UNIVERSIDAD NACIONAL EXPERIMENTAL POLITECNICA DE LAS

FUERZAS ARMADAS
INGENIERIA EN TELECOMUNICACIONES
REDES DE TELECOMUNICACIONES
LABORATORIO DE REDES DE TELECOMUNICACIONES

PRCTICA N #8

CONFIGURACIN Y ESTUDIO DE UNA RED PRIVADA VIRTUAL (VPN).

OBJETIVOS

1.- Describir los elementos bsicos de las comunicaciones de VPN
2.- Utilizar herramientas del Sistema Operativo para la creacin de tneles.
3.- Realizar pruebas de comunicacin entre redes LAN enmascaradas bajo un
tnel de VPN.
4.- Utilizar comandos de comunicacin remota (TELNET) para el acceso a
Router dentro de la red de VPN.

INTRODUCCION

Internet es una red IP de acceso pblico en todo el mundo. Debido a su
amplia proliferacin global, se ha convertido en una manera atractiva de
interconectar sitios remotos. Sin embargo, el hecho de que sea una
infraestructura pblica conlleva riesgos de seguridad para las empresas y sus
redes internas. Afortunadamente, la tecnologa VPN permite que las
organizaciones creen redes privadas en la infraestructura de Internet pblica
que mantienen la confidencialidad y la seguridad.
Las organizaciones usan las redes VPN para proporcionar una
infraestructura WAN virtual que conecta sucursales, oficinas domsticas,
oficinas de socios comerciales y trabajadores a distancia a toda la red
corporativa o a parte de ella. Para que permanezca privado, el trfico est
encriptado. En vez de usar una conexin de Capa 2 exclusiva, como una lnea
alquilada, la VPN usa conexiones virtuales que se enrutan a travs de Internet.

Analoga: Cada LAN es una isla
Usaremos una analoga para ilustrar el concepto de la VPN desde un
punto de vista diferente. Imagine que vive en una isla en un gran ocano. Hay
miles de otras islas alrededor, alguna cerca y otras lejos. La manera normal de
viajar es tomar el transbordador desde su isla a cualquier otra que desee
visitar. El viaje en el transbordador significa que casi no tiene privacidad. Otra
persona puede observar todo lo que haga.
Suponga que cada isla representa una LAN privada y que el ocano es
Internet. Cuando viaja en el transbordador, es similar a cuando se conecta a un
servidor Web o a otro dispositivo a travs de Internet. No tiene control sobre los
cables ni routers que forman Internet, de igual manera que no tiene control
sobre el resto de las personas que viajan en el transbordador. Esto lo vuelve
vulnerable a los problemas de seguridad si intenta conectarse entre dos redes
privadas por medio de un recurso pblico.
Su isla decide construir un puente a otra isla para que sea un medio ms
fcil, seguro y directo para que las personas viajen entre ellas. Es caro
construir y mantener el puente, aunque la isla a la que se est conectando es
muy cercana. Pero la necesidad de una ruta segura y confiable es tan grande
que decide hacerlo de todos modos. Su isla quisiera conectarse a una segunda
isla que queda mucho ms lejos, pero decide que es demasiado caro.
Esta situacin es muy similar a tener una lnea alquilada. Los puentes
(lneas alquiladas) estn separados del ocano (Internet), pero aun as pueden
conectar las islas (redes LAN). Muchas empresas han elegido esta ruta debido
a la necesidad de seguridad y fiabilidad para la conexin de sus oficinas
remotas. Sin embargo, si las oficinas estn muy lejos, el costo puede ser
demasiado alto, igual que intentar construir un puente que cubra una gran
distancia.
Entonces cmo encaja una VPN en esta analoga? Podramos darle a
cada habitante de las islas su propio submarino con estas propiedades:
Veloz
Fcil de llevar con usted donde sea que vaya
Permite ocultarse por completo de otros botes o submarinos
Confiable
Cuesta poco agregar submarinos adicionales a la flota una vez que se compr
el primero.
Aunque estn viajando en el ocano junto con ms trfico, los habitantes
de nuestras dos islas podran viajar entre ellas cuando lo deseen con
privacidad y seguridad. Esencialmente, as funciona la VPN. Cada miembro
remoto de la red puede comunicarse de manera segura y confiable a travs de
Internet como medio para conectarse a la LAN privada. La VPN puede
desarrollarse para alojar ms usuarios y ubicaciones diferentes de manera
mucho ms fcil que una lnea alquilada. De hecho, la escalabilidad es una
ventaja principal que tienen las VPN sobre las lneas alquiladas comunes. A
diferencia de las lneas alquiladas, donde aumenta el costo en proporcin a las
distancias en cuestin, las ubicaciones geogrficas de cada oficina tienen poca
importancia en la creacin de una VPN.



