vpn punto a punto y road warrior en un router cisco 3700 en gns3 administrado desde sdm
Post on 28-Jul-2015
1.495 Views
Preview:
DESCRIPTION
TRANSCRIPT
VPN PUNTO A PUNTO Y ROAD WARRIOR
EN UN ROUTER CISCO 3700 EN GNS3
ADMINISTRADO DESDE SDM.
POR:
Maicol Muñoz.
INSTRUCTOR:
Andres Mauricio Ortiz.
Gestión de la seguridad de la red.
35442.
Tecnólogo en administración de redes
Informáticas.
Servicio nacional de aprendizaje (SENA) -
Antioquia
Centro de Servicios y Gestión Empresarial.
(CESGE)
2011
INTRODUCCION
Un firewall es un dispositivo que funciona como cortafuegos entre
redes, permitiendo o denegando las transmisiones de una red a la
otra. Un uso típico es situarlo entre una red local y la red Internet,
como dispositivo de seguridad para evitar que los intrusos puedan
acceder a información confidencial.
Un firewall es simplemente un filtro que controla todas las
comunicaciones que pasan de una red a la otra y en función de lo
que sean permite o deniega su paso. Para permitir o denegar una
comunicación el firewall examina el tipo de servicio al que
corresponde, como pueden ser el web, el correo. Dependiendo del
servicio el firewall decide si lo permite o no.
MARCO TEORICO
FIREWALL
Un Firewall como su nombre lo dice es un "muro de fuego" este tiene la función de realizar un filtrado de paquetes hacia los diferentes destinos valiéndose de reglas configuradas a nuestro gusto. Es decir que si no queremos que a el Equipo A le lleguen paquetes de ningún equipo, del tipo TCP con puerto de origen 80 configuraremos dicha regla en el Firewall para que esto se filtre. Existen varios tipos de Firewall y varias maneras de definirlos, por ahora nos centraremos en que existen Firewall de Host y Firewall de Red. Un Firewall de Host es con el que contamos en nuestros equipos, el que viene de manera nativa en nuestro Sistema Operativo como lo son las IPTABLES en Linux o el Contrafuegos de Windows y solo filtra paquetes desde y hacia nuestro equipo y un Firewall de Red es el que se puede instalar en dispositivos como routers para filtrar todo el tráfico que circule a través de el desde y hacia las diferentes subredes. GNS3 Los routers son dispositivos costosos y al ser una práctica de laboratorio contamos con herramientas libres como GNS3 para emular un Router, según Wikipedia GNS3 es un "simulador gráfico de red que te permite diseñar topologías de red complejas y poner en marcha simulaciones sobre ellos". Para permitir completar simulaciones, GNS3 está estrechamente vinculada con: Dynamips, un emulador de IOS que permite a los usuarios ejecutar binarios imágenes IOS de Cisco Systems. Dynagen, un front-end basado en texto para Dynamips Qemu, un emulador de PIX.GNS3 es una excelente herramienta complementaria a los verdaderos laboratorios para los administradores de redes de Cisco o las personas que quieren pasar sus CCNA, CCNP, CCIE DAC o certificaciones. En si GNS3 es un software diseñado para emular realmente una topología de red completa como si tuvieras en realidad un Router, enrutando paquetes desde tus maquinas virtuales de Virtual Box hacia Internet u otras subredes según lo que quieras diseñar.
SDM Muchas personas no están familiarizadas con los comandos de los routers Cisco y los entiendo porque para mí también fue difícil en los primeros años pero para dichas personas existen soluciones como esta, el cual es un software diseñado para simplificarnos la vida al utilizar una interfaz gráfica de JAVA para administrar vía WEB los routers Cisco sin tener que aprendernos todos los comandos que deberíamos ejecutar. VIRTUALBOX Este es muy conocido, es un emulador de maquinas o de sistemas operativos, es como tener varios PC dentro de tu PC.
DESARROLLANDO VPN PUNTO A PUNTO.
Lo que primero realizaremos será configurar cada una de las interfaces de nuestros routers. Procedemos a asignarle una ip estática a nuestra (LAN) que es por donde administraremos nuestro Router.
Ahora simularemos una conexión WAN para nuestras interfaces
externas.
