CAPÍTULO III: IMPLEMENTACIÓN DE MACANISMOS DE SEGURIDAD
3.3 Escenario # 3: Configuración de una VPN de Acceso Remoto Cliente-Servidor
En la figura 3.12 se muestra el escenario seleccionado para la configuración de una VPN de Acceso Remoto Cliente-Servidor utilizando CCP para configurar el Servidor VPN ubicado en el router de borde de la corporación. Se implementa un túnel IPsec entre la PC-A del Cliente VPN y el Servidor VPN perteneciente a una red corporativa, que permite a las organizaciones establecer conectividad de extremo a extremo para los
54
empleados móviles. Esta es una solución escalable para implementaciones de acceso remoto, en las cuales es poco práctico configurar individualmente políticas para varios equipos remotos.
El escenario simula un Cliente VPN que se conecta a R1 el cual simula un router ISP (Internet), R1 a su vez está conectado a R2, que simula el enrutador de puerta de enlace en el borde de la red corporativa y R2 se conecta a R3 para representar la red corporativa interna.
Figura 3.12.Escenario VPN de Acceso Remoto. 3.3.1 Pasos a desarrollar
Para la realización de este escenario se deben configurar primeramente diferentes aspectos, entre los que se encuentran: la configuración de las interfaces de los routers, el enrutamiento utilizando el protocolo EIGRP (del inglés Enhanced Interior Gateway Routing Protocol) entre R2 y R3 y una ruta estática en R2, configuración de las contraseñas enable y definir la longitud mínima de las mismas, las líneas VTY y consola, encriptar las contraseñas y verificación de conectividad de la red, los cuales no son objetos de análisis.
55
La configuración avanzada de una VPN de Acceso Remoto está compuesta por una serie de pasos los cuales se abordan a continuación:
Paso 1: Configuración de la VPN de Acceso Remoto
Habilitar el servidor HTTP en R2 para el acceso por CCP
Tarea 1: Utilizar CCP VPN Wizard para configurar el Servidor VPN. Paso 2: Utilizar el Cisco VPN Cliente para probar el Acceso Remoto VPN. Tarea 1: Verificar el túnel VPN entre el Cliente, Servidor y la red interior. 3.3.2 Desarrollo de la configuración.
Paso 1: Configuración de la VPN de Acceso Remoto.
Habilitar el servidor HTTP en R2 para el acceso por CCP y crear una cuenta de administrador en R2 con nivel de privilegio 15 para la autenticación local AAA, a través de los siguientes comandos:
R2(config)# ip http server
R2(config)# username admin privilege 15 password cisco12345 R2(config)# ip http authentication local
Una vez dentro de CCP en el cuadro “Select/Manage Community”, se introduce la dirección IP de R2 (10.1.1.2), el usuario y la contraseña como se muestra en el Anexo 13. Tarea 1: Utilizar CCP VPN Wizard para configurar el Servidor VPN.
a. Configurar los servicios de AAA.
El asistente “Easy VPN Server Wizard” comprueba la configuración del router para ver si la autenticación AAA está habilitada. Si no, hay que habilitar la autenticación AAA. Esta debe estar habilitada en el router antes de que comience la configuración del ServidorVPN.
En la ventana “Command Delivery Statusse” se habilita la autenticación AAA para poder iniciar el asistente de configuración.
56
b. Configurar la interfaz de túnel virtual y la autenticación.
Para configurar esta interfaz se selecciona f0/0 como la interfaz para el Servidor VPN, esta es la interfaz conectada al ISP y se selecciona la casilla “Pre-shared Keys” para el tipo de autenticación.
c. Seleccionar la propuesta IKE.
La propuesta IKE viene por defecto ya configurada con método de cifrado 3DES y algoritmo hash SHA_1 que es utilizado para garantizar que las llaves no sean manipuladas, en este caso se deja los datos por defecto, como se muestra en la figura 3.13.
Figura 3.13.Propuesta IKE
Es posible elegir una propuesta de la lista como se hizo en este caso pero también se puede crear una nueva, seleccionando el botón “add”, y en la nueva ventana “Add IKE
Policy” se puede configurar los siguientes aspectos:
Priority: Determina el número de secuencia de la nueva política en relación a las existentes.
Encryption: Se selecciona el algoritmo de encriptación (DES, 3DES o AES). Hash: Se selecciona el algoritmo de hash (MD5 o SHA-1).
57
Autenticación: Se selecciona un método de autenticación (claves pre- compartidas o firmas RSA).
