
 
5. Aplicar el crypto-map al interface extremo del túnel VPN 
En nuestro caso hay que aplicar el crypto-map definido al puerto serie del router 
1720. 
Comando: 
Router (config-if)# crypto map map-name 
Nuestro ejemplo: 
Router (config-if)# crypto map rtp 
 
 
6. Configurar la conexión VPN en el PC con windows XP siguiendo 
los pasos siguientes del guión “Configuring IPSec between a 
Microsoft Windows XP professional (1NIC) and the VPN 
router” que se puede encontrar en la página web de la 
asignatura. 
A partir del guión especificado, se incluyen a continuación únicamente aquellas 
ventanas que en el ejemplo del guión no coinciden con el ejemplo de configuración 
de esta práctica considerando que el windows XP es el extremo opuesto al router 
1720 del tunel VPN. 
 
 
 
 
Extremo de WIN XP a VPN 
 
 
 
Extremo de VPN a WIN XP 
 
 
 
 
HOJA DE TAREAS 
A partir del siguiente esquema de red: 
 
 
F0 
192.168.138.1 
 
192.168.14X.2 Router 
1720 
S0 
192.168.137.2 
Router 
2514 
Video server 
192.168.138.11 
S1 
192.168.137.1 
E0 
192.168.14X.1 Frame relay 
 
1.- Definir las subredes del esquema de acuerdo con el número del grupo 
2.- Conectar físicamente los equipos 
3.- Configurar el enlace frame relay según los parámetros proporcionados en el 
ejemplo y las direcciones IP definidas en el apartado 1 
4.- Configurar la VPN entre el interfaz serie del router 1720 y el PC windows XP, a 
partir del ejemplo proporcionado y las direcciones IP definidas. 
5.- Utilizar los comandos show crypto para comprobar el tunel creado 
6.- Utilizar los comandos debug para comprobar que se establece un canal seguro 
7.- Utilizar un analizador de protocolos (p. ej. Ethereal) y comprobar la diferencia 
que existe entre los paquetes enviados con y sin VPN.