VPN IPSEC SITE-TO-SITE

Qu es VPN?
VPN o "Virtual Private Network" es una tecnologa de red que permite una extensin de la
red local sobre una red pblica o no controlada, como por ejemplo Internet.
El ejemplo ms comn es la posibilidad de conectar dos o ms sucursales de una empresa
utilizando como vnculo Internet; tambin permitir a los miembros del equipo de soporte
tcnico la conexin desde su casa al centro de cmputos, o que un usuario pueda acceder
a su equipo hogareo desde un sitio remoto, como por ejemplo un hotel. Todo esto
utilizando la infraestructura de Internet.
Para hacerlo posible de manera segura es necesario proveer los medios para garantizar la
autenticacin, integridad y confidencialidad de toda la comunicacin.

Autenticacin y Autorizacin: Quin est del otro lado? Usuario/equipo y qu

nivel de acceso debe tener.
Integridad: La garanta de que los datos enviados no han sido alterados.
Confidencialidad: Dado que los datos viajan a travs de un medio hostil como
Internet, los mismos son susceptibles de interceptacin: por eso es fundamental el
cifrado de los datos. De este modo, la informacin no debe poder ser interpretada
por nadie ms que los destinatarios de la misma.

Tipos de VPN
Bsicamente existen tres arquitecturas de conexin VPN:
VPN de acceso remoto
Este es quizs el modelo ms usado actualmente y consiste en usuarios o proveedores que
se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios,
hoteles, aviones, etc.) utilizando Internet como vnculo de acceso. Una vez autenticados
tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas
empresas han reemplazado con esta tecnologa su infraestructura "dial-up" (mdems y
lneas telefnicas), aunque por razones de contingencia todava conservan sus viejos
modems...
VPN sitio-a-sitio

Este esquema se utiliza para conectar oficinas remotas con la sede central de
organizacin. El equipo central vpn, que posee un vnculo a Internet permanente, acepta
las conexiones va Internet provenientes de los sitios y establece el "tnel" vpn. Los
servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor
local de Internet, tpicamente mediante conexiones de banda ancha. Esto permite
eliminar los costosos vnculos punto a punto tradicionales, sobre todo en las
comunicaciones internacionales.
VPN Interna
Este esquema es el menos difundido pero uno de los ms poderosos para utilizar dentro
de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet
como medio de conexin, emplea la misma red Lan (Red de rea local) de la empresa.
Sirve para aislar zonas y servicios de la red Lan interna. Esta capacidad lo hace muy
conveniente para mejorar las prestaciones de seguridad de las redes inalmbricas (WiFi).
Un ejemplo clsico es un servidor con informacin sensible, como las nminas de sueldos,
ubicado detrs de un equipo VPN, el cual provee autenticacin adicional ms el agregado
del cifrado, haciendo posible que slo el personal de RRHH habilitado pueda acceder a la
informacin.
Por qu VPN?
Costos
La principal motivacin del uso y difusin de esta tecnologa es la reduccin de los costos
de comunicaciones directos, tanto en lneas dial-up como en vnculos Wan dedicados. Los
costos se reducen drsticamente en estos casos:
En el caso de accesos remotos, llamadas locales a los ISP (Internet Service Provider) en vez
de llamadas de larga distancia a los servidores de acceso remoto de la organizacin. O
tambin mediante servicios de banda ancha.
En el caso de Sitio-a-Sitio, utilizando servicios de banda ancha para acceder a Internet, y
desde Internet llegar al servidor VPN de la organizacin. Todo esto a un costo
sensiblemente inferior al de los vnculos Wan dedicados.
Ancho de Banda
Se puede encontrar otra motivacin en el deseo de mejorar el ancho de banda utilizado
en conexiones dial-up. Las conexiones vpn de banda ancha mejoran notablemente la
capacidad del vnculo.

Las implementaciones
Todas las distintas opciones disponibles en la actualidad caen en tres categoras bsicas:
soluciones de hardware, soluciones basadas en firewall y aplicaciones VPN por software.
Cada tipo de implementacin utiliza diversas combinaciones de protocolos para garantizar
las tres caractersticas fundamentales mencionadas ms arriba: Autenticacin, Integridad
y Confidencialidad.
El protocolo estndar de hecho es el IPSEC, pero tambin tenemos PPTP, L2TP, SSL/TLS,
SSH, etc. Cada uno con sus ventajas y desventajas en cuanto a seguridad, facilidad,
mantenimiento y tipos de clientes soportados.
Actualmente hay una lnea de productos en crecimiento relacionada con el protocolo
SSL/TLS, que intenta hacer ms amigable la configuracin y operacin de estas soluciones.
Las soluciones de hardware casi siempre ofrecen mayor rendimiento y facilidad de
configuracin, aunque no tienen la flexibilidad de las versiones por software. Dentro de
esta familia tenemos a los productos de Cisco, Linksys, Netscreen, Symantec, Nokia, US
Robotics. etc.
En el caso basado en firewalls, se obtiene un nivel de seguridad alto por la proteccin que
brinda el firewall, pero se pierde en rendimiento. Muchas veces se ofrece hardware
adicional para procesar la carga vpn. Ejemplo Checkpoint NG, Cisco Pix.
Las aplicaciones VPN por software son las ms configurables y son ideales cuando surgen
problemas de interoperatividad en los modelos anteriores. Obviamente el rendimiento es
menor y la configuracin ms delicada, porque se suma el sistema operativo y la
seguridad del equipo en general. Aqu tenemos por ejemplo a las soluciones nativas de
Windows, Linux y los Unix en general. Por ejemplo productos de cdigo abierto (Open
Source) como OpenSSH, OpenVPN y FreeS/Wan.

