Sie sind auf Seite 1von 45

VPN PUNTO A PUNTO Y ROAD WARRIOR EN UN ROUTER CISCO 3700 EN GNS3 ADMINISTRADO DESDE SDM.

POR:

Maicol Muñoz.

INSTRUCTOR:

Andres Mauricio Ortiz.

Gestión de la seguridad de la red.

35442.

Tecnólogo en administración de redes

Informáticas.

Servicio nacional de aprendizaje (SENA) -

Antioquia

Centro de Servicios y Gestión Empresarial.

(CESGE)

2011

INTRODUCCION

Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial.

Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo. Dependiendo del servicio el firewall decide si lo permite o no.

MARCO TEORICO

FIREWALL

Un Firewall como su nombre lo dice es un "muro de fuego" este tiene la función de realizar un filtrado de paquetes hacia los diferentes destinos valiéndose de reglas configuradas a nuestro gusto. Es decir que si no queremos que a el Equipo A le lleguen paquetes de ningún equipo, del tipo TCP con puerto de origen 80 configuraremos dicha regla en el Firewall para que esto se filtre.

Existen varios tipos de Firewall y varias maneras de definirlos, por ahora nos centraremos en que existen Firewall de Host y Firewall de Red. Un Firewall de Host es con el que contamos en nuestros equipos, el que viene de manera nativa en nuestro Sistema Operativo como lo son las IPTABLES en Linux o el Contrafuegos de Windows y solo filtra paquetes desde y hacia nuestro equipo y un Firewall de Red es el que se puede instalar en dispositivos como routers para filtrar todo el tráfico que circule a través de el desde y hacia las diferentes subredes.

GNS3

Los routers son dispositivos costosos y al ser una práctica de laboratorio contamos con herramientas libres como GNS3 para emular un Router, según Wikipedia GNS3 es un "simulador gráfico de red que te permite diseñar topologías de red complejas y poner en marcha simulaciones sobre ellos".

Para permitir completar simulaciones, GNS3 está estrechamente vinculada con:

Dynamips, un emulador de IOS que permite a los usuarios ejecutar binarios imágenes IOS de Cisco Systems. Dynagen, un front-end basado en texto para Dynamips Qemu, un emulador de PIX.GNS3 es una excelente herramienta complementaria a los verdaderos laboratorios para los administradores de redes de Cisco o las personas que quieren pasar sus CCNA, CCNP, CCIE DAC o certificaciones.

En si GNS3 es un software diseñado para emular realmente una topología de red completa como si tuvieras en realidad un Router, enrutando paquetes desde tus maquinas virtuales de Virtual Box hacia Internet u otras subredes según lo que quieras diseñar.

SDM

Muchas personas no están familiarizadas con los comandos de los routers Cisco y los entiendo porque para mí también fue difícil en los primeros años pero para dichas personas existen soluciones como esta, el cual es un software diseñado para simplificarnos la vida al utilizar una interfaz gráfica de JAVA para administrar vía WEB los routers Cisco sin tener que aprendernos todos los comandos que deberíamos ejecutar.

VIRTUALBOX

Este es muy conocido, es un emulador de maquinas o de sistemas operativos, es como tener varios PC dentro de tu PC.

DESARROLLANDO VPN PUNTO A PUNTO.

DESARROLLANDO VPN PUNTO A PUNTO. Lo que primero realizaremos será configurar cada una de las interfaces

Lo que primero realizaremos será configurar cada una de las interfaces de nuestros routers.

Procedemos a asignarle una ip estática a nuestra (LAN) que es por donde administraremos nuestro Router.

(LAN) que es por donde administraremos nuestro Router. Ahora simularemos una conexión WAN para nuestras interfaces

Ahora simularemos una conexión WAN para nuestras interfaces externas.

que es por donde administraremos nuestro Router. Ahora simularemos una conexión WAN para nuestras interfaces externas.

Y los pasos anteriores también tendremos que aplicárselos a nuestro otro Router Bogotá con sus respectivas direcciones ip.

Ahora para que haya conexión entra las dos sedes (Medellín y Bogotá) tendremos que realizar un enrutamiento, el enrutamiento que yo voy a aplicar será un enrutamiento por defecto.

