tema3-punto23

47
 Implantación de técnicas de seguridad remoto 2013 Adrián de la Torre López adriandelatorsad.wordpress.com 30/02/2013 

Transcript of tema3-punto23

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 1/47

  Implantación de técnicasde seguridad remoto 

2013 

Adrián de la Torre López adriandelatorsad.wordpress.com 

30/02/2013 

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 2/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 2

a) Simulación VPN sitio a sitio, utilizando Packet Tracer.  

- El primer comando sirve para crear una nueva política IKE. Cada política se identifica por su numero de prioridad. La primera es la más alta.

- El siguiente comando especifica el algoritmo de cifrado a utilizar.- Elegir el algoritmo de hash a usar en mi caso “sha”. - Determinar el método de autenticación.- Especificamos el identificación de grupo.

- Determinamos el tiempo de vida de la asociación de seguridad en segundos.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 3/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 3

Según el manual de la junta de Andalucía el comando que se debe de poner no lo reconoce elprograma packet tracert por lo tanto no se pudo continuar con la configuración VPN de sitio a sitio.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 4/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 4

b) CISCO CCNA Security 1. 1. Laboratorio Lab- 8- A: VPN sitio-a-sitio

Nos creamos un usuario para poder configurar el router de forma CCP.

Después abrimos la aplicación e introducimos el usuario y contraseña creada con la direcciónIp aconfigurar. Después pulsamos ok.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 5/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 5

Se nos mostrara la siguiente pantalla donde pulsaremos a discover sobre la ip a configurar.Después pulsamos al botón configure situada en la esquina superior izquierda y podremos ver que podemos modificar y configurar las carpetas de la barra izquierda.

Pulsamos sobre la opción vpn sitio a sitio y se nos mostrara la imagen de la derecha.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 6/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 6

Pulsamos "Launch the selected task", pulsamos la segunda opción y seguimos el asistente.

 Ahora introducimos los siguientes datos:- Seleccionamos la interfaz por donde va a realizarse la VPN.- Ponemos la dirección remota al router R1.- Ponemos una contraseña para compartir (cisco12345)

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 7/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 7

Configuramos la política de IKE que se utilizan para configurar el canal de control entre los dospuntos finales de VPN para el intercambio de claves.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 8/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 8

El conjunto de transformación es la directiva IPsec se utiliza para cifrar hash y autenticarsepaquetes que pasan a través del túnel.

Debemos definir el tráfico interesante para ser protegida a través del túnel VPN. El traficointeresante se define a través de una lista de acceso aplicada al router.Para eso ingresamos las direcciones en la siguiente ventana:

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 9/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 9

Podemos ver un resumen de lo configurado:

Finalmente lo guardamos pulsando en el checkbox.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 10/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 10

 Ahora hacemos un espejo que consiste en realizar la misma configuración pero en el otro router.

 Ahora para comprobar que funciona pulsamos en la opción “test tunnel”. 

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 11/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 11

Ponemos la dirección de destino y le damos a "continue".

Le damos a test tunnel y esperamos a que chequee el proceso, vemos que el tunel esta up.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 12/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 12

VPN de acceso remotoSimulación VPN de acceso remoto, utilizando Packet Tracer.

El escenario para realizar el VPN de acceso remoto es el siguiente:

Lo primero de todo será ponerle un nombre al router.También creamos una bolsa de direcciones que permite la conexión de 40 conexionesrecurrentes.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 13/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 13

La siguiente imagen nos muestra una serie de comandos de los que cad uno significa:- Aaa new-model = Activar la funcionalidad aaa (autenticación, autorización y

contabilizacion)- Aaa authentication login = Defina la lista de métodos de autenticación cuando un usuario

hace login(local, radius…). - Aaa authorization network VPN-GROUP local = Establece los parámetros que restringen

el acceso de los usuarios a la red. Las letras mayúsculas significa poner un nombre degrupo que queramos.

- Username VPNUSER password MICONTRASEÑA: Se crea una cuenta de usuario queusaran los clientes VPN para autenticarse contra el servidor. Las letras mayúsculas se

cambian por un nombre y una contraseña.

- Crypto isakmp policy 10 = Crea una nueva política IKE. Cada política se identifica por sunumero de prioridad (de 1 a 10.000, el 1 es la prioridad mas alta).

- Encryption aes 192 = Especifica el algoritmo de cifrado a utilizar.

- Hash sha = Elige el algoritmo de hash a usar (MD5 o SHA)- Authentication pre-share = Determina el método de autenticación (pre-share, rsa-encr orsa-slg)

- Group 5 = especifica el identificador de grupo Diffie-Hellman.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 14/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 14

- Crypto isakmp client configuration group VPN-GROUP = Crea un grupo IKE para losclientes VPN. En mayusuclas tendremos que poner el nombre del grupo puesto en lasprimeras imágenes.

