Upload File

practica 8

prev
next
out of 18
Download Practica 8

Upload: buyesyohan

Post on 14-Oct-2015

9 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • UNIVERSIDAD NACIONAL EXPERIMENTAL POLITECNICA DE LAS FUERZAS ARMADAS

    INGENIERIA EN TELECOMUNICACIONES

    REDES DE TELECOMUNICACIONES

    LABORATORIO DE REDES DE TELECOMUNICACIONES

    PRCTICA N # 8

    CONFIGURACIN Y ESTUDIO DE UNA RED PRIVADA VIRTUAL (VPN).

    OBJETIVOS

    1.- Describir los elementos bsicos de las comunicaciones de VPN

    2.- Utilizar herramientas del Sistema Operativo para la creacin de tneles.

    3.- Realizar pruebas de comunicacin entre redes LAN enmascaradas bajo un tnel de VPN.

    4.- Utilizar comandos de comunicacin remota (TELNET) para el acceso a Router dentro de la red de VPN.

    INTRODUCCION

    Internet es una red IP de acceso pblico en todo el mundo. Debido a su amplia proliferacin global, se ha convertido en una manera atractiva de interconectar sitios remotos. Sin embargo, el hecho de que sea una infraestructura pblica conlleva riesgos de seguridad para las empresas y sus redes internas. Afortunadamente, la tecnologa VPN permite que las organizaciones creen redes privadas en la infraestructura de Internet pblica que mantienen la confidencialidad y la seguridad.

    Las organizaciones usan las redes VPN para proporcionar una infraestructura WAN virtual que conecta sucursales, oficinas domsticas, oficinas de socios comerciales y trabajadores a distancia a toda la red corporativa o a parte de ella. Para que permanezca privado, el trfico est encriptado. En vez de usar una conexin de Capa 2 exclusiva, como una lnea alquilada, la VPN usa conexiones virtuales que se enrutan a travs de Internet.

  • Analoga: Cada LAN es una isla

    Usaremos una analoga para ilustrar el concepto de la VPN desde un punto de vista diferente. Imagine que vive en una isla en un gran ocano. Hay miles de otras islas alrededor, alguna cerca y otras lejos. La manera normal de viajar es tomar el transbordador desde su isla a cualquier otra que desee visitar. El viaje en el transbordador significa que casi no tiene privacidad. Otra persona puede observar todo lo que haga.

    Suponga que cada isla representa una LAN privada y que el ocano es Internet. Cuando viaja en el transbordador, es similar a cuando se conecta a un servidor Web o a otro dispositivo a travs de Internet. No tiene control sobre los cables ni routers que forman Internet, de igual manera que no tiene control sobre el resto de las personas que viajan en el transbordador. Esto lo vuelve vulnerable a los problemas de seguridad si intenta conectarse entre dos redes privadas por medio de un recurso pblico.

    Su isla decide construir un puente a otra isla para que sea un medio ms fcil, seguro y directo para que las personas viajen entre ellas. Es caro construir y mantener el puente, aunque la isla a la que se est conectando es muy cercana. Pero la necesidad de una ruta segura y confiable es tan grande que decide hacerlo de todos modos. Su isla quisiera conectarse a una segunda isla que queda mucho ms lejos, pero decide que es demasiado caro.

    Esta situacin es muy similar a tener una lnea alquilada. Los puentes (lneas alquiladas) estn separados del ocano (Internet), pero aun as pueden conectar las islas (redes LAN). Muchas empresas han elegido esta ruta debido a la necesidad de seguridad y fiabilidad para la conexin de sus oficinas remotas. Sin embargo, si las oficinas estn muy lejos, el costo puede ser demasiado alto, igual que intentar construir un puente que cubra una gran distancia.

    Entonces cmo encaja una VPN en esta analoga? Podramos darle a cada habitante de las islas su propio submarino con estas propiedades:

    Veloz Fcil de llevar con usted donde sea que vaya Permite ocultarse por completo de otros botes o submarinos Confiable

    Cuesta poco agregar submarinos adicionales a la flota una vez que se compr el primero.