Lifetime: Tiempo de vida IKE, en horas, minutos y segundos. d. Seleccionar el transform set.
En el menú desplegable de la ventana se utiliza el valor por defecto “Cisco CP Default
Transform set”, con el método de cifradoESP_3DES como se muestra en el Anexo 14. Pero de la misma forma que en el caso anterior con el botón “add” se puede configurar nuevos transform sets, para lo que será necesario completar las siguientes opciones: Name: nombre del transform set, tiene significado local.
ESP: Se selecciona esta opción sólo para utilizar ESP. En este caso habrá que elegir los algoritmos de autenticación y encriptación.
Data and Address Integrity without Encryption (AH): Se selecciona para utilizar AH. En este caso se deben elegir los algoritmos de autenticación y encriptación correspondientes.
Mode: Se selecciona el modo túnel o modo transporte.
IP Compression: Opcionalmente se puede seleccionar compresión tipo Comp-LZS en el túnel.
e. Especificar grupo de autorización.
Para esto se selecciona la casilla “Local” porque no está disponible un Servidor RADIUS para crear una nueva lista de métodos AAA.
f. Configurar la autenticación de usuario (XAuth)
Se puede especificar donde se configura la información del usuario, las opciones incluyen un servidor externo, tal como un servidor RADIUS, una base de datos local o ambos. Esta se habilita seleccionando la casilla “Enable User Authentication” y con valor predeterminado “Local Only”.
Luego se selecciona “Add User Credentials, y en la ventana “User Account”se puede ver actualmente definido el usuario admin con nivel de privilegio 15 o también se pueden añadir nuevos usuarios.
Para añadir nuevos usuarios se introduce el nuevo nombre de usuario user01 con contraseña user01pass y se selecciona la casilla “Encrypt password using MD5 hash
58
algorithm” para encriptar la contraseña utilizando MD5 y algoritmo hash, como se muestra en la figura 3.14.
Figura 3.14. Configuración de autenticación de usuarios. g. Especificar grupo de autorización y las políticas de grupos de usuarios.
Se debe crear al menos una política de grupo para el servidor VPN, por lo que en la ventana “Add Group Policy” seintroduce VPN-Access como el nombre de este grupo y se introduce una nueva clave pre-compartida cisco12345, luego se introduce la dirección de inicio y la dirección final, así como también 50 como el valor máximo permitido para las conexiones, como se muestra en la figura 3.15.
59
Una vez terminado todo el proceso de configuración se selecciona “Configure Idle Timer” para entrar en una hora. Esto desconecta a usuarios inactivos si no hay ninguna actividad durante una hora y permite que otros se conecten. Ver Anexo 15.
h. Revisar el resumen de configuración
En la figura 3.16 se muestra la configuración realizada en CCP, que luego será aplicada al router R2.
Figura 3.16.Resumen de configuración del servidor VPN. i. Probar el Servidor VPN
Para probar el Servidor VPN se accede a la ventana principal y en “Edit Easy VPN
Server” se selecciona “Test VPN Server”, resultando exitosa la prueba como se muestra en el Anexo 16.
Paso 5: Utilizar el Cisco VPN Cliente para probar el Acceso Remoto VPN. a. Configurar la PC-A como un cliente VPN para acceder al servidor VPN.
Para configurar la PC-A como un cliente VPN se selecciona la pestaña “Connection
Entries” y en “New” se introduce la siguiente información para definir la nueva entrada de conexión:
60 Description: Conexión a la red interna R2
Host: 10.1.1.2 (dirección IP de la interfaz f0/0 de R2)
Group Authentication Name: VPN-Access (Define el conjunto de direcciones configurada en la Tarea 1)
Password: cisco12345 (Llave Pre-Shared configurada en la Tarea 1) Confirm Password: cisco12345
b. Conexión de prueba del host Cliente VPN sin una conexión VPN.
Sin establecer la VPN cuando se realiza un ping desde la PC-A a la PC-B, el ping fracasa porque la PC-A aún tiene una dirección IP (192.168.1.3), es decir, se encuentra fuera del dominio EIGRP porque no se ha realizado la asociación al grupo de acceso VPN con la red (192.168.2.0/24), como se muestra en la figura 3.17.
Figura 3.17. Prueba de conectividad a la PC-B. c. Establecer una conexión VPN y de acceso.
