Scribd Logo
Upload

Welcome to Scribd!

  • Redes Privadas Virtuales

    Uploaded by

    Luis Araque
    15 views42 pages

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    15 views42 pages

    Redes Privadas Virtuales

    Uploaded by

    Luis Araque

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 42

    REDES PRIVADAS VIRTUALES (VPN)

    VPN sitio a sitio a) Simulacin VPN sitio a sitio, utilizando Packet Tracer. b) CISCO CCNA Security 1. 1. Laboratorio Lab- 8- A: VPN sitio-a-sitio - Realizar en el laboratorio virtual (GNS3) individualmente.

    Este es el esquema donde vamos a realizar una vpn de sitio a sitio, para ello nos vamos a ir a la consola del router 1

    Con el primer comando lo que vamos a hacer es crear una nueva poltica IKE, cada poltica se identifica por su nmero de prioridad, en nuestro caso vamos a ponerle la prioridad ms alta que es 1. Con el segundo comando lo que vamos a especificar es el algoritmo de cifrado que vamos a utilizar El tercer comando elegimos el algoritmo de hash que vamos a usar El cuarto comando determina el mtodo de autenticacin El quinto comando se especifica el identificador de grupo diffie-hellman El sexto comando determinamos el tiempo de vida de la asociacin de seguridad Con el sptimo comando salimos para volver al modo de configuracin global El octavo comando lo que hacemos es elegir la identidad ISAKMP que el router usara en las negociaciones IKE, pero este comando como podemos ver en la imagen no funciona y ya no podemos continuar realizando la vpn de sitio a sitio

    Luis Alfonso Snchez Brazales

    Realizar en el laboratorio fsico por grupos de alumnos. Hicimos esta prctica siguiendo el manual
    Configuraremos 1 los parametros de enrutamiento e interfaces para establecer la conectividad: R1:

    Realizamos los mismos pasos de configuracin de la red en los dems routers, de acuerdo con el escenario en concreto. Bien ahora comprobamos la conectividad:

    Luis Alfonso Snchez Brazales

    La eleccin de un algoritmo de cifrado determina la confidencialidad del canal de control entre los extremos es. El algoritmo de control controla la integridad de los datos, garantizando que los datos recibidos de un par no ha sido alterado en el trnsito. El tipo de autenticacin garantiza que el paquete fue enviado en efecto y firmada por el par remoto. El grupo de DiffieHellman se utiliza para crear una clave secreta compartida por los pares que no ha sido enviado a travs de la red. una. Configurar un tipo de autenticacin de claves pre-compartidas. El uso de encriptacin AES 256, SHA como su algoritmo de hash, y Diffie-Hellman de intercambio de claves grupo 5 de esta poltica IKE. b. Dar la poltica de un tiempo de vida de 3600 segundos (una hora). Configure la misma poltica en R3. Las versiones anteriores de Cisco IOS no admiten el cifrado AES 256 y SHA como algoritmo de hash. Sustituya cualquier algoritmo de cifrado y hashing su router soporta. Asegrese de que los mismos cambios se realizan en el otro extremo de VPN para que estn en sincrona.

    Verifique la poltica IKE con el comando show crypto ISAKMP policy


    Cada direccin IP que se utiliza para configurar los equivalentes de IKE tambin se conoce como la direccin IP del extremo remoto VPN. Configurar la clave pre-compartida de cisco123 en el router R1 mediante el comando siguiente. Redes de produccin deben utilizar una clave compleja. Este comando apunta a la direccin IP remota pares R3 S0/0/1

    Luis Alfonso Snchez Brazales

    En R1 y R3, cree un conjunto de transformacin con la etiqueta 50 y utiliza un protocolo de seguridad de encapsulacin (ESP) transformar con un cifrado AES 256 con ESP y la funcin SHA hash. Los conjuntos de transformacin debe coincidir.

