You are on page 1of 47

2013

Implantación de técnicas de seguridad remoto

Adrián de la Torre López adriandelatorsad.wordpress.com 30/02/2013

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López

Tema 3

VPN

a) Simulación VPN sitio a sitio, utilizando Packet Tracer.

-

El primer comando sirve para crear una nueva política IKE. Cada política se identifica por su numero de prioridad. La primera es la más alta. El siguiente comando especifica el algoritmo de cifrado a utilizar. Elegir el algoritmo de hash a usar en mi caso “sha”. Determinar el método de autenticación. Especificamos el identificación de grupo. Determinamos el tiempo de vida de la asociación de seguridad en segundos.

30/01/2013

Página 2

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López

Tema 3

VPN

Según el manual de la junta de Andalucía el comando que se debe de poner no lo reconoce el programa packet tracert por lo tanto no se pudo continuar con la configuración VPN de sitio a sitio.

30/01/2013

Página 3

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López

Tema 3

VPN

b) CISCO CCNA Security 1. 1. Laboratorio Lab- 8- A: VPN sitio-a-sitio
Nos creamos un usuario para poder configurar el router de forma CCP.

Después abrimos la aplicación e introducimos el usuario y contraseña creada con la direcciónIp a configurar. Después pulsamos ok.

30/01/2013

Página 4

Pulsamos sobre la opción vpn sitio a sitio y se nos mostrara la imagen de la derecha. 30/01/2013 Página 5 .Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Se nos mostrara la siguiente pantalla donde pulsaremos a discover sobre la ip a configurar. Después pulsamos al botón configure situada en la esquina superior izquierda y podremos ver que podemos modificar y configurar las carpetas de la barra izquierda.

Seleccionamos la interfaz por donde va a realizarse la VPN.Ponemos la dirección remota al router R1.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Pulsamos "Launch the selected task".Ponemos una contraseña para compartir (cisco12345) 30/01/2013 Página 6 . pulsamos la segunda opción y seguimos el asistente. . . Ahora introducimos los siguientes datos: .

30/01/2013 Página 7 .Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Configuramos la política de IKE que se utilizan para configurar el canal de control entre los dos puntos finales de VPN para el intercambio de claves.

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN El conjunto de transformación es la directiva IPsec se utiliza para cifrar hash y autenticarse paquetes que pasan a través del túnel. Debemos definir el tráfico interesante para ser protegida a través del túnel VPN. Para eso ingresamos las direcciones en la siguiente ventana: 30/01/2013 Página 8 . El trafico interesante se define a través de una lista de acceso aplicada al router.

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Podemos ver un resumen de lo configurado: Finalmente lo guardamos pulsando en el checkbox. 30/01/2013 Página 9 .

30/01/2013 Página 10 .Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Ahora hacemos un espejo que consiste en realizar la misma configuración pero en el otro router. Ahora para comprobar que funciona pulsamos en la opción “test tunnel”.

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Ponemos la dirección de destino y le damos a "continue". vemos que el tunel esta up. Le damos a test tunnel y esperamos a que chequee el proceso. 30/01/2013 Página 11 .

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN VPN de acceso remoto Simulación VPN de acceso remoto. El escenario para realizar el VPN de acceso remoto es el siguiente: Lo primero de todo será ponerle un nombre al router. utilizando Packet Tracer. 30/01/2013 Página 12 . También creamos una bolsa de direcciones que permite la conexión de 40 conexiones recurrentes.

Aaa authentication login = Defina la lista de métodos de autenticación cuando un usuario hace login(local. autorización y contabilizacion) . Cada política se identifica por su numero de prioridad (de 1 a 10.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN La siguiente imagen nos muestra una serie de comandos de los que cad uno significa: . Hash sha = Elige el algoritmo de hash a usar (MD5 o SHA) Authentication pre-share = Determina el método de autenticación (pre-share. Las letras mayúsculas significa poner un nombre de grupo que queramos. Las letras mayúsculas se cambian por un nombre y una contraseña. rsa-encr o rsa-slg) Group 5 = especifica el identificador de grupo Diffie-Hellman. 30/01/2013 Página 13 .Aaa new-model = Activar la funcionalidad aaa (autenticación.000. - Crypto isakmp policy 10 = Crea una nueva política IKE. . radius…). el 1 es la prioridad mas alta). .Aaa authorization network VPN-GROUP local = Establece los parámetros que restringen el acceso de los usuarios a la red.Username VPNUSER password MICONTRASEÑA: Se crea una cuenta de usuario que usaran los clientes VPN para autenticarse contra el servidor. Encryption aes 192 = Especifica el algoritmo de cifrado a utilizar.

