VPN PUNTO A PUNTO Y ROAD WARRIOR EN UN ROUTER CISCO 3700 EN GNS3 ADMINISTRADO DESDE SDM.

POR: Maicol Muoz. INSTRUCTOR: Andres Mauricio Ortiz.

Gestin de la seguridad de la red. 35442.

Tecnlogo en administracin de redes Informticas.

Servicio nacional de aprendizaje (SENA) Antioquia

Centro de Servicios y Gestin Empresarial. (CESGE) 2011

INTRODUCCION
Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso tpico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a informacin confidencial. Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en funcin de lo que sean permite o deniega su paso. Para permitir o denegar una comunicacin el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo. Dependiendo del servicio el firewall decide si lo permite o no.

MARCO TEORICO
FIREWALL Un Firewall como su nombre lo dice es un "muro de fuego" este tiene la funcin de realizar un filtrado de paquetes hacia los diferentes destinos valindose de reglas configuradas a nuestro gusto. Es decir que si no queremos que a el Equipo A le lleguen paquetes de ningn equipo, del tipo TCP con puerto de origen 80 configuraremos dicha regla en el Firewall para que esto se filtre. Existen varios tipos de Firewall y varias maneras de definirlos, por ahora nos centraremos en que existen Firewall de Host y Firewall de Red. Un Firewall de Host es con el que contamos en nuestros equipos, el que viene de manera nativa en nuestro Sistema Operativo como lo son las IPTABLES en Linux o el Contrafuegos de Windows y solo filtra paquetes desde y hacia nuestro equipo y un Firewall de Red es el que se puede instalar en dispositivos como routers para filtrar todo el trfico que circule a travs de el desde y hacia las diferentes subredes. GNS3 Los routers son dispositivos costosos y al ser una prctica de laboratorio contamos con herramientas libres como GNS3 para emular un Router, segn Wikipedia GNS3 es un "simulador grfico de red que te permite disear topologas de red complejas y poner en marcha simulaciones sobre ellos". Para permitir completar simulaciones, GNS3 est estrechamente vinculada con: Dynamips, un emulador de IOS que permite a los usuarios ejecutar binarios imgenes IOS de Cisco Systems. Dynagen, un front-end basado en texto para Dynamips Qemu, un emulador de PIX.GNS3 es una excelente herramienta complementaria a los verdaderos laboratorios para los administradores de redes de Cisco o las personas que quieren pasar sus CCNA, CCNP, CCIE DAC o certificaciones. En si GNS3 es un software diseado para emular realmente una topologa de red completa como si tuvieras en realidad un Router, enrutando paquetes desde tus maquinas virtuales de Virtual Box hacia Internet u otras subredes segn lo que quieras disear.

SDM Muchas personas no estn familiarizadas con los comandos de los routers Cisco y los entiendo porque para m tambin fue difcil en los primeros aos pero para dichas personas existen soluciones como esta, el cual es un software diseado para simplificarnos la vida al utilizar una interfaz grfica de JAVA para administrar va WEB los routers Cisco sin tener que aprendernos todos los comandos que deberamos ejecutar. VIRTUALBOX Este es muy conocido, es un emulador de maquinas o de sistemas operativos, es como tener varios PC dentro de tu PC.

DESARROLLANDO VPN PUNTO A PUNTO.

Lo que primero realizaremos ser configurar cada una de las interfaces de nuestros routers. Procedemos a asignarle una ip esttica a nuestra (LAN) que es por donde administraremos nuestro Router.

Ahora simularemos una conexin WAN para nuestras interfaces externas.

Y los pasos anteriores tambin tendremos que aplicrselos a nuestro otro Router Bogot con sus respectivas direcciones ip. Ahora para que haya conexin entra las dos sedes (Medelln y Bogot) tendremos que realizar un enrutamiento, el enrutamiento que yo voy a aplicar ser un enrutamiento por defecto. Para saber ms sobre este enrutamiento pueden ir a: http://maicolqm.blogspot.com/2011/08/laboratorio-enrutamineto-pordefecto-en.html

Enrutamiento Medelln.

Enrutamiento Bogot.

Procedemos entonces ya a la configuracin de nuestro Router para la autenticacin de nuestros usuarios locales del Router.

##Aqu crearemos un usuario con nivel de privilegios 15 con su contrasea. Router(config)#username sdm privilege 15 password sdm

##Aqu habilitaremos el servidor HTTP y HTTPS y se creara un certificado. Router(config)#ip http server Router(config)#ip http secure-server % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] *Mar 1 00:05:07.491: %SSH-5-ENABLED: SSH 1.99 has been enabled *Mar 1 00:05:08.079: %PKI-4-NOAUTOSAVE: Configuration was modified. Issue "write memory" to save new certificate

##Ahora permitiremos el ingreso via SSH y telnet para finalizar. Router(config)#ip http authentication local Router(config)#line vty 0 4 Router(config-line)#login local Router(config-line)#transport input telnet ssh

Empezamos con la instalacin, es totalmente grafica y sencilla. Algo muy importante es tener actualizado nuestro navegador internet Explorer y tambin tener el complemento java.