    Aunque estn viajando en el ocano junto con ms trfico, los habitantes de nuestras dos islas podran viajar entre ellas cuando lo deseen con privacidad y seguridad. Esencialmente, as funciona la VPN. Cada miembro remoto de la red puede comunicarse de manera segura y confiable a travs de Internet como medio para conectarse a la LAN privada. La VPN puede desarrollarse para alojar ms usuarios y ubicaciones diferentes de manera mucho ms fcil que una lnea alquilada. De hecho, la escalabilidad es una

  • ventaja principal que tienen las VPN sobre las lneas alquiladas comunes. A diferencia de las lneas alquiladas, donde aumenta el costo en proporcin a las distancias en cuestin, las ubicaciones geogrficas de cada oficina tienen poca importancia en la creacin de una VPN.

    Figura 1

    Las organizaciones que usan las VPN se benefician con el aumento en la flexibilidad y la productividad. Los sitios remotos y los trabajadores a distancia pueden conectarse de manera segura a la red corporativa desde casi cualquier lugar. Los datos de la VPN estn encriptados y ninguna persona que no est autorizada puede descifrarlos. Las VPN traen a los hosts remotos dentro del firewall y les brindan casi los mismos niveles de acceso a los dispositivos de red como si estuvieran en una oficina corporativa.

    La figura 2 muestra las lneas alquiladas en rojo. Las lneas azules representan las conexiones de VPN. Tenga en cuenta estos beneficios al usar las VPN:

    Econmicos: las organizaciones pueden usar transporte de Internet de terceros y econmico para conectar oficinas y usuarios remotos al sitio corporativo principal. Esto elimina los enlaces WAN exclusivos y caros, y los bancos de mdems. Mediante el uso de banda ancha, las VPN reducen los costos de conectividad mientras aumenta el ancho de banda de las conexiones remotas.

    Seguridad: los protocolos de autenticacin y encriptacin avanzados protegen los datos contra el acceso no autorizado.

    Escalabilidad: las VPN usan la infraestructura de Internet dentro de los ISP y las empresas de telecomunicaciones, y es ms fcil para las organizaciones agregar usuarios nuevos. Las organizaciones, grandes y

  • pequeas, pueden agregar grandes cantidades de capacidad sin incorporar una infraestructura significativa.

    Figura 2

    Tipos de VPN

    Las organizaciones usan las VPN de sitio a sitio para conectar ubicaciones remotas, tal como se usa una lnea alquilada o conexin Frame Relay. Debido a que la mayora de las organizaciones ahora tiene acceso a Internet, es lgico aprovechar los beneficios de las VPN de sitio a sitio. Como se muestra en la figura, las VPN de sitio a sitio tambin admiten intranets de la empresa y extranets de los socios comerciales.

    De hecho, una VPN de sitio a sitio es una extensin de una networking WAN clsica. Las VPN de sitio a sitio conectan redes enteras entre ellas. Por ejemplo, pueden conectar la red de una sucursal a la red de la sede central corporativa.

    En una VPN de sitio a sitio, los hosts envan y reciben trfico TCP/IP a travs de un gateway VPN, el cual podra ser un router, una aplicacin firewall PIX o una aplicacin de seguridad adaptable (ASA). El gateway VPN es responsable de la encapsulacin y encriptacin del trfico saliente para todo el trfico desde un sitio particular y de su envo a travs de un tnel VPN por Internet a un gateway VPN par en el sitio objetivo. Al recibirlo, el gateway VPN par elimina los encabezados, descifra el contenido y retransmite el paquete hacia el host objetivo dentro de su red privada.

  • Figura 3

    Los usuarios mviles y trabajadores a distancia usan mucho las VPN de acceso remoto. En el pasado, las empresas admitan usuarios remotos con redes dial-up. En general, esto implicaba una llamada de larga distancia y los costos correspondientes para lograr el acceso a la empresa.

    La mayora de los trabajadores a distancia ahora tienen acceso a Internet desde sus hogares y pueden establecer VPN remotas por medio de las conexiones de banda ancha. De manera similar, un trabajador mvil puede realizar una llamada local a un ISP local para lograr el acceso a la empresa a travs de Internet. De hecho, esto marca un avance de evolucin en las redes dial-up. Las VPN de acceso remoto pueden admitir las necesidades de los trabajadores a distancia, los usuarios mviles, adems de las extranets de consumidores a empresas.

