Punto a punto VPN

Integrantes:
Tapia Sillerico Neidy Patricia
Montaño Zeballos Mauricio
Arancibia Condori Joel Ariel
Jimenez Meneces Brian Joel
Semestre: II/2018
Materia: Comunicación de Datos

Introducción. –
Para crear un túnel VPN (Virtual Private Netwrok), el cual es una red que permite una extensión de
la red local que es la que los proporciona nuestro servidor de red (en nuestro caso ENTEL), sobre una
red pública o no controlada, como por ejemplo Internet.
Para hacerlo posible de manera segura es necesario tener la misma autenticación, integridad y
confidencialidad de toda la comunicación.
Enlace. -
Para empezar, cargamos la configuración que viene por defecto con la siguiente línea de comando.
load factory-default
seguidamente le damos la contraseña para poder acceder en modo web. Con la siguiente línea de código.
set system root-authentication plain-text-password
en el cual usamos: umss123
seguidamente vemos la configuración que tiene nuestro firewall y notamos que viene por defecto
configuraciones como NAT, VLAN en la cual esta la interfaz para acceder en modo web, esa dirección que
viene por defecto la cambiamos de la siguiente manera y guardamos la configuración.
delete interfaces vlan.0 family inet address 192.168.1.1/24
set interfaces vlan.0 family inet address 192.168.11.1/24
commit
Acceso a Internet. -
Para el acceso a internet creamos una ruta por defecto, notamos la configuración de las interfaces que solo
podemos acceder a ello mediante el puerto 0/0, es decir que conectamos con un cable de red entre el router
de internet (de nuestro proveedor) y el puerto fe-0/0/0 de nuestro firewall porque es la única que no tiene
configuración alguna, en tanto que las otras están configuradas como VLAN que explicaremos más adelante.
Antes debemos averiguar cuál es la dirección IP de nuestro DNS, es decir de nuestro servidor local. Eso se lo
comprueba una vez conectado a nuestro pc de esa manera directa, entrando en CMD y ejecutando:
C:\Users\DELL>ipconfig/all
Con ello vemos nuestra IP de nuestra DNS y configuramos la ruta por defecto:
set routing-options static route 0.0.0.0/0 next-hop 192.168.1.1
Seguidamente vamos a configurar la ip de nuestra PC, dándole la dirección IP que le habíamos asignado en la
VLAN, esto para poder acceder en modo web y darle internet a nuestro firewall.

En las opciones de dirección de servidor DNS le damos la IP en nuestro caso: 192.168.1.1 así como también
debemos hacerle conocer al firewall esa dirección de la siguiente forma.
set system name-server 192.168.1.1
Establecemos la VPN
Una vez ingresando en modo web nos vamos a la parte superior en configuraciones, en el lado derecho a IPSec
VPN / autotunel /Phase 1 ahí agregamos nuevas configuraciones, primero en proporsal, donde establecemos
los algoritmos de autenticación y encriptación.
Phase 1 /proporsal
Phase 1 /IKE Policy Configuramos el modo de seguridad, en el cual usamos la configuración anterior, es decir
el proposal.

Phase 1 /IKE Policy options es donde establecemos la contraseña que solo será confidencial para esta
práctica. En este caso ponemos en Ascci text ; 2doparcial

Phase 1 /Gateway usamos de seguridad la política ya establecida en la anterior pestaña IKE Policy, es aquí
donde nosotros establecemos por donde saldremos a internet, en este caso usamos el puerto fe-0/0/0.
También le ponemos la IP publica por la cual accederemos a nuestro destino, es decir la ip de nuestro próximo
salto y para identificarnos usamos Email Address: grupo1@umss.com
 fe-0/0/0

Pase 2/Proporsal es donde establecemos los algoritmos de autenticación y encriptación y el protocolo.

Phase 2/ IPSec Policy

sha-des-g1

sha-des
Phase 2 / Auto Key VPN definimos nuestra interface virtual para el túnel, estableciéndolo de manera
inmediata.

Para verificar el estado de nuestra VPN y ver que esta levantada nos vamos a Monitor en la parte superior, en
la parte derecha a IPSec VPN / Phase1.

Para poder llegar a la otra red es necesario dar políticas a nuestras interfaces, llevarlas a la zona donde
correspondan, es decir que para nuestra zona local en este caso TRUST, por la cual esta conectada nuestra PC
requiere políticas y permisos con los siguientes comandos.
set security zones security-zones trust interfaces vlan.0 host-inbound-traffic system-services all
set security zones security-zones trust interfaces vlan.0 host-inbound-traffic protocols all
y para el caso de nuestra VPN, nuestra interfaz virtual seria st0.0 correspondiente a la zona UNTRUST.
set security zones security-zones untrust interfaces st0.0 host-inbound-traffic system-services all
set security zones security-zones untrust interfaces st0.0 host-inbound-traffic protocols all
al igual que para nuestro puerto fisico, le proporcionamos todas las políticas y guardamos la configuración.
set security zones security-zones untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services all
set security zones security-zones untrust interfaces fe-0/0/0.0 host-inbound-traffic protocols all
Para establece la ruta dinámica empleamos el protocolo de enrutamiento OSPF.

En el cual habilitamos las interfaces que queremos que salgan y tengan conexión.

