2.

CONFIGURACIN DE UNAVPN

Esquema de red VPN

Figura 19


2.1 Qu es una VPN?

Una VPN (Virtual Private Network, o Red Virtual Privada), son redes privadas que
realizan un proceso de comunicacin cifrada o encapsulada, en la que se transfieren
datos de una manera segura entre redes LAN privadas a travs de una red WAN pblica
como Internet.

1

2.2 Clase de Configuracin de la VPN

Hay varias clases de configuracin de VPNs,
1
estas son:
1. VPN intranet: Permite a los empleados internos de una compaia, conectarse a
un servidor interno desde oficinas remotas. Ejemplo: intranet de LAN a LAN.

2. VPN de acceso remoto: Permite a los empleados internos conectarse a los
servidores desde otra ciudad. Ejemplo: Marcacin a una ISP local y
establecimiento de un tnel hacia su organizacin.

3. VPN extranet: Utilizada por los fabicantes, proveedores y clientes externos,
para establecer un tnel a un servidor seguro. Ejemplo: e-bussiness.

4. VPN interna: Permite el empleo de comunicaciones cifradas dentro de la red de
la compaa con el fin de protegerla contra fallas de seguridad internas, estas son
muy poco utilizadas.

2.3 Requisitos de Seguridad de las VPN

Las VPNs necesitan cumplir con una serie de requisitos para que la transmisin de los
datos a travs de las redes pblicas sean seguras, y esto incluye: cifrado, los dispositivos
de seguirdad como los firewalls que soportan VPNs, la autenticacin, el proceso sin
rechazos, el cifrado punto a punto, la administracin centralizada de las polticas de
seguridad y los procedimientos de respaldo.





1
Configuraciones de RPV, Captulo 8: Instalacin de una RPV, parte I, Pg. 191
2
2.4 Cuales son los Algoritmos de Cifrado que Soportan los NS25 Y
NS5XT.
2

1. Rfc-2406 de Carga con seguridad de encapsulamiento(ESP)
La norma de carga con seguridad de encapsulamiento (ESP) proporciona confianza,
autenticacin, integridad sin conexin y servicios contra repeticiones. El ESP puede
emplearse en dos modos, transporte y de tnel, para las dos versiones de IP.

Con ESP se utilizan algoritmos de cifrado y de autenticacin. Para la autenticacin,
la norma ESP llama a un algoritmo de cifrado simtrico y a una funcin de
transformacin del cdigo. Por consiguiente, los algoritmos obligatorios de ESP
son:
DES en modo CBC
3DES
HMAC con MD5
HMAC con SHA-1
Algoritmo de autenticacin NULL
Algortimo de cifrado NULL


2. Rfc-2402 del encabezado de autenticacin (AH)
AH proporciona autenticacin en el encabezado IP en la medida de lo posible, al
igual que en los datos de protocolos de nivel superior. Sin embargo, algunos campos
de los encabezados IP pueden cambiar en el trayecto y los valores de estos campos,
cuando el paquete llega el receptor, podran no ser predecibles por el emisor. Los
valores de tales campos no pueden protegerse con AH. Por lo tanto, la proteccin
que AH proporciona al encabezado IP se degrada en cierta forma.


2
Copyright 1998, the Internet Society. Todos los derechos reservados. Para mas informacin sobre
estos algoritmos referenciar las normas RFC-2403, RFC-2404, RFC-2405 y RFC-2406
3

2.5 Implementacin de una VPN Paso a Paso.

La implementacin de una VPN (Virtual Private Network, por sus siglas en ingls), se
va a llevar a cabo de la siguiente manera. Primero, se realizar la configuracin para el
NS25 y seguidamente la del NS5XT. En esta parte, se ir paso a paso a travs de un
ejemplo de cmo implementar una VPN.

En la seccin anterior, se analiz lo que es indispensable para la reiniciacin de los
equipos, as que en esta parte se van a nombrar, ms no a detallar.

2.5.1 Configuracin del NS25

Paso 1: Se deben reiniciar los equipos NS25 y NS5XT dejndolos con los valores de
fbrica, como se realiz en el ejemplo anterior. Ver figura 20.

Figura 20
Paso 2: Se realizan los direccionamiento a las zonas, se ingresan los comandos dados en
el ejemplo de la siguiente manera:
4
Direccin ip 10.1.0.1 con mscara 255.255.0.0 a la zona trust del NS25,
Direccin ip 200.20.31.1 con mscara 255.255.255.0 a la zona untrust Ver figura 21

Figura 21
Paso 3: Se debe abrir una pgina Web, y en la barra de direcciones, ingresar la
direccin anteriormente configurada a la zona trust, pero sin la mscara de subred.

Para establecer una VPN, se necesita crear un tnel entre la sede principal y la sede
remota y viceversa.