Escenario
Una
vez
desarrollados
y
presentados
los
laboratorios
de
tneles
sus colegas de la empresa se mostraron muy entusiasmados cuando les mostr que un
tnel GRE permite hacer un tnel a travs de los protocolos de enrutamiento de
conexiones VPN, y despus de configurar el "tnel GRE Basico" , sus colegas ahora piden
que configure una VPN bsica IPSEC Site-to-Site.

TOPOLOGIA

Realice la topologa en GNS3 y configure una VPN IPsec Site-to-Site.

Para realizar efectivamente la prctica de laboratorio se deben realizar las tareas
enunciadas a continuacin.
Tareas:
Todas las direcciones IP se han preconfigurado como se especifica en la imagen topologa.
Router Godzilla y Nessie tienen una interfaz de loopback:
Godzilla: loopback0: 1.1.1.1 / 24
Nessie: loopback0: 3.3.3.3 / 24
Configurar OSPF en todos los routers 3 y publicitar las siguientes redes:
192.168.12.0 / 24
192.168.23.0 / 24
1.1.1.0 / 24
3.3.3.0 / 24
Asegrese de que Godzilla y Nessie pueden reconocerse mutuamente mediante ping.
Asegrese de que puede hacer ping 3.3.3.3 de Godzilla, procedente de su interfaz de
loopback0.

Configurar una conexin IPsec entre Router Godzilla y Nessie.

Crear una poltica de ISAKMP:
Autenticacin: pre-shared keyEncriptacin: AES 256
Hash: SHA
DH: Grupo 5
Vida til: 3600
Configure el pre-shared key- AdmonInterredes que va a utilizar para la conexin IPSEC.
Configure el IPSEC transform-set:
Cifrado: AES 256
ESP (Encapsulating Seguridad Protocol)
Hash: SHA

Cambie la asociacin de seguridad IPsec con lifetime a 1,800 segundos.

Es necesario cifrar el trfico de la interfaz del router Godzilla loopback0 destinado a la
interfaz de Nessie loopback0, cree la lista de acceso correcta.
Asegrese de tener una lista de acceso correcta en ambos routers.
Crear el correcto cripto-map para finalizar la configuracin de IPSEC.
Compruebe la configuracin de IPSEC, puede utilizar los siguientes comandos show /
debug:
show ipsec crypto transformar-set
show crypto map
show crypto ipsec sa
debug crypto isakmp

Pruebe un ping desde la interfaz del router Godzilla loopback0 destinado a la interfaz del
router de Nessie loopback0, si la configuracin es correcta, entonces el trfico debe ser
encriptado.
Se recomienda trabajar con la imagen IOS c3640-jk9s-mz.124-16.bin.
Se debe presentar la topologa en funcionamiento y entregar los archivos de
configuracin.

GODZILLA
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Godzilla
!
boot-start-marker
boot-end-marker
!
no aaa new-model
memory-size iomem 5
!
ip cef
!
interface Loopback0
ip address 1.1.1.1 255.255.255.0
!
interface Loopback1
ip address 11.11.11.11 255.255.255.0
!

interface FastEthernet0/0
ip address 192.168.12.1 255.255.255.0
duplex auto
speed auto
!
ip http server
no ip http secure-server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
!
End

KING KONG
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname KingKong

!
boot-start-marker
boot-end-marker
!
no aaa new-model
memory-size iomem 5
!
ip cef
!
interface FastEthernet0/0
ip address 192.168.12.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/0
ip address 192.168.23.2 255.255.255.0
duplex auto
speed auto
!
ip http server
no ip http secure-server
!
control-plane
!

line con 0
line aux 0
line vty 0 4
!
End

NESSIE
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Nessie
!
boot-start-marker
boot-end-marker
!
no aaa new-model
memory-size iomem 5
!
ip cef
!
interface Loopback0

ip address 3.3.3.3 255.255.255.0

!
interface Loopback1
ip address 33.33.33.33 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.23.3 255.255.255.0
duplex auto
speed auto
!
ip http server
no ip http secure-server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
!
end