Figura 1
Las organizaciones que usan las VPN se benefician con el aumento en
la flexibilidad y la productividad. Los sitios remotos y los trabajadores a
distancia pueden conectarse de manera segura a la red corporativa desde casi
cualquier lugar. Los datos de la VPN estn encriptados y ninguna persona que
no est autorizada puede descifrarlos. Las VPN traen a los hosts remotos
dentro del firewall y les brindan casi los mismos niveles de acceso a los
dispositivos de red como si estuvieran en una oficina corporativa.

La figura 2 muestra las lneas alquiladas en rojo. Las lneas azules
representan las conexiones de VPN. Tenga en cuenta estos beneficios al usar
las VPN:
Econmicos: las organizaciones pueden usar transporte de Internet de
terceros y econmico para conectar oficinas y usuarios remotos al sitio
corporativo principal. Esto elimina los enlaces WAN exclusivos y caros, y los
bancos de mdems. Mediante el uso de banda ancha, las VPN reducen los
costos de conectividad mientras aumenta el ancho de banda de las conexiones
remotas.
Seguridad: los protocolos de autenticacin y encriptacin avanzados
protegen los datos contra el acceso no autorizado.
Escalabilidad: las VPN usan la infraestructura de Internet dentro de los
ISP y las empresas de telecomunicaciones, y es ms fcil para las
organizaciones agregar usuarios nuevos. Las organizaciones, grandes y
pequeas, pueden agregar grandes cantidades de capacidad sin incorporar
una infraestructura significativa.



Figura 2

Tipos de VPN

Las organizaciones usan las VPN de sitio a sitio para conectar
ubicaciones remotas, tal como se usa una lnea alquilada o conexin Frame
Relay. Debido a que la mayora de las organizaciones ahora tiene acceso a
Internet, es lgico aprovechar los beneficios de las VPN de sitio a sitio. Como
se muestra en la figura, las VPN de sitio a sitio tambin admiten intranets de la
empresa y extranets de los socios comerciales.
De hecho, una VPN de sitio a sitio es una extensin de una networking
WAN clsica. Las VPN de sitio a sitio conectan redes enteras entre ellas. Por
ejemplo, pueden conectar la red de una sucursal a la red de la sede central
corporativa.
En una VPN de sitio a sitio, los hosts envan y reciben trfico TCP/IP a
travs de un gateway VPN, el cual podra ser un router, una aplicacin firewall
PIX o una aplicacin de seguridad adaptable (ASA). El gateway VPN es
responsable de la encapsulacin y encriptacin del trfico saliente para todo el
trfico desde un sitio particular y de su envo a travs de un tnel VPN por
Internet a un gateway VPN par en el sitio objetivo. Al recibirlo, el gateway VPN
par elimina los encabezados, descifra el contenido y retransmite el paquete
hacia el host objetivo dentro de su red privada.



Figura 3
Los usuarios mviles y trabajadores a distancia usan mucho las VPN de
acceso remoto. En el pasado, las empresas admitan usuarios remotos con
redes dial-up. En general, esto implicaba una llamada de larga distancia y los
costos correspondientes para lograr el acceso a la empresa.
La mayora de los trabajadores a distancia ahora tienen acceso a
Internet desde sus hogares y pueden establecer VPN remotas por medio de las
conexiones de banda ancha. De manera similar, un trabajador mvil puede
realizar una llamada local a un ISP local para lograr el acceso a la empresa a
travs de Internet. De hecho, esto marca un avance de evolucin en las redes
dial-up. Las VPN de acceso remoto pueden admitir las necesidades de los
trabajadores a distancia, los usuarios mviles, adems de las extranets de
consumidores a empresas.
En una VPN de acceso remoto, cada host en general tiene software
cliente de VPN. Cuando el host intenta enviar trfico, el software cliente de
VPN encapsula y encripta ese trfico antes del envo a travs de Internet hacia
el gateway VPN en el borde de la red objetivo. Al recibirlo, el gateway VPN
maneja los datos de la misma manera en que lo hara con los datos de una
VPN de sitio a sitio.

