TRABAJO INDIVIDUAL Unidad 5 VPN

Objetivos

UNIDAD 5

Crear una VPN con el software Packet Tracer simulando una conexin de dos reas de una empresa utilizando como vnculo Internet, permitiendo a los miembros de soporte tcnico tener acceso a los equipos de cmputo de la otra rea. Todo ello utilizando la infraestructura de Internet y una encriptacin entre las dos reas.

Recursos requeridos
PC (Windows XP, Vista o Win 7). Software Packet Tracer que se encuentra en el rea de recursos.

Topologa

Primera parte: Configuracin del de la topologa propuesta

Desarrolla la topologa propuesta con el Packet Tracer.

Paso 1: Configuracin IP de las interfaces del Router 3. Configura el router 3 especificando el enrutamiento esttico: ip origen libre tanto de la WAN como de la LAN y el next hop o siguiente salto a la FastEthernet 0/0 del router 5 o Internet.

Para la conexin en la parte LAN se encuentra un switch y tres equipos, se configura la interface FastEthernet 0/0 la cual lleva la ip address 192.168.1.1 con una mscara de red 24: 255.255.255.0:

Para la conexin en la parte WAN que va dirigido hacia el router 5 se configura la interface FastEthernet 0/1 la cual lleva la ip address 192.168.0.1 con una mscara de red 30: 255.255.255.252:

Paso 2: Configuracin IP de las interfaces del Router 4. Se configura el router 4 especificando el enrutamiento esttico: ip origen libre tanto de WAN ( /30 ) como de LAN ( /24 ) y el next hop o siguiente salto a la FastEthernet 0/1 del router 5 o Internet:

Para la conexin en la parte LAN se encuentra un switch y dos equipos, se configura la interface FastEthernet 0/0 la cual lleva la ip address 192.168.2.1 con una mscara de red 24: 255.255.255.0:

Para la conexin en la parte WAN que va dirigido hacia el router 5 se configura la interface FastEthernet 0/1 la cual lleva la ip address 192.168.0.6 con una mscara de red 30: 255.255.255.252:

Paso 3: Configuracin de la PC3 En el PC3 de la parte LAN Router 3 se configura el Gateway 192.168.1.1 y la ip address 192.168.1.2 con una mscara de red 24: 255.255.255.0

Paso 4: Configuracin de la PC0 En el PC0 de la parte LAN Router 3 se configura el Gateway 192.168.1.1 y la ip address 192.168.1.3 con una mscara de red 24: 255.255.255.0

Paso 5: Configuracin de la PC2 En el PC2 de la parte LAN Router 3 se configura el Gateway 192.168.1.1 y la ip address 192.168.1.4 con una mscara de red 24: 255.255.255.0

Paso 6: Configuracin de la PC1. En el PC1 de la parte LAN Router 4 se configura el Gateway 192.168.2.1 y la ip address 192.168.2.2 con una mscara de red 24: 255.255.255.0

Paso 7: Configuracin de la PC4. En el PC4 de la parte LAN Router 3 se configura el Gateway 192.168.2.1 y la ip address 192.168.2.3 con una mscara de red 24: 255.255.255.0

Paso 8: Configuracin IP de las interfaces del Router 5. Se configura el router 5 especificando el enrutamiento esttico: 192.168.1.0: que corresponde a una ip libre de la LAN del Router3 con un next hop o siguiente salto: 192.168.0.1 que corresponde a la WAN del Router 3

192.168.2.0: que corresponde a una ip libre de la LAN del Router4 con un next hop o siguiente salto: 192.168.0.6 que corresponde a la WAN del Router 3

Se configura la interface FastEthernet 0/0 con la ip libre 192.168.0.2 mascara de red 30 que es la prxima de la WAN (FastEthernet 0/1) del Router 3:

Se configura la interface FastEthernet 0/1 con la ip libre 192.168.0.5 mascara de red 30 que es la prxima de la WAN (FastEthernet 0/1) del Router 4:

Paso 9: Configuracin de la VPN en los Router

Luego que se ha configurado los equipos y verificando que los paquetes lleguen a su destino solicitado, se realiza la encriptacin de los paquetes para que Router 3 y Router 4 tengan una integridad y confidencialidad de toda la comunicacin sin que Internet (Router 5) conozca el contenido de dichos paquetes: En Router 3: // En esta primera fase se realiza la configuracin de intercambio de claves. Este proceso usa ISAKMP para identificar el algoritmo de hash y el mtodo de autenticacin. Tambin se identifica uno de los extremos del tnel: crypto isakmp policy 10 hash md5 authentication pre-share // utilizar la clave definida ms adelante //

crypto isakmp key P5NM address 192.168.0.6 // Se identifica la llave con la que se va a encriptar los datos no crypto isakmp ccm ! //

// A continuacin, creamos un IPsec conjunto de transformacin que llamamos TRANSFORM. Se especifica el protocolo de encriptacin IPsec para la carga de seguridad encapsuladora (ESP). Estos no tienen por qu ser la misma que protocols IKE utiliza.