    En una VPN de acceso remoto, cada host en general tiene software cliente de VPN. Cuando el host intenta enviar trfico, el software cliente de VPN encapsula y encripta ese trfico antes del envo a travs de Internet hacia el gateway VPN en el borde de la red objetivo. Al recibirlo, el gateway VPN maneja los datos de la misma manera en que lo hara con los datos de una VPN de sitio a sitio. Componentes de VPN

    La VPN crea una red privada a travs de una infraestructura de red pblica, mientras mantiene la confidencialidad y la seguridad. Las VPN usan protocolos de tunneling criptogrficos para brindar proteccin contra detectores de paquetes, autenticacin de emisores e integracin de mensajes.

  • La figura 4 muestra una topologa de VPN tpica. Los componentes necesarios para establecer esta VPN incluyen lo siguiente:

    Una red existente con servidores y estaciones de trabajo Una conexin a Internet Gateways VPN, como routers, firewalls, concentradores VPN y

    ASA, que actan como extremos para establecer, administrar y controlar las conexiones VPN

    Software adecuado para crear y administrar tneles VPN

    La clave de la eficacia de la VPN es la seguridad. Las VPN protegen los datos mediante encapsulacin o encriptacin. La mayora de las VPN puede hacer las dos cosas.

    La encapsulacin tambin se denomina tunneling, porque transmite datos de manera transparente de red a red a travs de una infraestructura de red compartida.

    La encriptacin codifica los datos en un formato diferente mediante una clave secreta. La decodificacin vuelve los datos encriptados al formato original sin encriptar.

    La encapsulacin y la encriptacin se analizan con detalle ms adelante durante este curso.

    Figura 4

    Caractersticas de la VPN

    Las VPN utilizan tcnicas de encriptacin avanzada y tunneling para permitir que las conexiones de red privadas de extremo a extremo que establezcan las organizaciones a travs de Internet sean seguras.

  • Las bases de una VPN segura son la confidencialidad, la integridad de datos y la autenticacin:

    Confidencialidad de datos: una cuestin de seguridad que suele despertar preocupacin es la proteccin de datos contra personas que puedan ver o escuchar subrepticiamente informacin confidencial. La confidencialidad de datos, que es una funcin de diseo, tiene el objetivo de proteger los contenidos de los mensajes contra la intercepcin de fuentes no autenticadas o no autorizadas. Las VPN logran esta confidencialidad mediante mecanismos de encapsulacin y encriptacin.

    Integridad de datos: los receptores no tienen control sobre la ruta por la que han viajado los datos y, por lo tanto, no saben si alguien ha visto o ha manejado los datos mientras viajaban por Internet. Siempre existe la posibilidad de que los datos hayan sido modificados. La integridad de datos garantiza que no se realicen cambios indebidos ni alteraciones en los datos mientras viajan desde el origen al destino. Generalmente, las VPN utilizan hashes para garantizar la integridad de los datos. El hash es como una checksum o un sello (pero ms robusto) que garantiza que nadie haya ledo el contenido. En el prximo tema se incluye la explicacin de los hashes.

    Autenticacin: la autenticacin garantiza que el mensaje provenga de un origen autntico y se dirija a un destino autntico. La identificacin de usuarios brinda al usuario la seguridad de que la persona con quien se comunica es quien cree que es. Las VPN pueden utilizar contraseas, certificados digitales, tarjetas inteligentes y biomtricas para establecer la identidad de las partes ubicadas en el otro extremo de la red.

    TUNEL VPN

    La incorporacin de capacidades de confidencialidad de datos adecuadas en una VPN garantiza que slo los orgenes y los destinos indicados sean capaces de interpretar los contenidos del mensaje original.

    El tunneling permite el uso de redes pblicas como Internet para transportar datos para usuarios, siempre que los usuarios tengan acceso a una red privada. El tunneling encapsula un paquete entero dentro de otro paquete y enva por una red el nuevo paquete compuesto. Esta figura contiene una lista de las tres clases de protocolos que utiliza el tunneling.

