miércoles, 5 de abril de 2017

CISCO– VPNs Nociones e Implementación (Ejemplos)

CISCO– VPNs, Nociones e Implementación
Como leer e interpretar las líneas de comando
              En el presente manual se usan las siguientes convenciones para comandos a ingresar en la interfaz de lineas de configuracion (CLI).
Comando para ingresar al modo de configuracion global:
                 configure terminal
Comando para especificar el valor de una varible:
                 ntp server 172.18.58.200
Comando cuya variable usted debe definir:   
                 Class-map [highest class name]
Comando para ingresar al modo de configuracion privilegiado y campos universales imperativos      :
                 Router>enable
Las comandos de configuracion muy largos y que ocupan varias lineas se subrayan
                 police rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como salida de respuesta a peticiones en CLI son sombreadas
interface Van64   
 ip address 10.5.204.5 255.255.255.0

Introducción
          Las organizaciones utilizan redes privadas virtuales (VPNs) para crear una conexión de red privada de extremo a extremo (túnel) sobre redes de terceros, tales como Internet o extranets. El túnel elimina la barrera de la distancia y permite que los usuarios remotos tengan acceso a recursos de la red central. Sin embargo, las VPNs no garantizan que la información se mantenga segura mientras atraviesa el túnel. Por este motivo, se aplican métodos criptográficos modernos a las VPNs, con el fin de establecer conexiones seguras de redes privadas de extremo a extremo.
El protocolo IP Security (IPsec) proporciona el framework para configurar VPNs seguras y es utilizado con frecuencia a través de Internet para conectar sucursales de oficinas, empleados remotos y socios comerciales. Es una forma confiable de mantener la privacidad de las comunicaciones a la vez que se optimizan las operaciones, se reducen costos y se permite una administración flexible de la red.
Es posible implementar VPNs de sitio a sitio seguras, entre un sitio central y uno remoto, utilizando el protocolo IPsec. IPsec puede también ser utilizado en túneles de acceso remoto, para el acceso de trabajadores a distancia. La aplicación Cisco VPN Client es un método para establecer una VPN de acceso remoto con IPsec. Además de IPsec, puede utilizarse el protocolo Secure Sockets Layer (SSL) para establecer conexiones de acceso remoto VPN.
Topologias VPN
Existen dos tipos básicos de redes VPN:
Una VPN de sitio a sitio se crea cuando los dispositivos de conexión en ambos extremos de la conexión VPN conocen la configuración VPN de antemano. La VPN permanece estática y los hosts internos no tienen conocimiento de la existencia de la VPN. Las redes Frame Relay, ATM, GRE y MPLS son ejemplos de VPNs de sitio a sitio.
Una VPN de acceso remoto se crea cuando la información de la VPN no se configura en forma estática, sino que se permite que la información cambie en forma dinámica y puede ser habilitada o deshabilitada. Considere un trabajador a distancia que necesita acceder a datos corporativos a través de Internet. Su conexión VPN puede no estar activa en todo momento. La PC del trabajador es responsable de establecer la VPN. La información requerida para establecer la conexión VPN, como puede ser la dirección IP del trabajador a distancia, cambia dinámicamente de acuerdo a la ubicación del mismo.
Figura1.: Topologías VPNs IPsec


