VPN PUNTO A PUNTO DE ROUTER A ROUTER

Por Wilmer Arlex Castrilln

Grupo 38110

Instructor Mauricio Ortiz

Centro de servicios y gestin empresaria Tecnlogo en administracin de redes Sena Medelln 2011

Introduccin En este trabajo se tratara de un manual para implementar una VPN punto a punto ente dos routers cisco. Se mostrara detalladamente cmo realizar la implementacin de LA VPN punto a punto y se realizaran pruebas para as realizar una captura de la comunicacin y verificar que la comunicacin entre los dos routers sea segura. Las siglas VPN significan: Red Privada Virtual, que lo que me permite es extender mi red LAN sobre una red WAN. Una VPN crea un tnel seguro para la trasmisin de informacin entre el equipo que est en la red WAN y la red LAN. Una conexin VPN router a router es realizada por un router, y este a su vez se conecta a una red privada. En este tipo de conexin, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentifica ante el router que responde y este a su vez se autentica ante el router que realiza la llamada y tambin sirve para la intranet.

2

Implementacin una VPN site to site Antes de empezar a implementar la VPN vamos consultar primero sobre lo que es una VPN site to site para poder entender lo que vamos a realizar. Que es una VPN? Por sus siglas significa Red privada virtual, es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo Internet. Tipos de VPN: VPN de acceso remoto: Es quizs el modelo ms usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etctera) utilizando Internet como vnculo de acceso. VPN punto a punto: Este esquema se utiliza para conectar oficinas remotas con la sede central de la organizacin. El servidor VPN, que posee un vnculo permanente a Internet, acepta las conexiones va Internet provenientes de los sitios y establece el tnel VPN. Tunneling: La tcnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un tnel dentro de una red de computadoras. El establecimiento de dicho tnel se implementa incluyendo una PDU determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del tnel sin que sea necesaria una interpretacin intermedia de la PDU encapsulada. VPN over LAN: Este esquema es el menos difundido pero uno de los ms poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexin, emplea la misma red de rea local (LAN) de la empresa. Conexin de acceso remoto Una conexin de acceso remoto es realizada por un cliente o un usuario de una computadora que se conecta a una red privada, los paquetes enviados a travs de la conexin VPN son originados al cliente de acceso remoto, y ste se autentifica al servidor de acceso remoto, y el servidor se autentifica ante el cliente. Conexin VPN router a router Una conexin VPN router a router es realizada por un router, y este a su vez se conecta a una red privada. En este tipo de conexin, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentifica ante el router que responde y este a su vez se autentica ante el router que realiza la llamada y tambin sirve para la intranet. Conexin VPN firewall a firewall Una conexin VPN firewall a firewall es realizada por uno de ellos, y ste a su vez se conecta a una red privada. En este tipo de conexin, los paquetes son enviados desde cualquier usuario en Internet. El firewall que realiza la llamada se autentifica ante el que responde y ste a su vez se autentifica ante el llamante.

Tipos de conexiones:

3

Diagrama a implementar

La implementacin se har con gns3, ya que no contamos con unos routers que soporten vpn. Antes de empezar la implementacin debemos de investigar primero si el IOS del router que vamos a utilizar si tenga soporte para las VPN. Gns3 es un simulador grafico de red que me permite disear topologas de red complejas. Puede emular IOS de router como si fueran reales. En la siguiente imagen se muestra la simulacin en gns3 con su respectiva configuracin a realizar. Procedemos a configurar cada uno de los routers, para ello damos clic derecho sobre router1 y seleccionamos la opcin consol para abrir la consola del router.

4

Desde la consola del router procedemos a configurar las interfaces. Primero configuraremos la interfaz fastethernet, para realizar su respectiva configuracin ejecutamos los comandos que se muestran a continuacin en un recuadro rojo. Comandos a ejecutar: Enable: abreviatura en para ingresar al modo privilegiado. Configure terminal: abreviatura conf t para ingresar al modo de configuracin global. Interface fastethernet 0/0: abreviatura interface f0/0 para ingresar al modo de configuracion de la interfaz. No sh: abreviatura para encender la interfaz. end: para devolverme al modo privilegiado. wr: guardar configuracin

Ahora procedemos a configurar la interfaz serial 0/0, que es la interfaz que va conectada al otro router que est en el otro extremos. Bsicamente son los mismo comandos anteriores pero esta vez lo nico que cambia es la interfaz a configurar{

5

luego desde un equipo de la red LAN1 vamos a probar conectividad con la interfaz de router que se configuro en el paso anterior.