    En R1 y R3, configure la seguridad de IPsec asociacin de por vida a 30 minutos, o segundos 1800.

    Configure la VPN IPsec interesante trfico ACL en el R1.

    Cree el mapa crypto en R1, el nombre de CMAP, y utilizar 10 como el nmero de secuencia. Aparecer un mensaje despus de que el comando se emite.

    Usa el comando match address access-list para especificar qu lista de acceso define

    el trfico que va a cifrar.

    Setting a peer IP or host name is required, so set it to R3s remote VPN endpoint interface using the following command.

    Luis Alfonso Snchez Brazales

    Codificar el conjunto de transformacin que se utilizar a este mismo nivel, utilizando el conjunto de transfor-mando conjunto de etiquetas. Ajuste el tipo de desvo secreto perfecto con el comando set pfs tipo, y tambin modificar el valor por defecto de seguridad IPsec tiempo de vida con el comando set security-association
    lifetime seconds seconds:

    Aplicar los mapas de las interfaces de Cifrado prr adecuadas en R1Apply los mapas de cifrado para las interfaces adecuadas en R1

    Aplicar las interfaces de los mapas de las Cifrado adecuadas en R1 Apply los mapas de las interfaces de Cifrado adecuadas en R1, show crypto ipsec transform-set command muestra las polticas IPsec configuradas en la forma de los conjuntos de transformacin.
    Anteriormente has usado el comando show crypto isakmp policy

    Utilice el comando show crypto map para visualizar los mapas criptogrficos que se aplicarn al router

    Luis Alfonso Snchez Brazales

    El comando show crypto ipsec sa muestra la SA no utilizada SA entre R1 y R3. Anote el

    nmero de paquetes enviados a travs y la falta de asociaciones de seguridad que figuran en la parte inferior de la salida. La salida de R1 se muestra aqu.

    Bien, tras realizar esto, compartiremos una carpeta en el equipo 192.168.1.3:

    Luis Alfonso Snchez Brazales

    Bien ahora accedemos con el otro equipo el 192.168.3.3 y comprobamos que se envian los protocolos TCP de la conexin, (nota: no capturamos el protocolo IPsec ya que Wireshark no permite capturarlo)

    Comprobamos que accedemos a la carpeta compartida.

    Luis Alfonso Snchez Brazales

    VPN de acceso remoto CISCO CCNA Security 1.1. Laboratorio Lab-8-B; VPN Acceso.remoto Realizar en el laboratorio fsico por grupos de alumnos.

    Luis Alfonso Snchez Brazales

    Click the Configure button at the top of the CCP screen, and choose Security >Firewall > Firewall

    Choose Basic Firewall and click the Launch the selected task button. On the Basic Firewall Configuration wizard screen, click Next. c. Check the Inside (Trusted) check box for FastEthernet0/1 and the Outside (Untrusted) check box for Serial0/0/1. Click Next. Click OK when the CCP launch warning for Serial0/0/1 is displayed.

    Luis Alfonso Snchez Brazales

    In the next window, select Low Security for the security level and click Next. e. In the Summary window, click Finish. f. Click Deliver to send the commands to the router. Click OK in the Commands Delivery Status window. Click OK on the Information window. You are returned to the Edit Firewall Policy tab as shown below.

    Click Deliver to send the commands to the router. Click OK in the Commands Delivery Status window. Click OK on the Information window. You are returned to the Edit Firewall Policy tab as shown below

    Luis Alfonso Snchez Brazales

    firewall functionality.
    a. From PC-C, ping the R2 interface S0/0/1 at IP address 10.2.2.2.

    Click the Configure button at the top of the CCP home screen. Choose Security > VPN > Easy VPN Server. b. Click on the Launch Easy VPN Server Wizard button.

    Luis Alfonso Snchez Brazales

    Now we select deliver:

    Select the interface on which the client connections terminate. Click the Unnumbered to radio button and select the Serial0/0/1 interface from the pull-down menu. b. Choose Pre-shared Keys for the authentication type and click Nextto continue.