Para saber más sobre este enrutamiento pueden ir a:

Enrutamiento Medellín.

defecto-en.html Enrutamiento Medellín. Enrutamiento Bogotá.

Enrutamiento Bogotá.

defecto-en.html Enrutamiento Medellín. Enrutamiento Bogotá.

Procedemos entonces ya a la configuración de nuestro Router para la autenticación de nuestros usuarios locales del Router.

la autenticación de nuestros usuarios locales del Router. ##Aquí crearemos un usuario con nivel de privilegios

##Aquí crearemos un usuario con nivel de privilegios 15 con su contraseña. Router(config)#username sdm privilege 15 password sdm

##Aquí habilitaremos el servidor HTTP y HTTPS y se creara un certificado. Router(config)#ip http server Router(config)#ip http secure-server % Generating 1024 bit RSA keys, keys will be non-exportable *Mar 1 00:05:07.491: %SSH-5-ENABLED: SSH 1.99 has been enabled

*Mar 1 00:05:08.079: %PKI-4-NOAUTOSAVE: Configuration was modified. Issue "write memory" to save new certificate

[OK]

##Ahora permitiremos el ingreso via SSH y telnet para finalizar. Router(config)#ip http authentication local Router(config)#line vty 0 4 Router(config-line)#login local Router(config-line)#transport input telnet ssh

Empezamos con la instalación, es totalmente grafica y sencilla.

Algo muy importante es tener actualizado nuestro navegador internet Explorer y también tener el complemento java.

Algo muy importante es tener actualizado nuestro navegador internet Explorer y también tener el complemento java.
Algo muy importante es tener actualizado nuestro navegador internet Explorer y también tener el complemento java.

Ya con nuestro navegador y complementos actualizados ya solo deberemos ejecutar el paquete SDM cisco.

Procedemos a instalarlo.

nuestro navegador y complementos actualizados ya solo deberemos ejecutar el paquete SDM cisco. Procedemos a instalarlo.
nuestro navegador y complementos actualizados ya solo deberemos ejecutar el paquete SDM cisco. Procedemos a instalarlo.

A instalado correctamente, finalizamos

A instalado correctamente, finalizamos Así es como nos aparece en el escritorio, lo ejecutaremos dándole doble

Así es como nos aparece en el escritorio, lo ejecutaremos dándole doble clic

en el escritorio, lo ejecutaremos dándole doble clic Para poder administrar nuestro Router elegimos nuestra

Para poder administrar nuestro Router elegimos nuestra interfaces f0/1, La ip del Gateway de nuestra LAN.

doble clic Para poder administrar nuestro Router elegimos nuestra interfaces f0/1, La ip del Gateway de

Nos lóguearemos con el usuario y la contraseña que le creamos al Router.

con el usuario y la contraseña que le creamos al Router. Le damos que permita todas

Le damos que permita todas las ventanas emergentes para poder entrar a administrar nuestro Router.

le creamos al Router. Le damos que permita todas las ventanas emergentes para poder entrar a

Esta es la página de inicio de administración, nos abrirá otra ventana.

de inicio de administración, nos abrirá otra ventana. Nos autenticamos en java, con el mismo usuario

Nos autenticamos en java, con el mismo usuario y contraseña del Router.

de administración, nos abrirá otra ventana. Nos autenticamos en java, con el mismo usuario y contraseña

Este es el inicio del SDM

Este es el inicio del SDM Vamos a la pestaña de configurar y crearemos una regla

Vamos a la pestaña de configurar y crearemos una regla de NAT .

Este es el inicio del SDM Vamos a la pestaña de configurar y crearemos una regla
Elegimos nuestra interfaz LAN.

Elegimos nuestra interfaz LAN.

Elegimos nuestra interfaz LAN.
Para configurar el túnel VPN vamos a la pestaña Configurar, VPN, VPN Sitio a Sitio,

Para configurar el túnel VPN vamos a la pestaña Configurar, VPN, VPN Sitio a Sitio, Iniciar la tarea seleccionada.

VPN, VPN Sitio a Sitio, Iniciar la tarea seleccionada. Elegimos el modo de configuración del túnel

Elegimos el modo de configuración del túnel VPN, lo haremos por pasos para que sea más sencillo y nos muestre más detalladamente los parámetros.