    Para ilustrar el concepto de tunneling y las clases de protocolos de tunneling, veamos un ejemplo de un envo de una tarjeta navidea por correo tradicional. La tarjeta navidea tiene un mensaje adentro. La tarjeta es el protocolo pasajero. El emisor coloca la tarjeta dentro de un sobre (protocolo de encapsulacin) y escribe las direcciones correctas. Luego, deposita el sobre en el buzn de correo para que sea entregado. El sistema postal (protocolo portador) busca y entrega el sobre en el buzn del receptor. Los dos extremos del sistema portador son las "interfaces del tnel". El receptor quita la tarjeta navidea (extrae el protocolo pasajero) y lee el mensaje.

  • INTEGRIDAD DE DATOS VPN

    Si por Internet pblica se transporta texto sin formato, puede ser interceptado y ledo. Para mantener la privacidad de los datos, es necesario encriptarlos. La encriptacin VPN encripta los datos y los vuelve ilegibles para los receptores no autorizados.

    Para que la encriptacin funcione, tanto el emisor como el receptor deben conocer las reglas que se utilizan para transformar el mensaje original en la versin codificada. Las reglas de encriptacin de la VPN incluyen un algoritmo y una clave. Un algoritmo es una funcin matemtica que combina mensaje, texto, dgitos o los tres con una clave. El resultado es una cadena de cifrado ilegible. El descifrado es extremadamente difcil o imposible sin la clave correcta.

    Algunos de los algoritmos de encriptacin ms comunes y la longitud de claves que se utilizan son los siguientes:

    Algoritmo Estndar de cifrado de datos (DES): DES, desarrollado por IBM, utiliza una clave de 56 bits para garantizar una encriptacin de alto rendimiento. El DES es un sistema de encriptacin de clave simtrica. Las claves simtricas y asimtricas se explican ms adelante.

    Algoritmo Triple DES (3DES): una variante ms reciente del DES que realiza la encriptacin con una clave, descifra con otra clave y realiza la encriptacin por ltima vez con otra clave tambin diferente. 3DES le proporciona mucha ms fuerza al proceso de encriptacin.

    Estndar de encriptacin avanzada (AES): el Instituto Nacional de Normas y Tecnologa (NIST) adopt el AES para reemplazar la encriptacin DES en los dispositivos criptogrficos. AES proporciona ms seguridad que DES y es ms eficaz en cuanto a su clculo que 3DES. AES ofrece tres tipos de longitudes de clave: claves de 128, 192 y 256 bits.

    Rivest, Shamir y Adleman (RSA): sistema de encriptacin de clave asimtrica. Las claves utilizan una longitud de bits de 512, 768, 1024 o superior.

    Encriptacin simtrica

    Los algoritmos de encriptacin como DES y 3DES requieren que una clave secreta compartida realice la encriptacin y el descifrado. Los dos equipos deben conocer la clave para decodificar la informacin. Con la encriptacin de clave simtrica, tambin llamada encriptacin de clave secreta, cada equipo encripta la informacin antes de enviarla por la red al otro equipo. La encriptacin de clave simtrica requiere el conocimiento de los equipos que se comunicarn para poder configurar la misma clave en cada uno.

  • Por ejemplo, un emisor crea un mensaje codificado en el cual cada letra se sustituye con la letra que se encuentra dos posiciones adelante en el alfabeto; "A" se convierte en "C" y "B" se convierte en "D" y as sucesivamente. En este caso, la palabra SECRETO se convierte en UGETGVQ. El emisor le ha informado al receptor que la clave secreta es "saltear 2". Cuando el receptor recibe el mensaje UGETGVQ, su equipo decodifica el mensaje al calcular las dos letras anteriores a las del mensaje y llega al cdigo SECRETO. Cualquier otra persona que vea el mensaje slo ver el mensaje cifrado, que parece una frase sin sentido a menos que la persona conozca la clave secreta.