Componentes y Operacion de VPN IPsec
IPsec es un estándar IETF (RFC 2401-2412) que define cómo debe configurarse una VPN utilizando el protocolo de direccionamiento IP. IPsec no está asociado a ningún tipo de cifrado, autenticación, algoritmos de seguridad o tecnología de claves específicos. IPsec es un framework de estándares abiertos que define las reglas para comunicaciones seguras. IPsec se basa en algoritmos existentes para implementar el cifrado, la autenticación y el intercambio de claves.
IPsec funciona en la capa de red, protegiendo y autenticando los paquetes IP entre los dispositivos IPsec participantes (pares). Como resultado, IPsec puede proteger virtualmente todo el tráfico de aplicaciones, ya que la protección puede ser implementada desde la capa 4 hasta la capa 7. Todas las implementaciones de IPsec tienen un encabezado de capa 3 en texto plano, para evitar problemas en el enrutamiento. IPsec funciona sobre todos los protocolos de capa 2, tales como Ethernet, ATM, Frame Relay, SDLC (Synchronous Data Link Control) y HDLC (High Level Data Link Control).
El framework IPsec está formado por cinco bloques:
El primero representa el protocolo IPsec. Las opciones incluyen ESP o AH.
El segundo representa el tipo de confidencialidad implementada utilizando un algoritmo de cifrado como DES, 3DES, AES o SEAL. La opción depende del nivel de seguridad requerido.
El tercero representa la integridad, que puede implementarse utilizando MD5 o SHA.
El cuarto representa cómo se establece la clave secreta compartida. Los dos métodos posibles son pre-compartida y firma digital utilizando RSA.
El último representa el grupo de algoritmos DH. Existen cuatro algoritmos de intercambio de clave DH diferentes de los cuales es posible elegir: DH Group 1 (DH1), DH Group 2 (DH2), DH Group 5 (DH5) y DH Group 7 (DH7). El tipo de grupo seleccionado depende de las necesidades específicas.
IPsec provee el framework y el administrador selecciona los algoritmos que serán utilizados para implementar los servicios de seguridad dentro de dicho framework. Al no asociar IPsec a algoritmos específicos, permite la implementación de nuevos y mejores algoritmos sin modificar los estándares IPsec.

Figura2.: Topologías VPNs IPsec


IPsec puede asegurar un camino entre un par de gateways, un par de hosts o un gateway y un host. Utilizando el framework, IPsec provee las siguientes funciones esenciales de seguridad:
  • Confidencialidad - IPsec asegura la confidencialidad mediante el uso de cifrado.
  • Integridad - IPsec asegura que los datos llegan a destino sin modificaciones, utilizando algoritmos de hash como MD5 y SHA.
  • Autenticación - IPsec utiliza IKE (Internet Key Exchange) para autenticar a los usuarios y dispositivos que puedan llevar a cabo comunicaciones en forma independiente. IKE utiliza varios tipos de autenticación, incluyendo nombre de usuario y contraseña, contraseña de un único uso, biométrica, claves pre-compartidas (PSKs) y certificados digitales.
  • Intercambio seguro de claves - IPsec utiliza el algoritmo DH para proveer un método de intercambio de claves públicas entre los pares, para establecer una clave compartida secreta.
Figura3.: Implementación VPNs IPsec

Confidencialidad
La confidencialidad se logra mediante el cifrado del tráfico que transita la VPN. El grado de seguridad depende de la longitud de la clave utilizada por el algoritmo de cifrado. Si alguien intenta romper la clave mediante un ataque de fuerza bruta, el número de posibilidades a probar está en función de la longitud de la clave. El tiempo de procesamiento de todas las posibilidades depende del poder de cómputo del dispositivo atacante. Mientras más corta sea la clave del algoritmo de cifrado, más fácil es romperla. Una clave de 64 bits puede llevar aproximadamente un año para romperla con una computadora relativamente sofisticada. Romper una clave de 128 bits, con la misma computadora, puede llevar unos 10^19 años.
Los siguientes son algunos algoritmos de cifrado y longitudes de clave que utilizan las VPNs:
DES - Utiliza una clave de 56 bits, asegurando un cifrado de alta performance. DES es un sistema de cifrado de clave simétrica.
3DES - Una variante de DES de 56 bits. 3DES utiliza tres claves independientes de cifrado de 56 bits por cada bloque de 64 bits, proveyendo así un cifrado significativamente más fuerte que DES. 3DES es un sistema de cifrado de clave simétrica.
AES - Provee una seguridad más fuerte que DES y es computacionalmente más eficiente que 3DES. AES ofrece tres longitudes de clave diferentes: 128 bits, 192 bits y 256 bits. AES es un sistema de cifrado de clave simétrica.
Software-Optimized Encryption Algorithm (SEAL)-Es un cifrador de flujo desarrollado en 1993 por Phillip Rogaway y Don Coppersmith, el cual utiliza una clave de 160 bits. SEAL es un sistema de cifrado de clave simétrica.