Key SECRETOCOMPARTIDO= Establece el secreto compartido para el grupo VPNGROUP creado anteriormente. Set transform-set VPNSET = Asocia el transform set VPNSET al crypto map dinamico. Reverse-route = Activa Reverse Route Injection. Sobre VPN-STATIC pondremos el nombre anteriormente puesto en el anterior comando y en VPN-USER los usuarios creados al principio en el 3º comando. Crypto dynamic-map VPN-DYNAMIC 10 = Crea un crypto map dinamico que se usa cuando la IP del host remoto no se conoce. En VPNSET poner el nombre anteriormente puesto en unas opciones anteriores. Ponemos el nombre que queramos sobre vpn-static Crypto map VPN-STATIC client authentication list VPN-USERS = Define el conjunto de usuarios con permisos de autenticación. - - Crypto map VPN-STATIC client configuration address respond = Configuramos un crypto map estatico que puede ser asociado a una interfaz. Podemos poner cualquier nombre en “VPNSET”. Página 14 30/01/2013 . Podemos nombrar la VPN-DYNAMIC como queramos. como es el caso en las VPN de acceso remoto.. En mayusuclas tendremos que poner el nombre del grupo puesto en las primeras imágenes. Pool VPNPOOL = Se selecciona la bolsa de direcciones para los clientes - - - Crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac = Establece las políticas de seguridad IPSEC que se usaran en las comunicaciones.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN - - Crypto isakmp client configuration group VPN-GROUP = Crea un grupo IKE para los clientes VPN.

Crypto map VPN-STATIC = Asociamos el crypto map a la interfaz. Write = Comando para guardar todos los cambios.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN - Crypto map VPN-STATIC isakmp authorization list VPN-GROUP = Establece el grupo de usuarios y los parametros de acceso a la red. 30/01/2013 Página 15 . - Interface fa 0/1 = Accedemos a la configuración de la interfaz por la que se conectaran los clientes VPN. Crypto map VPN-STATIC 20 ipsec-isakmp dynamic VPN-DYNAMIC = Asocia el crypto map dinamico creado para los clientes de acceso remoto.

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN 30/01/2013 Página 16 .

remoto Nos creamos un usuario para poder configurar el router de forma CCP. Laboratorio Lab-8-B.1. Después pulsamos ok.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN b) CISCO CCNA Security 1. Después abrimos la aplicación e introducimos el usuario y contraseña creada con la dirección Ip a configurar. 30/01/2013 Página 17 . VPN Acceso.

Después pulsamos al botón configure situada en la esquina superior izquierda y podremos ver que podemos modificar y configurar las carpetas de la barra izquierda. 30/01/2013 Página 18 . marcamos la opcion de basic firewall y le damos a launch the search task.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Se nos mostrara la siguiente pantalla donde pulsaremos a discover sobre la ip a configurar. Nos vamos a Security > Firewall.

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Marcamos la interfaz que va a estar dentro y fuera del router 1 y le damos a siguiente. Ponemos la seguridad a nivel bajo del firewall y le damos a siguiente 30/01/2013 Página 19 .

Marcamos la opción para que se guarden las configuraciones en el router y le damos a deliver. 30/01/2013 Página 20 .Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Permitimos las actualizaciones de eigrp a través del firewall y le damos a siguiente.

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Nos vamos a security > firewall >vpn> easy vpn server. le damos a launch Pulsamos la casilla de guardar la configuración en el router y le damos a deliver para que tengan efecto los cambios. 30/01/2013 Página 21 .

Marcamos la opción de "Unnumbered to.. le damos a siguiente.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Nos saldrá esta pantalla de bienvenida.. 30/01/2013 Página 22 ." y seleccionamos el serial. le damos a siguiente.

Seleccionamos el que viene por defecto y le damos a siguiente.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Seleccionamos el que viene por defecto y le damos a siguiente. 30/01/2013 Página 23 .

luego marcamos la opción de solo local 30/01/2013 Página 24 .Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Seleccionamos la opción del método local y le damos a siguiente Habilitamos la autenticación por usuarios.

ponemos un rango de direcciones que se pueden conectar a la red a través de la vpn por acceso remoto. 30/01/2013 Página 25 . Creamos el grupo y le ponemos la contraseña.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Añadimos los usuarios con su contraseña y ponemos el nivel de privilegios en 1 y Ok.

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Habilitamos el grupo y en el id túnel ponemos un 1. En esta pantalla le damos a Ok. 30/01/2013 Página 26 .

30/01/2013 Página 27 . Marcamos la casilla para que se guarden la configuración en el router y le damos a deliver.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Nos aparece un resumen y le damos a finalizar.

30/01/2013 Página 28 . esperamos a que termine el chequeo y vemos que testa el túnel up.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Le damos a test tunnel y start.