    La pregunta es, cmo el dispositivo de encriptacin y el de descifrado tienen la misma clave secreta compartida? Puede utilizar el correo electrnico, un mensajero o un correo de 24 horas para enviar las claves secretas compartidas a los administradores de los dispositivos. Otro mtodo ms fcil y ms seguro es la encriptacin asimtrica.

    Encriptacin asimtrica

    La encriptacin asimtrica utiliza diferentes claves para la encriptacin y el descifrado. El conocimiento de una de las claves no es suficiente para que un pirata informtico deduzca la segunda clave y decodifique la informacin. Una clave realiza la encriptacin del mensaje y otra, el descifrado. No es posible realizar ambos con la misma clave.

    La encriptacin de clave pblica es una variante de la encriptacin asimtrica que utiliza una combinacin de una clave privada y una pblica. El receptor le da una clave pblica a cualquier emisor con quien desee comunicarse el receptor. El emisor utiliza una clave privada junto con la clave pblica del receptor para encriptar el mensaje. Adems, el emisor debe compartir la clave pblica con el receptor. Para descifrar un mensaje, el receptor utiliza la clave pblica del emisor y su propia clave privada.

    Los hashes contribuyen a la autenticacin y la integridad de los datos, ya que garantizan que personas no autorizadas no alteren los mensajes transmitidos. Un hash, tambin denominado message digest, es un nmero generado a partir de una cadena de texto. El hash es menor que el texto. Se genera mediante una frmula, de forma tal que es extremadamente improbable que otro texto produzca el mismo valor de hash.

    El emisor original genera un hash del mensaje y lo enva junto con el mensaje mismo. El receptor descifra el mensaje y el hash, produce otro hash a partir del mensaje recibido y compara los dos hashes. Si son iguales, puede estar seguro de que la integridad del mensaje no ha sido afectada.

    Los datos de la VPN se transportan por Internet pblica. Tal como se mostr, hay posibilidades de que estos datos sean interceptados y modificados. Como proteccin frente a esta amenaza, los hosts pueden agregarle un hash al mensaje. Si el hash transmitido coincide con el recibido, significa que se ha preservado la integridad del mensaje. Sin embargo, si no coinciden, el mensaje ha sido alterado.

  • Las VPN utilizan un cdigo de autenticacin de mensajes para verificar la integridad y la autenticidad de un mensaje, sin utilizar mecanismos adicionales. Un cdigo de autenticacin de mensajes de hash (HMAC) en clave es un algoritmo de integridad de datos que garantiza la integridad del mensaje.

    El HMAC tiene dos parmetros: un mensaje de entrada y una clave secreta que slo conocen el creador del mensaje y los receptores adecuados. El emisor del mensaje utiliza una funcin HMAC para producir un valor (el cdigo de autenticacin del mensaje) que se forma al condensar la clave secreta y el mensaje de entrada. El cdigo de autenticacin del mensaje se enva junto con el mensaje. El receptor calcula el cdigo de autenticacin del mensaje en el mensaje recibido con la misma clave y la misma funcin HMAC que utiliz el emisor y compara los resultados calculados con el cdigo de autenticacin del mensaje. Si los dos valores coinciden, el mensaje se ha recibido correctamente y el receptor est seguro de que el emisor es un miembro de la comunidad de usuarios que comparten la clave. La fuerza criptogrfica de HMAC depende de la fuerza criptogrfica de la funcin hash subyacente en cuanto al tamao y a la calidad de la clave, y en el tamao de la longitud del resultado de hash en bits.

    Hay dos algoritmos HMAC comunes:

    Message Digest 5 (MD5): utiliza una clave secreta compartida de 128 bits. El mensaje de longitud variable y la clave secreta compartida de 128 bits se combinan y se ejecutan mediante el algoritmo de hash HMAC-MD5. El resultado es un hash de 128 bits. El hash se agrega al mensaje original y se enva al extremo remoto.

    Algoritmo de hash seguro 1 (SHA-1): utiliza una clave secreta de 160 bits. El mensaje de longitud variable y la clave secreta compartida de 160 bits se combinan y se ejecutan mediante el algoritmo de hash HMAC-SHA-1. El resultado es un hash de 160 bits. El hash se agrega al mensaje original y se enva al extremo remoto.

