Académique Documents
Professionnel Documents
Culture Documents
Laboratorio N 10
OBJETIVOS
Implementar VPN en los equipos CISCO
Describir el proceso de una conexin VPN
EQUIPOS
3 Computadora.
2 ROUTER CISCO 2800
2 SWITC 3560
PROCEDIMIENTO
PARTE 1
En grupo de 3, realizaremos las conexiones respectivas, teniendo los
cables respectivos. PC REAL (A)(B)(C) representa a las PC reales de
cada participante del grupo.
RESET
> enable Realice
Realice este
este proceso
proceso dede
RESET
RESET sisi no
no apareci
apareci el
el
# erase startup-config mensaje
mensaje queque indicaba
indicaba
# reload que
que el
el equipo
equipo estaba
estaba
limpio
limpio
1
Tecsup
Los
Los nombres
nombres de
de las
las interfaces
interfaces son
son del
del modelo
modelo
CONFIGURACION ROUTER CENTRAL de
de router
router 2800,
2800, para
para otros
otros modelos
modelos
previamente
previamente visualizar
visualizar lala informacin
informacin con
con el
el
3. (RC)Personalizando los parmetros de conectividad: comando
comando ## show
show running-config
running-config
> enable
# configure terminal
> enable
# configure terminal
2
Tecsup
Login: root
Password: tecsup
Personalizar la conectividad:
IP
# vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
Personalice
Personalice con
con sus
sus propios
propios
ONBOOT=yes datos
datos de
de conectividad
conectividad yy queque los
los
BOOTPROTO=static archivos
archivos tenga
tenga la la estructura
estructura
IPADDR=192.168.2.6 indicada,
indicada, si
si existiera
existiera otras
otras lneas
lneas
NETMASK=255.255.255.0 borrar
borrar
# vi /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=SL.empresa.com.pe
GATEWAY= 192.168.2.1
# vi /etc/hosts
RESOLUCION
# vi /etc/resolv.conf
3
Tecsup
search localdomain
PARTE 3 SERVICIOS
Tomaremos como referencia al Servicio Telnet, para establecer una
comunicacin entre la sucursal y Central. Al conseguir la conexin
asumiremos que todo tipo de Aplicacin a instalarse en el Central ser
accedido por la Sucursal.
SERVICIO TELNET
9. (SL) Procesos:
HABILITAR TELNET
El TELNET por defecto esta desactivado:
telnet
PUERTO ACTIVO
Compruebe que el puerto 23 este activo:
# netstat a -n | grep tcp
CUENTA DE USUARIO
Genere la siguiente cuenta:
usuario Password
benito tecsup
# passwd benito
4
Tecsup
5
Tecsup
CONFIGURACION CLIENTE
10. (C1) Activando PUTTY: Direccin IP del Servidor a
conectarse
GENERANDO UN PERFIL * Indique la IP de su SERVER:
192.168.2.6
1
Servicio a Conectarse
Al seleccionar el tipo de
servicio,
2 automticamente campo
de (port) variara
3
CONEXION
11. (C1) Activando el perfil:
Active el PUTTY.
Cargue su PERFIL:
CONSOLA REMOTA
YA
ingrese
al
Clave: Telnet.
tecsup
Cierre el PUTTY
PARTE 4 PORT MIRROR
Habilitaremos el soporte de PORT MIRROR en el punto que esta conectado
el ESPIA para permitirle recibir una copia del trafico que esta
circulando en la RED publica.
CONFIGURANDO
12. Realizarlo en el SWITCH de la CENTRAL
donde esta conectado la PC del ESPIA:
Los
Los nombres
nombres dede las
las
interfaces
interfaces son
son
referenciales
referenciales
#Interface
monitor session 1 source interface gigabitethernet 0/12 donde esta
monitor session 1 destination interface gigabitethernet 0/10 conectado el
Router
Central
#Interface
donde esta
6 conectado el
Espia
Tecsup
PAQUETE
13. (E1) Nombre del paquetes:
INSTALACION
Ejecute el proceso de instalacin. Acepte por defecto las opciones.