Ya con nuestro navegador y complementos actualizados ya solo deberemos ejecutar el paquete SDM cisco. Procedemos a instalarlo.

A instalado correctamente, finalizamos

As es como nos aparece en el escritorio, lo ejecutaremos dndole doble clic

Para poder administrar nuestro Router elegimos nuestra interfaces f0/1, La ip del Gateway de nuestra LAN.

Nos lguearemos con el usuario y la contrasea que le creamos al Router.

Le damos que permita todas las ventanas emergentes para poder entrar a administrar nuestro Router.

Esta es la pgina de inicio de administracin, nos abrir otra ventana.

Nos autenticamos en java, con el mismo usuario y contrasea del Router.

Este es el inicio del SDM

Vamos a la pestaa de configurar y crearemos una regla de NAT .

Elegimos nuestra interfaz LAN.

Para configurar el tnel VPN vamos a la pestaa Configurar, VPN, VPN Sitio a Sitio, Iniciar la tarea seleccionada.

Elegimos el modo de configuracin del tnel VPN, lo haremos por pasos para que sea ms sencillo y nos muestre ms detalladamente los parmetros.

Ingresamos la interfaz que ser configurada como el primer extremo del tnel VPN (serial Router Medelln), el direccionamiento y la IP del otro extremo del tnel (serial Router Bogot) y el tipo de autenticacin que usara el tnel que ser llaves pre compartidas .

Especificamos el algoritmo de cifrado y el tipo de autenticacin

Damos agregar para agregar un conjunto de transformacin

Agregamos el conjunto de transformacin

Especificamos el trfico a proteger, en este caso vamos a proteger todo el trfico en los dos extremos.

El resumen de la configuracin, verificamos si la informacin es correcta, recordemos que este procedimiento lo aplicamos en los 2 routers.

Aplicando todos los comandos realizados

Ahora para no hacer muy extenso esta configuracin solo les mostrare las imgenes de cmo configure la vpn en el otro Router (Bogot), es prcticamente los mismo pero con los datos invertidos.

Y listo todas las anteriores imgenes nos muestran la configuracin del extremo vpn Bogot.

Procedemos entonces Ahora a probar el funcionamiento del tnel VPN.

Un alerta del SDM que permitir todas las depuraciones del Router.

Especificamos una IP de destino hacia la cual generar el trfico de prueba del tnel que por lo comn siempre es el Gateway del otro extremo.

El tnel VPN est activo.

Lo mismo realizamos en el otro extremo para probar que tambin este cativo el tnel. Probamos dndole un ping (ICMP) de Router a Router y podemos ver que es exitoso.

Tambin hacemos una captura del trafico con wireshark con cualquier protocolo ya sea un ping una peticin web y el protocolo a y deber aparecer el protocolo ESP

CONFIGURACION DE UNA VPN ROAD WARRIOR

Con esta topologa es la que trabajaremos.

Colocamos la interfaz por DHCP para que podamos tener internet por esa interfaz.

Nos dirigimos a la pestaa Configurar, VPN, Servidor Easy VPN, Iniciar el asistente para servidores Easy VPN.

Activamos el servicio AAA.

Aplicando todos los comandos.

Y el servicio AAA se ha activado correctamente.

Comenzamos el asistente para configurar la VPN.

Especificamos la interfaz que estar a la escucha de las peticiones por parte de los clientes VPN y el modo de autenticacin que es en mi caso ser claves pre compartidas.

Especificamos el tipo de algoritmo que vamos a utilizar.

Agregamos la poltica del IKE, el cifrado ser 3DES y el hash ser SHA_1 el tipo de autenticacin y el grupo.

Damos siguiente.

Especificamos el conjunto de transformaciones.

Especificamos donde estarn las polticas de grupos.

Habilitamos la autenticacin de usuarios y que solamente sea local.

Agregamos las polticas de grupo de usuarios y autorizacin de grupos.

Especificamos el nombre del grupo de usuarios, la clave precompartida, el rango de direcciones que les asignaremos a los usuarios que se conecten y el nmero mximo de conexiones permitidas.

Configuramos el temporizador de inactividad que es cunto tiempo va a estar activo el tnel VPN.

El resumen de la configuracin, verificamos que todo este correcto y finalizamos.

Aplicando los cambios realizados

Ahora probaremos el tnel VPN

Los detalles del tnel y le damos iniciar

El tnel VPN ha finalizado correctamente

Ahora con un software que me permita conectarme a una VPN en mi caso estoy utilice (VPN-CLIENT) con un cliente en internet, le damos nuevo

Nombre de conexin y al host que nos vamos a conectar (IP publica de la interface f0/1 del Router Medelln), el nombre y la clave precompartida.