Ingresamos la interfaz que será configurada como el primer extremo del túnel VPN (serial Router

Ingresamos la interfaz que será configurada como el primer extremo del túnel VPN (serial Router Medellín), el direccionamiento y la IP del otro extremo del túnel (serial Router Bogotá) y el tipo de autenticación que usara el túnel que será llaves pre compartidas .

del túnel (serial Router Bogotá) y el tipo de autenticación que usara el túnel que será

Especificamos el algoritmo de cifrado y el tipo de autenticación

Especificamos el algoritmo de cifrado y el tipo de autenticación Damos agregar para agregar un conjunto

Damos agregar para agregar un conjunto de transformación

Especificamos el algoritmo de cifrado y el tipo de autenticación Damos agregar para agregar un conjunto

Agregamos el conjunto de transformación

Agregamos el conjunto de transformación Especificamos el tráfico a proteger, en este caso vamos a proteger

Especificamos el tráfico a proteger, en este caso vamos a proteger todo el tráfico en los dos extremos.

transformación Especificamos el tráfico a proteger, en este caso vamos a proteger todo el tráfico en

El resumen de la configuración, verificamos si la información es correcta, recordemos que este procedimiento lo aplicamos en los 2 routers.

es correcta, recordemos que este procedimiento lo aplicamos en los 2 routers. Aplicando todos los comandos

Aplicando todos los comandos realizados

es correcta, recordemos que este procedimiento lo aplicamos en los 2 routers. Aplicando todos los comandos

Ahora para no hacer muy extenso esta configuración solo les mostrare las imágenes de cómo configure la vpn en el otro Router (Bogotá), es prácticamente los mismo pero con los datos invertidos.

de cómo configure la vpn en el otro Router (Bogotá), es prácticamente los mismo pero con
de cómo configure la vpn en el otro Router (Bogotá), es prácticamente los mismo pero con
de cómo configure la vpn en el otro Router (Bogotá), es prácticamente los mismo pero con
Y listo todas las anteriores imágenes nos muestran la configuración del extremo vpn Bogotá.
Y listo todas las anteriores imágenes nos muestran la configuración del extremo vpn Bogotá.

Y listo todas las anteriores imágenes nos muestran la configuración del extremo vpn Bogotá.

Procedemos entonces Ahora a probar el funcionamiento del túnel VPN.

Procedemos entonces Ahora a probar el funcionamiento del túnel VPN.
Procedemos entonces Ahora a probar el funcionamiento del túnel VPN.

Un alerta del SDM que permitirá todas las depuraciones del Router.

del SDM que permitirá todas las depuraciones del Router. Especificamos una IP de destino hacia la

Especificamos una IP de destino hacia la cual generar el tráfico de prueba del túnel que por lo común siempre es el Gateway del otro extremo.

destino hacia la cual generar el tráfico de prueba del túnel que por lo común siempre

El túnel VPN está activo.

El túnel VPN está activo. Lo mismo realizamos en el otro extremo para probar que también

Lo mismo realizamos en el otro extremo para probar que también este cativo el túnel.

Probamos dándole un ping (ICMP) de Router a Router y podemos ver que es exitoso.

que también este cativo el túnel. Probamos dándole un ping (ICMP) de Router a Router y
que también este cativo el túnel. Probamos dándole un ping (ICMP) de Router a Router y

También hacemos una captura del trafico con wireshark con cualquier protocolo ya sea un ping una petición web y el protocolo a y deberá aparecer el protocolo ESP

web y el protocolo a y deberá aparecer el protocolo ESP CONFIGURACION DE UNA VPN ROAD

CONFIGURACION DE UNA VPN ROAD WARRIOR

Con esta topología es la que trabajaremos.

a y deberá aparecer el protocolo ESP CONFIGURACION DE UNA VPN ROAD WARRIOR Con esta topología

Colocamos la interfaz por DHCP para que podamos tener internet por esa interfaz.

por DHCP para que podamos tener internet por esa interfaz. Nos dirigimos a la pestaña Configurar,

Nos dirigimos a la pestaña Configurar, VPN, Servidor Easy VPN, Iniciar el asistente para servidores Easy VPN.

la pestaña Configurar, VPN, Servidor Easy VPN, Iniciar el asistente para servidores Easy VPN. Activamos el

Activamos el servicio AAA.

la pestaña Configurar, VPN, Servidor Easy VPN, Iniciar el asistente para servidores Easy VPN. Activamos el

Aplicando todos los comandos.