Y los pasos anteriores también tendremos que aplicárselos a
nuestro otro Router Bogotá con sus respectivas direcciones ip.
Ahora para que haya conexión entra las dos sedes (Medellín y
Bogotá) tendremos que realizar un enrutamiento, el enrutamiento
que yo voy a aplicar será un enrutamiento por defecto.
Para saber más sobre este enrutamiento pueden ir a:
http://maicolqm.blogspot.com/2011/08/laboratorio-enrutamineto-por-
defecto-en.html
Enrutamiento Medellín.
Enrutamiento Bogotá.
Procedemos entonces ya a la configuración de nuestro Router para
la autenticación de nuestros usuarios locales del Router.
##Aquí crearemos un usuario con nivel de privilegios 15 con su contraseña. Router(config)#username sdm privilege 15 password sdm ##Aquí habilitaremos el servidor HTTP y HTTPS y se creara un certificado. Router(config)#ip http server Router(config)#ip http secure-server % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] *Mar 1 00:05:07.491: %SSH-5-ENABLED: SSH 1.99 has been enabled *Mar 1 00:05:08.079: %PKI-4-NOAUTOSAVE: Configuration was modified. Issue "write memory" to save new certificate ##Ahora permitiremos el ingreso via SSH y telnet para finalizar. Router(config)#ip http authentication local Router(config)#line vty 0 4 Router(config-line)#login local Router(config-line)#transport input telnet ssh
Empezamos con la instalación, es totalmente grafica y sencilla.
Algo muy importante es tener actualizado nuestro navegador
internet Explorer y también tener el complemento java.
Ya con nuestro navegador y complementos actualizados ya solo
deberemos ejecutar el paquete SDM cisco.
Procedemos a instalarlo.
A instalado correctamente, finalizamos
Así es como nos aparece en el escritorio, lo ejecutaremos dándole
doble clic
Para poder administrar nuestro Router elegimos nuestra interfaces
f0/1, La ip del Gateway de nuestra LAN.
Nos lóguearemos con el usuario y la contraseña que le creamos al
Router.
Le damos que permita todas las ventanas emergentes para poder
entrar a administrar nuestro Router.
Esta es la página de inicio de administración, nos abrirá otra
ventana.
Nos autenticamos en java, con el mismo usuario y contraseña del
Router.
Este es el inicio del SDM
Vamos a la pestaña de configurar y crearemos una regla de NAT .
Elegimos nuestra interfaz LAN.
Para configurar el túnel VPN vamos a la pestaña Configurar, VPN,
VPN Sitio a Sitio, Iniciar la tarea seleccionada.
Elegimos el modo de configuración del túnel VPN, lo haremos por
pasos para que sea más sencillo y nos muestre más
detalladamente los parámetros.
Ingresamos la interfaz que será configurada como el primer extremo
del túnel VPN (serial Router Medellín), el direccionamiento y la IP
del otro extremo del túnel (serial Router Bogotá) y el tipo de
autenticación que usara el túnel que será llaves pre compartidas .
Especificamos el algoritmo de cifrado y el tipo de autenticación
Damos agregar para agregar un conjunto de transformación
Agregamos el conjunto de transformación
Especificamos el tráfico a proteger, en este caso vamos a proteger
todo el tráfico en los dos extremos.
El resumen de la configuración, verificamos si la información es
correcta, recordemos que este procedimiento lo aplicamos en los 2
routers.
Aplicando todos los comandos realizados
Ahora para no hacer muy extenso esta configuración solo les
mostrare las imágenes de cómo configure la vpn en el otro Router
(Bogotá), es prácticamente los mismo pero con los datos invertidos.
Y listo todas las anteriores imágenes nos muestran la configuración
del extremo vpn Bogotá.
Procedemos entonces Ahora a probar el funcionamiento del túnel
VPN.
Un alerta del SDM que permitirá todas las depuraciones del Router.
Especificamos una IP de destino hacia la cual generar el tráfico de
prueba del túnel que por lo común siempre es el Gateway del otro
extremo.
El túnel VPN está activo.
Lo mismo realizamos en el otro extremo para probar que también
este cativo el túnel.
