Comunicaciones de Datos II

LABORATORIO N° 07

VPN CISCO – SITE TO SITE

CODIGO DEL CURSO:

Alumno(s)

Champi Medina JonathanBedregal Cervantes Alejo

CRITERIOS DE EVALUACIÓNExcelente Bueno

Requiere mejora

No aceptable Nota

4 3 2 1

Describe la forma de trabajo de la implementación

Describe los componentes del sistema VPN

Interpreta la seguridad utilizada en el sistema

Interpreta los resultados del comando show

% de Avance

Grupo Ciclo VFecha de entrega

COMUNICACIONES DE DATOS IINro. DD-106Página 2/6

Tema : VPN CISCO - SITE TO SITECódigo :

Semestre: VGrupo : G-H

Nota: Apellidos y Nombres: Lab. Nº : 07

1. Objetivos:

Implementar una conexión VPN Sitio a Sitio sobre CISCO. Analizar el tráfico utilizando software analizador de Red Analizadores de Red.

2. Requerimientos:

PCs Compatibles. Ruteador Cisco – Serie 1750 con interfaz WIC. Ruteador Cisco – Serie 2600 con interfaz WIC. Cable de Consola.

3. Seguridad

Advertencia:

No consumir alimentos ni bebidas durante el desarrollo de la sesión del laboratorio.

El equipo que esta por utilizar, es susceptible a daño eléctrico por mala manipulación y/o carga electroestática.

4. Introducción Teórica

Defina ISAKMP

ISAKMP (Internet Security Association and Key Management Protocol) es un protocolo que define los pasos necesarios para establecer un SA (Security Assiciation), el establecimiento y mantenimiento de todas las claves necesarias para la familia de protocolos TCP/IP en modo seguro.

Defina IPSEC

IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.

Mediante un diagrama represente, una configuración extranet de VPN.

COMUNICACIONES DE DATOS IINro. DD-106Página 10

5. VPN sobre CISCO

Dado el siguiente esquema a implementar:

Implementación de la conexión punto a punto.

Configure los equipos necesarios para lograr conectividad en el esquema anterior, Describa paso a paso el procedimiento utilizado para la implementación:

Se le asigna a cada router las interfaces (seriles o fastethernet) según se requiera dependiendo del diagrama y se realiza la conexión usando cable serial o UTP de acuerdo a las interfaces a conectar.

Luego se le asigna una IP’s a cada interfaz y se procede a levantarlas con el comando ‘no shutdown’.

R5

COMUNICACIONES DE DATOS IINro. DD-106Página 10

Finalmente se crean rutas estáticas para que haya comunicación entre las redes que no están conectadas físicamente.

Configure los routers PCs con la siguiente información:

Nombre: PCX1Ethernet IP: 192.168.10.2Puerta de Enlace: 192.168.10.1

Nombre: PCX2Ethernet IP: 172.16.10.2Puerta de Enlace: 172.16.10.1

(Config)#no ip routing(Config)#ip default-gateway <IP-Router>

Verifique la comunicación entre las PCs.:

Configure el servicio telnet entre las dos PCs, capture los paquetes de una sesión haciendo clic derecho sobre la interface S1/0 del Router X1, interprete los resultados.

Conexión telnet a la PCX2

COMUNICACIONES DE DATOS IINro. DD-106Página 10

En los gráficos podemos observar que haciendo un seguimiento a los paquetes telnet enviados entre la PCx1 y la PCx2, se puede obtener la clave utilizada para poder acceder al servicio.

Se puede concluir que esta implementación es insegura ya que cualquier intruso puede conseguir las credenciales de comunicación a diferentes servicios muy fácil y rápidamente.

SOLICITE LA CONFIRMACION DEL DOCENTE DE HABER LLEGADO A ESTE PASO

Configurando una VPN sitio a sitio con CISCO, en el ruteador ROUTERX1:

Se establecerá una conexión de ruteadores punto a punto (sitio a sitio), utilizando el protocolo PPP, ruteando paquetes ip encriptados, para ello los ruteadores deben negociar una llave (key), de encriptación, la cual deberá ser la misma en ambos ruteadores. Sólo si el ruteador posee la llave de encriptación, se iniciará la encriptación y envío de los datos.