Integridad
La próxima función crítica de una VPN es la integridad de los datos. Asuma que Jeremy escribe un cheque por $100 a Sonya. El cheque es luego enviado por correo a Sonya, pero es interceptado por un atacante. El atacante cambia el nombre y el monto del cheque e intenta cobrarlo. Dependiendo de la calidad de la falsificación en el cheque alterado, el atacante puede tener éxito.
Este escenario se aplica a las VPNs porque los datos son transportados sobre la Internet pública. Potencialmente, estos datos pueden ser interceptados y modificados. Se requiere un método para probar la integridad de los datos y así garantizar que el contenido no ha sido alterado. Un algoritmo de integridad de datos puede proporcionar esta garantía.
Hashed Message Authentication Codes (HMAC) es un algoritmo de integridad de datos que garantiza la integridad del mensaje utilizando un valor de hash. En el dispositivo local, se procesa el mensaje y una clave secreta compartida utilizando un algoritmo de hash, el cual produce un valor de hash. Este valor se agregado al mensaje, el cual es luego enviado a través de la red. En el dispositivo remoto, se recalcula el valor de hash y se compara con el valor de hash recibido. Si el hash transmitido es idéntico al hash calculado, se verifica la integridad del mensaje. Sin embargo, si no coinciden, el mensaje fue alterado y es invalidado.
Existen dos algoritmos HMAC comunes:
HMAC-Message Digest 5 (HMAC-MD5) - Utiliza una clave secreta compartida de 128 bits. Se combina el mensaje delongitud variable con la clave secreta compartida de 128 bits y se ejecuta el algoritmo de hash HMAC-MD5. La salida es un hash de 128 bits.
HMAC-Secure Hash Algorithm 1 (HMAC-SHA-1) - Utiliza una clave secreta de 160 bits. Se combina el mensaje de longitud variable con la clave secreta compartida de 160 bits y se ejecuta el algoritmo de hash HMAC-SHA-1. La salida es un hash de 160 bits. HMAC-SHA-1 es considerado más criptográficamente fuerte que HMAC-MD5. Es recomendado cuando es importante obtener una seguridad levemente superior.

Autenticación
Cuando se realizan negocios a través de grandes distancias, es necesario conocer (autenticar) al individuo en el otro extremo del teléfono, correo electrónico o fax. Lo mismo sucede con las redes VPN. El dispositivo en el otro extremo del túnel VPN debe ser autenticado antes de considerar seguro al camino de la comunicación.
En la Edad Media, un sello garantizaba la autenticidad de un documento. En los tiempos modernos, un documento firmado se legaliza con un sello y una forma. En la era electrónica, un documento se firma utilizando la clave de cifrado privada del remitente, llamada firma digital. Una firma se autentica descifrando la misma con la clave pública del remitente.
Existen dos métodos principales para configurar la autenticación de pares:
Claves pre-compartidas (Pre-shared Keys - PSKs) - Se ingresa una clave pre-compartida en cada uno de los pares en forma manual y es utilizada para autenticar a cada par. En cada extremo, la PSK se combina con otra información para formar la clave de autenticación. Cada par debe autenticar al par opuesto para que el túnel pueda considerarse seguro. Las claves pre-compartidas son fáciles de configurar en forma manual, pero no son muy escalables, ya que cada par IPsec debe estar configurado con la clave pre-compartida de cada uno de los demás pares con los cuales se comunica.
Firmas RSA - El intercambio de certificados digitales autentica a los pares. El dispositivo local calcula un hash y lo cifra con su clave privada. El hash cifrado se agrega al mensaje, el cual es enviado al extremo remoto y funciona como una firma. En el extremo remoto, el hash cifrado es descifrado utilizando la clave pública del extremo local. Si el hash descifrado coincide con el hash recalculado, la firma es genuina. Cada par debe autenticar a su par opuesto para que el túnel pueda considerarse seguro.
Un tercer método de obtener la autenticación es mediante números de único uso (nonces - numbers used once) cifrados con RSA. Estos números son generados en forma aleatoria por cada par. Este método requiere que la clave pública de uno de los dos pares sea conocida por el otro par antes de que el envío del tercer y cuarto mensaje del intercambio IKE se lleven a cabo. Por este motivo, las claves públicas deben copiarse en forma manual en cada par, como parte del proceso de configuración. Este método de autenticación es el menos utilizado.