- Key SECRETOCOMPARTIDO= Establece el secreto compartido para el grupo VPN-GROUP creado anteriormente.

- Pool VPNPOOL = Se selecciona la bolsa de direcciones para los clientes

- Crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac = Establece las políticas deseguridad IPSEC que se usaran en las comunicaciones. Podemos poner cualquier nombreen “VPNSET”. 

- Crypto dynamic-map VPN-DYNAMIC 10 = Crea un crypto map dinamico que se usa

cuando la IP del host remoto no se conoce, como es el caso en las VPN de acceso remoto.Podemos nombrar la VPN-DYNAMIC como queramos.- Set transform-set VPNSET = Asocia el transform set VPNSET al crypto map dinamico. En

VPNSET poner el nombre anteriormente puesto en unas opciones anteriores.- Reverse-route = Activa Reverse Route Injection.

- Crypto map VPN-STATIC client configuration address respond = Configuramos uncrypto map estatico que puede ser asociado a una interfaz.. Ponemos el nombre quequeramos sobre vpn-static

- Crypto map VPN-STATIC client authentication list VPN-USERS = Define el conjunto de

usuarios con permisos de autenticación. Sobre VPN-STATIC pondremos el nombreanteriormente puesto en el anterior comando y en VPN-USER los usuarios creados alprincipio en el 3º comando.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 15/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 15

- Crypto map VPN-STATIC isakmp authorization list VPN-GROUP = Establece el grupode usuarios y los parametros de acceso a la red.

- Crypto map VPN-STATIC 20 ipsec-isakmp dynamic VPN-DYNAMIC = Asocia el cryptomap dinamico creado para los clientes de acceso remoto.

- Interface fa 0/1 = Accedemos a la configuración de la interfaz por la que se conectaran losclientes VPN.

- Crypto map VPN-STATIC = Asociamos el crypto map a la interfaz.- Write = Comando para guardar todos los cambios.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 16/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 16

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 17/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 17

b) CISCO CCNA Security 1.1. Laboratorio Lab-8-B; VPN Acceso.remoto

Nos creamos un usuario para poder configurar el router de forma CCP.

Después abrimos la aplicación e introducimos el usuario y contraseña creada con la dirección Ip aconfigurar. Después pulsamos ok.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 18/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 18

Se nos mostrara la siguiente pantalla donde pulsaremos a discover sobre la ip a configurar.Después pulsamos al botón configure situada en la esquina superior izquierda y podremos ver que podemos modificar y configurar las carpetas de la barra izquierda.

Nos vamos a Security > Firewall, marcamos la opcion de basic firewall y le damos a launch thesearch task.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 19/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 19

Marcamos la interfaz que va a estar dentro y fuera del router 1 y le damos a siguiente.

Ponemos la seguridad a nivel bajo del firewall y le damos a siguiente

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 20/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 20

Permitimos las actualizaciones de eigrp a través del firewall y le damos a siguiente.

Marcamos la opción para que se guarden las configuraciones en el router y le damos a deliver.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 21/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 21

Nos vamos a security > firewall >vpn> easy vpn server, le damos a launch

Pulsamos la casilla de guardar la configuración en el router y le damos a deliver para que tenganefecto los cambios.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 22/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 22

Nos saldrá esta pantalla de bienvenida, le damos a siguiente.

Marcamos la opción de "Unnumbered to..." y seleccionamos el serial, le damos a siguiente.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 23/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 23

Seleccionamos el que viene por defecto y le damos a siguiente.

Seleccionamos el que viene por defecto y le damos a siguiente.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 24/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 24

Seleccionamos la opción del método local y le damos a siguiente

Habilitamos la autenticación por usuarios, luego marcamos la opción de solo local

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 25/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 25

 Añadimos los usuarios con su contraseña y ponemos el nivel de privilegios en 1 y Ok.

Creamos el grupo y le ponemos la contraseña, ponemos un rango de direcciones que se pueden

conectar a la red a través de la vpn por acceso remoto.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 26/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 26

Habilitamos el grupo y en el id túnel ponemos un 1.

En esta pantalla le damos a Ok.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 27/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 27

Nos aparece un resumen y le damos a finalizar.

Marcamos la casilla para que se guarden la configuración en el router y le damos a deliver.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 28/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 28

Le damos a test tunnel y start, esperamos a que termine el chequeo y vemos que testa el túnelup.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 29/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 29

a) Instalación de un servidor VPN en Windows XP/7/ Windows2003/2008 Server.

