Guia practica vpn
Páginas: 7 (1655 palabras)
Publicado: 26 de marzo de 2012
PRACTICA 6 VPN Objetivos: - Conocer los conceptos básicos asociados a las VPN: IPSec, encriptación, autenticación, túnel VPN, asociaciones seguras (SA),... - Configurar los parámetros de un túnel VPN en un router - Configurar los parámetros de un PC cliente remoto con windows XP
En primer lugar se proporciona un ejemplo configurado que el grupo de prácticas tendrá que adaptar según la lista detareas Escenario:
F0 192.168.138.1
Router 1720 S0 192.168.137.2
192.168.136.11
Video server 192.168.138.11
S1 192.168.137.1
192.168.136.0 E0 192.168.136.1
Frame relay
Router 2514
Se va a configurar un tunel seguro VPN en la red de la figura entre el cliente XP y el interfaz serie del router 1720. El interfaz ethernet del 1720 está conectado a un servidor Windows 2000denominado videoserver que permite conexiones remotas de un usuario User01 con contraseña pepe1492. Conceptos previos: IKE, “Internet Key Exchange” es un protocolo que define el método de intercambio de claves sobre IP en una primera fase de negociación segura. Está formado por una cabecera de autenticación, AH o Authentication Header, que en nuestro caso no utilizaremos, o una cabecera deautenticación más encriptación que se conoce como Encapsulating Security Payload o ESP) Es importante entender que IPSec ofrece dos modos de operación según utilice AH ESP para proteger los datos sobre IP. Se conocen como “modo de transporte” (se emplea AH) o “modo túnel” (se utiliza ESP). En la práctica emplearemos este segundo modo. SA, o Security Asociations: Son conjuntos de parámetros que se utilizanpara definir los requerimientos de seguridad de una comunicación en una dirección particular (entrante o saliente) Una SA puede utilizar AH o ESP pero no ambas
Pasos para la configuración: 1. Preparar la red para IPSEC e IKE (este paso es previo a la configuración) a. En esta tarea hay que configurar una conexión básica entre los dos routers, y verificar que hay conectividad entre los extremos dela red. En este caso concreto el enlace entre los routers es frame relay con las siguientes configuraciones: Router 1720 interface Serial0 ip address 192.168.137.2 255.255.255.0 encapsulation frame-relay IETF bandwidth 64 frame-relay lmi-type ansi frame-relay inverse-arp ip 16 frame-relay map ip 192.168.137.1 25 broadcast IETF frame-relay switching frame-relay intf-type dce clockrate 2000000Router 2514 interface Serial1 ip address 192.168.137.1 255.255.255.0 encapsulation frame-relay IETF bandwidth 64 frame-relay lmi-type ansi frame-relay inverse-arp ip 16 frame-relay map ip 192.168.137.2 25 broadcast IETF
b. Definir cuáles son los algoritmos de encriptación y autenticación (en este caso se van a utilizar DES y SHA respectivamente tanto en el router como en el PC) c. Definir ACLS,comprobar que son adecuadas (en este caso se va a permitr todo el tráfico IP entre servidor W2000 y destino XP y se va a denegar el tráfico IP con origen en el servidor W2000 y cualquier otro destino) 2. Crear listas de acceso en router 1720 Las listas de acceso se emplean para filtrar el trafico entrante o saliente basándose en algunos criterios. Sólo se permiten aquellos paquetes que “encajan”en las reglas específicas. Comando: Router (config)# access-list access-list-number{deny | permit} protocol sourceaddress source-wildcard destination-address destination-wildcard [eq portnumber] [log]
En nuestro ejemplo se configuran las siguientes listas de acceso (en router(config)# ) Router (config)# access-list 110 permit ip 192.168.138.0 0.0.0.255 192.168.136.0 0.0.0.255 Router (config)#access-list 110 deny ip 192.168.138.0 0.0.0.255 any
3. Configurar el Transform Set El transform set define las políticas de seguridad que serán aplicadas al tráfico que entra o sale de la interfaz. El estándar IPSec especifica el uso de Security Asociations para determinar qué políticas de seguridad se aplican al tráfico deseado. Los transform-set se definen a través de crypto-maps. 3.1....