Intercambio seguro de claves
Los algoritmos de cifrado como DES, 3DES y AES, además de los algoritmos de hashing MD5 y SHA-1, requieren una clave secreta simétrica compartida para ejecutar las funciones de cifrado y descifrado. ¿Cómo obtienen los dispositivos la clave secreta compartida?
Es posible utilizar el correo electrónico, un mensajero o el correo postal nocturno, para enviar las claves secretas compartidas a los administradores de los dispositivos. Pero el método más fácil de intercambio de claves es el método de intercambio de claves públicas entre los dispositivos de cifrado y descifrado.
El Intercambio de claves Diffie-Hellman (DH) es un método de intercambio de claves públicas que proporciona un método para establecer una clave pública secreta entre dos pares que sólo ellos conocen, incluso cuando se comuniquen a través de un canal no seguro.
Las variaciones del algoritmo de intercambio de claves DH son conocidas como grupos DH. Existen cuatro grupos DH: 1, 2, 5 y 7.
Los grupos DH 1, 2 y 5 soportan exponenciación sobre un módulo primo con un tamaño de clave de 768 bits, 1024 bits y 1536 bits, respectivamente.
Los clientes Cisco 3000 soportan los grupos DH 1, 2 y 5. El cifrado DES y 3DES soportan los grupos DH 1 y 2.
El cifrado AES soporta los grupos DH 2 y 5.
El cliente Certicom movianVPN soporta el grupo 7.
El grupo 7 soporta criptografía de curva elíptica (Elliptical Curve Cryptography - ECC), la cual reduce el tiempo necesario para generar las claves.
Durante la configuración del túnel, los pares VPN negocian qué grupo DH utilizarán.

Protocolos de Seguridad IPsec
IPsec es un framework de estándares abiertos. IPsec detalla los mensajes para asegurar las comunicaciones, pero se basa en algoritmos existentes. Los dos protocolos principales del framework IPsec son AH y ESP. El protocolo IPsec es el primer bloque de construcción del framework. La selección de AH o ESP establece qué otros bloques estarán disponibles:
Authentication Header (AH) - AH, que es el protocolo IP 51, es el protocolo apropiado para utilizar cuando no se requiere o no se permite la confidencialidad. Asegura que el origen de los datos es R1 o R2 y verifica que los datos no han sido modificados durante la transmisión. AH no provee confidencialidad de datos (cifrado) de los paquetes. Todo el texto se transporta sin cifrar. Si se utiliza únicamente el protocolo AH, se provee una protección débil.
Encapsulating Security Payload (ESP) - ESP, que es el protocolo IP 50, puede proveer confidencialidad y autenticación. Proporciona confidencialidad ejecutando el cifrado de los paquetes IP. El cifrado de estos paquetes resguarda los datos y la identidad tanto del origen como del destino. ESP provee autenticación para el paquete IP interno y el encabezado ESP. La autenticación proporciona la autenticidad del origen de los datos y la integridad de los mismos. Aunque tanto el cifrado como la autenticación son opcionales en ESP, debe seleccionarse uno como mínimo.
ESP y AH pueden aplicarse a los paquetes IP de dos formas diferentes, en modo transporte y en modo túnel:
Modo transporte
En el modo transporte, la seguridad es provista sólo a partir de la capa de transporte del modelo OSI y las capas superiores. El modo transporte protege los datos del paquete pero mantiene la dirección IP original en texto plano. La dirección IP original puede utilizarse para enrutar el paquete a través de Internet.
El modo de transporte ESP es utilizado entre hosts. El modo de transporte funciona bien con GRE, porque GRE esconde las direcciones de los dispositivos finales agregando su propia IP.
Modo túnel
El modo túnel provee seguridad para el paquete IP original completo. El paquete IP original se cifra y luego es encapsulado en otro paquete IP. Esto es conocido como "Cifrado IP en IP". La dirección IP del paquete IP externo es utilizada para enrutar el paquete a través de Internet.
El modo túnel ESP es utilizado entre el host y un gateway de seguridad o entre dos gateways de seguridad. Para las aplicaciones "gateway a gateway", en lugar de cargar IPsec en todas las computadoras de las oficinas remotas y centrales, es más sencillo ejecutar el cifrado IP en IP y la encapsulación en los gateways de seguridad.
El modo túnel ESP es utilizado en la aplicación IPsec de acceso remoto. Una oficina hogareña puede no disponer de un router para realizar el cifrado y encapsulación IPsec. En este caso, se ejecuta un cliente IPsec en la PC, el cual realiza la encapsulación y cifrado IPsec. Luego, en la oficina corporativa, el router es quien desencapsula y descifra el paquete.
El proceso VPN involucra la selección y aplicación de muchos parámetros. ¿Cómo negocia IPsec estos parámetros de seguridad?

