PRACTICA 6 VPN

Objetivos:
- Conocer los conceptos básicos asociados a las VPN: IPSec, encriptación,
autenticación, túnel VPN, asociaciones seguras (SA),...
- Configurar los parámetros de un túnel VPN en un router
- Configurar los parámetros de un PC cliente remoto con windows XP

En primer lugar se proporciona un ejemplo configurado que el grupo de prácticas

tendrá que adaptar según la lista de tareas

Escenario:

F0
Router
192.168.138.1 192.168.136.11
1720
S0
192.168.137.2
S1 192.168.136.0
192.168.137.1
Video server
192.168.138.11 E0
Frame relay 192.168.136.1

Router
2514

Se va a configurar un tunel seguro VPN en la red de la figura entre el cliente XP y el

interfaz serie del router 1720. El interfaz ethernet del 1720 está conectado a un servidor
Windows 2000 denominado videoserver que permite conexiones remotas de un usuario
User01 con contraseña pepe1492.

Conceptos previos:
IKE, “Internet Key Exchange” es un protocolo que define el método de intercambio
de claves sobre IP en una primera fase de negociación segura. Está formado por una
cabecera de autenticación, AH o Authentication Header, que en nuestro caso no
utilizaremos, o una cabecera de autenticación más encriptación que se conoce como
Encapsulating Security Payload o ESP)
Es importante entender que IPSec ofrece dos modos de operación según utilice AH
ESP para proteger los datos sobre IP. Se conocen como “modo de transporte” (se
emplea AH) o “modo túnel” (se utiliza ESP). En la práctica emplearemos este
segundo modo.
SA, o Security Asociations: Son conjuntos de parámetros que se utilizan para definir
los requerimientos de seguridad de una comunicación en una dirección particular
(entrante o saliente) Una SA puede utilizar AH o ESP pero no ambas
Pasos para la configuración:
1. Preparar la red para IPSEC e IKE (este paso es previo a la configuración)
a. En esta tarea hay que configurar una conexión básica entre los dos
routers, y verificar que hay conectividad entre los extremos de la red. En
este caso concreto el enlace entre los routers es frame relay con las
siguientes configuraciones:

Router 1720
interface Serial0
ip address 192.168.137.2 255.255.255.0
encapsulation frame-relay IETF
bandwidth 64
frame-relay lmi-type ansi
frame-relay inverse-arp ip 16
frame-relay map ip 192.168.137.1 25 broadcast IETF
frame-relay switching
frame-relay intf-type dce
clockrate 2000000

Router 2514
interface Serial1
ip address 192.168.137.1 255.255.255.0
encapsulation frame-relay IETF
bandwidth 64
frame-relay lmi-type ansi
frame-relay inverse-arp ip 16
frame-relay map ip 192.168.137.2 25 broadcast IETF

b. Definir cuáles son los algoritmos de encriptación y autenticación (en este

caso se van a utilizar DES y SHA respectivamente tanto en el router
como en el PC)
c. Definir ACLS, comprobar que son adecuadas (en este caso se va a
permitr todo el tráfico IP entre servidor W2000 y destino XP y se va a
denegar el tráfico IP con origen en el servidor W2000 y cualquier otro
destino)

2. Crear listas de acceso en router 1720

Las listas de acceso se emplean para filtrar el trafico entrante o saliente basándose
en algunos criterios. Sólo se permiten aquellos paquetes que “encajan” en las
reglas específicas.
Comando:
Router (config)# access-list access-list-number{deny | permit} protocol source-
address source-wildcard destination-address destination-wildcard [eq port-
number] [log]
 En nuestro ejemplo se configuran las siguientes listas de acceso (en
router(config)# )
Router (config)# access-list 110 permit ip 192.168.138.0 0.0.0.255 192.168.136.0
0.0.0.255
Router (config)# access-list 110 deny ip 192.168.138.0 0.0.0.255 any

3. Configurar el Transform Set

El transform set define las políticas de seguridad que serán aplicadas al tráfico que
entra o sale de la interfaz. El estándar IPSec especifica el uso de Security
Asociations para determinar qué políticas de seguridad se aplican al tráfico
deseado. Los transform-set se definen a través de crypto-maps.

3.1. Definición del protocolo de transform-set

Este commando selecciona si se utiliza AH o ESP
Comando
Router (config)# crypto ipsec transform-set transform-set-name transform1
[transform2 [transform3]]
Nuestro ejemplo (en este caso se escoge como protocolo de encriptación esp el
algoritmo des y como protocolo de autentificación la variante may del algoritmo
sha. Es importante que este protocolo coincida con el que se configura en el
extremo XP del tunel para que haya conectividad)
Router (config)# crypto ipsec transform-set rtpset esp-des esp-sha-hmac

3.2. Especificar el Modo del transform-set

Este comando especifica el modo en el que opera IPSec (modo transporte o modo
tunel)
Comando:
Router (cfg-crypto-tran)# mode [tunnel | transport]
Nuestro ejemplo:
Router (cfg-crypto-tran)# mode tunnel