Desde el router vamos a probar conectividad con el host que est en la red LAN1. Para probar conectividad ejecutamos el comando ping y la direccin ip del hosts a probar conectividad.

A continuacin nos dirigimos a la consola de router2, para abrir la consola nos paramos sobre router2 damos clic derecho y seleccionamos la opcin consol. Luego de estar en la consola empezaremos a configurar sus interfaces. Primero vamos a configurar la interfaz fastethernet 0/0 para ello ejecutamos los comando que se muestran en la imagen siguiente.

6

Ya configurada la interfaz fastethernet procedemos a configurar la interfaz serial 0/0, la cual es la que se conecta con el otro router. Para realizar la configuracin de la interfaz serial 0/0 se realiza en el mismo procedimiento del paso anterior pero esta vez cambiando la interfaz a configurar.

Desde el equipo que se encuentra en la red LAN2 vamos a probar conectividad con la interfaz fastethernet 0/0 de router2 que se configuro anteriormente. Para ello abrimos a consola del hosts de la red LAN2 listamos su configuracin y realizamos el ping.

De igual manera vamos a probar conectividad desde el router2 hacia el equipo de la red LAN2. Utilizamos tambin el comando ping y la direccin ip del hosts a probar conectividad.

7

A continuacin se muestra en procedimiento para realizar la configuracin del servidor web seguro y no seguro en el router1 para realizar sus respectivas configuraciones a travs de va web. Para realizar las respectivas configuraciones del router va web es necesario instalar el software SDM en un equipo que este dentro de la red LAN1. Los comandos a ejecutar para habilitar o poner acceder va web al router1 se muestra en la imagen siguiente.

De igual manara se hace la configuracin del paso anterior para habilitar el sitio web del router2 y poder realizar sus respectivas configuraciones va web.

8

En una maquina con sistema operativo XP que est en las redes LAN1 y LAN2, sea que hace parte de las dos redes ya que cuentas con dos interfaces Ethernet y cada uno tiene una direccin ip dentro de cada una de la redes LAN. Dicha maquina es de donde vamos a instalar el software SMD y poder acceder va web a los routers R1 y R2.

Abrimos la consola CMD desde el cliente XP para verificar que si tenga direcciones ip dentro de las redes LAN1 y LAN2.

9

Ahora vamos a probar conectividad con los routers R1 y R2 para verificar que el equipo si se este viendo con los routers R1 y R2.

Instalacin del SDM cisco SDM es un administrador del dispositivo de seguridad de Cisco. Cisco SDM es una herramienta de software basada en el explorador web, diseada para configurar LAN, WAN y funciones de seguridad en un router. Descargamos SDM desde la pgina oficial de cisco. Antes de instalar SDM debemos de instalar Java script 5.0 ya que es uno de los requerimientos para poder instalar SDM. En la imagen siguiente se muestra el instalador de java script 5.0 y la carpeta donde est en ejecutable del SDM.

10

Dentro de la carpeta del SDM hay un ejecutable para instalar el SDM. En Windows los ejecutables se hacen llamar setup, buscamos dicho ejecutable y damos doble clic sobre el ejecutable para empezar el proceso de instalacin.

Cuando realizamos en paso anterior nos aparecer un wizar de instalacin del SMD. En la imagen siguiente muestran las recomendaciones antes de continuar con la instalacin y seguimos el asistente.

11

Aceptamos los trminos de licencia de cisco SDM y damos clic en siguiente.

Seleccionamos la ubicacin a instalar cisco SDM. En este caso lo vamos a realizar en el equipo local.

12

Nos aparece por defecto la ruta en el equipo donde se va a instalar el SDM, lo dejamos por defecto y continuamos con el proceso de instalacin.

Damos clic en instalar.

13

Al final del wizar nos aparece una imagen como la siguiente seleccionamos la opcin iniciar cisco SDM y damos clic en finalizar.