Para dar solución al inciso anterior se selecciona la conexión recién creada VPN-R2 y se establece la conexión, se introduce el nombre de usuario y contraseña creado previamente en el router R2, como se muestra en la figura 3.18.
61
Figura 3.18.Conexión VPN.
El Cliente VPN minimiza en la barra de herramientas de la PC en la que se esté trabajando un símbolo de candado amarillo.
Tarea 1: Verificar el túnel VPN entre el Cliente, Servidor y la red interior. a. Comprobar el estado del cliente VPN.
Para comprobar el estado del cliente VPN se hace doble clic en el icono del candado amarillo para expandir la ventana del Cliente VPN y el estado es conectado.
b. Comprobar las estadísticas del túnel.
Para comprobar las estadísticas del túnel se selecciona en la barra de herramientas del Cliente VPN la pestaña “Status” y dentro de esta “Statistics” para mostrar la ficha
“Tunnel Details”. La dirección IP del cliente obtenida en el servidor VPN puede variar desde 192.168.2.101 hasta 192.168.2.150, como se muestra en la figura 3.19. Este conjunto de direcciones se definió en la Tarea 1.
62
Figura 3.19.Estadísticas del túnel.
Cada vez que el cliente se desconecta y vuelve a conectarse al servidor VPN, este recibe una nueva dirección IP hasta que se alcanza el límite.
c. Verificar la conexión VPN.
Otra forma de verificar la conexión VPN es a través de la ejecución del comando
ipconfig/all desde la PC-A para ver las conexiones de red actualmente en uso. d. Probar el acceso del cliente a la conexión VPN.
Para probar nuevamente la conexión VPN (pero esta vez en estado conectado) desde la PC-A se realiza un ping a la PC-B y se establece la conexión, porque la PC-A tiene una dirección IP (192.168.2.101) asignada por el servidor VPN y está dentro del dominio de EIGRP. Esto permite que la PC-A pueda acceder al host interno de la red corporativa (192.168.3.0/24) porque está en el grupo de acceso VPN asociada con la red (192.168.2.0/24), como se muestra en la figura 3.20.
63
Figura 3.20.Prueba de conexión del cliente a la VPN. 3.4 Conclusiones parciales del capítulo.
En el presente capítulo se configuraron mecanismos de seguridad avanzados los cuales poseen una gran importancia debido a su fortaleza para enfrentar diversos tipos de amenazas. Estos mecanismos son implementados comúnmente por las empresas y cada uno de ellos juega un papel fundamental en el nivel de seguridad de la misma.
Los firewall permiten proteger las redes internas de intrusiones de redes externas y son utilizados con frecuencia para evitar que usuarios no autorizados tengan acceso a redes privadas conectadas a Internet. Por otro lado, las VPN son una tecnología flexible que proporciona un acceso fácil y seguro a los recursos de redes internas para trabajadores remotos y socios de negocios. Con ellas cualquier persona autorizada con una conexión a Internet puede acceder a los recursos internos como si estuvieran en la red local, a través de un túnel encriptado.
Por último se tiene que la configuración de los routers por CLI requiere mucho tiempo y está propenso a errores de pulsaciones de teclas, también requiere de un amplio conocimiento del administrador sobre la sintaxis de comandos de Cisco IOS, aunque en algunos casos, puede proporcionar mayor control sobre la configuración deseada. Las herramientas basadas en web facilitan este trabajo en gran medida, ya que con ellas se puede generar configuraciones complejas mediante el uso de selecciones de casillas.
64
CONCLUSIONES
El trabajo realizado permitió arribar a las siguientes conclusiones:
Se implementaron escenarios a partir del análisis de los diferentes mecanismos de seguridad propuestos por Cisco, que le proporciona al usuario un material complementario que enriquece la asignatura de Redes II y que pueden ser utilizados en la creación de futuras prácticas de laboratorios.
Se describieron los diversos mecanismos de seguridad propuestos por Cisco atendiendo a su funcionamiento y operabilidad para la seguridad de las redes.
El análisis de los diferentes escenarios para cada mecanismo de seguridad básico del
router, permite otorgar al usuario conocimientos prácticos para una mejor comprensión sobre la configuración de los mismos.
Se diseñaron escenarios donde se implementaron mecanismos de seguridad avanzados como Firewall ASA y VPN que dotan al usuario de una serie de pasos para la configuración de los mismos a través de diferentes herramientas.
Las herramientas SDM, CCP y ASDM significan la incorporación de soluciones gráficas muy potentes y con múltiples funciones que facilitan las tareas de configuración y monitoreo, pero no reemplazan la configuración por CLI, sino, que son un complemento sumamente importante para realizar la configuración general del equipo y el monitoreo ordinario, sin dejar la línea de comando para realizar mejoras o buscar ajustes específicos.
65
RECOMENDACIONES
Para realizar una mejora al estudio realizado en este trabajo y perfeccionar la investigación se recomienda:
Continuar el estudio de las herramientas CCP y ASDM para configuraciones de otros escenarios como VPNSSL para el acceso remoto de tipo Clientless y Anyconnect.
66
REFERENCIAS BIBLIOGRÁFICAS
AMEZQUITA ALBA, D. E., MORALES GUERRA, C. D. R. & PEREZ GONZALEZ, E. R. 2014. Configuracion de Router Cisco Modelo 2500.
ARIGANELLO, E. 2013. Redes Cisco. Guía de estudio para la certificación CCNA 640- 802. Técnica Industrial, 302, 86.
BERTOLÍN, J. A. 2008. Identificación de la tecnología Firewall para la protección de la seguridad de red. Revista española de electrónica, 34-50.
BLAIR, R., DURAI, A. & CISCO, A. 2009. 5500 Series Configuration Guide using the CLI, Software Version 8.2. USA.
BOLLAPRAGADA, V., KHALID, M. & WAINNER, S. 2005. IPSec VPN Design, Cisco Press.
CARTER, E. 2004. CCSP Self-study: Cisco Secure Intrusion Detection System (CSIDS), Cisco Press.
CASTILLO, G. G., TREJO, E. R. & DE LEÓN, H. 2011. MONITOREO Y CONTROL EN UNA RED POR MEDIO DE VISUALIZADORES DE PAQUETES IPv4/IPv6 Y LISTAS DE ACCESO DE UN ROUTER.
CISCO 2011. Cisco Configuration Professional User Guide Version 2.5. CISCO, I. 2012. IPS deployment guide.
CHAPMAN, D. W., FOX, A. & FOREWORD BY-STIFFLER, R. 2001. Cisco secure PIX firewalls, Cisco Press.
CHOUDHARY, S. & SRINIVASAN, B. 2013. Usage of Netflow in Security and Monitoring of Computer Networks. International Journal of Computer Applications, 68, 17-24.
DEAL, R. 2005. The complete Cisco VPN configuration guide, Cisco Press. DEAL, R. 2009. Cisco ASA configuration, Tata McGraw-Hill Education.
DYE, M., MCDONALD, R. & RUFI, A. 2007. Network Fundamentals, CCNA Exploration Companion Guide, Cisco Press.
DYE, M. A., MCDONALD, R. & RUFI, A. W. 2008. Aspectos básicos de networking, Pearson Education.
ERNESTO, A. & ENRIQUE, B. 2010. Redes Cisco CCNP a fondo. Guía de estudio para profesionales, Alfaomega.
FOROOZESH, B. 2012. Security features identification for CISCO routers. Universiti Teknologi Malaysia, Faculty of Civil Engineering.
LAMMLE, T. 2011. CCNA Cisco Certified Network Associate Deluxe Study Guide, John Wiley & Sons.
67
MALIK, S. 2003. Network security principles and practices, Cisco Press.
MANJARREZ, D. 2012. Solución de los casos de estudio CCNA1 y CCNA2 propuestos mediante la utilización del simulador de redes pkt.
NEUMANN, J. C. 2014. The Book of GNS3, No Starch Press.
PAQUET, C. 2012. Implementing Cisco IOS Network Security (IINS 640-554) Foundation Learning Guide, Cisco Press.
PLAZA ARRALDE, A. 2015. Creación y automatización de laboratorios configurables CCNA Cisco para la realización de prácticas de networking.
PRESS, C. 2005. FUNDAMENTOS DE SEGURIDAD DE REDES. PEARSON EDUCACIÓN.
RODRIGUEZ RODRIGUEZ, C. A. 2012. VPNS a través del protocolo IPSEC y administración de seguridad en routers cisco.
SANCHEZ CARDOZO, M. A. 2013. Fundamentos de networking.
SEQUEIRA, A. 2012. CCNA Security 640-554 Quick Reference, Cisco Press. TANENBAUM, A. S. 2003. Computer networks, 4-th edition. ed: Prentice Hall. YLONEN, T. & LONVICK, C. 2006. The secure shell (SSH) protocol architecture.
68