    Luis Alfonso Snchez Brazales

    In the IKE Proposals window, the default IKE proposal is used for R3.

    Click Next to accept the default transform set.

    Luis Alfonso Snchez Brazales

    In the Group Authorization and Group Policy Lookup window, choose the Local option

    In the User Authentication (XAuth) window, you can select where user credentials will be configured. You can select an external server, such as a RADIUS server, a local database, or both. Check the Enable User Authentication check box and accept the default of Local Only

    Luis Alfonso Snchez Brazales

    In the User Accounts window, click the Add button to add another user. Enter the username VPNuser1 with a password of VPNuser1pass. Select the check box for encrypting the password using the MD5 hash algorithm. Leavetheprivilegelevel at 1.

    Click Add to create a group policy. c. In the Add Group Policy window, enter VPN-Access as the name of this group. Enter a new pre-shared key of cisco12345 and then re-enter it. d. Leave the Pool Information box checked and enter a starting address of 192.168.3.100, an ending address of 192.168.3.150, and a subnet mask of 255.255.255.0. e. Enter 50 for the Maximum Connections Allowed. f. Click OK to accept the entries

    Luis Alfonso Snchez Brazales

    When you return to the Group Authorization window, check the Configure Idle Timer check box and enter one hour (1). This disconnects idle users if there is no activity for one hour and allows others to connect. Click Next to continue. i. When the Cisco Tunneling Control Protocol (cTCP) window displays, do not enable cTCP. ClickNexttocontinue.

    No check

    Luis Alfonso Snchez Brazales

    When the Easy VPN Server Passthrough Configuration window displays, make sure that the Action Modify check box is checked. This option allows CCP to modify the firewall on S0/0/1 to allow IPsec VPN traffic to reach the internal LAN. ClickOK tocontinue

    Scroll through the commands that CCP will send to the router. Do not check the check box to test the VPN. Click Finish. b. When prompted to deliver the configuration to the router, click Deliver.

    Luis Alfonso Snchez Brazales

    You are returned to the main VPN window with the Edit Easy VPN Server tab selected. Click the Test VPN Server button in the lower right corner of the screen. b. In the VPN Troubleshooting window, click the Start button. Your screen should look similar to the one below. Click OK to close the information window. ClickClosetoexitthe VPN Troubleshootingwindow.

    Luis Alfonso Snchez Brazales

    CLIENTE

    Luis Alfonso Snchez Brazales

    Start the Cisco VPN Client and choose Connection Entries > New, or click the New icon with the red plus sign (+) on it. Enter the following information to define the new connection entry. Click Save when you are finished. Connection Entry: VPN-R3 Description: Connection to R3 internal network Host: 10.2.2.1 (IP address of the R3 S0/0/1 interface) Group Authentication Name: VPN-Access (defines the address pool configured in Task 2) Password: cisco12345 (pre-shared key configured in Task 2) Confirm Password: cisco12345

    Luis Alfonso Snchez Brazales

    Select the newly created connection VPN-R3 and click the Connect icon. You can also double-click the connection entry. Enter the previously created username VPNuser1 in the VPN Client User Authentication dialog box and enter the password VPNuser1pass. Click OK to continue. The VPN Client window minimizes to a lock icon in the tools tray of the taskbar. When the lock is closed, the VPN tunnel is up. When it is open, the VPN connection is down.

    Comprobamos la conectividad

    Luis Alfonso Snchez Brazales

    Nos conectamos al cliente

    Accedemos a sus carpetas compartidas.