Aplicando todos los comandos. Y el servicio AAA se ha activado correctamente. Comenzamos el asistente para

Y el servicio AAA se ha activado correctamente.

todos los comandos. Y el servicio AAA se ha activado correctamente. Comenzamos el asistente para configurar

Comenzamos el asistente para configurar la VPN.

todos los comandos. Y el servicio AAA se ha activado correctamente. Comenzamos el asistente para configurar

Especificamos la interfaz que estará a la escucha de las peticiones por parte de los clientes VPN y el modo de autenticación que es en mi caso será claves pre compartidas.

de autenticación que es en mi caso será claves pre compartidas. Especificamos el tipo de algoritmo

Especificamos el tipo de algoritmo que vamos a utilizar.

de autenticación que es en mi caso será claves pre compartidas. Especificamos el tipo de algoritmo

Agregamos la política del IKE, el cifrado será 3DES y el hash será SHA_1 el tipo de autenticación y el grupo.

la política del IKE, el cifrado será 3DES y el hash será SHA_1 el tipo de

Damos siguiente.

la política del IKE, el cifrado será 3DES y el hash será SHA_1 el tipo de

Especificamos el conjunto de transformaciones.

Especificamos el conjunto de transformaciones. Especificamos donde estarán las políticas de grupos.

Especificamos donde estarán las políticas de grupos.

Especificamos el conjunto de transformaciones. Especificamos donde estarán las políticas de grupos.

Habilitamos la autenticación de usuarios y que solamente sea local.

la autenticación de usuarios y que solamente sea local. Agregamos las políticas de grupo de usuarios

Agregamos las políticas de grupo de usuarios y autorización de grupos.

de usuarios y que solamente sea local. Agregamos las políticas de grupo de usuarios y autorización

Especificamos el nombre del grupo de usuarios, la clave precompartida, el rango de direcciones que les asignaremos a los usuarios que se conecten y el número máximo de conexiones permitidas.

se conecten y el número máximo de conexiones permitidas. Configuramos el temporizador de inactividad que es

Configuramos el temporizador de inactividad que es cuánto tiempo va a estar activo el túnel VPN.

conexiones permitidas. Configuramos el temporizador de inactividad que es cuánto tiempo va a estar activo el

El resumen de la configuración, verificamos que todo este correcto y finalizamos.

El resumen de la configuración, verificamos que todo este correcto y finalizamos. Aplicando los cambios realizados

Aplicando los cambios realizados

El resumen de la configuración, verificamos que todo este correcto y finalizamos. Aplicando los cambios realizados

Ahora probaremos el túnel VPN

Ahora probaremos el túnel VPN Los detalles del túnel y le damos iniciar

Los detalles del túnel y le damos iniciar

Ahora probaremos el túnel VPN Los detalles del túnel y le damos iniciar

El túnel VPN ha finalizado correctamente

El túnel VPN ha finalizado correctamente

Ahora con un software que me permita conectarme a una VPN en

mi caso estoy utilice (VPN-CLIENT) con un cliente en internet, le

damos nuevo

(VPN-CLIENT) con un cliente en internet, le damos nuevo Nombre de conexión y al host que

Nombre de conexión y al host que nos vamos a conectar (IP publica

de la interface f0/1 del Router Medellín), el nombre y la clave

precompartida.

host que nos vamos a conectar (IP publica de la interface f0/1 del Router Medellín), el

Conexión, pode ver la dirección del host y el trasport IPSEC/UDP

pode ver la dirección del host y el trasport IPSEC/UDP Ahora el usuario para la conexión

Ahora el usuario para la conexión deberemos créalo en el Router (Medellín).

Ahora el usuario para la conexión deberemos créalo en el Router (Medellín). Y ya solo tocara

Y ya solo tocara iniciar la conexión.

Ahora el usuario para la conexión deberemos créalo en el Router (Medellín). Y ya solo tocara

Y Podemos ver que el adaptador 3 nos muestra el rango de la vpn que le asignamos, y si probamos con un PING entre los Router son exitosos.

el adaptador 3 nos muestra el rango de la vpn que le asignamos, y si probamos
el adaptador 3 nos muestra el rango de la vpn que le asignamos, y si probamos

Glosario:

DMZ:

Una DMZ es una red con seguridad perimetral, lo que se hace es ubicar una subred entre la LAN y la WAN.