Figura4.: VPNs IPsec – Modo Transporte vs Modo Tunel


Intercambio de claves en Internet
La solución VPN IPsec negocia los parámetros de intercambio de claves, establece una clave compartida, autentica al otro extremo y negocia los parámetros de cifrado. Los parámetros negociados entre los dispositivos se conocen como asociación de seguridad (Security Association - SA).
Asociaciones de seguridad - Security Association - SA
Un SA es un bloque de construcción básico de IPsec. Las asociaciones de seguridad son mantenidas dentro de una base de datos de SA (SADB), la cual se establece en cada dispositivo. Una VPN tiene registros SA que definen los parámetros de cifrado IPsec y registros SA que definen los parámetros de intercambio de claves.
Todos los sistemas criptográficos, incluyendo el cifrado César, el cifrado Vigenere, la máquina Enigma y hasta los algoritmos de cifrado modernos, deben lidiar con problemas de administración de claves. Diffie-Hellman (DH) es utilizado para crear una clave secreta compartida. Sin embargo, IPsec utiliza el protocolo Internet Key Exchange (IKE) para establecer el proceso de intercambio de claves.
En lugar de transmitir las claves en forma directa a través de la red, IKE calcula las claves compartidas en base al intercambio de una serie de paquetes de datos. Esto evita que un tercero pueda descifrar las claves, incluso si logra capturar todos los datos intercambiados utilizados para calcularlas.
IKE utiliza el puerto UDP 500 para intercambiar la información IKE entre los gateways de seguridad. Los paquetes del puerto UDP 500 deben estar permitidos en todas las interfaces IP involucradas en la conexión de ambos extremos.
IKE está definido en la RFC2409. Se trata de un protocolo híbrido, que combina el protocolo ISAKMP (Internet Security Association and Key Management Protocol) y los métodos de intercambio de claves Oakley y Skeme. ISAKMP define el formato del mensaje, la mecánica del protocolo de intercambio de claves y el proceso de negociación para construir un SA para IPsec. ISAKMP no define cómo se administran o comparten las claves entre los pares IPsec. Oakley y Skeme tienen cinco grupos de claves definidos. De estos grupos, los routers Cisco soportan el Grupo 1 (claves de 768 bits), Grupo 2 (claves de 1024 bits) y Grupo 5 (claves de 1536 bits).
IKE combina estos protocolos para establecer conexiones IPsec seguras entre los dispositivos. Establece las SAs acordadas entre los pares. Cada par debe tener idénticos ISAKMP y parámetros IPsec, para establecer una VPN operacional y segura. Notar que los términos ISAKMP y IKE con comúnmente utilizados en la industria para referirse a IKE. Una alternativa a la utilización de IKE es configurar en forma manual todos los parámetros requeridos para establecer una conexión segura IPsec. Este proceso es poco práctico, ya que no es escalable.
                 ¿Cómo funciona IKE?
Para establecer un canal de comunicación segura entre dos pares, el protocolo IKE ejecuta dos fases:
Fase 1 - Dos pares IPsec realizan la negociación inicial de SAs. El propósito básico de la fase 1 es negociar los conjuntos de políticas IKE, autenticar a los pares y establecer un canal seguro entre ellos. Puede implementarse de un modo principal (contacto inicial, más largo) o de un modo agresivo (luego del contacto inicial).
Fase 2 - EL proceso IKE ISAKMP negocia los SAs en nombre de IPsec. Puede ser negociado en un modo rápido.