    Cuando se realizan negocios a larga distancia, es necesario saber quin est del otro lado del telfono, correo electrnico o fax. Lo mismo sucede con las redes VPN. Se debe autenticar el dispositivo ubicado en el otro extremo del tnel de la VPN antes de que la ruta de comunicacin se considere segura. Hay dos mtodos pares de autenticacin:

    Clave compartida previamente (PSK): una clave secreta compartida entre dos partes que utilizan un canal seguro antes de que deba ser utilizado. Las PSK utilizan algoritmos criptogrficos de clave simtrica. Una PSK se especifica en cada par manualmente y se utiliza para autenticar al par. En cada extremo, la PSK se combina con otra informacin para formar la clave de autenticacin.

    Firma RSA: utiliza el intercambio de certificados digitales para autenticar los pares. El dispositivo local deriva un hash y lo encripta con su clave privada. El hash encriptado (firma digital) se adjunta al mensaje y se enva al extremo

  • remoto. En el extremo remoto, el hash encriptado se descifra mediante la clave pblica del extremo local. Si el hash descifrado coincide con el hash recalculado, la firma es verdadera.

    PROTOCOLO DE SEGURIDAD IPsec

    El IPsec es un conjunto de protocolos para la seguridad de las comunicaciones IP que proporciona encriptacin, integridad y autenticacin. IPsec ingresa el mensaje necesario para proteger las comunicaciones VPN, pero se basa en algoritmos existentes.

    Existen dos protocolos de estructura IPsec.

    Encabezado de autenticacin (AH): se utiliza cuando no se requiere o no se permite la confidencialidad. AH proporciona la autenticacin y la integridad de datos para paquetes IP intercambiados entre dos sistemas. Verifica que cualquier mensaje intercambiado de R1 a R3 no haya sido modificado en el camino. Tambin verifica que el origen de los datos sea R1 o R2. AH no proporciona la confidencialidad de datos (encriptacin) de los paquetes. Si se lo utiliza solo, el protocolo AH proporciona poca proteccin. Por lo tanto, se lo utiliza junto con el protocolo ESP para brindar las funciones de seguridad de la encriptacin de los datos y el alerta contra alteraciones.

    Contenido de seguridad encapsulado (ESP): proporciona confidencialidad y autenticacin mediante la encriptacin del paquete IP. La encriptacin del paquete IP oculta los datos y las identidades de origen y de destino. ESP autentica el paquete IP interno y el encabezado ESP. La autenticacin proporciona autenticacin del origen de datos e integridad de datos. Aunque tanto la encriptacin como la autenticacin son opcionales en ESP, debe seleccionar una como mnimo.

    IPsec se basa en algoritmos existentes para implementar la encriptacin, la autenticacin y el intercambio de claves. Algunos de los algoritmos estndar que utiliza IPsec son:

    DES: encripta y descifra los datos del paquete. 3DES: proporciona una fuerza de encriptacin importante superior

    al DES de 56 bits. AES: proporciona un rendimiento ms rpido y una encriptacin

    ms fuerte segn la longitud de la clave utilizada. MD5: autentica datos de paquetes con una clave secreta

    compartida de 128 bits. SHA-1: autentica datos de paquetes con una clave secreta

    compartid DH: permite que dos partes establezcan una clave secreta

    compartida mediante la encriptacin y los algoritmos de hash, como DES y MD5, sobre un canal de comunicaciones no seguro.

  • Comandos para la creacin de VPN

    A continuacin se expone los comandos bsicos necesarios para la creacin de una VPN.

    Se requiere Implementar una VPN Site-toSite entre las dos oficinas Se creara un tnel IPSEC entre ambas sedes basado en el secreto

    compartido

    Procedimiento:

    1. Configurar Polticas IKE 2. Verificar Polticas IKE 3. Configurar IPSec 4. Configurar Crypto Map

    1.- Configurar Polticas Ike

    Una poltica IKE define una combinacin de parmetros de seguridad (cifrado, hash, autenticacin y DH) que sern usados durante la negociacin IKE.

    En ambos nodos deben crearse polticas (tanta como se quieran ordenada por prioridad) y, al menos, debe existir una igual en los 2 extremos.