Nos va a aparecer un SDM Launcher donde especificamos la direccin ip del router para ingresar al va web. Vamos a ingresar primero a router1 para empezar a configurar la VPN site to site. Ingresamos la direccin ip de la interfaz fastethernet de R1 y habilitamos la opcin este dispositivo tiene activado HTTPS y deseo utilizarlo. Esto nos va a permitir de forma seguro a router1.

14

Luego de realizar el paso anterior automticamente se abre el navegador ingresando al router y durante la entrada al router1 a travs de va web nos va a solicitar un usuario y una contrasea los cuales fueron creados cuando estbamos habilitando el servidor WEB en el router1. Ingresamos el usuario y la contrasea para ingresar al sitio web en el router.

Realizado el paso anterior ingresamos al router1 va web. En la imagen siguiente se muestra en entorno web del router1.

15

Volvemos a SDM Launcher e ingresamos al otro router que en este caso es router2, ingresamos la direccin ip de la interfaz fastethernet 0/0 de R2 y habilitamos que utilice HTTPS para que utilice una conexin segura con router2.

Automticamente se abre el navegador ingresando al router2 y en el transcurso del ingreso al router2 por va web nos va a pedir un usuario y contrasea para acceder al router, dicho usuario y contrasea se crearon en el router2 cuando se est habilitando el servicio HTTP y HTTPS en el router2 a travs de la consola. Ingresamos el usuario y la contrasea y damos clic en aceptar.

16

En la imagen que se muestra a continuacin muestra que ya estamos en el sitio web del router2.

Ahora procedemos a crear la VPN site to site en el router1, para ello vamos a la pestaa configurar, elegimos la opcin VPN que aparece en la parte izquierda de la imagen que se muestra a continuacin, seleccionamos la tarea crear una VPN site to site y damos clic en iniciar tarea seleccionada.

17

Al realizar el paso anterior nos a aparecer un asistente para crear la VPN site to site donde en la primera ventana nos da una introduccin sobre VPN site to site, seleccionamos la configuracion Asistentes pos pasos y damos clic en siguiente.

Llenamos todos los requerimientos que nos piden que son: Interfaz por la cual se va a establecer la conexin VPN, el tipo de pares para la conexin VPN, direccin ip para el par remoto que sera la ip de router2, seleccionamos el tipo de autenticacin que va a hacer con claves precompartidas y especificamos la clave precompartida que se va a usar para la autenticacin de la conexin VPN. En la siguiente imagen se muestra los parmetros con los cuales se va a crear la conexin VPN en nuestro ejemplo.

18

Ahora vamos a agregar una propuesta IKE. La propuesta IKE especifica el algoritmo de cifrado, el algoritmo de autenticacin y el mtodo de intercambio de las claves precompartida que se utilizan en la conexin VPN. Por defecto hay una propuesta IKE pero no vamos a utilizar esa propuesta IKE entonces vamos a la opcin agregar.

Cuando realizamos el paso anterior nos va a aparecer una ventana donde especificamos los siguiente: la prioridad, algoritmo de autenticacin, algoritmo de cifrado, grupo D-H, algoritmo hash y Longevidad. En la imagen siguiente se muestra lo dicho anteriormente.

19

Aqu ya podemos observar la propuesta IKE agregada anteriormente, nos paramos sobre la propuesta creada y damos clic en siguiente.

Ahora vamos a agregar el conjunto de transformacin que me definen los algoritmos de cifrado y de autenticacin que se van a utilizar para proteger los datos en el tnel VPN. Por defecto hay un conjunto de transformacin pero vamos a agregar un conjunto de transposicin manualmente para ello vamos a la opcin agregar.

20

Luego de hacer el paso anterior nos a aparecer una ventana donde le damos un nombre al conjunto de transformacion, seleccionamos la opcin integridad de los datos con cifrado (ESP), elegimos los algoritmos de integridad y de cifrado y damos clic en aceptar. ESP: seguridad de encapsulamiento de los datos. El protocolo ESP proporciona autenticidad de origen, integridad y proteccin de confidencialidad de un paquete. Ipsec: es un protocolo seguro que llega para solucionar la seguridad del protocolo ip. El protocolo ip es un protocolo inseguro mientras que Ipsec es la evolucin del protocolo ip que brinda seguridad para el protocolo ip. Ipsec utiliza el protocolo ESP para el intercambio de informacin.