Verifique que el ruteador a utilizar posea una versión de IOS compatible con IPSEC. A continuación una lista de versiones compatibles

CISCO 1750 IOS:c1750-o3sv3y56i-mz_121-1b.binCISCO 1751 IOS:c1751-k8sv8y7-mz.122-11.T11.binCISCO 2610 IOS:c210-is56i-mz.120-28a.binCISCO 2611XM IOS:c2610xm-ik8s-mz.122-26.bin

Qué comando utilizó para verificar la versión del IOS:

Con el comando “show versión”

La siguiente configuración se realizará en el ruteador ROUTERX1:

Definimos los parámetros de inicialización utilizando ISAKMP: (política)

ROUTER1(config)# crypto isakmp policy 1

Clave para accesar por

telnet a PCX2

Versión del IOS

COMUNICACIONES DE DATOS IINro. DD-106Página 10

ROUTER1(config-isakmp)#encryption des ROUTER1(config-isakmp)# hash md5 ROUTER1(config-isakmp)# authentication pre-share

Documente DES, MD5 y Pre-share:

Data Encryption Standard (DES) es un algoritmo de cifrado, tiene un tamaño de clave de 56 bits. En la actualidad DES se considera inseguro para muchas aplicaciones.

MD5( Message-Digest Algorithm 5) es un algoritmo de reducción criptográfico de 128 bits ampliamente usado. La codificación del MD5 de 128 bits es representada típicamente como un número de 32 dígitos hexadecimal. Ejemplo:

MD5("Generando un MD5 de un texto") = 5df9f63916ebf8528697b629022993e8

Pre-share es una clave secreta compartida con anterioridad entre las dos partes usando algún canal seguro antes de que se utilice. Para crear una clave de secreto compartido, se debe utilizar la función de derivación de claves. Estos sistemas utilizan casi siempre algoritmos criptográficos de clave simétrica.El término PSK se utiliza en cifrado Wi-Fi como WEP o WPA, donde tanto el punto de acceso inalámbrico (AP) como todos los clientes comparten la misma clave.

Definimos la llave compartida a utilizar:crypto isakmp key [llave] address [IP remota]

ROUTER11(config)#crypto isakmp key tecsup address X0.0.0.2

Definimos los protocolos a utilizar para AH y ESP.crypto ipsec transform-set [etiqueta del tunel] ah-md5-hmac esp-des esp-md5-hmac

ROUTER11(config)#crypto ipsec transform-set TRANSFORM_TECSUP ah-md5-hmac esp-des esp-md5-hmac

ROUTER11(cfg-crypto-trans)#exit

Definimos la interfaz a utilizar por la VPN.crypto map [etiqueta para el mapa del tunel] local-address [interfaz a utilizar]

ROUTER11(config)#crypto map MAP_TECSUP local-address serial 0/0

Definimos los parámetros que utilizará el perfil del túnel creado.crypto map [etiqueta para el mapa del tunel] [política isakmp] ipsec-isakmp

ROUTER11(config)#crypto map MAP_TECSUP 1 ipsec-isakmp

Aparecerá el siguiente mensaje:% NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.

Indicamos la IP del ruteador remoto:set peer [IP remota]

ROUTER11(config-crypto-map)#set peer X0.0.0.2

Indicamos el túnel a utilizarset transform-set [etiqueta del túnel] ROUTER11(config-crypto-map)#set transform-set TRANSFORM_TECSUP

COMUNICACIONES DE DATOS IINro. DD-106Página 10

Indicamos qué política de acceso debemos utilizar, esta la definiremos mediante una lista de acceso.match address [lista de acceso autorizada]

ROUTER11(config-crypto-map)#match address 100 ROUTER11(config-crypto-map)#exit

Definimos una política de acceso mediante listas de acceso.access-list [# de lista] permit ip [red_lan_origen] [máscara] [red_lan_destino] [máscara]

ROUTER11(config)#access-list 100 permit ip 192.168.X0.0 0.0.0.255 172.16.X0.0 0.0.0.255

Autorizamos el túnel creado en la interfaz correspondiente:

ROUTER11(config)#int s0/0 ROUTER11(config-if)# crypto map MAP_TECSUP ROUTER11(config-if)#exit

Verifique si hay conectividad entre los hosts pertenecientes a cada red. Documente su respuesta.