LAN:

Una red de área local.

WAN:

Las Redes de área amplia.

Router:

Enrutador, encaminador. Dispositivo hardware o software para interconexión de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. El Router interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la información de la capa de red.

SDM:

SDM es la abreviatura de Cisco Router and Security Device Manager. Una herramienta de mantenimiento basada en una interfaz web desarrollada por Cisco. No es simplemente una interfaz web. Es una herramienta java accesible a través del navegador.

Esta herramienta soporta un amplio número de routers Cisco IOS. En la actualidad se entrega preinstalado en la mayoría de los routers nuevos de Cisco.

SSH:

SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas gráficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo.

JAVA:

Java es un lenguaje de programación.

Existe un gran número de aplicaciones y sitios Web que no funcionan a menos que Java esté instalado, y muchas más que se crean a diario. Java es rápido, seguro y fiable. De portátiles a centros de datos, de consolas de juegos a súper equipos científicos, de teléfonos móviles a Internet, Java está en todas partes.

NAT:

En las redes de computadoras, NAT es el proceso de modificación de la dirección IP de información en los encabezados de paquetes IP, mientras que en tránsito a través de un tráfico de dispositivos de enrutamiento

El tipo más simple de NAT proporciona una traducción a una de las direcciones IP.

DNS:

Es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia información variada con nombres de dominios asignados a cada uno de los participantes. Su función más importante, es traducir (resolver) nombres inteligibles para los

humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propósito de poder localizar y direccionar estos equipos mundialmente.

TCP:

s uno de los principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicación, posibilita la administración de datos que vienen del nivel más bajo del modelo, o van hacia él, (es decir, el protocolo IP). Cuando se proporcionan los datos al protocolo IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6 (para que sepa con anticipación que el protocolo es TCP). TCP es un protocolo orientado a conexión, es decir, que permite que dos máquinas que están comunicadas controlen el estado de la transmisión.

UDP:

UDP son las siglas de Protocolo de Datagrama de Usuario (en inglés User Datagram Protocol) un protocolo sin conexión que, como TCP, funciona en redes IP.

UDP/IP proporciona muy pocos servicios de recuperación de errores, ofreciendo en su lugar una manera directa de enviar y recibir datagramas a través una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisión de la información, por ejemplo, RealAudio utiliza el UDP.

El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de Protocolo de Transferencia de Archivos Triviales (en inglés Trivial File Transfer Protocol), y puesto que es trivial, perder algo de información en la transferencia no es crucial

Stateless:

Crear reglas de ida y de respuesta.

Statefull:

Crear reglas de ida y las reglas de respuestas son automáticas no hay que crearlas.

Mascara wildcard:

Una máscara wildcard es sencillamente una agrupación de 32 bits dividida en cuatro bloques de ocho bits cada uno (octetos). La apariencia de una máscara wildcard le recordará probablemente a una máscara de subred. Salvo esa apariencia, no existe otra relación entre ambas.

Por ejemplo, una máscara wildcard puede tener este aspecto:

192.168.1.0 mascara normal 255.255.255.0 mascara wildcard

0.0.0.255.

Mascara normal 255.255.0.0 mascara wildcard 0.0.255.255 mascara normal 255.0.0.0 mascara wildcard 0.255.255.255

ISA server:

ISA Server es un Gateway integrado de seguridad

Perimetral que protege su entorno de IT frente a amenazas basadas en Internet y permite a los usuarios un acceso remoto rápido y seguro a las aplicaciones y los datos.

Servidor:

En informática, un servidor es una computadora que, formando parte de una red, provee servicios a otras computadoras denominadas clientes.

WPAD:

Web Proxy Automatic Discovery es un metodo usado por los navegadores para encontrar los proxys automáticamente, es decir que cuando configuramos un navegador para que detecte automáticamente el proxy, el se dirigirá al DNS buscando cual es la

IP que responda al nombre de WPAD y con dicha respuesta sabrá cual es el proxy al que debe conectarse.

Red privada virtual (VPN):

Una red privada virtual, RPV, o VPN de las siglas en inglés de Virtual Private Network, es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet.

Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.