21

Aqu podemos observar en la imagen que se muestra a continuacin el conjunto de transformacin creado en el paso anterior y damos clic en siguiente.

Ahora lo que sigue es especificar el trfico para proteger. Elegimos la opcin proteger todo l y trafico entre las subredes siguientes, donde dice Red local especificamos la direccin ip de la red local con su respectiva mascara, donde dice Red remota colocamos la direccin de la red remota con su respectiva mascara. Esto quiere decir que todo el trfico que se origine es la red local y tenga como destino la red remota especificada la informacin trasmitida se enviara de forma segura a travs de la VPN punto a punto.

22

En la imagen a continuacin se muestra el resumen de la configuracin realizada anteriormente, damos clic en finalizar.

Esperamos a que se ejecuten los comandos en el router y se aplique correctamente la configuracin realizada anteriormente.

23

Cuando se termine de ejecutar los comandos en el paso anterior veremos la vpn creada. El estado de la VPN es hacia abajo lo que quiere decir que la VPN no est en funcionamiento, para que la vpn funcione es necesario ir a configurar en el router2 la VPN con los mismos parmetros.

Nos dirigimos a sitio web de router2 para realizar la configuracin de la VPN site to site. Bsicamente son los mismos pasos realizados en router1. Entonces nos dirigimos a la pestaa configurar, ingresamos a la opcin VPN, seleccionamos la tarea crear una VPN sitio a sitio y damos clic en iniciar la tarea seleccionada.

24

Al realizar el paso anterior nos va a parecer un asistente para la VPN sitio a sitio, seleccionamos el tipo de configuracin asistente por pasos y damos clic en siguiente.

Ingresamos la informacin acerca de la VPN. La informacin a ingresar son: interfaz para la conexin VPN, el tipo de pares para la comunicacin, la direccin ip para el par remoto, el tipo de autenticacin que ser con claves precompartidas copiamos la clave precompartida. La clave precompartida debe ser la misma que se configuro en el router1. En la imagen siguiente se muestra la informacin a llenar respecto a l diagrama trabajado.

25

Aadimos una propuesta IKE, para ello damos clic en agregar.

Configuramos la poltica IKE de la misma manera y con la misma informacin aadida cuando se estaba configurando la propuesta IKE en router1. La configuracin debe ser la misma ya que al momento de la comunicacin los dos routers R1 y R2 negosean los algoritmos a utilizar.

26

Realizado el paso anterior podremos observar la propuesta IKE creada y para continuar con la configuracin de la VPN damos clic en siguiente.

Ahora vamos a aadir un conjunto de transformacin, para ello vamos a la opcin agregar.

27

Le damos un nombre al conjunto de transformacin, seleccionamos la opcin integridad de datos con cifrado (ESP) y llenamos los campos requeridos. Los campos requeridos son los algoritmos a utilizar para el cifrado y la integridad y deben ser los mismos configurados en router1.

Realizado en paso anterior observaremos el conjunto de transformacin creado y damos clic en siguiente.

28

Especificamos el trfico para proteger. Seleccionamos la opcin proteger todo el trfico entre las subredes siguientes, donde dice Red local especificas el id de la red de donde se originara el trafico Ipsec y donde dice Red remota es la direccin ip de la red la cual tiene como destino el trafico originado el trafico local. Si observamos bien la imagen siguiente se puede observar que es lo viceverso a la configuracin realizada en router1 y hace referencia al diagrama que se esta trabajando.

Luego nos aparece el resumen con la configuracin realizada en los pasos anteriormente y damos clic en finalizar.

29

Esperamos a que la configuracin se envi al router y se ejecute correctamente.

Ahora nos a mostrar la VPN creada y tiene un estado hacia abajo esto quiere decir que todava no esta funcionando la VPN site to site.

Para que la VPN funcione necesitamos crear una ruta esttica en cada router para que las dos redes LAN1 y LAN2 se puedan comunicar. Nos dirigimos hacia el router1 e ingresamos a la consola y desde el modo de configuracin global crearemos la respectiva ruta. En la imagen siguiente se muestra como se crea la ruta esttica para que la LAN1 se pueda comunicar con la LAN2 segn el diagrama a trabajar.