No hay comunicación entre los dos host ya que en uno de los routers (router 1) se configuro el cifrado de los datos, así que para que el otro host pueda comunicarse con el primero será necesario que estos compartan la llave (key) que fue configurada en el primer router(router 1).

Configurando una VPN sitio a sitio con CISCO, en el ruteador ROUTERX2:

Implemente la configuración del túnel en el ruteador ROUTERX2, utilizando el mismo procedimiento del ruterador ROUTERX1, asuma el mismo nombre para la llave, mapa y túnel. Documente el procedimiento:

R2

COMUNICACIONES DE DATOS IINro. DD-106Página 10

Verifique si hay conectividad entre los hosts pertenecientes a cada red.

R3

R4

Verificando los identificadores de Flujo:

ROUTER11#sh crypto engine connections flow

Verificando el tipo de encriptación:

ROUTER11#sh crypto isakmp policy

COMUNICACIONES DE DATOS IINro. DD-106Página 10

Verificando la llave utilizada

ROUTER11#sh crypto isakmp key

Verificando conexiones activas

ROUTERA#show crypto engine connections active

6. Cuestionario Final

Defina “Transform set”

El transform set define las políticas de seguridad que serán aplicadas al tráfico que entra o sale de la interfaz. El estándar IPSec especifica el uso de Security Asociations para determinar qué políticas de seguridad se aplican al tráfico deseado. Los transform-set se definen a través de crypto-maps. Transform set debe de ser el mismo en ambos nodos

Defina “Map”

Los crypto maps reúnen los diversos elementos de las asociaciones de seguridad de IPsec incluyendo:

Que trafico IPsec debe de proteger( se define con AL’s) Donde enviar el trafico protegido por IPsec mediante la identificación de los

nodos

COMUNICACIONES DE DATOS IINro. DD-106Página 10

La dirección local para el tráfico IPsec, identificado mediante la aplicación de crypto map a un interfaz

7. Observaciones

Hoy en día, DES se considera inseguro para muchas aplicaciones. Esto se debe principalmente a que el tamaño de clave de 56 bits es corto; las claves de DES se han roto en menos de 24 horas.

MD5 se utiliza extensamente en el mundo del software para proporcionar la seguridad de que un archivo descargado de Internet no se ha alterado.

Para comprobar la integridad de un archivo descargado de Internet se puede utilizar una herramienta MD5 para comparar la suma MD5 de dicho archivo con un archivo MD5SUM con el resumen MD5 del primer archivo.

El MD5 también se puede usar para comprobar que los correos electrónicos no han sido alterados usando claves públicas y privadas.

Por cuestiones de seguridad, al usar pre-share la clave o claves utilizadas deben ser lo suficientemente difíciles de atacar

Para que se pueda entablar una conexión las entradas crypto map deben tener por lo menos un transform set en común.

8. Conclusiones

La configuración VPN site to site se realizó utilizando el protocolo IPSec obteniendo con este 3 ventajas importantes: confidencialidad integridad y autenticación.

Uns VPN IPSec requiere del establecimiento de 2 túneles. El primero utilizado para la comunicación de los routers (control) y el segundo para el viaje de la información de manera encriptada.

ISAKMP es un protocolo criptográfico que constituye la base del protocolo de intercambio de claves IKE (protocolo de asociación de seguridad en el protocolo IPsec, IKE emplea un intercambio secreto de claves).

ISAKMP define los procedimientos para la autenticación entre pares, creación y mitigación de la amenaza.

IPSec ofrece dos modos de operación según utilice AH o ESP para proteger los datos sobre IP. Se conocen como “modo de transporte” (se emplea AH) o “modo túnel” (se utiliza ESP).

SA, o Security Asociations: Son conjuntos de parámetros que se utilizan para definir los requerimientos de seguridad de una comunicación en una dirección particular (entrante o saliente) Una SA puede utilizar AH o ESP pero no ambas.