    Tambin se deben configurar paquetes IKE Keepalives ( paquetes Hello) para detectar posibles prdidas de conectividad.

    Paso Comando Significado

    1 R1(config)# crypto isakmap policy 10 Crear una poltica Ike, cada poltica se identifica con un numero de prioridad (1-10000; donde 1 es la prioridad ms alta)

    2 R1(config-isakmp)#encryption 3des Especificar el algoritmo de cifrado a utilizar: 56-bit Data encryption Standard (DES [des]) o 168-bit Triple DES (3des).

    3 R1(config-isakmp)# hash sha Elegir el algoritmo de hash a usar: message Digest 5 (MD5 [md5]) Secure Hash Algorithm (SHA[sha])

    4 R1(config-isakmp)# authentication pre-share

    Determina el mtodo de autentificacin: pre share keys (pre-share), RSA1 encryted nonces(rsa-encr), o RSA signatures (rsa-slg).

    5 R1(config-isakmp)# group 2 Especificar el identificador de grupo Diffie-Hellman: 768-bit Diffie-Hellman (1) o 1024-bit Diffie-Hellman (2)

  • 6 R1(config-isakmp)# lifetime 86400 Determina el tiempo de vida de la asociacin de seguridad (SA) en segundos 846000 segundos = 1 da.

    7 R1(config-isakmp)# exit Volver al modo de configuracin global

    En funcin del mtodo de autentificacin elegido hay que llevar a cabo una tarea ms antes de que IKE e IPSec pueda usar la poltica creada.

    RSA signatures: hay que configurar ambos nodos para obtener los certificados de una CA.

    RSA encrypted nonces: cada nodo debe tener en su poder la clave pblica del otro nodo.

    Pre-Share Keys: Establecer la identidad ISAKMP de cada nodo (nombre

    IP). Establecer el secreto compartido en cada nodo.

    9 R1(config)# crypto isakmp identity address

    En el extremo A elegir la identidad ISAKMP (address o hostname) que el router usar en las negociaciones IKE.

    10 R1(config)# crypto isakmp key CLAVE IP de B

    En el extremo A establecer la CLAVE que se usara en el extreme B

    11 R2(config)# crypto isakmp identity address

    En el extremo B elegir la identidad ISAKMP (address o hostname) que el router usar en las negociaciones IKE

    12 R2(config)# crypto isakmp key CLAVE IP de A

    En el extremo B establecer la CLAVE que se usara en el extreme A

    2.- Verificar Polticas IKE Para asegurarnos de que la configuracin de la poltica es la deseamos

    usar, realizamos la siguiente comprobacin:

    13 R1# show crypto isakmp policy Comprobar los valores de cada parmetro de seguridad de la poltica IKE

    3.- Configurar IPSec

    Tras configurar y verificar la poltica IKE en cada nodo, hay que configurar IPSec en ambos extremos:

    a) Crear Crypto ACL b) Verificar Crytop ACL

  • c) Definir el Transform Set d) Verificar el Transform Set

    a) Crear Crypto ACL

    14 R1(config)# Access-list 109 permit ip IP red A IP red B

    En el extremo A: cifrar todo el trafico IP que salga del extreme A al extremo B

    15 R2(config)# Access-list 109 permit ip IP red b IP red A

    En el extreme B: cifrar todo el trafico IP que salga del extreme B al extremo A

    b) Verificar Crypto ACL.

    16 R1# show Access-list 109 Verificar Crypto ACL

    c) Definir los Transform Sets

    17 R1(config)# Crypto ipsec transform-set CAMBIO esp-3des esp-sha-hmac

    Establecer las polticas de seguridad IPSec que se usaran en las comunicaciones, eligiendo el modo transporte (AH) o tnel (ESP)

    18 R1(config)# exit Salir del modo configuracion

    d) Verificar el Transform Set

    19 R1# show crypto ipsec transform-set Verifica el Transform Set

    20 R1(config)# crypto map Nombre psec-isakmp

    Crear un crypto map denominado Nombre, y establecer el nmero de secuencia de esta entrada, obligado a usar IKE para establecer SAs,