Figura5.: VPNs IPsec – Ike, faces de intercambio
Implementacion de VPNs IPsec sitio a sitio con CLI
Una VPN es un canal de comunicación utilizado para formar una conexión lógica entre dos extremos sobre una red pública. Las VPNs no necesariamente incluyen cifrado y autenticación. Las VPNs IPsec utilizan el protocolo IKE para establecer comunicaciones seguras.
La negociación de una VPN IPsec involucra diferentes pasos, los cuales incluyen las fases 1 y 2 de la negociación IKE.
Figura6.: VPNs IPsec – Ike, Negociación
Deben completarse algunas tareas básicas para configurar una VPN IPsec de sitio a sitio.
Tarea 1. Asegurar que las ACLs configuradas en la Interfaz son compatibles con la configuración IPsec. Usualmente existen restricciones en las interfaces utilizadas por el tráfico VPN. Por ejemplo, bloquear todo el tráfico que no sea IPsec o IKE.
Figura7.: VPNs IPsec – Tarea1
Tarea 2. Crear una política ISAKMP para determinar los parámetros ISAKMP que serán utilizados para establecer el túnel.
Figura8.: VPNs IPsec – Tarea2
Figura9.: VPNs IPsec –  Parámetros ISAKMP SA
Para el cifrado se requieren PSKs. Dado un extremo cualquiera, puede configurarse la misma clave para ser compartida entre múltiples pares remotos. Una solución más segura consiste en especificar diferentes claves para compartir entre diferentes pares de extremos.
Configurar una PSK con el comando de configuración global crypto isakmp key. Esta clave debe estar configurada si el comando authentication pre-share fue configurado en la política ISAKMP.
crypto isakmp key clave address peer-address
crypto isakmp key clave hostname nombre de host
Por defecto, la identidad ISAKMP utiliza la dirección IP. Para utilizar el parámetro nombre de host la identidad ISAKMP debe ser configurada con el nombre del host, utilizando el comando de configuración global crypto isakmp identity hostname. Además, debe existir un DNS accesible para resolver el nombre del host.
Figura10.: VPNs IPsec –  Parámetro key ISAKMP SA
Tarea 3. Definir el conjunto de transformación IPsec. La definición de los conjuntos de transformación define los parámetros que utiliza el túnel IPsec. Este conjunto puede incluir los algoritmos de cifrado e integridad. Se negocian durante la fase 2 de IKE.
Figura11.: VPNs IPsec –  Transformación


Figura12.: VPNs IPsec –  Posibles combinaciones de transformación
Tarea 4. Crear una crypto ACL. La crypto ACL define qué tráfico es enviado a través del túnel IPsec y protege el proceso IPsec.
Figura13.: VPNs IPsec –  Configuracion ACLs

Tarea 5. Crear y aplicar un crypto-map. El crypto-map agrupa los parámetros configurados previamente y define los dispositivos IPsec. Este se aplica a la interfaz de salida del dispositivo VPN.

Figura14.: VPNs IPsec –  Sintaxis CryptoMap
Figura15.: VPNs IPsec –  Comando Crypto-Map
Figura16.: VPNs IPsec –  Configuración de un Crypto-Map
Figura17.: VPNs IPsec –  Ejemplo  de configuración de un Crypto-Map
Figura18.: VPNs IPsec –  Ejemplo  aplicando un  Crypto-Map

Verificar y resolver problemas de la configuracion IPsec
Las VPNs pueden ser complejas y a veces no operan como es esperado. Por este motivo, existe una variedad de comandos útiles para verificar su operación y resolver problemas cuando sea necesario.
El mejor momento para familiarizarse con estos comandos y la información obtenida es cuando la red opera en forma correcta. De esta forma, las anomalías pueden detectarse al utilizarlos para resolver problemas.

Figura19.: VPNs IPsec –  Posibles consultas de operación para tuneles VPNs IPsec
Para ver todos los crypto-maps configurados, utilizar el comando show crypto map. Este comando verifica las configuraciones y muestra el tiempo de vida de las SAs. El comando show running-config también revela muchos de estos datos.
Utilizar el comando show crypto isakmp policy para mostrar las políticas IKE configuradas y las políticas IKE por defecto. Este comando resulta útil porque revela toda la información de configuración ISAKMP (IKE).
Utilizar el comando show crypto ipsec transform-set para mostrar todos los conjuntos de transformación configurados. Dado que los conjuntos de transformación determinan el nivel de protección con el que los datos son transmitidos a través del túnel, es importante verificar la fortaleza de la política de protección IPsec.