    Luis Alfonso Snchez Brazales

    VPN sobre red local a) Instalacin de un servidor VPN en Windows XP/7/ Windows 2003/2008 Server. Windows 2003 Server Aadimos 2 tarjetas de red, una en modo puente y otra en en red interna. Modo puente

    Red interna

    Luis Alfonso Snchez Brazales

    Creamos la conexin VPN

    Luis Alfonso Snchez Brazales

    Luis Alfonso Snchez Brazales

    Luis Alfonso Snchez Brazales

    Luis Alfonso Snchez Brazales

    Windows XP
    En conexiones de red, creamos una nueva conexin de red.

    Elegimos configuracin avanzada

    Luis Alfonso Snchez Brazales

    Aceptamos conexiones entrantes

    Pulsamos siguiente

    Luis Alfonso Snchez Brazales

    Marcamos permitir conexiones privadas virtuales

    Permitimos al administrador la conexin VPN

    Luis Alfonso Snchez Brazales

    Abrimos la propiedades del protocolo TCP/IP

    Establecemos un rango de direcciones

    Luis Alfonso Snchez Brazales

    Finalizamos el asistente

    Ya tenemos creada nuestra conexin VPN en Windows XP

    Luis Alfonso Snchez Brazales

    b) Instalacin de un servidor VPN en GNU/Linux (Ubuntu/Debian/Fedora/Zentyal,).

    Instalamos el servidor VPN

    Editamos el fichero /etc/pptpd.conf y descomentamos la lnea sealada.

    En el mismo fichero configuramos el rango de direcciones

    Luis Alfonso Snchez Brazales

    Abrimos el fichero /etc/ppp/pptpd-options Configuramos la parte de autentificacin de la siguiente manera

    Configuramos el fichero /etc/ppp/chap-secrets. Donde usuario es el nombre del usuario, Ubuntu es el nombre del servidor VPN, clave es la contrasea del usuario y el * significa que admite todas las direcciones IP.

    Reiniciamos el servicio VPN

    Luis Alfonso Snchez Brazales

    Configuramos los interfaces de red

    Reiniciamos los interfaces de red

    Conexin desde un cliente Windows y GNU/Linux VPN a un servidor VPN. Windows

    Luis Alfonso Snchez Brazales

    Luis Alfonso Snchez Brazales

    Luis Alfonso Snchez Brazales

    Comprobamos como se conecta

    LINUX Abrimos conexiones de red, VPN y aadir.

    Luis Alfonso Snchez Brazales

    Crear

    Configuramos la conexin VPN

    Luis Alfonso Snchez Brazales

    d) Configurar el router Linksys RV200 como un servidor VPN sobre red local. Utiliza el simulador http://ui.linksys.com/files/WRV200/1.0.29/SetupDHCP.htm

    Nos vamos a la pestaa vpn client Access ponemos el nombre de usuario y la contrasea, le damos add/save

    Nos saldr esta pantalla y pondremos la direccin ip y la submascara y le daremos a save settings para guardar los cambios Cuando tenemos esto configurado ya nos tenemos que ir a un cliente y configurarlo para poder conectarnos

    Luis Alfonso Snchez Brazales

    Configurar el router Linksys RV042 como un servidor VPN sobre red local. Utiliza primero el simulador para practicar: http://ui.linksys.com/files/RV042/1.2.3/home.htm Nos vamos a vpn y le damos a client to Gateway, marcamos la opcin de tunnel y le ponemos un nombre como vemos en la imagen y en la interface le dejamos la WAN1

    En el desplegable vamos a seleccionar la opcin de solo ip y nos saldr la direccin ip que tengamos configurada en nuestro router, luego pondremos la direccin ip con la que va a tener nuestra subred y la mscara, luego volvemos a seleccionar solo ip y ponemos la direccin ip del equipo con el que vamos a hacer la vpn

    Luis Alfonso Snchez Brazales

    En esta parte lo que podemos ver son configuraciones de seguridad que las dejaremos como vienen en la imagen y le daremos a save settings para guardar los cambios. Ahora nos iremos al cliente y configuraremos el software necesario para podernos conectar.

    Luis Alfonso Snchez Brazales

    You might also like