Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
PRACTICA 6 VPN Objetivos: - Conocer los conceptos básicos asociados a las VPN: IPSec, encriptación, autenticación, túnel VPN, asociaciones seguras (SA),... - Configurar los parámetros de un túnel VPN en un router - Configurar los parámetros de un PC cliente remoto con windows XP En primer lugar se proporciona un ejemplo configurado que el grupo de prácticas tendrá que adaptar según la lista de tareas Escenario: F0 192.168.138.1 192.168.136.0 192.168.136.11 Router 1720 S0 192.168.137.2 Router 2514 Video server 192.168.138.11 S1 192.168.137.1 E0 192.168.136.1 Frame relay Se va a configurar un tunel seguro VPN en la red de la figura entre el cliente XP y el interfaz serie del router 1720. El interfaz ethernet del 1720 está conectado a un servidor Windows 2000 denominado videoserver que permite conexiones remotas de un usuario User01 con contraseña pepe1492. Conceptos previos: IKE , “Internet Key Exchange” es un protocolo que define el método de intercambio de claves sobre IP en una primera fase de negociación segura. Está formado por una cabecera de autenticación, AH o Authentication Header, que en nuestro caso no utilizaremos, o una cabecera de autenticación más encriptación que se conoce como Encapsulating Security Payload o ESP) Es importante entender que IPSec ofrece dos modos de operación según utilice AH ESP para proteger los datos sobre IP. Se conocen como “modo de transporte” (se emplea AH) o “modo túnel” (se utiliza ESP). En la práctica emplearemos este segundo modo. SA, o Security Asociations: Son conjuntos de parámetros que se utilizan para definir los requerimientos de seguridad de una comunicación en una dirección particular (entrante o saliente) Una SA puede utilizar AH o ESP pero no ambas Pasos para la configuración: 1. Preparar la red para IPSEC e IKE (este paso es previo a la configuración) a. En esta tarea hay que configurar una conexión básica entre los dos routers, y verificar que hay conectividad entre los extremos de la red. En este caso concreto el enlace entre los routers es frame relay con las siguientes configuraciones: Router 1720 interface Serial0 ip address 192.168.137.2 255.255.255.0 encapsulation frame-relay IETF bandwidth 64 frame-relay lmi-type ansi frame-relay inverse-arp ip 16 frame-relay map ip 192.168.137.1 25 broadcast IETF frame-relay switching frame-relay intf-type dce clockrate 2000000 Router 2514 interface Serial1 ip address 192.168.137.1 255.255.255.0 encapsulation frame-relay IETF bandwidth 64 frame-relay lmi-type ansi frame-relay inverse-arp ip 16 frame-relay map ip 192.168.137.2 25 broadcast IETF b. Definir cuáles son los algoritmos de encriptación y autenticación (en este caso se van a utilizar DES y SHA respectivamente tanto en el router como en el PC) c. Definir ACLS, comprobar que son adecuadas (en este caso se va a permitr todo el tráfico IP entre servidor W2000 y destino XP y se va a denegar el tráfico IP con origen en el servidor W2000 y cualquier otro destino) 2. Crear listas de acceso en router 1720 Las listas de acceso se emplean para filtrar el trafico entrante o saliente basándose en algunos criterios. Sólo se permiten aquellos paquetes que “encajan” en las reglas específicas. Comando: Router (config)# access-list access-list-number{ deny | permit } protocol source- address source-wildcard destination-address destination-wildcard [eq port- number] [log] En nuestro ejemplo se configuran las siguientes listas de acceso (en router(config)# ) Router (config)# access-list 110 permit ip 192.168.138.0 0.0.0.255 192.168.136.0 0.0.0.255 Router (config)# access-list 110 deny ip 192.168.138.0 0.0.0.255 any 3. Configurar el Transform Set El transform set define las políticas de seguridad que serán aplicadas al tráfico que entra o sale de la interfaz. El estándar IPSec especifica el uso de Security Asociations para determinar qué políticas de seguridad se aplican al tráfico deseado. Los transform-set se definen a través de crypto-maps. 3.1. Definición del protocolo de transform-set Este commando selecciona si se utiliza AH o ESP Comando Router (config)# crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] Nuestro ejemplo (en este caso se escoge como protocolo de encriptación esp el algoritmo des y como protocolo de autentificación la variante may del algoritmo sha. Es importante que este protocolo coincida con el que se configura en el extremo XP del tunel para que haya conectividad) Router (config)# crypto ipsec transform-set rtpset esp-des esp-sha-hmac 3.2. Especificar el Modo del transform-set Este comando especifica el modo en el que opera IPSec (modo transporte o modo tunel) Comando: Router (cfg-crypto-tran)# mode [tunnel | transport ] Nuestro ejemplo: Router (cfg-crypto-tran)# mode tunnel 4. Configurar el crypto-map con IKE 4.1 Crear el crypto-map con IKE Un crypto-map se crea especificando el