Figura20.: VPNs IPsec –  Consultas de operación – show crypto map
Figura21.: VPNs IPsec –  Consultas de operación – show crypto isakmp policy
Figura22.: VPNs IPsec –  Consultas de operación – show crypto ipsec transform-set
Uno de los comandos más útiles es show crypto ipsec sa. Si la salida indica que existe una SA establecida, se asume que el resto de la configuración está funcionando. Entre los datos presentados, los valores pkts encrypt y pkts decrypt indican que el tráfico está siendo transmitido a través del túnel.
Un comando igualmente útil es show crypto isakmp sa. Este comando muestra todas las SAs IKE actuales. El estado QM_IDLE indica que existe una SA IKE activa.

Figura23.: VPNs IPsec –  Consultas de operación – show crypto ipsec sa
Para utilizar comandos de depuración para resolver problemas de conectividad en la VPN, conéctese al router Cisco mediante una terminal.
El comando debug crypto isakmp muestra información detallada sobre los procesos de negociación IKE de fase 1 y fase 2. El comando debug crypto ipsec muestra información detallada sobre los eventos IPsec.
Al igual que con otros comandos de depuración, utilice el comando debug crypto isakmp con precaución, ya que el proceso de depuración puede causar problemas de rendimiento en el equipo. Utilice el comando undebug all para desactivar la depuración tan pronto como sea posible.

Figura24.: VPNs IPsec –  Consultas de operación – debugv crypto isakmp 


VPN Site-to-Site, static map
Proceso 1: Configurando VPN site to site sobre Cisco ASA
                     Paso 1: Conéctese vía ssh al dispositivo ASA según su diseño.
            Paso 2: Defina los segmentos de red de la red local y remota que se involucraran en el proceso, es decir, que cruzaran tráfico “interesante”. Ejemplo:
object network CVA_UCAB_VPN
 subnet 192.168.10.0 255.255.255.0
exit
object network CVA_Las_Mercedes_VPN
 subnet 172.16.0.0 255.254.0.0
exit

                 Paso 3: Defina lista de acceso que filtrará el tráfico “interesante”. Ejemplo:
access-list CVA_VPN_UCAB-LASMERCEDES_list permit ip object CVA_Las_Mercedes_VPN object CVA_UCAB_VPN

Paso 4: Defina un NAT transparente a aplicar para el tráfico “interesante”. Ejemplo:
nat (inside,outside) source static CVA_Las_Mercedes_VPN CVA_Las_Mercedes_VPN destination static CVA_UCAB_VPN CVA_UCAB_VPN no-proxy-arp route-lookup

Paso 5: Defina parámetros del túnel en Fase 1 “interesante”. Ejemplo:
crypto ikev1 policy 10
 authentication pre-share
 encryption aes-128
 hash md5
 group 2
 lifetime 28800
exit

Paso 6: Continue con parámetros de Fase 1, definiendo el peer vpn y la clave precompartida. Ejemplo:
tunnel-group 190.6.61.237 type ipsec-l2l
tunnel-group 190.6.61.237 ipsec-attributes
 pre-shared-key Uc@b-M3rc3des
exit

Paso 7: Defina el transform-set y sus parámetros. Ejemplo:
crypto ipsec ikev1 transform-set CVA_VPN_UCAB-LASMERCEDES_set esp-aes esp-md5-hmac

Paso 8: Defina el cyptp-map y sus parámetros. Ejemplo:
crypto map outside_map 1 match address CVA_VPN_UCAB-LASMERCEDES_list
crypto map outside_map 1 set peer 190.6.61.237
crypto map outside_map 1 set transform-set CVA_VPN_UCAB-LASMERCEDES_set
crypto map outside_map 1 set pfs
crypto map outside_map 1 set security-association lifetime seconds 3600
crypto map outside_map 1 set reverse-route

Paso 9: Habilite y aplique crypto-map en la interfaz de salida para VPN. Ejemplo:
ip verify reverse-path interface outside
crypto isakmp identity address
crypto ikev1 enable outside
crypto ikev1 ipsec-over-tcp port 10000
crypto map outside_map interface outside


Proceso 2: Configurando VPN site to site sobre RV130W Wireless VPN Firewall
Paso 1: Ingrese al URL de administración para RV130W Wireless VPN Firewall, suministre credenciales con privilegios de administrador. Navegue a través de la ruta VPN > Site-to-Site IPSec VPN > Advanced VPN Setup. Figura25.