ACTIVANDO
Cargue el WIRESHARK:
LIMPIEZA
14. Cierre toda conexin de PUTTY con el SERVIDOR.
INICIANDO CAPTURA
15. (E1) Procesos:
Interface a monitorear
* Seleccione la interface (VMware
Accelerated AMD PCNet)
Resolucin de capturas:
Enable MAC: Traduce la Mac
a los nombres de los
fabricantes de Tarjeta de Red.
Enable network: Traduce la
informacin de la IP por
nombre.
Enable Transport: Traduce
el Puerto por su nombre
Iniciar la
3 captura
7
Tecsup
Capturando
Capturando informacion.
informacion. Observar
Observar que
que siempre
siempre en
en la
la red
red
se
se esta
esta transmitiendo
transmitiendo diversa
diversa informacion
informacion (broadcast,
(broadcast,
anuncios,
anuncios, busqueda
busqueda
)
)
4
Esperare a
que alguien se
conecte a un
Servicio
CONEXION
16. (C1) Procesos:
Clave: Llego la
tecsup comida,
Ejecutand capturando
o un
comando
DETENIENDO CAPTURA
17. (E1) Procesos:
Deteniendo la
captura
*Clic
Observara que el
Sniffer ha ido
capturando los
paquetes
8
Tecsup
Revisare
ANALIZANDO los paquetes
18. (E1) Conociendo la estructura de la herramienta: (comida)
Cada lnea
representa un
1 paquete capturado
Las *Ubquese en el
ventanas primer paquete
puede TELNET
ampliarse y
reducirse.
Al ubicarse
entre las Estructura de
lneas composicin de
capas de cada
paquete
Visualizando
2
datos
*Clic.
Cambiara de Representacin
(+) a (.) hexadecimal del
paquete
VISUALIZANDO DATOS
19. (E1) Construyendo informacin: Son paquetes
TELNET
LOGIN visualizare la
data enviada..
Buscando la cuenta de Login:
Desplazase
Desplazase entre
entrela
la captura
captura centrandose
centrandose en
enlos
los
paquetes
paquetes de
de PROTOCOL
PROTOCOL(TELNET).
(TELNET). YY observe
observe en
en el
el
cuadro
cuadro de
de (composicion
(composicion dede capas)
capas)enen alguno
algunodede los
los
paquetes
paquetes TELNET
TELNET debedebe de
de encontrar
encontrar la Data: b
la Data: b
Encontr la
primera letra (b)
de la cuenta de
usuario..
9
Tecsup
PASSWORD
Buscando el PASSWORD:
Ya encontr dos
letras (t)(e)..
Seguir
buscando, tengo
tiempo
10
Tecsup
CONSTRUYENDO DATOS
20. (E1) Construyendo informacin: Ubiquese
Ubiquese en
enel
el
Primer
Primer paquete
paquete de
de
Protocol
ProtocolTELNET
TELNET
*Clic
*Clic derecho
derecho
1
2
Opcin
Opcinque
que construye
construye toda
todala
la
informacin
informacintransmitida
transmitida del
del
protocolo
protocoloelegido
elegido
*Clic
*Clic
Observara
Observaradiversos
diversos caracteres
caracteres yy en
en algunos
algunos casos
casos
observara
observara que
que los
los caracteres
caracteresse
se repite
repite debido
debido aa que
que Ya tengo los
muestra
muestralos
los caracteres
caracteresenviados
enviados yy recibidos
recibidos datos de Login y
sus acciones
Va
Vaal
al campo
campo
(PROTO)
(PROTO)
11
Tecsup
CAPAS
INTERNET TRANSPORTE APLICACIO
PARTE 6 HABILITAR SOPORTE DE IPSEC (VPN) EN ROUTER CISCO N
Configuraremos entre la Sucursal y Central una conexin VPN. Que nos
garantizara que todo trfico que circula entre la Sucursal y Central
estar encriptado. Usaremos el protocolo de VPN llamado IPSEC. En la
configuracin en general existe 2 Bloques a configurar: Configuracin
de las polticas del IKE (ISAKMP) y del TUNEL
PARAMETROS DE ISAKMP
22. (RC,RS) Estableciendo parmetros de criptografa del protocolo ISAKMP para
que transmita en forma segura la informacion de la clave y la negociacion de los
algoritmos del Tunel.