4. Configurar el crypto-map con IKE

4.1 Crear el crypto-map con IKE

Un crypto-map se crea especificando el nombre del mapa, el número de secuencia
del mapa y el tipo de gestión de clave que se va a emplear entre los dos extremos.
Comando:
Router (config)# crypto map map-name seq-num ipsec-isakmp
Nuestro ejemplo:
Router (config)# crypto map rtp 1 ipsec-isakmp
4.2 Especificar el tráfico de datos
Se especifica el tráfico que se quiere encriptar. Es aquel tráfico que ha sido definido
en las listas de acceso
Comando:
Router (config-crypto-map)# match address access-list-number
Nuestro ejemplo:
Router (config-crypto-map)# match address 110
4.3 Especificar el extremo destino del tunel VPN
Se da la dirección IP del host destino (en nuestro caso el PC XP)
Comando:
Router (config-crypto-map)# set peer {host name | ip-address}
Nuestro ejemplo:
Router (config-crypto-map)# set peer 192.168.136.11

4.4 Especificar el transform-set a utilizar

De los transform-set que se hayan definido se especifica cual se aplica en este túnel
Comando:
Router (config-crypto-map)# set transform-set transform-set-name
Nuestro ejemplo:
Router (config-crypto-map)# set transform-set rtpset

4.5 Activar PFS (Perfect Forward Security)

Por defecto es un comando que está desactivado. Como se va a utilizar en el
extremo XP es necesario activarlo.
Comando:
Router (config-crypto-map)# set pfs {group 1 | group2}
Nuestro ejemplo:
Router (config-crypto-map)# set pfs

4.6 Configurar IKE

Esto supone tres pasos:
4.6.1 Habilitar IKE
Comando:
Router (config)# crypto isakmp enable

4.6.2 Crear una IKE policy (política de encriptación de IKE)

4.6.2.1 Definir la prioridad
Esta prioridad se utiliza para ordenar la aplicación de las políticas de
encriptación cuando existen varias
Comando:
Router (config)# crypto isakmp policy priority
Nuestro ejemplo:
Router (config)# crypto isakmp policy 1

4.6.2.2 Especificar el algoritmo de encriptación que se utiliza en IKE

Comando:
Router (config-isakmp)# encryption {des|3des}
Nuestro ejemplo:
DES por defecto y no se configura

4.6.2.3 Especificar el algoritmo hash

Cisco permite utilizar SHA o MD5
Comando:
Router (config-isakmp)# hash {sha|md5}
Nuestro ejemplo:
SHA por defecto y no se configura
 4.6.2.4 Especificar el método de autenticación
Método de autenticación para el intercambio de claves. Puede ser RSA, RSA
encriptado y claves pre-configuradas (las dos primeras necesitan un servidor
de autoridad)
Comando:
Router (config-isakmp)# authentication {rsa-sig | rsa-encr | pre-share}
Nuestro ejemplo:
Router (config-isakmp)# authentication pre-share

4.6.2.5 Especificar el identificador de grupo del algoritmo de Diffie Hellman

Comando:
Router (config-isakmp)# group {1|2}
Nuestro ejemplo:
No se usa

4.6.2.6 Especificar el tiempo de seguridad asociado

Tiempo máximo en el que una política de seguridad se utiliza sin necesidad
de negociarla de nuevo
Comando:
Router (config-isakmp)# lifetime seconds
Nuestro ejemplo:
Router (config-isakmp)# lifetime 28800

4.6.3 Definir una clave (key)

Como hemos escogido utilizar claves pre-configuradas que se intercambien en la
negociación inicial es necesario configurarla en cada extremo
Comando:
Router (config)# crypto isakmp key clave address peer-address
Nuestro ejemplo:
Router (config)# crypto isakmp key cisco123 address 192.168.136.11

5. Aplicar el crypto-map al interface extremo del túnel VPN

En nuestro caso hay que aplicar el crypto-map definido al puerto serie del router
1720.
Comando:
Router (config-if)# crypto map map-name
Nuestro ejemplo:
Router (config-if)# crypto map rtp

6. Configurar la conexión VPN en el PC con windows XP siguiendo

los pasos siguientes del guión “Configuring IPSec between a
Microsoft Windows XP professional (1NIC) and the VPN
router” que se puede encontrar en la página web de la
asignatura.
A partir del guión especificado, se incluyen a continuación únicamente aquellas
ventanas que en el ejemplo del guión no coinciden con el ejemplo de configuración
de esta práctica considerando que el windows XP es el extremo opuesto al router
1720 del tunel VPN.
Extremo de WIN XP a VPN
Extremo de VPN a WIN XP
HOJA DE TAREAS
A partir del siguiente esquema de red:

F0
Router
192.168.138.1 192.168.14X.2
1720
S0
192.168.137.2
S1
192.168.137.1
Video server
192.168.138.11 E0
Frame relay 192.168.14X.1

Router
2514

1.- Definir las subredes del esquema de acuerdo con el número del grupo
2.- Conectar físicamente los equipos
3.- Configurar el enlace frame relay según los parámetros proporcionados en el
ejemplo y las direcciones IP definidas en el apartado 1
4.- Configurar la VPN entre el interfaz serie del router 1720 y el PC windows XP, a
partir del ejemplo proporcionado y las direcciones IP definidas.
5.- Utilizar los comandos show crypto para comprobar el tunel creado
6.- Utilizar los comandos debug para comprobar que se establece un canal seguro
7.- Utilizar un analizador de protocolos (p. ej. Ethereal) y comprobar la diferencia
que existe entre los paquetes enviados con y sin VPN.