Probamos dándole un ping (ICMP) de Router a Router y podemos
ver que es exitoso.
También hacemos una captura del trafico con wireshark con
cualquier protocolo ya sea un ping una petición web y el protocolo a
y deberá aparecer el protocolo ESP
CONFIGURACION DE UNA VPN ROAD WARRIOR
Con esta topología es la que trabajaremos.
Colocamos la interfaz por DHCP para que podamos tener internet
por esa interfaz.
Nos dirigimos a la pestaña Configurar, VPN, Servidor Easy VPN,
Iniciar el asistente para servidores Easy VPN.
Activamos el servicio AAA.
Aplicando todos los comandos.
Y el servicio AAA se ha activado correctamente.
Comenzamos el asistente para configurar la VPN.
Especificamos la interfaz que estará a la escucha de las peticiones
por parte de los clientes VPN y el modo de autenticación que es en
mi caso será claves pre compartidas.
Especificamos el tipo de algoritmo que vamos a utilizar.
Agregamos la política del IKE, el cifrado será 3DES y el hash será
SHA_1 el tipo de autenticación y el grupo.
Damos siguiente.
Especificamos el conjunto de transformaciones.
Especificamos donde estarán las políticas de grupos.
Habilitamos la autenticación de usuarios y que solamente sea local.
Agregamos las políticas de grupo de usuarios y autorización de
grupos.
Especificamos el nombre del grupo de usuarios, la clave
precompartida, el rango de direcciones que les asignaremos a los
usuarios que se conecten y el número máximo de conexiones
permitidas.
Configuramos el temporizador de inactividad que es cuánto tiempo
va a estar activo el túnel VPN.
El resumen de la configuración, verificamos que todo este correcto y
finalizamos.
Aplicando los cambios realizados
Ahora probaremos el túnel VPN
Los detalles del túnel y le damos iniciar
El túnel VPN ha finalizado correctamente
Ahora con un software que me permita conectarme a una VPN en
mi caso estoy utilice (VPN-CLIENT) con un cliente en internet, le
damos nuevo
Nombre de conexión y al host que nos vamos a conectar (IP publica
de la interface f0/1 del Router Medellín), el nombre y la clave
precompartida.
Conexión, pode ver la dirección del host y el trasport IPSEC/UDP
Ahora el usuario para la conexión deberemos créalo en el Router
(Medellín).
Y ya solo tocara iniciar la conexión.
Y Podemos ver que el adaptador 3 nos muestra el rango de la vpn
que le asignamos, y si probamos con un PING entre los Router son
exitosos.
Glosario:
DMZ:
Una DMZ es una red con seguridad perimetral, lo que se hace es
ubicar una subred entre la LAN y la WAN.
LAN:
Una red de área local.
WAN:
Las Redes de área amplia.
Router:
Enrutador, encaminador. Dispositivo hardware o software para
interconexión de redes de computadoras que opera en la capa tres
(nivel de red) del modelo OSI. El Router interconecta segmentos de
red o redes enteras. Hace pasar paquetes de datos entre redes
tomando como base la información de la capa de red.
SDM:
SDM es la abreviatura de Cisco Router and Security Device
Manager. Una herramienta de mantenimiento basada en una
interfaz web desarrollada por Cisco. No es simplemente una interfaz
web. Es una herramienta java accesible a través del navegador.
Esta herramienta soporta un amplio número de routers Cisco IOS.
En la actualidad se entrega preinstalado en la mayoría de los
routers nuevos de Cisco.
SSH:
SSH (Secure SHell, en español: intérprete de órdenes segura) es el
nombre de un protocolo y del programa que lo implementa, y sirve
para acceder a máquinas remotas a través de una red. Permite
manejar por completo la computadora mediante un intérprete de
comandos, y también puede redirigir el tráfico de X para poder
ejecutar programas gráficos si tenemos un Servidor X (en sistemas
Unix y Windows) corriendo.
JAVA:
Java es un lenguaje de programación.
Existe un gran número de aplicaciones y sitios Web que no
funcionan a menos que Java esté instalado, y muchas más que se
crean a diario. Java es rápido, seguro y fiable. De portátiles a
centros de datos, de consolas de juegos a súper equipos científicos,
de teléfonos móviles a Internet, Java está en todas partes.