Conexin, pode ver la direccin del host y el trasport IPSEC/UDP

Ahora el usuario para la conexin deberemos cralo en el Router (Medelln).

Y ya solo tocara iniciar la conexin.

Y Podemos ver que el adaptador 3 nos muestra el rango de la vpn que le asignamos, y si probamos con un PING entre los Router son exitosos.

Glosario:

DMZ: Una DMZ es una red con seguridad perimetral, lo que se hace es ubicar una subred entre la LAN y la WAN. LAN: Una red de rea local. WAN: Las Redes de rea amplia.

Router: Enrutador, encaminador. Dispositivo hardware o software para interconexin de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. El Router interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la informacin de la capa de red.

SDM: SDM es la abreviatura de Cisco Router and Security Device Manager. Una herramienta de mantenimiento basada en una interfaz web desarrollada por Cisco. No es simplemente una interfaz web. Es una herramienta java accesible a travs del navegador. Esta herramienta soporta un amplio nmero de routers Cisco IOS. En la actualidad se entrega preinstalado en la mayora de los routers nuevos de Cisco.

SSH: SSH (Secure SHell, en espaol: intrprete de rdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a mquinas remotas a travs de una red. Permite manejar por completo la computadora mediante un intrprete de comandos, y tambin puede redirigir el trfico de X para poder ejecutar programas grficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo.

JAVA: Java es un lenguaje de programacin. Existe un gran nmero de aplicaciones y sitios Web que no funcionan a menos que Java est instalado, y muchas ms que se crean a diario. Java es rpido, seguro y fiable. De porttiles a centros de datos, de consolas de juegos a sper equipos cientficos, de telfonos mviles a Internet, Java est en todas partes.

NAT: En las redes de computadoras, NAT es el proceso de modificacin de la direccin IP de informacin en los encabezados de paquetes IP, mientras que en trnsito a travs de un trfico de dispositivos de enrutamiento El tipo ms simple de NAT proporciona una traduccin a una de las direcciones IP.

DNS: Es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia informacin variada con nombres de dominios asignados a cada uno de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para los

humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente.

TCP: s uno de los principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicacin, posibilita la administracin de datos que vienen del nivel ms bajo del modelo, o van hacia l, (es decir, el protocolo IP). Cuando se proporcionan los datos al protocolo IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6 (para que sepa con anticipacin que el protocolo es TCP). TCP es un protocolo orientado a conexin, es decir, que permite que dos mquinas que estn comunicadas controlen el estado de la transmisin.

UDP: UDP son las siglas de Protocolo de Datagrama de Usuario (en ingls User Datagram Protocol) un protocolo sin conexin que, como TCP, funciona en redes IP. UDP/IP proporciona muy pocos servicios de recuperacin de errores, ofreciendo en su lugar una manera directa de enviar y recibir datagramas a travs una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisin de la informacin, por ejemplo, RealAudio utiliza el UDP. El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de Protocolo de Transferencia de Archivos Triviales (en ingls Trivial File Transfer Protocol), y puesto que es trivial, perder algo de informacin en la transferencia no es crucial

Stateless: Crear reglas de ida y de respuesta.

Statefull: Crear reglas de ida y las reglas de respuestas son automticas no hay que crearlas.

Mascara wildcard: Una mscara wildcard es sencillamente una agrupacin de 32 bits dividida en cuatro bloques de ocho bits cada uno (octetos). La apariencia de una mscara wildcard le recordar probablemente a una mscara de subred. Salvo esa apariencia, no existe otra relacin entre ambas. Por ejemplo, una mscara wildcard puede tener este aspecto: 192.168.1.0 mascara normal 255.255.255.0 mascara wildcard 0.0.0.255. Mascara normal 255.255.0.0 mascara wildcard 0.0.255.255 mascara normal 255.0.0.0 mascara wildcard 0.255.255.255

ISA server: ISA Server es un Gateway integrado de seguridad Perimetral que protege su entorno de IT frente a amenazas basadas en Internet y permite a los usuarios un acceso remoto rpido y seguro a las aplicaciones y los datos. Servidor: En informtica, un servidor es una computadora que, formando parte de una red, provee servicios a otras computadoras denominadas clientes. WPAD: Web Proxy Automatic Discovery es un metodo usado por los navegadores para encontrar los proxys automticamente, es decir que cuando configuramos un navegador para que detecte automticamente el proxy, el se dirigir al DNS buscando cual es la

IP que responda al nombre de WPAD y con dicha respuesta sabr cual es el proxy al que debe conectarse. Red privada virtual (VPN): Una red privada virtual, RPV, o VPN de las siglas en ingls de Virtual Private Network, es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo Internet. Ejemplos comunes son la posibilidad de conectar dos o ms sucursales de una empresa utilizando como vnculo Internet, permitir a los miembros del equipo de soporte tcnico la conexin desde su casa al centro de cmputo, o que un usuario pueda acceder a su equipo domstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.