Componentes de VPN

La VPN crea una red privada a travs de una infraestructura de red
pblica, mientras mantiene la confidencialidad y la seguridad. Las VPN usan
protocolos de tunneling criptogrficos para brindar proteccin contra detectores
de paquetes, autenticacin de emisores e integracin de mensajes.
La figura 4 muestra una topologa de VPN tpica. Los componentes
necesarios para establecer esta VPN incluyen lo siguiente:
Una red existente con servidores y estaciones de trabajo
Una conexin a Internet
Gateways VPN, como routers, firewalls, concentradores VPN y
ASA, que actan como extremos para establecer, administrar y
controlar las conexiones VPN
Software adecuado para crear y administrar tneles VPN
La clave de la eficacia de la VPN es la seguridad. Las VPN protegen los
datos mediante encapsulacin o encriptacin. La mayora de las VPN puede
hacer las dos cosas.
La encapsulacin tambin se denomina tunneling, porque transmite
datos de manera transparente de red a red a travs de una infraestructura de
red compartida.
La encriptacin codifica los datos en un formato diferente mediante una
clave secreta. La decodificacin vuelve los datos encriptados al formato original
sin encriptar.
La encapsulacin y la encriptacin se analizan con detalle ms adelante
durante este curso.



Figura 4

Caractersticas de la VPN

Las VPN utilizan tcnicas de encriptacin avanzada y tunneling para
permitir que las conexiones de red privadas de extremo a extremo que
establezcan las organizaciones a travs de Internet sean seguras.
Las bases de una VPN segura son la confidencialidad, la integridad de
datos y la autenticacin:
Confidencialidad de datos: una cuestin de seguridad que suele
despertar preocupacin es la proteccin de datos contra personas que puedan
ver o escuchar subrepticiamente informacin confidencial. La confidencialidad
de datos, que es una funcin de diseo, tiene el objetivo de proteger los
contenidos de los mensajes contra la intercepcin de fuentes no autenticadas o
no autorizadas. Las VPN logran esta confidencialidad mediante mecanismos de
encapsulacin y encriptacin.
Integridad de datos: los receptores no tienen control sobre la ruta por la
que han viajado los datos y, por lo tanto, no saben si alguien ha visto o ha
manejado los datos mientras viajaban por Internet. Siempre existe la posibilidad
de que los datos hayan sido modificados. La integridad de datos garantiza que
no se realicen cambios indebidos ni alteraciones en los datos mientras viajan
desde el origen al destino. Generalmente, las VPN utilizan hashes para
garantizar la integridad de los datos. El hash es como una checksum o un sello
(pero ms robusto) que garantiza que nadie haya ledo el contenido. En el
prximo tema se incluye la explicacin de los hashes.
Autenticacin: la autenticacin garantiza que el mensaje provenga de
un origen autntico y se dirija a un destino autntico. La identificacin de
usuarios brinda al usuario la seguridad de que la persona con quien se
comunica es quien cree que es. Las VPN pueden utilizar contraseas,
certificados digitales, tarjetas inteligentes y biomtricas para establecer la
identidad de las partes ubicadas en el otro extremo de la red.
TUNEL VPN
La incorporacin de capacidades de confidencialidad de datos
adecuadas en una VPN garantiza que slo los orgenes y los destinos
indicados sean capaces de interpretar los contenidos del mensaje original.
El tunneling permite el uso de redes pblicas como Internet para
transportar datos para usuarios, siempre que los usuarios tengan acceso a una
red privada. El tunneling encapsula un paquete entero dentro de otro paquete y
enva por una red el nuevo paquete compuesto. Esta figura contiene una lista
de las tres clases de protocolos que utiliza el tunneling.
Para ilustrar el concepto de tunneling y las clases de protocolos de
tunneling, veamos un ejemplo de un envo de una tarjeta navidea por correo
tradicional. La tarjeta navidea tiene un mensaje adentro. La tarjeta es el
protocolo pasajero. El emisor coloca la tarjeta dentro de un sobre (protocolo de
encapsulacin) y escribe las direcciones correctas. Luego, deposita el sobre en
el buzn de correo para que sea entregado. El sistema postal (protocolo
portador) busca y entrega el sobre en el buzn del receptor. Los dos extremos
del sistema portador son las "interfaces del tnel". El receptor quita la tarjeta
navidea (extrae el protocolo pasajero) y lee el mensaje.