En primer lugar se proporciona un ejemplo configurado que el grupo de prácticas tendrá que adaptar según la lista detareas Escenario:
F0 192.168.138.1
Router 1720 S0 192.168.137.2
192.168.136.11
Video server 192.168.138.11
S1 192.168.137.1
192.168.136.0 E0 192.168.136.1
Frame relay
Router 2514
Se va a configurar un tunel seguro VPN en la red de la figura entre el cliente XP y el interfaz serie del router 1720. El interfaz ethernet del 1720 está conectado a un servidor Windows 2000denominado videoserver que permite conexiones remotas de un usuario User01 con contraseña pepe1492. Conceptos previos: IKE, “Internet Key Exchange” es un protocolo que define el método de intercambio de claves sobre IP en una primera fase de negociación segura. Está formado por una cabecera de autenticación, AH o Authentication Header, que en nuestro caso no utilizaremos, o una cabecera deautenticación más encriptación que se conoce como Encapsulating Security Payload o ESP) Es importante entender que IPSec ofrece dos modos de operación según utilice AH ESP para proteger los datos sobre IP. Se conocen como “modo de transporte” (se emplea AH) o “modo túnel” (se utiliza ESP). En la práctica emplearemos este segundo modo. SA, o Security Asociations: Son conjuntos de parámetros que se utilizanpara definir los requerimientos de seguridad de una comunicación en una dirección particular (entrante o saliente) Una SA puede utilizar AH o ESP pero no ambas
Pasos para la configuración: 1. Preparar la red para IPSEC e IKE (este paso es previo a la configuración) a. En esta tarea hay que configurar una conexión básica entre los dos routers, y verificar que hay conectividad entre los extremos dela red. En este caso concreto el enlace entre los routers es frame relay con las siguientes configuraciones: Router 1720 interface Serial0 ip address 192.168.137.2 255.255.255.0 encapsulation frame-relay IETF bandwidth 64 frame-relay lmi-type ansi frame-relay inverse-arp ip 16 frame-relay map ip 192.168.137.1 25 broadcast IETF frame-relay switching frame-relay intf-type dce clockrate 2000000Router 2514 interface Serial1 ip address 192.168.137.1 255.255.255.0 encapsulation frame-relay IETF bandwidth 64 frame-relay lmi-type ansi frame-relay inverse-arp ip 16 frame-relay map ip 192.168.137.2 25 broadcast IETF
b. Definir cuáles son los algoritmos de encriptación y autenticación (en este caso se van a utilizar DES y SHA respectivamente tanto en el router como en el PC) c. Definir ACLS,comprobar que son adecuadas (en este caso se va a permitr todo el tráfico IP entre servidor W2000 y destino XP y se va a denegar el tráfico IP con origen en el servidor W2000 y cualquier otro destino) 2. Crear listas de acceso en router 1720 Las listas de acceso se emplean para filtrar el trafico entrante o saliente basándose en algunos criterios. Sólo se permiten aquellos paquetes que “encajan”en las reglas específicas. Comando: Router (config)# access-list access-list-number{deny | permit} protocol sourceaddress source-wildcard destination-address destination-wildcard [eq portnumber] [log]
En nuestro ejemplo se configuran las siguientes listas de acceso (en router(config)# ) Router (config)# access-list 110 permit ip 192.168.138.0 0.0.0.255 192.168.136.0 0.0.0.255 Router (config)#access-list 110 deny ip 192.168.138.0 0.0.0.255 any
3. Configurar el Transform Set El transform set define las políticas de seguridad que serán aplicadas al tráfico que entra o sale de la interfaz. El estándar IPSec especifica el uso de Security Asociations para determinar qué políticas de seguridad se aplican al tráfico deseado. Los transform-set se definen a través de crypto-maps. 3.1....
Leer documento completo
Regístrate para leer el documento completo.