30

Ahora nos dirigimos a router2 (R2) para crear la ruta esttica pero esta vez es viceversa ya que necesitamos que la LAN2 se comunique con la LAN1. En la siguiente imagen se muestra como crear la ruta esttica en router2 segn no planteado en el diagrama a trabajar.

Desde R1 entramos al modo privilegiado y ejecutamos el comando show ip route para listar la tabla de enrutamiento donde debe de aparecer la ruta esttica creada para que la red LAN1 se pudiera comunicar con la red LAN2.

De igual manera desde la consola de R2 ejecutamos el comando show ip route para verificar que la ruta esttica creada para que la red LAN2 se pudiera comunicar con la red LAN1 si este en la tabla de enrutamiento.

31

Ahora nos dirigimos al sitio web del router2 y vamos la ruta donde cre la VPN site to site y al final de la VPN aparece la opcin probar tnel damos clic sobre dicha opcin para probar el tnel.

Luego de realizar el paso anterior nos va a salir una imagen como la que se muestra a continuacin y damos clic sobre la opcin iniciar.

32

Si en trascurso de la resolucin de problemas nos sale una ventada como la que se muestra a continuacin diciendo que el tnel VPN est activo, es porque el tnel ya esta encendido y est listo para usarse, damos clic en aceptar y luego en cerrar.

Ahora de igual manera vamos a probar el tnel en R1 nos dirigimos a el sitio web de R1 y entramos a la ruta donde se encuentra la VPN creada, damos clic en probar tnel y luego iniciar.

33

Realizado el paso anterior esperamos a que termine la resolucin de problemas de VPN y si nos sale una ventana diciendo que el tnel VPN est activo quiere decir que el tnel esta encendido y est listo para usarse.

Ahora nos dirigimos a la simulacin implementada en GNS3 y sobre el enlace de los routers R1 y R2 damos clic derecho y escogemos la opcin capturar. Seleccionamos el origen de la captura y damos clic en aceptar y automticamente se abre el wireshark capturando el trafico de el elnace de los routers R1 y R2. En esta ocasin vamos a realizar la captura de la comunicacin con wireshark. Al capturar la comunicacin de la red LAN1 y la red LAN2 podremos afirmar que cuando se hace peticin desde una red a otra la comunicacin va ir cifrada y esto lo podremos comprobar con el wireshark. Wireshark es un analizador de protocolos utilizado para realizar anlisis y solucionar problemas en redes de comunicaciones.

34

Ahora vamos a realizar la prueba de la VPN. Nos dirigimos a una la maquina que es dentro de la red LAN2 y vamos a entrar al sitio web de una maquina que est en la red LAN1. La maquina que est en la red LAN2 es un equipo con sistema operativo Ubuntu y la maquina que est en la red LAN1 est con un sistema operativo centos y tiene el servicio web. Desde el equipo que pertenece a la red LAN2 abrimos la consola y listamos su configuracin ip para verificar que si est en la red LAN2 y abrimos el navegador y realizamos la peticin a la direccin ip del servidor web que est en la red LAN1.

Luego vamos a la captura que se est haciendo con el wireshark y observamos que la captura est siendo cifrada. Reconocemos que la comunicacin es cifrada porque en la captura aparece en protocolo ESP, esto quiere decir que si dicho protocolo est presente en la comunicacin es porque se estn comunicando de forma segura.

35

Conclusiones Una VPN es una de las soluciones de la seguridad perimetral que se debe implementar una grande red que esta subdividida en varias subredes y que algunas de las subredes se tengan que comunicar de forma segura. La VPN site to site implementada con el protocolo ESP que va a permitir ms seguridad ya que me ofrece autenticidad, integridad y confidencialidad. Cuando queremos acceder a la red LAN desde un equipo que est en una red WAN y queremos hacer parte de la red LAN por circunstancias ya sean de trabajo, se debe implementar una VPN ya que es la nica que me permite que un hosts de la red WAN haga parte de la red LAN, adems una VPN me va a brindar seguridad en la comunicacin ya que como internet es muy insegura y alguien malicioso que quiera detectar la comunicacin para robar informacin se le va a hacer imposible ya que la comunicacin va cifrada.

36