INTEGRIDAD DE DATOS VPN
Si por Internet pblica se transporta texto sin formato, puede ser
interceptado y ledo. Para mantener la privacidad de los datos, es necesario
encriptarlos. La encriptacin VPN encripta los datos y los vuelve ilegibles para
los receptores no autorizados.

Para que la encriptacin funcione, tanto el emisor como el receptor
deben conocer las reglas que se utilizan para transformar el mensaje original
en la versin codificada. Las reglas de encriptacin de la VPN incluyen un
algoritmo y una clave. Un algoritmo es una funcin matemtica que combina
mensaje, texto, dgitos o los tres con una clave. El resultado es una cadena de
cifrado ilegible. El descifrado es extremadamente difcil o imposible sin la clave
correcta.
Algunos de los algoritmos de encriptacin ms comunes y la
longitud de claves que se utilizan son los siguientes:
Algoritmo Estndar de cifrado de datos (DES): DES, desarrollado por
IBM, utiliza una clave de 56 bits para garantizar una encriptacin de alto
rendimiento. El DES es un sistema de encriptacin de clave simtrica. Las
claves simtricas y asimtricas se explican ms adelante.
Algoritmo Triple DES (3DES): una variante ms reciente del DES que
realiza la encriptacin con una clave, descifra con otra clave y realiza la
encriptacin por ltima vez con otra clave tambin diferente. 3DES le
proporciona mucha ms fuerza al proceso de encriptacin.
Estndar de encriptacin avanzada (AES): el Instituto Nacional de
Normas y Tecnologa (NIST) adopt el AES para reemplazar la encriptacin
DES en los dispositivos criptogrficos. AES proporciona ms seguridad que
DES y es ms eficaz en cuanto a su clculo que 3DES. AES ofrece tres tipos
de longitudes de clave: claves de 128, 192 y 256 bits.
Rivest, Shamir y Adleman (RSA): sistema de encriptacin de clave
asimtrica. Las claves utilizan una longitud de bits de 512, 768, 1024 o
superior.
Encriptacin simtrica
Los algoritmos de encriptacin como DES y 3DES requieren que una
clave secreta compartida realice la encriptacin y el descifrado. Los dos
equipos deben conocer la clave para decodificar la informacin. Con la
encriptacin de clave simtrica, tambin llamada encriptacin de clave secreta,
cada equipo encripta la informacin antes de enviarla por la red al otro equipo.
La encriptacin de clave simtrica requiere el conocimiento de los equipos que
se comunicarn para poder configurar la misma clave en cada uno.
Por ejemplo, un emisor crea un mensaje codificado en el cual cada letra
se sustituye con la letra que se encuentra dos posiciones adelante en el
alfabeto; "A" se convierte en "C" y "B" se convierte en "D" y as sucesivamente.
En este caso, la palabra SECRETO se convierte en UGETGVQ. El emisor le ha
informado al receptor que la clave secreta es "saltear 2". Cuando el receptor
recibe el mensaje UGETGVQ, su equipo decodifica el mensaje al calcular las
dos letras anteriores a las del mensaje y llega al cdigo SECRETO. Cualquier
otra persona que vea el mensaje slo ver el mensaje cifrado, que parece una
frase sin sentido a menos que la persona conozca la clave secreta.
La pregunta es, cmo el dispositivo de encriptacin y el de descifrado
tienen la misma clave secreta compartida? Puede utilizar el correo electrnico,
un mensajero o un correo de 24 horas para enviar las claves secretas
compartidas a los administradores de los dispositivos. Otro mtodo ms fcil y
ms seguro es la encriptacin asimtrica.
Encriptacin asimtrica
La encriptacin asimtrica utiliza diferentes claves para la encriptacin y
el descifrado. El conocimiento de una de las claves no es suficiente para que