nombre del mapa, el número de secuencia del mapa y el tipo de gestión de clave que se va a emplear entre los dos extremos. Comando: Router (config)# crypto map map-name seq-num ipsec-isakmp Nuestro ejemplo: Router (config)# crypto map rtp 1 ipsec-isakmp 4.2 Especificar el tráfico de datos Se especifica el tráfico que se quiere encriptar. Es aquel tráfico que ha sido definido en las listas de acceso Comando: Router (config-crypto-map)# match address access-list-number Nuestro ejemplo: Router (config-crypto-map)# match address 110 4.3 Especificar el extremo destino del tunel VPN Se da la dirección IP del host destino (en nuestro caso el PC XP) Comando: Router (config-crypto-map)# set peer { host name | ip-address} Nuestro ejemplo: Router (config-crypto-map)# set peer 192.168.136.11 4.4 Especificar el transform-set a utilizar De los transform-set que se hayan definido se especifica cual se aplica en este túnel Comando: Router (config-crypto-map)# set transform-set transform-set-name Nuestro ejemplo: Router (config-crypto-map)# set transform-set rtpset 4.5 Activar PFS (Perfect Forward Security) Por defecto es un comando que está desactivado. Como se va a utilizar en el extremo XP es necesario activarlo. Comando: Router (config-crypto-map)# set pfs { group 1 | group2} Nuestro ejemplo: Router (config-crypto-map)# set pfs 4.6 Configurar IKE Esto supone tres pasos: 4.6.1 Habilitar IKE Comando: Router (config)# crypto isakmp enable 4.6.2 Crear una IKE policy (política de encriptación de IKE) 4.6.2.1 Definir la prioridad Esta prioridad se utiliza para ordenar la aplicación de las políticas de encriptación cuando existen varias Comando: Router (config)# crypto isakmp policy priority Nuestro ejemplo: Router (config)# crypto isakmp policy 1 4.6.2.2 Especificar el algoritmo de encriptación que se utiliza en IKE Comando: Router (config-isakmp)# encryption {des|3des} Nuestro ejemplo: DES por defecto y no se configura 4.6.2.3 Especificar el algoritmo hash Cisco permite utilizar SHA o MD5 Comando: Router (config-isakmp)# hash {sha|md5} Nuestro ejemplo: SHA por defecto y no se configura 4.6.2.4 Especificar el método de autenticación Método de autenticación para el intercambio de claves. Puede ser RSA, RSA encriptado y claves pre-configuradas (las dos primeras necesitan un servidor de autoridad) Comando: Router (config-isakmp)# authentication {rsa-sig | rsa-encr | pre-share} Nuestro ejemplo: Router (config-isakmp)# authentication pre-share 4.6.2.5 Especificar el identificador de grupo del algoritmo de Diffie Hellman Comando: Router (config-isakmp)# group {1|2} Nuestro ejemplo: No se usa 4.6.2.6 Especificar el tiempo de seguridad asociado Tiempo máximo en el que una política de seguridad se utiliza sin necesidad de negociarla de nuevo Comando: Router (config-isakmp)# lifetime seconds Nuestro ejemplo: Router (config-isakmp)# lifetime28800 4.6.3 Definir una clave (key) Como hemos escogido utilizar claves pre-configuradas que se intercambien en la negociación inicial es necesario configurarla en cada extremo Comando: Router (config)# crypto isakmp key clave address peer-address Nuestro ejemplo: Router (config)# crypto isakmp key cisco123 address 192.168.136.11 5. Aplicar el crypto-map al interface extremo del túnel VPN En nuestro caso hay que aplicar el crypto-map definido al puerto serie del router 1720. Comando: Router (config-if)# crypto map map-name Nuestro ejemplo: Router (config-if)# crypto map rtp 6. Configurar la conexión VPN en el PC con windows XP siguiendo los pasos siguientes del guión “Configuring IPSec between a Microsoft Windows XP professional (1NIC) and the VPN router” que se puede encontrar en la página web de la asignatura. A partir del guión especificado, se incluyen a continuación únicamente aquellas ventanas que en el ejemplo del guión no coinciden con el ejemplo de configuración de esta práctica considerando que el windows XP es el extremo opuesto al router 1720 del tunel VPN. Extremo de WIN XP a VPN Extremo de VPN a WIN XP HOJA DE TAREAS A partir del siguiente esquema de red: F0 192.168.138.1 192.168.14X.2 Router 1720 S0 192.168.137.2 Router 2514 Video server 192.168.138.11 S1 192.168.137.1 E0 192.168.14X.1 Frame relay 1.- Definir las subredes del esquema de acuerdo con el número del grupo 2.- Conectar físicamente los equipos 3.- Configurar el enlace frame relay según los parámetros proporcionados en el ejemplo y las direcciones IP definidas en el apartado 1 4.- Configurar la VPN entre el interfaz serie del router 1720 y el PC windows XP, a partir del ejemplo proporcionado y las direcciones IP definidas. 5.- Utilizar los comandos show crypto para comprobar el tunel creado 6.- Utilizar los comandos debug para comprobar que se establece un canal seguro 7.- Utilizar un analizador de protocolos (p. ej. Ethereal) y comprobar la diferencia que existe entre los paquetes enviados con y sin VPN.
Compartir