Una vez que pulsamos únicamente seguiremos las indicaciones del asistente: 30/01/2013 Página 29 . Para realizar una VPN en el sistema operativo Windows Xp nos situaremos en la ruta: Inicio – panel de control – conexiones de red e internet – conexiones de red y crear una nueva conexión.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN a) Instalación de un servidor VPN en Windows XP/7/ Windows 2003/2008 Server.

Elegimos la primera opción para aceptar conexiones entrantes.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Para poder realizar la VPN elegimos la ultima opción. 30/01/2013 Página 30 .

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN No seleccionamos la conexión. 30/01/2013 Página 31 . Para usar VPN tenemos que aceptar la siguiente opción.

Después nos saldrá todos los protocolos que podrán usar la conexión. 30/01/2013 Página 32 .Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Después elegimos los usuarios que podrán utilizar este tipo de conexión.

b) Instalación de un servidor VPN en GNU/Linux Para poder realizar un servidor VPN en un Ubuntu lo primero que se debe de hacer es descargar e instalar el paquete VPN: 30/01/2013 Página 33 .Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Una vez finalizado podemos ver que se creó correctamente.

30/01/2013 Página 34 .Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Una vez instalado procedemos a configurarlo y para ello nos situamos en el siguiente fichero: Pondremos la siguientes líneas y todo lo demás quedara comentado menos la ultima opcion que significa su compresion.

30/01/2013 Página 35 .conf” donde comentaremos todas las líneas a excepción de tres.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN A continuación modificamos el fichero “pptpd.

Por ultimo editamos un ultimo fichero llamado “chap-secret” donde se situan el nombre de usuario y contraseña para poder acceder al servidor llamado anteriormente adrian y se podrán conectar con el primer usuario desde cualquier maquina y con el segundo desde esa ip especifica. 30/01/2013 Página 36 .Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Al final del archivo pondremos unas líneas con la IP de nuestro servidor vpn y el rango de ip disponibles.

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN c) Conexión desde un cliente Windows y GNU/Linux VPN a un servidor VPN Nos situaremos en el panel de control y después en centro de recursos compartidos. Una vez situados pulsaremos en la opcion “configurar una nueva conexión o red”. 30/01/2013 Página 37 .

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Elegimos la tercera opción. 30/01/2013 Página 38 . Después nos dará a elegir entre las dos siguientes opción y evidentemente elegimos la primera.

Después pondremos a que usuario le permitimos acceder al servicio de VPN y este usuario se dio de dar de alta en el servidor como esta hecho anteriormente.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN La siguiente pantalla tendremos que poner a que equipo o servidor configurado con VPN nos queremos conectar. 30/01/2013 Página 39 .

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Finalmente se conecto. 30/01/2013 Página 40 .

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN La conexión desde otro equipo cliente pero Linux se hace de la siguiente manera. Elegimos el tipo de conexión: 30/01/2013 Página 41 . Nos saldrá la siguiente pantalla y damos la opción “añadir”. Nos situamos en “conexiones VPN” y configurar VPN.

Para configurar este router como una VPN de acceso remoto es muy simple.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Introducimos los datos de usuario. contraseña y la Ip del servidor VPN. 30/01/2013 Página 42 . d) Configurar el router Linksys RV200 como un servidor VPN sobre red local. Nos situamos en la pestaña “VPN ” y después sobre la opción “VPN client access” donde veremos la siguiente imagen y la rellenaremos con los usuarios que queramos que accedan.

Para realizar una VPN de sitio a sitio nos vamos a la pestaña “IPSEC VPN”. 30/01/2013 Página 43 .Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Ponemos el usuario. La dirección de red local y remota con la que se realizara el túnel. su contraseña y por ultimo pulsamos el botón “add/save” para guardar el usuario. Como veremos en la siguiente imagen creamos un túnel con un nombre y lo activamos.

Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN El tipo de encapsulación que se usara y también se puede ver la clave compartida entre los dos sitios. 30/01/2013 Página 44 .

Ahora procedemos a configurarla. Para realizar en este router una Vpn nos situamos en la pestaña “VPN” y después sobre “Gateway to gateway” para realizar la VPN de sitio a sitio. Ponemos la dirección Ip local y de destino con su dirección Gateway de salida. Lo primero será darle un numero y un nombre al túnel.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN e) Configurar el router Linksys RV042 como un servidor VPN sobre red local. 30/01/2013 Página 45 .

Para configurarlo de forma de acceso remoto nos vamos a la pestaña “Gateway to client”. 30/01/2013 Página 46 .Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Más abajo tiene la configuración de la encapsulación del túnel que pondremos la “3DES” y para autenticar el método “MD5”. Lo configuraremos para que solo pueda acceder un equipo.

el método de encriptación y autenticación.Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López Tema 3 VPN Después como siempre la configuración de la contraseña compartida. 30/01/2013 Página 47 .