un pirata informtico deduzca la segunda clave y decodifique la informacin.
Una clave realiza la encriptacin del mensaje y otra, el descifrado. No es
posible realizar ambos con la misma clave.
La encriptacin de clave pblica es una variante de la encriptacin
asimtrica que utiliza una combinacin de una clave privada y una pblica. El
receptor le da una clave pblica a cualquier emisor con quien desee
comunicarse el receptor. El emisor utiliza una clave privada junto con la clave
pblica del receptor para encriptar el mensaje. Adems, el emisor debe
compartir la clave pblica con el receptor. Para descifrar un mensaje, el
receptor utiliza la clave pblica del emisor y su propia clave privada.
Los hashes contribuyen a la autenticacin y la integridad de los datos, ya
que garantizan que personas no autorizadas no alteren los mensajes
transmitidos. Un hash, tambin denominado message digest, es un nmero
generado a partir de una cadena de texto. El hash es menor que el texto. Se
genera mediante una frmula, de forma tal que es extremadamente improbable
que otro texto produzca el mismo valor de hash.
El emisor original genera un hash del mensaje y lo enva junto con el
mensaje mismo. El receptor descifra el mensaje y el hash, produce otro hash a
partir del mensaje recibido y compara los dos hashes. Si son iguales, puede
estar seguro de que la integridad del mensaje no ha sido afectada.
Los datos de la VPN se transportan por Internet pblica. Tal como se
mostr, hay posibilidades de que estos datos sean interceptados y modificados.
Como proteccin frente a esta amenaza, los hosts pueden agregarle un hash al
mensaje. Si el hash transmitido coincide con el recibido, significa que se ha
preservado la integridad del mensaje. Sin embargo, si no coinciden, el mensaje
ha sido alterado.
Las VPN utilizan un cdigo de autenticacin de mensajes para verificar
la integridad y la autenticidad de un mensaje, sin utilizar mecanismos
adicionales. Un cdigo de autenticacin de mensajes de hash (HMAC) en clave
es un algoritmo de integridad de datos que garantiza la integridad del mensaje.
El HMAC tiene dos parmetros: un mensaje de entrada y una clave
secreta que slo conocen el creador del mensaje y los receptores adecuados.
El emisor del mensaje utiliza una funcin HMAC para producir un valor (el
cdigo de autenticacin del mensaje) que se forma al condensar la clave
secreta y el mensaje de entrada. El cdigo de autenticacin del mensaje se
enva junto con el mensaje. El receptor calcula el cdigo de autenticacin del
mensaje en el mensaje recibido con la misma clave y la misma funcin HMAC
que utiliz el emisor y compara los resultados calculados con el cdigo de
autenticacin del mensaje. Si los dos valores coinciden, el mensaje se ha
recibido correctamente y el receptor est seguro de que el emisor es un
miembro de la comunidad de usuarios que comparten la clave. La fuerza
criptogrfica de HMAC depende de la fuerza criptogrfica de la funcin hash
subyacente en cuanto al tamao y a la calidad de la clave, y en el tamao de la
longitud del resultado de hash en bits.
Hay dos algoritmos HMAC comunes:
Message Digest 5 (MD5): utiliza una clave secreta compartida de 128
bits. El mensaje de longitud variable y la clave secreta compartida de 128 bits
se combinan y se ejecutan mediante el algoritmo de hash HMAC-MD5. El
resultado es un hash de 128 bits. El hash se agrega al mensaje original y se
enva al extremo remoto.
Algoritmo de hash seguro 1 (SHA-1): utiliza una clave secreta de 160
