Configurar una VPN

Pasos para la configuración:

1. Preparar la red para IPSEC e IKE (este paso es previo a la configuración)

a. En esta tarea hay que configurar una conexión básica entre los dos

routers, y verificar que hay conectividad entre los extremos de la red. En

este caso concreto el enlace entre los routers es frame relay con las

siguientes configuraciones:

Router 1720

interface Serial0

ip address 192.168.137.2 255.255.255.0

encapsulation frame-relay IETF

bandwidth 64

frame-relay lmi-type ansi

frame-relay inverse-arp ip 16

frame-relay map ip 192.168.137.1 25 broadcast IETF

frame-relay switching

frame-relay intf-type dce

clockrate 2000000

Router 2514

interface Serial1

ip address 192.168.137.1 255.255.255.0

encapsulation frame-relay IETF

bandwidth 64

frame-relay lmi-type ansi

frame-relay inverse-arp ip 16

frame-relay map ip 192.168.137.2 25 broadcast IETF

b. Definir cuáles son los algoritmos de encriptación y autenticación (en este

caso se van a utilizar DES y SHA respectivamente tanto en el router

como en el PC)

c. Definir ACLS, comprobar que son adecuadas (en este caso se va a

permitr todo el tráfico IP entre servidor W2000 y destino XP y se va a

denegar el tráfico IP con origen en el servidor W2000 y cualquier otro

destino)

2. Crear listas de acceso en router 1720

Las listas de acceso se emplean para filtrar el trafico entrante o saliente basándose

en algunos criterios. Sólo se permiten aquellos paquetes que “encajan” en las

reglas específicas.

Comando:

Router (config)# access-list access-list-number{deny | permit} protocol source-

address source-wildcard destination-address destination-wildcard [eq port-

number] [log]

En nuestro ejemplo se configuran las siguientes listas de acceso (en

router(config)# )

Router (config)# access-list 110 permit ip 192.168.138.0 0.0.0.255 192.168.136.0

0.0.0.255

Router (config)# access-list 110 deny ip 192.168.138.0 0.0.0.255 any

3. Configurar el Transform Set

El transform set define las políticas de seguridad que serán aplicadas al tráfico que

entra o sale de la interfaz. El estándar IPSec especifica el uso de Security

Asociations para determinar qué políticas de seguridad se aplican al tráfico

deseado. Los transform-set se definen a través de crypto-maps.

3.1. Definición del protocolo de transform-set

Este commando selecciona si se utiliza AH o ESP

Comando

Router (config)# crypto ipsec transform-set transform-set-name transform1

[transform2 [transform3]]

Nuestro ejemplo (en este caso se escoge como protocolo de encriptación esp el

algoritmo des y como protocolo de autentificación la variante may del algoritmo

sha. Es importante que este protocolo coincida con el que se configura en el

extremo XP del tunel para que haya conectividad)

Router (config)# crypto ipsec transform-set rtpset esp-des esp-sha-hmac

3.2. Especificar el Modo del transform-set

Este comando especifica el modo en el que opera IPSec (modo transporte o modo

tunel)

Comando:

Router (cfg-crypto-tran)# mode [tunnel | transport]

Nuestro ejemplo:

Router (cfg-crypto-tran)# mode tunnel

4. Configurar el crypto-map con IKE

4.1 Crear el crypto-map con IKE

Un crypto-map se crea especificando el nombre del mapa, el número de secuencia

del mapa y el tipo de gestión de clave que se va a emplear entre los dos extremos.

Comando:

Router (config)# crypto map map-name seq-num ipsec-isakmp

Nuestro ejemplo:

Router (config)# crypto map rtp 1 ipsec-isakmp

4.2 Especificar el tráfico de datos

Se especifica el tráfico que se quiere encriptar. Es aquel tráfico que ha sido definido

en las listas de acceso

Comando:

Router (config-crypto-map)# match address access-list-number

Nuestro ejemplo:

Router (config-crypto-map)# match address 110

4.3 Especificar el extremo destino del tunel VPN

Se da la dirección IP del host destino (en nuestro caso el PC XP)

Comando:

Router (config-crypto-map)# set peer {host name | ip-address}

Nuestro ejemplo:

Router (config-crypto-map)# set peer 192.168.136.11

4.4 Especificar el transform-set a utilizar

De los transform-set que se hayan definido se especifica cual se aplica en este túnel

Comando:

Router (config-crypto-map)# set transform-set transform-set-name

Nuestro ejemplo:

Router (config-crypto-map)# set transform-set rtpset

4.5 Activar PFS (Perfect Forward Security)

Por defecto es un comando que está desactivado. Como se va a utilizar en el

extremo XP es necesario activarlo.

Comando:

Router (config-crypto-map)# set pfs {group 1 | group2}

Nuestro ejemplo:

Router (config-crypto-map)# set pfs

4.6 Configurar IKE

Esto supone tres pasos:

4.6.1 Habilitar IKE

Comando:

Router (config)# crypto isakmp enable

4.6.2 Crear una IKE policy (política de encriptación de IKE)

4.6.2.1 Definir la prioridad

Esta prioridad se utiliza para ordenar la aplicación de las políticas de

encriptación cuando existen varias

Comando:

Router (config)# crypto isakmp policy priority

Nuestro ejemplo:

Router (config)# crypto isakmp policy 1

4.6.2.2 Especificar el algoritmo de encriptación que se utiliza en IKE

Comando:

Router (config-isakmp)# encryption {des|3des}

Nuestro ejemplo:

DES por defecto y no se configura

4.6.2.3 Especificar el algoritmo hash

Cisco permite utilizar SHA o MD5

Comando:

Router (config-isakmp)# hash {sha|md5}

Nuestro ejemplo:

SHA por defecto y no se configura

4.6.2.4 Especificar el método de autenticación

Método de autenticación para el intercambio de claves. Puede ser RSA, RSA

encriptado y claves pre-configuradas (las dos primeras necesitan un servidor

de autoridad)

Comando:

Router (config-isakmp)# authentication {rsa-sig | rsa-encr | pre-share}

Nuestro ejemplo:

Router (config-isakmp)# authentication pre-share

4.6.2.5 Especificar el identificador de grupo del algoritmo de Diffie Hellman

Comando:

Router (config-isakmp)# group {1|2}

Nuestro ejemplo:

No se usa

4.6.2.6 Especificar el tiempo de seguridad asociado

Tiempo máximo en el que una política de seguridad se utiliza sin necesidad

de negociarla de nuevo

Comando:

Router (config-isakmp)# lifetime seconds

Nuestro ejemplo:

Router (config-isakmp)# lifetime 28800

4.6.3 Definir una clave (key)

Como hemos escogido utilizar claves pre-configuradas que se intercambien en la

negociación inicial es necesario configurarla en cada extremo

Comando:

Router (config)# crypto isakmp key clave address peer-address

Nuestro ejemplo:

Router (config)# crypto isakmp key cisco123 address 192.168.136.11

5. Aplicar el crypto-map al interface extremo del túnel VPN

En nuestro caso hay que aplicar el crypto-map definido al puerto serie del router

1720.

Comando:

Router (config-if)# crypto map map-name

Nuestro ejemplo:

Router (config-if)# crypto map rt

Una respuesta a Configurar una VPN

  1. Olá, adorei extraordinariamente do seu web-blog!
    vi que o campo muito bem alinhado. escrevi um blogue no mesmo ramo e gostaria de ver se você tem alguma dica para quem está
    começando a escrever blog sobre este tema. abraços!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: