VPN PUNTO A PUNTO Y ROAD WARRIOR
EN UN ROUTER CISCO 3700 EN GNS3
ADMINISTRADO DESDE SDM.
POR: Maicol Muñoz. INSTRUCTOR:Andres Mauricio Ortiz.
Gestión de la seguridad de la red. 35442.
Tecnólogo en administración de redes Informáticas.
Servicio nacional de aprendizaje (SENA) - Antioquia
Centro de Servicios y Gestión Empresarial. (CESGE)
INTRODUCCION
Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial.
Un firewall es simplemente un filtro que controla todas las
comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que
corresponde, como pueden ser el web, el correo. Dependiendo del servicio el firewall decide si lo permite o no.
MARCO TEORICO
FIREWALLUn Firewall como su nombre lo dice es un "muro de fuego" este tiene la función de realizar un filtrado de paquetes hacia los diferentes destinos valiéndose de reglas configuradas a nuestro gusto. Es decir que si no queremos que a el Equipo A le lleguen paquetes de ningún equipo, del tipo TCP con puerto de origen 80 configuraremos dicha regla en el Firewall para que esto se filtre. Existen varios tipos de Firewall y varias maneras de definirlos, por ahora nos centraremos en que existen Firewall de Host y Firewall de Red. Un Firewall de Host es con el que contamos en nuestros equipos, el que viene de manera nativa en nuestro Sistema
Operativo como lo son las IPTABLES en Linux o el Contrafuegos de Windows y solo filtra paquetes desde y hacia nuestro equipo y un Firewall de Red es el que se puede instalar en dispositivos como routers para filtrar todo el tráfico que circule a través de el desde y hacia las diferentes subredes.
GNS3
Los routers son dispositivos costosos y al ser una práctica de laboratorio contamos con herramientas libres como GNS3 para emular un Router, según Wikipedia GNS3 es un "simulador gráfico de red que te permite diseñar topologías de red complejas y poner en marcha simulaciones sobre ellos".
Para permitir completar simulaciones, GNS3 está estrechamente vinculada con:
Dynamips, un emulador de IOS que permite a los usuarios ejecutar binarios imágenes IOS de Cisco Systems. Dynagen, un front-end basado en texto para Dynamips Qemu, un emulador de PIX.GNS3 es una excelente herramienta complementaria a los verdaderos laboratorios para los administradores de redes de Cisco o las personas que quieren pasar sus CCNA, CCNP, CCIE DAC o certificaciones.
En si GNS3 es un software diseñado para emular realmente una topología de red completa como si tuvieras en realidad un Router, enrutando paquetes desde tus maquinas virtuales de Virtual Box hacia Internet u otras subredes según lo que quieras diseñar.
SDM
Muchas personas no están familiarizadas con los comandos de los routers Cisco y los entiendo porque para mí también fue difícil en los primeros años pero para dichas personas existen soluciones como esta, el cual es un software diseñado para simplificarnos la vida al utilizar una interfaz gráfica de JAVA para administrar vía WEB los routers Cisco sin tener que aprendernos todos los comandos que deberíamos ejecutar.
VIRTUALBOX
Este es muy conocido, es un emulador de maquinas o de sistemas operativos, es como tener varios PC dentro de tu PC.
DESARROLLANDO VPN PUNTO A PUNTO.
Lo que primero realizaremos será configurar cada una de las interfaces de nuestros routers.
Procedemos a asignarle una ip estática a nuestra (LAN) que es por donde administraremos nuestro Router.
Ahora simularemos una conexión WAN para nuestras interfaces externas.
Y los pasos anteriores también tendremos que aplicárselos a nuestro otro Router Bogotá con sus respectivas direcciones ip. Ahora para que haya conexión entra las dos sedes (Medellín y Bogotá) tendremos que realizar un enrutamiento, el enrutamiento que yo voy a aplicar será un enrutamiento por defecto.
Para saber más sobre este enrutamiento pueden ir a:
http://maicolqm.blogspot.com/2011/08/laboratorio-enrutamineto-por-defecto-en.html
Enrutamiento Medellín.
Procedemos entonces ya a la configuración de nuestro Router para la autenticación de nuestros usuarios locales del Router.
##Aquí crearemos un usuario con nivel de privilegios 15 con su contraseña.
Router(config)#username sdm privilege 15 password sdm
##Aquí habilitaremos el servidor HTTP y HTTPS y se creara un certificado.
Router(config)#ip http server
Router(config)#ip http secure-server
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK] *Mar 1 00:05:07.491: %SSH-5-ENABLED: SSH 1.99 has been enabled
*Mar 1 00:05:08.079: %PKI-4-NOAUTOSAVE: Configuration was modified. Issue "write
memory" to save new certificate
##Ahora permitiremos el ingreso via SSH y telnet para finalizar. Router(config)#ip http authentication local
Router(config)#line vty 0 4 Router(config-line)#login local
Empezamos con la instalación, es totalmente grafica y sencilla. Algo muy importante es tener actualizado nuestro navegador internet Explorer y también tener el complemento java.
Ya con nuestro navegador y complementos actualizados ya solo deberemos ejecutar el paquete SDM cisco.
A instalado correctamente, finalizamos
Así es como nos aparece en el escritorio, lo ejecutaremos dándole doble clic
Para poder administrar nuestro Router elegimos nuestra interfaces f0/1, La ip del Gateway de nuestra LAN.
Nos lóguearemos con el usuario y la contraseña que le creamos al Router.
Le damos que permita todas las ventanas emergentes para poder entrar a administrar nuestro Router.
Esta es la página de inicio de administración, nos abrirá otra ventana.
Nos autenticamos en java, con el mismo usuario y contraseña del Router.
Este es el inicio del SDM
Para configurar el túnel VPN vamos a la pestaña Configurar, VPN, VPN Sitio a Sitio, Iniciar la tarea seleccionada.
Elegimos el modo de configuración del túnel VPN, lo haremos por pasos para que sea más sencillo y nos muestre más
Ingresamos la interfaz que será configurada como el primer extremo del túnel VPN (serial Router Medellín), el direccionamiento y la IP del otro extremo del túnel (serial Router Bogotá) y el tipo de
Especificamos el algoritmo de cifrado y el tipo de autenticación
Agregamos el conjunto de transformación
Especificamos el tráfico a proteger, en este caso vamos a proteger todo el tráfico en los dos extremos.
El resumen de la configuración, verificamos si la información es correcta, recordemos que este procedimiento lo aplicamos en los 2 routers.
Ahora para no hacer muy extenso esta configuración solo les mostrare las imágenes de cómo configure la vpn en el otro Router (Bogotá), es prácticamente los mismo pero con los datos invertidos.
Y listo todas las anteriores imágenes nos muestran la configuración del extremo vpn Bogotá.
Procedemos entonces Ahora a probar el funcionamiento del túnel VPN.
Un alerta del SDM que permitirá todas las depuraciones del Router.
Especificamos una IP de destino hacia la cual generar el tráfico de prueba del túnel que por lo común siempre es el Gateway del otro extremo.
El túnel VPN está activo.
Lo mismo realizamos en el otro extremo para probar que también este cativo el túnel.
Probamos dándole un ping (ICMP) de Router a Router y podemos ver que es exitoso.
También hacemos una captura del trafico con wireshark con
cualquier protocolo ya sea un ping una petición web y el protocolo a y deberá aparecer el protocolo ESP
CONFIGURACION DE UNA VPN ROAD WARRIOR
Colocamos la interfaz por DHCP para que podamos tener internet por esa interfaz.
Nos dirigimos a la pestaña Configurar, VPN, Servidor Easy VPN, Iniciar el asistente para servidores Easy VPN.
Aplicando todos los comandos.
Y el servicio AAA se ha activado correctamente.
Especificamos la interfaz que estará a la escucha de las peticiones por parte de los clientes VPN y el modo de autenticación que es en mi caso será claves pre compartidas.
Agregamos la política del IKE, el cifrado será 3DES y el hash será SHA_1 el tipo de autenticación y el grupo.
Especificamos el conjunto de transformaciones.
Habilitamos la autenticación de usuarios y que solamente sea local.
Agregamos las políticas de grupo de usuarios y autorización de grupos.
Especificamos el nombre del grupo de usuarios, la clave
precompartida, el rango de direcciones que les asignaremos a los usuarios que se conecten y el número máximo de conexiones permitidas.
Configuramos el temporizador de inactividad que es cuánto tiempo va a estar activo el túnel VPN.
El resumen de la configuración, verificamos que todo este correcto y finalizamos.
Ahora probaremos el túnel VPN
Ahora con un software que me permita conectarme a una VPN en mi caso estoy utilice (VPN-CLIENT) con un cliente en internet, le damos nuevo
Nombre de conexión y al host que nos vamos a conectar (IP publica de la interface f0/1 del Router Medellín), el nombre y la clave
Conexión, pode ver la dirección del host y el trasport IPSEC/UDP
Ahora el usuario para la conexión deberemos créalo en el Router (Medellín).
Y Podemos ver que el adaptador 3 nos muestra el rango de la vpn que le asignamos, y si probamos con un PING entre los Router son exitosos.
Glosario:
DMZ:
Una DMZ es una red con seguridad perimetral, lo que se hace es ubicar una subred entre la LAN y la WAN.
LAN:
Una red de área local. WAN:
Las Redes de área amplia.
Router:
Enrutador, encaminador. Dispositivo hardware o software para interconexión de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. El Router interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la información de la capa de red.
SDM:
SDM es la abreviatura de Cisco Router and Security Device Manager. Una herramienta de mantenimiento basada en una
interfaz web desarrollada por Cisco. No es simplemente una interfaz web. Es una herramienta java accesible a través del navegador. Esta herramienta soporta un amplio número de routers Cisco IOS. En la actualidad se entrega preinstalado en la mayoría de los routers nuevos de Cisco.
SSH:
SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas gráficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo.
JAVA:
Java es un lenguaje de programación.
Existe un gran número de aplicaciones y sitios Web que no
funcionan a menos que Java esté instalado, y muchas más que se crean a diario. Java es rápido, seguro y fiable. De portátiles a
centros de datos, de consolas de juegos a súper equipos científicos, de teléfonos móviles a Internet, Java está en todas partes.
NAT:
En las redes de computadoras, NAT es el proceso de modificación de la dirección IP de información en los encabezados de paquetes IP, mientras que en tránsito a través de un tráfico de dispositivos de enrutamiento
El tipo más simple de NAT proporciona una traducción a una de las direcciones IP.
DNS:
Es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia información variada con nombres de dominios asignados a cada uno de los participantes. Su función más importante, es traducir (resolver) nombres inteligibles para los
humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propósito de poder localizar y direccionar estos equipos mundialmente.
TCP:
s uno de los principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicación, posibilita la administración de datos que vienen del nivel más bajo del modelo, o van hacia él, (es decir, el protocolo IP). Cuando se proporcionan los datos al protocolo IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6 (para que sepa con anticipación que el protocolo es TCP). TCP es un protocolo orientado a conexión, es decir, que permite que dos máquinas que están comunicadas controlen el estado de la transmisión.
UDP:
UDP son las siglas de Protocolo de Datagrama de Usuario (en inglés User Datagram Protocol) un protocolo sin conexión que, como TCP, funciona en redes IP.
UDP/IP proporciona muy pocos servicios de recuperación de errores, ofreciendo en su lugar una manera directa de enviar y
recibir datagramas a través una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisión de la
información, por ejemplo, RealAudio utiliza el UDP.
El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de Protocolo de Transferencia de Archivos Triviales (en inglés Trivial File Transfer Protocol), y puesto que es trivial, perder algo de información en la transferencia no es crucial
Stateless:
Statefull:
Crear reglas de ida y las reglas de respuestas son automáticas no hay que crearlas.
Mascara wildcard:
Una máscara wildcard es sencillamente una agrupación de 32 bits dividida en cuatro bloques de ocho bits cada uno (octetos). La apariencia de una máscara wildcard le recordará probablemente a una máscara de subred. Salvo esa apariencia, no existe otra
relación entre ambas.
Por ejemplo, una máscara wildcard puede tener este aspecto: 192.168.1.0 mascara normal 255.255.255.0 mascara wildcard 0.0.0.255.
Mascara normal 255.255.0.0 mascara wildcard 0.0.255.255 mascara normal 255.0.0.0 mascara wildcard 0.255.255.255
ISA server:
ISA Server es un Gateway integrado de seguridad
Perimetral que protege su entorno de IT frente a amenazas basadas en Internet y permite a los usuarios un acceso remoto rápido y
seguro a las aplicaciones y los datos. Servidor:
En informática, un servidor es una computadora que, formando parte de una red, provee servicios a otras computadoras
denominadas clientes. WPAD:
Web Proxy Automatic Discovery es un metodo usado por los
navegadores para encontrar los proxys automáticamente, es decir que cuando configuramos un navegador para que detecte
IP que responda al nombre de WPAD y con dicha respuesta sabrá cual es el proxy al que debe conectarse.
Red privada virtual (VPN):
Una red privada virtual, RPV, o VPN de las siglas en inglés de Virtual Private Network, es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet.
Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.