Finalmente habilitamos las políticas de vuelta, ya que en la configuración por defecto solo existía políticas de
ida, es decir de la zona trust a untrust, esa configuración se la muestra en las siguientes líneas.

policies { from-zone trust to-zone untrust {

policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
 then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy un-tr {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}

Topología
El siguiente diagrama muestra la topología básica planteada para esta práctica, en la cual no solamente se
hace entre 3 routers, sino que puede haber otros más, en este caso solo realizaremos las configuraciones
necesarias en nuestro firewall que sería R1 de la siguiente figura.

Para verlo de manera mas especifica lo mostramos en una tabla las configuraciones de cada router, para que
se establezca la conexión.
Dispositivo Interfaz Direccion IP Mascara
R1 fe-0/0/0 DHCP
Vlan.0 192.168.11.1 255.255.255.0
St0.0 10.1.11.2 255.255.255.0
PC -11.2 NIC 192.168.11.2 255.255.255.0
R2 fe-0/0/0 -
Vlan.0 192.168.111.1 255.255.255.0
St0.0 10.1.11.1 255.255.255.0

VLAN
Es una subred que permite a una IP distribuirse en los puertos fe-0/0/1 al fe-0/0/7, es decir que podemos
acceder a esa IP desde cualquiera de esos puertos.
En su configuración de fabrica entendemos las interfaces de la siguiente manera:
 El puerto fe-0/0/0 no tiene ninguna configuración, por lo tanto podría ser habilitado como una red
troncal, pero no es una vlan.
 Desde el puerto fe-0/0/1.0 a fe-0/0/7.0 pertenecen a la vlan.0 que viene por defecto.
VPN
Es una red Privada Virtual que permite crear un túnel a través de una red pública En lugar de usar una conexión
física dedicada, una VPN utiliza conexiones virtuales enrutadas a través de la Internet de la organización al
local remoto.
Una VPN es un entorno de comunicaciones en las que el acceso está estrictamente controlada para permitir
conexiones de pares dentro de una comunidad de interés definida. La confidencialidad se logra mediante la
encriptación del tráfico dentro de la VPN.
Las ventajas de usar las VPN son:
 Ahorro de costos
 Seguridad. - mediante el cifrado avanzado y protocolos de autenticación
 Escalabilidad
 Compatibilidad
Autenticación. – Es la garantía de que el mensaje no es una falsificación y que es realmente proveniente de
su remitente.
Integridad. - Es la garantía de que el mensaje no fue interceptado ni cambiado por nadie.
Confidencialidad. – Para asegurar el mensaje, una vez este haya sido capturado por otro, este no puede ser
descifrado.
}A continuación, mostramos los parámetros empleados en las políticas en phase1
Parámetros R1 R2
algoritmo de autenticación Md5 Md5
Algoritmo de encriptación proporsal 3des-cbc 3des - cbc
Group Grupo2 Grupo2
Método de autenticación Pre-shared-keys Pre-shared-keys
Modo IKE policy agressive Agressive
gateway Address 200.58.78.149
Hostname ¨grupo1@umss.com¨ ¨grupo1@umss.com¨
External interface fe-0/0/0 Fe-0/0/0

También mostramos los parámetros empleados en las políticas en phase2

Parámetros R1 R2
protocol esp Esp
Algoritmo de autenticación proporsal Hmac-sha1-96 Hmac-sha1-96
Algoritmo de encriptación Des-cbc Des-cbc
group Ipsec policy Group1 Group 1
Bind interface vpn st0.0 St0.0
Establecer túnel inmediato inmediato
Comparativas. -
 MD5 es lo suficientemente resistente a la colisión, es decir que es poco probable que se produzcan
dos mensajes con el mismo HASH.
 SHA-1 es más resistente a ataques de fuerza bruta porque su resumen es al menos 32 bits más que
el resumen MD5.
x SHA-1 y MD5 son compatibles ya que están basados en MD4.
 DES es un algoritmo de cifrado simétrico que garantiza la confidencialidad de los datos.
 Los ataques de fuerza bruta contra 3DES son considerados impracticables por tanto es considerado
muy fiable.
 Para DES-CBC en nuestro caso puede ayudar a prevenir ciertos ataques.
x La longitud de la clave de AES hace la llave mucho más fuerte que DES.
 En cuanto a interpretación, MD5 es ligeramente más rápido que el algoritmo SHA-1.
x DES-CBC Sucumbe antes un ataque de fuerza bruta o un criptoanálisis.
x Hoy en día MD5 es considerado menos seguro que SHA-1 por muchas autoridades en la criptografía.
x Pre-Shared-Keys solo nos permite compartir la llave con nuestro destinatario.

Resultados
Una vez hecha las configuraciones anteriores configuraciones:

 Comprobamos si llegamos a la IP publica de nuestra VPN (200.58.78.149)

 Luego debemos verificar si nuestra VPN esta levantada.
 Verificamos si llegamos a nuestra red virtual ST0.0, (10.1.11.2)
 Revisar las rutas dinámicas, debemos coincidir en una misma área (0.0.0.0).
 Comprobar haciendo Ping a la red virtual ST0.0 siguiente (10.1.11.1).
 Comprobar haciendo Ping a la red LAN del otro lado (192.168.111.1).
Conclusiones. -
 Sin darle todas las políticas y los permisos a las interfaces en sus zonas respectivas no se habría
establecido la conexión, también hacia falta crear una ruta dinámica por medio de OSPF.
 MD5 y SHA-1 en nuestro caso se encargan de la integridad de los datos.
 DES y 3DES se encargan de la confidencialidad mediante la encriptación del trafico mientras viaja por
la VPN.
Bibliografía. –
CCNA/Security 640-553/ Cryptographic Systems
CCNA/Security 640-553/ Implementing Virtual Private Networks