NAT:
En las redes de computadoras, NAT es el proceso de modificación
de la dirección IP de información en los encabezados de paquetes
IP, mientras que en tránsito a través de un tráfico de dispositivos de
enrutamiento
El tipo más simple de NAT proporciona una traducción a una de las
direcciones IP.
DNS:
Es un sistema de nomenclatura jerárquica para computadoras,
servicios o cualquier recurso conectado a Internet o a una red
privada. Este sistema asocia información variada con nombres de
dominios asignados a cada uno de los participantes. Su función
más importante, es traducir (resolver) nombres inteligibles para los
humanos en identificadores binarios asociados con los equipos
conectados a la red, esto con el propósito de poder localizar y
direccionar estos equipos mundialmente.
TCP:
s uno de los principales protocolos de la capa de transporte del
modelo TCP/IP. En el nivel de aplicación, posibilita la administración
de datos que vienen del nivel más bajo del modelo, o van hacia él,
(es decir, el protocolo IP). Cuando se proporcionan los datos al
protocolo IP, los agrupa en datagramas IP, fijando el campo del
protocolo en 6 (para que sepa con anticipación que el protocolo es
TCP). TCP es un protocolo orientado a conexión, es decir, que
permite que dos máquinas que están comunicadas controlen el
estado de la transmisión.
UDP:
UDP son las siglas de Protocolo de Datagrama de Usuario (en
inglés User Datagram Protocol) un protocolo sin conexión que,
como TCP, funciona en redes IP.
UDP/IP proporciona muy pocos servicios de recuperación de
errores, ofreciendo en su lugar una manera directa de enviar y
recibir datagramas a través una red IP. Se utiliza sobre todo cuando
la velocidad es un factor importante en la transmisión de la
información, por ejemplo, RealAudio utiliza el UDP.
El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las
siglas de Protocolo de Transferencia de Archivos Triviales (en inglés
Trivial File Transfer Protocol), y puesto que es trivial, perder algo de
información en la transferencia no es crucial
Stateless:
Crear reglas de ida y de respuesta.
Statefull:
Crear reglas de ida y las reglas de respuestas son automáticas no
hay que crearlas.
Mascara wildcard:
Una máscara wildcard es sencillamente una agrupación de 32 bits
dividida en cuatro bloques de ocho bits cada uno (octetos). La
apariencia de una máscara wildcard le recordará probablemente a
una máscara de subred. Salvo esa apariencia, no existe otra
relación entre ambas.
Por ejemplo, una máscara wildcard puede tener este aspecto:
192.168.1.0 mascara normal 255.255.255.0 mascara wildcard
0.0.0.255.
Mascara normal 255.255.0.0 mascara wildcard 0.0.255.255
mascara normal 255.0.0.0 mascara wildcard 0.255.255.255
ISA server:
ISA Server es un Gateway integrado de seguridad
Perimetral que protege su entorno de IT frente a amenazas basadas
en Internet y permite a los usuarios un acceso remoto rápido y
seguro a las aplicaciones y los datos.
Servidor:
En informática, un servidor es una computadora que, formando
parte de una red, provee servicios a otras computadoras
denominadas clientes.
WPAD:
Web Proxy Automatic Discovery es un metodo usado por los
navegadores para encontrar los proxys automáticamente, es decir
que cuando configuramos un navegador para que detecte
automáticamente el proxy, el se dirigirá al DNS buscando cual es la
IP que responda al nombre de WPAD y con dicha respuesta sabrá
cual es el proxy al que debe conectarse.
Red privada virtual (VPN):
Una red privada virtual, RPV, o VPN de las siglas en inglés de
Virtual Private Network, es una tecnología de red que permite una
extensión de la red local sobre una red pública o no controlada,
como por ejemplo Internet.
Ejemplos comunes son la posibilidad de conectar dos o más
sucursales de una empresa utilizando como vínculo Internet,
permitir a los miembros del equipo de soporte técnico la conexión
desde su casa al centro de cómputo, o que un usuario pueda
acceder a su equipo doméstico desde un sitio remoto, como por
ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.
top related