    21 R1(config-crypto-map)# set transform-set CAMBIO

    De los transform sets que se hayan definido, especificar cual se usara en esta entrada del crypto-map

    22 R1(config-crypto-map)# set pfs group 2

    Activar perfect Forward Secrecy

    23 R1(config-crypto-map)# set peer IP de B

    Definir la direccin del host remoto

    24 R1(config-crypto-map)# match address 109

    Establecer el trafico que se va a cifrar (definido previamente en una ACL)

    25 R1(config-crypto-map)# Z Volver al modo privilegiado

    26 R1(config)# show crypto map Verificar la configuracin del crypto map

  • 4.- Configurar Crypto Map

    27 R1(config)# interface XXXX Entrar al modo configuracin de la interface donde se aplicara el crypto map

    28 R1(config-if)# Crypto map Nombre Aplicar el crypto map a la interfaz fisica

    29 R1(config-if)# Z Volver al modo privilegiado

    30 R1# show crypto map interface XXXX

    Verificar la asociacin de la interfaz y el crypto map

    31 R1# show crypto ipsec sa Mostrar la informacin de la Asociacin de Seguridad para verificar su correcto funcionamiento

    32 R1# copy running-config startup-config

    Guardar los cambios

  • PRE- LABORATORIO

    1.- DESCARGAR EL ARCHIVO DE PACKET TRACER DE LA PRCTICA 8 (RED_Prac_8.pkt). EL MISMO SE ENCUENTRA EN LA PGINA WEB http://www.ingtelecom.com.ve (OJO: se envi por correo o est en la pgina web del curso) Y LLEVARLO EL DA DEL LABORATORIO. 2.- INVESTIGAR LO SIGUIENTE (explique con sus propias palabras, todas las preguntas) (NO SE ENTREGA Sirve de preparacin para el quiz): 2.1.- Qu es una VPN? 2.2.- Una VPN establece un enlace dedicado entre dos redes entre dos host? 2.3.- Cul cules son las razones de crear VPN? 2.4.- Cules son las ventajas y desventajas de crear VPN? 3.- INVESTIGAR LOS SIGUIENTE (explique con sus propias palabras, todas las preguntas): 3.1.- Qu es una VLAN? 3.2.- Una VLAN se configura a nivel de capa 2 o capa 3? 3.3.- Cul cules son las razones de crear VLAN? 3.4.- Cules son las ventajas y desventajas de crear VLAN, en comparacin con una red de rea local fsica?

  • PRCTICA # 8

    TRABAJO PRCTICO DE LABORATORIO Grupo: Martes Sbado Fecha: ___ / ___ / _____

    Alu

    mno

    Apellido Nombre Cdula de Identidad Firma

    1

    2

    3

    Alu

    mno

    1 2 3 4 5 6 Total 3 4 3 3 4 3 20 puntos

    1 2 3

    NOTA 1: IMPRIMIR EL TRABAJO PRCTICO DE LABORATORIO Y LLEVARLO AL LABORATORIO EL DA CORRESPONDIENTE A LA PRCTICA.

    NOTA 2: Duracin del Quiz: 15 minutos - Duracin Mxima de la Prctica: 90 minutos - Revisin de lo realizado en la Prctica: 30 minutos.

    Configuracin previa del Packet Tracer: Antes de empezar, hacer clic en Options Preferences; en la pestaa Interface marcar donde dice Always Show Port Labels. Cerrar la ventana. En la red mostrada en la figura 5, se han creado VPN y VLAN, el objetivo de esta prctica, es determinar la cantidad de VPN creadas y de VLAN, utilizando para esto el comando PING en los host y los comandos show running-config, show crypto isakmp sa y show crypto ipsec sa, en el IOS de los router.

  • Figura 5

    Determine: 1.- Cantidad de VPN: _____________ 2.- Determine las redes de cada VPN? 3.- Cantidad de VLAN: _____________ 4.- Determine los host que pertenecen a cada VLAN? 5.- Existe comunicacin entre todos los host?, explique. Preguntas para el informe 6.- Todos los datos que circulan en la red planteada en el laboratorio son encriptados?


Practica #8

Practica # 8

Practica 8