Para realizar una VPN en el sistema operativo Windows Xp nos situaremos en la ruta: Inicio – panel de control – conexiones de red e internet – conexiones de red y crear una nueva conexión.

Una vez que pulsamos únicamente seguiremos las indicaciones del asistente:

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 30/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 30

Para poder realizar la VPN elegimos la ultima opción.

Elegimos la primera opción para aceptar conexiones entrantes.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 31/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 31

No seleccionamos la conexión.

Para usar VPN tenemos que aceptar la siguiente opción.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 32/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 32

Después elegimos los usuarios que podrán utilizar este tipo de conexión.

Después nos saldrá todos los protocolos que podrán usar la conexión.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 33/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 33

Una vez finalizado podemos ver que se creó correctamente.

b) Instalación de un servidor VPN en GNU/Linux

Para poder realizar un servidor VPN en un Ubuntu lo primero que se debe de hacer es descargar e instalar el paquete VPN:

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 34/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 34

Una vez instalado procedemos a configurarlo y para ello nos situamos en el siguiente fichero:

Pondremos la siguientes líneas y todo lo demás quedara comentado menos la ultima opcion quesignifica su compresion.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 35/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 35

 A continuación modificamos el fichero “pptpd.conf” donde comentaremos todas las líneas a

excepción de tres.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 36/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 36

 Al final del archivo pondremos unas líneas con la IP de nuestro servidor vpn y el rango de ipdisponibles.

Por ultimo editamos un ultimo fichero llamado “chap-secret” donde se situan el nombre de usuarioy contraseña para poder acceder al servidor llamado anteriormente adrian y se podrán conectar con el primer usuario desde cualquier maquina y con el segundo desde esa ip especifica.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 37/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 37

c) Conexión desde un cliente Windows y GNU/Linux VPN a un

servidor VPN 

Nos situaremos en el panel de control y después en centro de recursos compartidos.Una vez situados pulsaremos en la opcion “configurar una nueva conexión o red”. 

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 38/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 38

Elegimos la tercera opción.

Después nos dará a elegir entre las dos siguientes opción y evidentemente elegimos la primera.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 39/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 39

La siguiente pantalla tendremos que poner a que equipo o servidor configurado con VPN nosqueremos conectar.

Después pondremos a que usuario le permitimos acceder al servicio de VPN y este usuario se diode dar de alta en el servidor como esta hecho anteriormente.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 40/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 40

Finalmente se conecto.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 41/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 41

La conexión desde otro equipo cliente pero Linux se hace de la siguiente manera.Nos situamos en “conexiones VPN” y configurar VPN.

Nos saldrá la siguiente pantalla y damos la opción “añadir”. 

Elegimos el tipo de conexión:

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 42/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 42

Introducimos los datos de usuario, contraseña y la Ip del servidor VPN.

d) Configurar el router Linksys RV200 como un servidor VPN sobrered local.

Para configurar este router como una VPN de acceso remoto es muy simple.Nos situamos en la pestaña “VPN ” y después sobre la opción “VPN client access” donde veremosla siguiente imagen y la rellenaremos con los usuarios que queramos que accedan.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 43/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 43

Ponemos el usuario, su contraseña y por ultimo pulsamos el botón “add/save” para guardar elusuario.

Para realizar una VPN de sitio a sitio nos vamos a la pestaña “IPSEC VPN”. 

Como veremos en la siguiente imagen creamos un túnel con un nombre y lo activamos.La dirección de red local y remota con la que se realizara el túnel.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 44/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 44

El tipo de encapsulación que se usara y también se puede ver la clave compartida entre los dossitios.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 45/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 45

e) Configurar el router Linksys RV042 como un servidor VPN sobrered local. 

Para realizar en este router una Vpn nos situamos en la pestaña “VPN” y después sobre“Gateway to gateway” para realizar la VPN de sitio a sitio. 

 Ahora procedemos a configurarla.Lo primero será darle un numero y un nombre al túnel.

Ponemos la dirección Ip local y de destino con su dirección Gateway de salida.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 46/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

30/01/2013 Página 46

Más abajo tiene la configuración de la encapsulación del túnel que pondremos la “3DES” y paraautenticar el método “MD5”. 

Para configurarlo de forma de acceso remoto nos vamos a la pestaña “Gateway to client”. Lo configuraremos para que solo pueda acceder un equipo.

7/15/2019 tema3-punto23

http://slidepdf.com/reader/full/tema3-punto23 47/47

 

Servicios de red e internetProfesor: José Sanchez-Migallón

 Alumno: Adrián de la Torre López

Tema 3VPN

Después como siempre la configuración de la contraseña compartida, el método de encriptación yautenticación.