PRACTICA 6 VPN Objetivos: - Conocer los conceptos bsicos asociados a las VPN: IPSec, encriptacin, autenticacin, tnel VPN,

asociaciones seguras (SA),... - Configurar los parmetros de un tnel VPN en un router - Configurar los parmetros de un PC cliente remoto con windows XP

En primer lugar se proporciona un ejemplo configurado que el grupo de prcticas tendr que adaptar segn la lista de tareas Escenario:

F0 192.168.138.1

Router 1720 S0 192.168.137.2

192.168.136.11

Video server 192.168.138.11

S1 192.168.137.1

192.168.136.0 E0 192.168.136.1

Frame relay
Router 2514

Se va a configurar un tunel seguro VPN en la red de la figura entre el cliente XP y el interfaz serie del router 1720. El interfaz ethernet del 1720 est conectado a un servidor Windows 2000 denominado videoserver que permite conexiones remotas de un usuario User01 con contrasea pepe1492. Conceptos previos: IKE, Internet Key Exchange es un protocolo que define el mtodo de intercambio de claves sobre IP en una primera fase de negociacin segura. Est formado por una cabecera de autenticacin, AH o Authentication Header, que en nuestro caso no utilizaremos, o una cabecera de autenticacin ms encriptacin que se conoce como Encapsulating Security Payload o ESP) Es importante entender que IPSec ofrece dos modos de operacin segn utilice AH ESP para proteger los datos sobre IP. Se conocen como modo de transporte (se emplea AH) o modo tnel (se utiliza ESP). En la prctica emplearemos este segundo modo. SA, o Security Asociations: Son conjuntos de parmetros que se utilizan para definir los requerimientos de seguridad de una comunicacin en una direccin particular (entrante o saliente) Una SA puede utilizar AH o ESP pero no ambas

Pasos para la configuracin: 1. Preparar la red para IPSEC e IKE (este paso es previo a la configuracin) a. En esta tarea hay que configurar una conexin bsica entre los dos routers, y verificar que hay conectividad entre los extremos de la red. En este caso concreto el enlace entre los routers es frame relay con las siguientes configuraciones: Router 1720 interface Serial0 ip address 192.168.137.2 255.255.255.0 encapsulation frame-relay IETF bandwidth 64 frame-relay lmi-type ansi frame-relay inverse-arp ip 16 frame-relay map ip 192.168.137.1 25 broadcast IETF frame-relay switching frame-relay intf-type dce clockrate 2000000

Router 2514 interface Serial1 ip address 192.168.137.1 255.255.255.0 encapsulation frame-relay IETF bandwidth 64 frame-relay lmi-type ansi frame-relay inverse-arp ip 16 frame-relay map ip 192.168.137.2 25 broadcast IETF

b. Definir cules son los algoritmos de encriptacin y autenticacin (en este caso se van a utilizar DES y SHA respectivamente tanto en el router como en el PC) c. Definir ACLS, comprobar que son adecuadas (en este caso se va a permitr todo el trfico IP entre servidor W2000 y destino XP y se va a denegar el trfico IP con origen en el servidor W2000 y cualquier otro destino) 2. Crear listas de acceso en router 1720 Las listas de acceso se emplean para filtrar el trafico entrante o saliente basndose en algunos criterios. Slo se permiten aquellos paquetes que encajan en las reglas especficas. Comando: Router (config)# access-list access-list-number{deny | permit} protocol sourceaddress source-wildcard destination-address destination-wildcard [eq portnumber] [log]

En nuestro ejemplo se configuran las siguientes listas de acceso (en router(config)# ) Router (config)# access-list 110 permit ip 192.168.138.0 0.0.0.255 192.168.136.0 0.0.0.255 Router (config)# access-list 110 deny ip 192.168.138.0 0.0.0.255 any

3. Configurar el Transform Set El transform set define las polticas de seguridad que sern aplicadas al trfico que entra o sale de la interfaz. El estndar IPSec especifica el uso de Security Asociations para determinar qu polticas de seguridad se aplican al trfico deseado. Los transform-set se definen a travs de crypto-maps. 3.1. Definicin del protocolo de transform-set Este commando selecciona si se utiliza AH o ESP Comando Router (config)# crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] Nuestro ejemplo (en este caso se escoge como protocolo de encriptacin esp el algoritmo des y como protocolo de autentificacin la variante may del algoritmo sha. Es importante que este protocolo coincida con el que se configura en el extremo XP del tunel para que haya conectividad) Router (config)# crypto ipsec transform-set rtpset esp-des esp-sha-hmac 3.2. Especificar el Modo del transform-set Este comando especifica el modo en el que opera IPSec (modo transporte o modo tunel) Comando: Router (cfg-crypto-tran)# mode [tunnel | transport] Nuestro ejemplo: Router (cfg-crypto-tran)# mode tunnel