crypto ipsec transform-set TRANSFORM esp-3des esp-md5-hmac // mode transport //

crypto ipsec df-bit clear // ! crypto map QPDG00 10 ipsec-isakmp // set peer 192.168.0.6 // extremo del tunel // cual set de transformacin de paquetes utilizar

set transform-set TRANSFORM match address 101

// origen-destino de paquetes

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 //WILLCARD interface FastEthernet0/1 // crypto map QPDG00 En Router 4: // En esta primera fase se realiza la configuracin de intercambio de claves. Este proceso usa ISAKMP para identificar el algoritmo de hash y el mtodo de autenticacin. Tambin se identifica uno de los extremos del tnel: crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key P5NM address 192.168.0.1 no crypto isakmp ccm ! // A continuacin, creamos un IPsec conjunto de transformacin que llamamos TRANSFORM. Se especifica el protocolo de encriptacin IPsec para la carga de seguridad encapsuladora (ESP). Estos no tienen por qu ser la misma que protocols IKE utiliza. //

crypto ipsec transform-set TRANSFORM esp-3des esp-md5-hmac

mode transport crypto ipsec df-bit clear ! crypto map QPDG00 10 ipsec-isakmp set peer 192.168.0.1 set transform-set TRANSFORM match address 101 access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 interface FastEthernet0/1 crypto map QPDG00

Segunda parte: Contesta correctamente las siguientes preguntas

1.- Escribe el comando con el puedes ver cuntos paquetes han sido transformados entre los routers.

Router#show crypto ipsec sa interface: FastEthernet0/1 Crypto map tag: QPDG00, local addr 192.168.0.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0) current_peer 192.168.0.6 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 3, #pkts encrypt: 3, #pkts digest: 0 #pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 1, #recv errors 0 local crypto endpt.: 192.168.0.1, remote crypto endpt.:192.168.0.6 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1 current outbound spi: 0x71B4161D(1907627549) inbound esp sas: spi: 0x00A30F56(10686294) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2009, flow_id: FPGA:1, crypto map: QPDG00 sa timing: remaining key lifetime (k/sec): (4525504/3043) IV size: 16 bytes replay detection support: N Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x71B4161D(1907627549) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2010, flow_id: FPGA:1, crypto map: QPDG00 sa timing: remaining key lifetime (k/sec): (4525504/3043) IV size: 16 bytes replay detection support: N Status: ACTIVE outbound ah sas: outbound pcp sas: 2 .- Cmo puedes verificar que tu VPN est funcionando correctamente? Para comprobar que la VPN esta funcionando correctamente podemos hacer un ping desde la PC1 192.168.2.2 a l PC3 192.168.1.2 y viceversa. Tambin podemos utilizar los comandos de supervisin o monitoreo de VPN (VPN Monitoring Commands): Show crypto isakmp sa Muestra todas las IKE existentes fase 1 de las asociaciones de seguridad ISAKMP Show crypto ipsec sa Muestra todas las IKE existentes fase 2 de las asociaciones de seguridad IPsec Debug crypto isakmp Muestra informacin detallada acerca de las negociaciones de IKE Fase 1 (ISAKMP) y IKE Fase 2 (IPsec)

3.- Cul es la funcin de IPSec transform set? IPsec conjuntos de transformacin ( IPSec transform set ) identifica los algoritmos de cifrado, algoritmos hash, el modo de funcionamiento (es decir, el modo de tnel o de transporte). El tipo de compresin utilizado en el establecimiento de la fase 2 de IKE es el del tnel (es decir, el tnel IPsec). Para definir y establecer las polticas de seguridad IPsec que se utilizara en la comunicacin. Comando crypto ipsec transform-set en modo de configuracin global. Por ejemplo: Router(config)#crypto ipsec transform-set TRANSFORM esp-3des esp-md5-hmac Comando crypto ipsec transform-set TRANSFORM (nombre de la transformacin) esp-3des (algoritmo de encriptacin) y esp-md5-hmac (algoritmo de Hash o de integridad de datos) IPsec se basa en dos protocolos AH (autenticacin Header) para autenticaciones en modo de transporte y ESP (Encapsulation Security Payload) en modo tnel, la diferencia entre los dos es que ESP ofrece encriptacin de paquetes originales y AH no ofrece ninguna encriptacin. 3des es el algoritmo de cifrado ms potente y md5 es el tipo de seguridad hash utilizada para la integridad de los datos. 4.- Cul es la funcin de crypto isakmp policy? Se utiliza para crear una nueva poltica IKE (de la funcin ISAKMP) en modo de configuracin. Cada poltica se identifica por su nmero de prioridad (de 1 a 10,000; 1 es la ms prioridad ms alta) 5.- Cul es la funcin de access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255? Permite y define el trfico que ser protegido mediante el encriptado que sale de la red 192.168.2.0 hacia la red 192.168.1.0 6.- De qu manera el Router 5 puede conocer el trfico que pasas por sus interfaces? Utilizando las tablas de enrutamiento que fueron dadas de alta de forma esttica.

Bibliografa: Apuntes de unidad: Exploring the Basics of IPsec.pdf http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/srfipsec.html#wp1 019177 http://www.slideshare.net/jmorenol/cisco-site-tosite-vpn http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/srfipsec.pdf http://www.cisco.com/en/US/docs/ios/ipv6/command/reference/ipv6_13.html#wp2547816