bits. El mensaje de longitud variable y la clave secreta compartida de 160 bits
se combinan y se ejecutan mediante el algoritmo de hash HMAC-SHA-1. El
resultado es un hash de 160 bits. El hash se agrega al mensaje original y se
enva al extremo remoto.
Cuando se realizan negocios a larga distancia, es necesario saber quin
est del otro lado del telfono, correo electrnico o fax. Lo mismo sucede con
las redes VPN. Se debe autenticar el dispositivo ubicado en el otro extremo del
tnel de la VPN antes de que la ruta de comunicacin se considere segura.
Hay dos mtodos pares de autenticacin:
Clave compartida previamente (PSK): una clave secreta compartida
entre dos partes que utilizan un canal seguro antes de que deba ser utilizado.
Las PSK utilizan algoritmos criptogrficos de clave simtrica. Una PSK se
especifica en cada par manualmente y se utiliza para autenticar al par. En cada
extremo, la PSK se combina con otra informacin para formar la clave de
autenticacin.
Firma RSA: utiliza el intercambio de certificados digitales para autenticar
los pares. El dispositivo local deriva un hash y lo encripta con su clave privada.
El hash encriptado (firma digital) se adjunta al mensaje y se enva al extremo
remoto. En el extremo remoto, el hash encriptado se descifra mediante la clave
pblica del extremo local. Si el hash descifrado coincide con el hash
recalculado, la firma es verdadera.
PROTOCOLO DE SEGURIDAD IPsec
El IPsec es un conjunto de protocolos para la seguridad de las
comunicaciones IP que proporciona encriptacin, integridad y autenticacin.
IPsec ingresa el mensaje necesario para proteger las comunicaciones VPN,
pero se basa en algoritmos existentes.
Existen dos protocolos de estructura IPsec.
Encabezado de autenticacin (AH): se utiliza cuando no se requiere o
no se permite la confidencialidad. AH proporciona la autenticacin y la
integridad de datos para paquetes IP intercambiados entre dos sistemas.
Verifica que cualquier mensaje intercambiado de R1 a R3 no haya sido
modificado en el camino. Tambin verifica que el origen de los datos sea R1 o
R2. AH no proporciona la confidencialidad de datos (encriptacin) de los
paquetes. Si se lo utiliza solo, el protocolo AH proporciona poca proteccin. Por
lo tanto, se lo utiliza junto con el protocolo ESP para brindar las funciones de
seguridad de la encriptacin de los datos y el alerta contra alteraciones.
Contenido de seguridad encapsulado (ESP): proporciona
confidencialidad y autenticacin mediante la encriptacin del paquete IP. La
encriptacin del paquete IP oculta los datos y las identidades de origen y de
destino. ESP autentica el paquete IP interno y el encabezado ESP. La
autenticacin proporciona autenticacin del origen de datos e integridad de
datos. Aunque tanto la encriptacin como la autenticacin son opcionales en
ESP, debe seleccionar una como mnimo.
IPsec se basa en algoritmos existentes para implementar la encriptacin,
la autenticacin y el intercambio de claves. Algunos de los algoritmos estndar
que utiliza IPsec son:
DES: encripta y descifra los datos del paquete.
3DES: proporciona una fuerza de encriptacin importante superior
al DES de 56 bits.
AES: proporciona un rendimiento ms rpido y una encriptacin
ms fuerte segn la longitud de la clave utilizada.
MD5: autentica datos de paquetes con una clave secreta
compartida de 128 bits.
SHA-1: autentica datos de paquetes con una clave secreta
compartid
DH: permite que dos partes establezcan una clave secreta
compartida mediante la encriptacin y los algoritmos de hash,
como DES y MD5, sobre un canal de comunicaciones no seguro.