Figura25.: Navegando sobre RV130W Wireless VPN Firewall

Paso 2: En la sección IKE Policy Table haga clic sobre Add Row. En nueva ventanilla, llene los campos asociados a la Fase 1 de una conexión VPN. Concuerda según los configurados en su contraparte (Cisco ASA) dentro del Proceso 1.

Figura26.: Configurando Fase1

Paso 3: Haga clic Save.
Paso 4: Navegue a través de la ruta VPN > Site-to-Site IPSec VPN > Advanced VPN Setup. En la sección VPN Policy Table haga clic sobre Add Row.
Paso 5: En nueva ventanilla, llene los campos asociados a la Fase 2 de una conexión VPN. Concuerda según los configurados en su contraparte (Cisco ASA) dentro del Proceso 1. Validar Figura27.
Paso 6: Haga clic Save.

Figura27.: Configurando Fase2


Proceso 3: Verificando Conexión VPN
Paso 1: Sobre RV130W Wireless VPN Firewall navegue a través de la ruta Status > Site-to-Site IPSec VPN. Validar Figura28.

Figura28.: VPN Status sobre RV130W Wireless VPN Firewall

Paso 2: Sobre Cisco ASA, ejecute los comados:
ASA# show isakmp sa
ASA# show ipsec sa

Figura29.: VPN Status sobre Cisco ASA. Fase 1

Figura30.: VPN Status sobre Cisco ASA. Fase 2


VPN Site-to-Site, dynamic map
Proceso 1: Configurando VPN site to site sobre Cisco ASA
                     Paso 1: Conéctese vía ssh al dispositivo ASA según su diseño.
Se conservará como base la configuración aplicada anteriormente y se insertaran variaciones. Ambas configuraciones pueden convivir en simultáneo.

Paso 2: Defina parámetros del túnel en Fase 1 “interesante”. Ejemplo:
rypto ikev1 policy 20
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
exit

Paso 3: Continue con parámetros de Fase 1, definiendo el peer vpn y la clave precompartida. Ejemplo:
group-policy GroupPolicyVPN_s2s_dyn internal
group-policy GroupPolicyVPN_s2s_dyn attributes
 vpn-tunnel-protocol ikev1
exit
tunnel-group DefaultL2LGroup type ipsec-l2l
tunnel-group DefaultL2LGroup general-attributes
 default-group-policy GroupPolicyVPN_s2s_dyn
exit
tunnel-group DefaultL2LGroup ipsec-attributes
 ikev1 pre-shared-key 1234567890
exit

Paso 4: Defina el transform-set y sus parámetros. Ejemplo:
crypto ipsec ikev1 transform-set Cva_LasMercedes_set esp-3des esp-sha-hmac

Paso 8: Defina el cyptp-map y sus parámetros. Ejemplo:
crypto dynamic-map CVA_LasMercedes_dyn_map match address CVA_VPN_UCAB-LASMERCEDES_list
crypto dynamic-map CVA_LasMercedes_dyn_map 10 set ikev1 transform-set Cva_LasMercedes_set
crypto dynamic-map CVA_LasMercedes_dyn_map 10 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic CVA_LasMercedes_dyn_map
crypto map outside_map interface outside

Proceso 2: Configurando VPN site to site sobre RV130W Wireless VPN Firewall
Paso 1: Ingrese al URL de administración para RV130W Wireless VPN Firewall, suministre credenciales con privilegios de administrador. Navegue a través de la ruta VPN > Site-to-Site IPSec VPN > Advanced VPN Setup. Figura31.
Paso 2: En la sección IKE Policy Table haga clic sobre Add Row. En nueva ventanilla, llene los campos asociados a la Fase 1 de una conexión VPN. Concuerda según los configurados en su contraparte (Cisco ASA) dentro del Proceso 1.

Figura31.: Configurando Fase1

Paso 3: Haga clic Save.
Paso 4: Navegue a través de la ruta VPN > Site-to-Site IPSec VPN > Advanced VPN Setup. En la sección VPN Policy Table haga clic sobre Add Row.
Paso 5: En nueva ventanilla, llene los campos asociados a la Fase 2 de una conexión VPN. Concuerda según los configurados en su contraparte (Cisco ASA) dentro del Proceso 1. Validar Figura32
Paso 6: Haga clic Save.

Figura32.: Configurando Fase2
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)