# que define la
prioridad si hubiera
crypto isakmp policy 1 otros perfiles de
Algoritmo
ISAKMP
de encryption des
encriptaci hash md5
n
authentication pre-share
En
En forma
forma simblica
simblica alal Algoritmo
existir
existir una
una tabulacin
tabulacin de integridad
indica
indica que
que esta
esta dentro
dentro (hash)
de Mtodo de
de una
una seccin
seccin autentificacin entre
Nota:
Nota: Para
Para salir
salir de
de una
una los nodos
seccin
seccin use
use el
el comando
comando Preshare: Clave en
(exit)
(exit) comn que ambos
nodos deben conocer
Para conocer que otros algoritmos soporta el Cisco, visualizelo alcanzando el
parametro de consulta (?) al comando:
La
La diferencia
diferencia
esta
esta en
en su
su
confiabilidad
confiabilidad yy el
el
consumo
consumo de de
recursos
recursos
rsa: Es el
mtodo
usado
llaves
publicas y
privadas
LLAVE A COMPARTIR
23. (RC,RS) Al usar la autentificacin PRE-SHARE debemos de establecer una llave
en comun que es representado por una cadena de texto y que ambos nodos
(router) deben de registrarlo:
Reemplace con la informacin que corresponda
segn que Router este configurando
Caso: Si esta configurando el router central (RC)
deber de colocar la IP pblica del Router
sucursal (RS) que es 200.0.0.2 sin los
corchetes.
12
Tecsup
Cadena que
ALGORITMOS DEL TUNEL IPSEC representa la
llave
24. (RC,RS) Estableciendo parmetros de criptografa del protocolo IPSEC para que
ser usados por los protocolos (AH) y (ESP) para que transmitan en forma segura
la informacion de los datos por el Tunel:
Algoritmo de Algoritmo de
integridad a encriptacin a usar
usar la la cabecera (esp)
cabecera (ah) para los datos
Asignando el Algoritmo de
nombre tunel integridad a usar la
al TUNEL cabecera (esp) para
los datos
Para conocer que otros algoritmos que soporta el Cisco en IPSEC. Visualizelo
alcanzando el parametro de consulta (?) al comando:
POLITICAS DE ACCESO
25. (RC,RS) Para autorizar que redes pasaran por el Tunel, se debe de definir un
lista de acceso que informe las redes lan de los routers comunicarse:
# de access-
list que indica Caso: Si esta configurando el
que es del tipo router central (RC) la informacin
extendido a reemplazar ser: 192.168.4.0
0.0.0.255
13
Tecsup
INTERFACE A USAR
26. (RC,RS) Definir que interface fsica del Router se usara para construir el Tunel:
Nombre de la interface fsica del Router del
lado Publico, donde se armara el Tunel
Caso: Segn la configuracin realizada en el
route, el nombre de la interface fsica del lado
publico a informar es: fasethernet 0/1
Definiendo un nombre de
etiqueta a asociar a la
interface fsica en donde se
habilitara el Tunel
DEFINIENDO UN PERFIL
27. (RC,RS) Hasta el momento hemos ido declarando informacion del VPN,
asociandolos algunos nombres de etiquetas pero todavia no se encuentran
activos. Para activarlos antes tenemos que definir un perfil y en este perfil
asociar la informacion declaradas. Para luego aplicar el perfil en una interface:
Asociando al nombre de la
etiqueta definida en el paso
( INTERFACE A USAR) # de secuencia. til si
hubiera ms perfiles. El
de menor # tiene la
prioridad alta
interface [NOMBRE_INTERFACE_PUBLICA_ROUTER]
crypto map perfil
14
Tecsup
RESUMEN
29. (RC,RS) En forma resumida hemos aplicado la siguiente estructura que podr
visualizarlo en la configuracin del ROUTER con el comando:
# show running-config Al
Al visualizar
visualizar la
la configuracin,
configuracin, no
no
aparecer
aparecer este
este comando
comando debido
debido aa
que
que por
por defecto
defecto asume
asume
internamente
internamente el el algoritmo
algoritmo DES
DES
crypto isakmp policy 1
encryption des
hash md5
authentication pre-share
interface [NOMBRE_INTERFACE_PUBLICA_ROUTER]
crypto map perfil
TELNET
Clave: tecsup
Ejecutando
un comando
15
Tecsup
EVENTOS
31. (RA) Procesos:
16
Tecsup
LIMPIEZA
32. Cierre toda conexin de PUTTY TELNET con el SERVIDOR.
INICIANDO CAPTURA
33. (E1) Procesos:
Cierre toda ventana de WIRESHARK.