Comandos para la creacin de VPN
A continuacin se expone los comandos bsicos necesarios para la
creacin de una VPN.
Se requiere Implementar una VPN Site-toSite entre las dos oficinas
Se creara un tnel IPSEC entre ambas sedes basado en el secreto
compartido
Procedimiento:
1. Configurar Polticas IKE
2. Verificar Polticas IKE
3. Configurar IPSec
4. Configurar Crypto Map
1.- Configurar Polticas Ike
Una poltica IKE define una combinacin de parmetros de seguridad
(cifrado, hash, autenticacin y DH) que sern usados durante la
negociacin IKE.
En ambos nodos deben crearse polticas (tanta como se quieran
ordenada por prioridad) y, al menos, debe existir una igual en los 2
extremos.
Tambin se deben configurar paquetes IKE Keepalives ( paquetes
Hello) para detectar posibles prdidas de conectividad.

Paso Comando Significado
1 R1(config)#crypto isakmap policy 10 Crear una poltica Ike, cada poltica se identifica
con un numero de prioridad (1-10000; donde 1
es la prioridad ms alta)
2 R1(config-isakmp)#encryption 3des Especificar el algoritmo de cifrado a utilizar: 56-
bit Data encryption Standard (DES [des]) o 168-
bit Triple DES (3des).
3 R1(config-isakmp)#hash sha Elegir el algoritmo de hash a usar: message
Digest 5 (MD5 [md5]) Secure Hash Algorithm
(SHA[sha])
4 R1(config-isakmp)#authentication pre-
share
Determina el mtodo de autentificacin: pre
share keys (pre-share), RSA1 encryted
nonces(rsa-encr), o RSA signatures (rsa-slg).
5 R1(config-isakmp)#group 2 Especificar el identificador de grupo Diffie-
Hellman: 768-bit Diffie-Hellman (1) o 1024-bit
Diffie-Hellman (2)
6 R1(config-isakmp)#lifetime 86400 Determina el tiempo de vida de la asociacin de
seguridad (SA) en segundos 846000 segundos
=1 da.
7 R1(config-isakmp)#exit Volver al modo de configuracin global

En funcin del mtodo de autentificacin elegido hay que llevar a cabo una
tarea ms antes de que IKE e IPSec pueda usar la poltica creada.
RSA signatures: hay que configurar ambos nodos para obtener los
certificados de una CA.
RSA encrypted nonces: cada nodo debe tener en su poder la clave
pblica del otro nodo.
Pre-Share Keys:
Establecer la identidad ISAKMP de cada nodo (nombre
IP).
Establecer el secreto compartido en cada nodo.
9 R1(config)#crypto isakmp identity
address
En el extremo A elegir la identidad ISAKMP
(address o hostname) que el router usar en las
negociaciones IKE.
10 R1(config)#crypto isakmp key
CLAVE IP de B
En el extremo A establecer la CLAVE que se
usara en el extreme B
11 R2(config)#crypto isakmp identity
address
En el extremo B elegir la identidad ISAKMP
(address o hostname) que el router usar en las
negociaciones IKE
12 R2(config)#crypto isakmp key
CLAVE IP de A
En el extremo B establecer la CLAVE que se
usara en el extreme A

2.- Verificar Polticas IKE

Para asegurarnos de que la configuracin de la poltica es la deseamos
usar, realizamos la siguiente comprobacin:
13 R1#show crypto isakmp policy Comprobar los valores de cada parmetro de
seguridad de la poltica IKE

3.- Configurar IPSec
Tras configurar y verificar la poltica IKE en cada nodo, hay que
configurar IPSec en ambos extremos:
a) Crear Crypto ACL
b) Verificar Crytop ACL
c) Definir el Transform Set
d) Verificar el Transform Set
a) Crear Crypto ACL
14 R1(config)#Access-list 109 permit ip
IP red A IP red B
En el extremo A: cifrar todo el trafico IP que
salga del extreme A al extremo B
15 R2(config)#Access-list 109 permit ip
IP red b IP red A
En el extreme B: cifrar todo el trafico IP que
salga del extreme B al extremo A

b) Verificar Crypto ACL.
16 R1#show Access-list 109 Verificar Crypto ACL

c) Definir los Transform Sets
17 R1(config)#Crypto ipsec transform-set
CAMBIO esp-3des esp-sha-hmac
Establecer las polticas de seguridad IPSec que
se usaran en las comunicaciones, eligiendo el
modo transporte (AH) o tnel (ESP)
18 R1(config)#exit Salir del modo configuracion