4. Configurar el crypto-map con IKE 4.1 Crear el crypto-map con IKE Un crypto-map se crea especificando el nombre del mapa, el nmero de secuencia del mapa y el tipo de gestin de clave que se va a emplear entre los dos extremos. Comando: Router (config)# crypto map map-name seq-num ipsec-isakmp Nuestro ejemplo: Router (config)# crypto map rtp 1 ipsec-isakmp 4.2 Especificar el trfico de datos Se especifica el trfico que se quiere encriptar. Es aquel trfico que ha sido definido en las listas de acceso Comando: Router (config-crypto-map)# match address access-list-number Nuestro ejemplo: Router (config-crypto-map)# match address 110

4.3 Especificar el extremo destino del tunel VPN Se da la direccin IP del host destino (en nuestro caso el PC XP) Comando: Router (config-crypto-map)# set peer {host name | ip-address} Nuestro ejemplo: Router (config-crypto-map)# set peer 192.168.136.11 4.4 Especificar el transform-set a utilizar De los transform-set que se hayan definido se especifica cual se aplica en este tnel Comando: Router (config-crypto-map)# set transform-set transform-set-name Nuestro ejemplo: Router (config-crypto-map)# set transform-set rtpset 4.5 Activar PFS (Perfect Forward Security) Por defecto es un comando que est desactivado. Como se va a utilizar en el extremo XP es necesario activarlo. Comando: Router (config-crypto-map)# set pfs {group 1 | group2} Nuestro ejemplo: Router (config-crypto-map)# set pfs 4.6 Configurar IKE Esto supone tres pasos: 4.6.1 Habilitar IKE Comando: Router (config)# crypto isakmp enable 4.6.2 Crear una IKE policy (poltica de encriptacin de IKE) 4.6.2.1 Definir la prioridad Esta prioridad se utiliza para ordenar la aplicacin de las polticas de encriptacin cuando existen varias Comando: Router (config)# crypto isakmp policy priority Nuestro ejemplo: Router (config)# crypto isakmp policy 1 4.6.2.2 Especificar el algoritmo de encriptacin que se utiliza en IKE Comando: Router (config-isakmp)# encryption {des|3des} Nuestro ejemplo: DES por defecto y no se configura 4.6.2.3 Especificar el algoritmo hash Cisco permite utilizar SHA o MD5 Comando: Router (config-isakmp)# hash {sha|md5} Nuestro ejemplo: SHA por defecto y no se configura

4.6.2.4 Especificar el mtodo de autenticacin Mtodo de autenticacin para el intercambio de claves. Puede ser RSA, RSA encriptado y claves pre-configuradas (las dos primeras necesitan un servidor de autoridad) Comando: Router (config-isakmp)# authentication {rsa-sig | rsa-encr | pre-share} Nuestro ejemplo: Router (config-isakmp)# authentication pre-share 4.6.2.5 Especificar el identificador de grupo del algoritmo de Diffie Hellman Comando: Router (config-isakmp)# group {1|2} Nuestro ejemplo: No se usa 4.6.2.6 Especificar el tiempo de seguridad asociado Tiempo mximo en el que una poltica de seguridad se utiliza sin necesidad de negociarla de nuevo Comando: Router (config-isakmp)# lifetime seconds Nuestro ejemplo: Router (config-isakmp)# lifetime 28800 4.6.3 Definir una clave (key) Como hemos escogido utilizar claves pre-configuradas que se intercambien en la negociacin inicial es necesario configurarla en cada extremo Comando: Router (config)# crypto isakmp key clave address peer-address Nuestro ejemplo: Router (config)# crypto isakmp key cisco123 address 192.168.136.11

5. Aplicar el crypto-map al interface extremo del tnel VPN En nuestro caso hay que aplicar el crypto-map definido al puerto serie del router 1720. Comando: Router (config-if)# crypto map map-name Nuestro ejemplo: Router (config-if)# crypto map rtp

6. Configurar la conexin VPN en el PC con windows XP siguiendo los pasos siguientes del guin Configuring IPSec between a Microsoft Windows XP professional (1NIC) and the VPN router que se puede encontrar en la pgina web de la asignatura.
A partir del guin especificado, se incluyen a continuacin nicamente aquellas ventanas que en el ejemplo del guin no coinciden con el ejemplo de configuracin

de esta prctica considerando que el windows XP es el extremo opuesto al router 1720 del tunel VPN.

Extremo de WIN XP a VPN

Extremo de VPN a WIN XP

HOJA DE TAREAS A partir del siguiente esquema de red:

F0 192.168.138.1

Router 1720 S0 192.168.137.2

192.168.14X.2

Video server 192.168.138.11

S1 192.168.137.1

Frame relay
Router 2514

E0 192.168.14X.1

1.- Definir las subredes del esquema de acuerdo con el nmero del grupo 2.- Conectar fsicamente los equipos 3.- Configurar el enlace frame relay segn los parmetros proporcionados en el ejemplo y las direcciones IP definidas en el apartado 1 4.- Configurar la VPN entre el interfaz serie del router 1720 y el PC windows XP, a partir del ejemplo proporcionado y las direcciones IP definidas. 5.- Utilizar los comandos show crypto para comprobar el tunel creado 6.- Utilizar los comandos debug para comprobar que se establece un canal seguro 7.- Utilizar un analizador de protocolos (p. ej. Ethereal) y comprobar la diferencia que existe entre los paquetes enviados con y sin VPN.