1
Vuelva abrir el sniffer WIRESHARK.
Seleccionando las opciones para CAPTURA:
Interface a monitorear
* Seleccione la interface (VMware Accelerated
AMD PCNet)
Modo que 2
captura todo
trafico que pasa
por la interface
de Red. Con
destino a
cualquiera
<START>
CONEXION Llego la
34. (C1) Procesos: comida,
capturando
Conectese con el CLIENTE (PUTTY) al
Servicio TELNET:
Clave: tecsup
DETENIENDO CAPTURA
35. (E1) Procesos:
Deteniendo la captura
*Clic
Observara que el
Sniffer ha ido
capturando los
paquetes
17
Tecsup
TIPO DE PAQUETES
Visualize que no aparece paquetes con protocolo TELNET. Toda informacion
esta siendo transmitida en forma encriptada dentro del paquete ESP:
COMPOSICION
De la informacion armamos una estructura de un paquete, segn el modelo
de TCP/IP obtendriamos: El paquete de IPSEC llega hasta el
nivel de RED (INTERNET) no hay los
otros protocolos
DATOS ENCRIPTADO
Visualizando la informacion de los protocolos del IPSEC (AH) y (ESP). Como
se observa la data esta codificada:
Informacin
Informacin esta
esta
viajando
viajando encriptado
encriptado
18
Tecsup
CAPTURA ISAKMP
Los paquetes de ISAKMP cumple la funcin autentificar a los nodos y
de negociar el protocolo a usar (IPSEC) con los algoritmos a usar en
el Tnel. Esto paquetes se transmite al iniciar la negociacin del
Tnel. Entonces esto requiere que realicemos la captura desde el
inicio de la negociacin.
37. Procesos:
CERRAR CONEXIONES
(C1) Cierre toda conexin de TELNET de la SUCURSAL con la CENTRAL.
INICIAR CAPTURA
(E1) Cierre el Wireshark y vuelva a abrirlo e inciando la captura.
ROUTER
(RC,RS) Guarde la configuraciones y reinicie :
# write
# reload
(RC,RS) Espere que los ROUTER terminen de cargar hasta que tenga ingreso
a la consola.
PRUEBA DE CONEXION
(C1) Conectese con el CLIENTE (PUTTY) al Servicio TELNET (CENTRAL):
TELNET Si
Si no
no se
se conecta
conecta aa
la
la primera
primera vez,
vez,
vuelva
vuelva aa intentar
intentar
una
una vez
vez mas.
mas.
Clave: tecsup
Ejecutando
un comando
DETENGA LA CAPTURA
(E1) Detenga la captura del WireShark (Sniffer):
Observara
que el
Sniffer ha
ido
capturando
los
paquetes
19
Tecsup
COMPOSICION
Ubique un paquete ISAKMP
Ubiquese
Ubiquese en
en el
el
Primer
Primer paquete
paquete 1
ISAKMP
ISAKMP que
que
tenga
tenga como
como
origen
origen
200.0.0.2
200.0.0.2
NEGOCIACION
Visualizando la informacion de los algoritmos y el tipo de autentificacion a
usar en el canal del ISAKMP:
Visualizando
Visualizando la
la
informacin
informacin de
de los
los
algoritmos
algoritmos de
de
encriptacin,
encriptacin, hash
hash yy
el
el tipo
tipo de
de
autentificacin
autentificacin de
de
llave
llave compartida
compartida
(PSK)
(PSK)
Ingrese
Ingrese aa los
los
niveles
niveles hasta
hasta
encontrar
encontrar este
este nivel
nivel
ee ingresar
ingresar
Ok. Hemos
comprobando el
proceso de la
comunicacin de
una VPN IPSEC
20
Tecsup
TECSUP
GD
21