d) Verificar el Transform Set
19 R1#show crypto ipsec transform-set Verifica el Transform Set
20 R1(config)#crypto map Nombre
psec-isakmp
Crear un crypto map denominado Nombre, y
establecer el nmero de secuencia de esta
entrada, obligado a usar IKE para establecer
SAs,
21 R1(config-crypto-map)#set transform-
set CAMBIO
De los transform sets que se hayan definido,
especificar cual se usara en esta entrada del
crypto-map
22 R1(config-crypto-map)#set pfs group
2
Activar perfect Forward Secrecy
23 R1(config-crypto-map)#set peer IP
de B
Definir la direccin del host remoto
24 R1(config-crypto-map)#match address
109
Establecer el trafico que se va a cifrar (definido
previamente en una ACL)
25 R1(config-crypto-map)#Z Volver al modo privilegiado
26 R1(config)#show crypto map Verificar la configuracin del crypto map


4.- Configurar Crypto Map
27 R1(config)#interface XXXX Entrar al modo configuracin de la interface
donde se aplicara el crypto map
28 R1(config-if)#Crypto map Nombre Aplicar el crypto map a la interfaz fisica
29 R1(config-if)#Z Volver al modo privilegiado
30 R1#show crypto map interface
XXXX
Verificar la asociacin de la interfaz y el crypto
map
31 R1#show crypto ipsec sa Mostrar la informacin de la Asociacin de
Seguridad para verificar su correcto
funcionamiento
32 R1#copy running-config startup-
config
Guardar los cambios

PRE- LABORATORIO
1.- DESCARGAR EL ARCHIVO DE PACKET TRACER DE LA
PRCTICA 8 (RED_Prac_8.pkt). EL MISMO SE ENCUENTRA EN LA PGINA
WEB http://www.ingtelecom.com.ve (OJO: se envi por correo o est en la
pgina web del curso) Y LLEVARLO EL DA DEL LABORATORIO.

2.- INVESTIGAR LO SIGUIENTE (explique con sus propias palabras, todas
las preguntas) (NO SE ENTREGA Sirve de preparacin para el quiz):

2.1.- Qu es una VPN?
2.2.- Una VPN establece un enlace dedicado entre dos redes entre
dos host?
2.3.- Cul cules son las razones de crear VPN?
2.4.- Cules son las ventajas y desventajas de crear VPN?

3.- INVESTIGAR LOS SIGUIENTE (explique con sus propias palabras,
todas las preguntas):

3.1.- Qu es una VLAN?
3.2.- Una VLAN se configura a nivel de capa 2 o capa 3?
3.3.- Cul cules son las razones de crear VLAN?
3.4.- Cules son las ventajas y desventajas de crear VLAN, en
comparacin con una red de rea local fsica?


PRCTICA # 8
TRABAJO PRCTICO DE LABORATORIO
Grupo: Martes Sbado Fecha: ___ / ___ / _____
A
l
u
m
n
o

Apellido Nombre
Cdula de
Identidad
Firma
1

2

3


A
l
u
m
n
o

1 2 3 4 5 6 Total
3 4 3 3 4 3 20 puntos
1
2
3

NOTA 1: IMPRIMIR EL TRABAJO PRCTICO DE LABORATORIO Y LLEVARLO AL
LABORATORIO EL DA CORRESPONDIENTE A LA PRCTICA.
NOTA 2: Duracin del Quiz: 15 minutos - Duracin Mxima de la Prctica: 90
minutos - Revisin de lo realizado en la Prctica: 30 minutos.
Configuracin previa del Packet Tracer:
Antes de empezar, hacer clic en Options Preferences; en la pestaa
Interface marcar donde dice Always Show Port Labels. Cerrar la ventana.

En la red mostrada en la figura 5, se han creado VPN y VLAN, el objetivo
de esta prctica, es determinar la cantidad de VPN creadas y de VLAN,
utilizando para esto el comando PING en los host y los comandos show
running-config, show crypto isakmp sa y show crypto ipsec sa, en el IOS de los
router.



Figura 5


Determine:

1.- Cantidad de VPN: _____________

2.- Determine las redes de cada VPN?

3.- Cantidad de VLAN: _____________

4.- Determine los host que pertenecen a cada VLAN?

5.- Existe comunicacin entre todos los host?, explique.
Preguntas para el informe

6.- Todos los datos que circulan en la red planteada en el laboratorio son
encriptados?