Paso 4: En este paso se le dan las direcciones ip a las zonas y se debe crear el tnel, en
la parte izquierda del men haga: Ver figura 22
Network >Interface >Edit: Para la ethernet1 (Trust):
Zone name: Trust Nombre de la zona
IP Address/Netmask: 10.1.0.1 /16 direccin ip zona trust

Network >Interface >Edit: Para la ethernet3 (Untrust):
Zone name: Untrust Nombre de la zona
IP Address/Netmask:200.20.31.1/24 direccin ip zona untrust local
5

Figura 22
Ahora se debe crear el tnel o enlace directo, que va a ir de la zona untrust (ehternet3,
NS25) de la sede Principal, a la zona untrust (NS5XT) de la sede remota. Esto se realiza
de la siguiente forma: Ver figura 23

Network >Interface >Tnel IF New:
Tunnel Interface Name: tunnel.2 Identificador del tnel.
Zone: Untrust La zona con la cual se va a conectar el tnel entre las sedes.
Unnumbered: Se debe seleccionar esta opcin, para que funcione
como gateway del NS25.
Interface: ehternet3 (Untrust)

Figura 23
6
Paso 5: En este paso se crean listas de direcciones ip de la sede principal y de la sede
remota. En esta parte se asocian los nombres de las sedes a las direcciones ip de la zona
trust de cada una de ellas. Se debe dirigir al men y entrar en la siguiente ruta:

Objects >Address >List >New: Ver figura 24

Address Name: Trust_LanP Nombre de la sede principal
IP/Netmask: 10.1.0.0/16 La direccin de red de la sede principal, es decir la
direccin de red de la zona trust que es la zona privada.
Zone: Trust Zona por donde se encuentra ubicada la red LAN de la sede
principal.

Objects >Address >List >New: Ver figura 25

Address Name: Sede_Remota Nombre de la sede remota
IP/Netmask: 10.2.0.0/16 La direccin de red de la sede remota, es decir la
direccin de red de la zona trust que es la zona privada.
Zone: Untrust Zona por donde se encuentra ubicada la sede remota.




7

Figura 24




Figura 25

Paso 6: Se prosigue a configurar la VPN utilizando los algoritmos de cifrado
previamente descritos. En el men se debe seguir la ruta VPNs >Manual Key: Ver
figura 26
VPNs >Manual Key >New:

VPN Tunnel Name: SedeP_SedeR El nombre de la VPN
Gateway IP: 200.20.32.1 La direccin ip de la zona untrust de la sede remota.
Security Index: 3020(Local) 3030 (Remote) este nmero debe ser mayor de
1000. Es un identificador de seguridad para diferenciar las zonas.
8
Outgoing Interface: ethernet3 Es la zona por la cual van a salir los paquetes
de la zona trust de la sede principal.
ESP-CBC: Se selecciona para escoger el algoritmo de encriptacin.
Encryption Algorithm: 3DES-CBC Es el algoritmo de encriptacin
de los datos.
Generate Key by Password: redes Se escribe una contrasea de
seguridad que se cifra y se enva con el paquete.
Authentication Algorithm: SHA-1 Algoritmo de transformacin de
cdigo seguro.
Generate Key by Password: re05d Se escribe una contrasea para la
autenticacin de los datos.
>Advanced:
Bind to Ver figura 27
Tnel Interface: Se debe seleccionar tnel.2 El tnel
creado previamente en el paso 4.
Clic en Return.

Figura 26

9

Figura 27
VPN finalizada. Ver figura 28

Figura 28

Paso 7: Ahora, se deben crear las rutas virtuales entre las sedes, hay que tener en cuenta
que se deben hacer dos, una P.E
3
del router que sirve para encaminar los paquetes por
el canal WAN, y la otra P.E la sede remota que es el destino de los paquetes. Ver figura
29

Network >Routing >Routing Table >trust-vr New:

Network Address/Netmask: 0.0.0.0/0 Esto quiere decir que no importa que
direcciones tenga la zona privada, los paquetes van a salir por la ethernet3.
Gateway: Se selecciona.
Interface: ethernet3 La interfaz por donde van a salir los paquetes y
adems, se conecta el tnel de la sede principal.

3
P.E: Puerta de Enlace o Gateway
10
Gateway IP Address: 200.20.31.2 la puerta de enlace del router.
Porque los paquetes van a pasar por el canal WAN a travs de Internet.
Network >Routing >Routing Table >trust-vr New:

Network Address/Netmask: 10.2.0.0/16 la direccin de la sede remota.
Gateway: Se selecciona.
Interface: tunnel.2 La ruta que van a seguir los paquetes para llegar a
la sede remota.
Gateway IP Address: 0.0.0.0 sin P.E, por que ya se tiene la direccin
de llegada.

Figura 29

Paso 8: Una vez creado el tnel y la VPN, quedan por establecer las polticas de
seguridad y servicio que deben existir entre las dos sedes para que pueda haber
comunicacin.

Polices > (From Trust, To: Untrust) New: Ver figura 30
Name: pol1
Source Address:
Address Book: Trust_LanP Se selecciona la sede principal como la
zona trust
Destination Address:
Address Book: Sede_Remota Se selecciona la sede remota como la
sede untrust.
11
Service: ANY Todos los servicios.
Action: Permit Todos los servicios permitidos.

Polices > (From Untrust, To: trust) New: Ver figura 31
Name: SedeR_SedeP
Source Address:
Address Book: Sede_Remota Se selecciona la sede remota como la
sede untrust.
Destination Address:
Address Book: Trust_LanP Se selecciona la sede principal como la
zona trust
Service: ANY Todos los servicios.
Action: Permit Todos los servicios permitidos.


Figura 30


12

Figura 31


Figura 32: Todas las polticas.

Con esta parte se concluye la configuracin del NS25. Ahora, se mostrar la
configuracin del NS5XT, que es igual a la del NS25, obviamente invirtiendo
direcciones. Esta vez, solo se nombrarn los pasos sin detalles.


2.5.2 Configuracin del NS5XT

En esta parte se enunciarn los pasos y se mostrarn las imgenes ms importantes,
debido a que se asumen que ya se han entendido en los pasos dados arriba.


13
Paso 1: Se debe reiniciar el equipo NS5XT.
Paso 2: Se establecen los direccionamientos a las zonas trust y la untrust.
Paso 3: Se debe abrir una pagina Web, y en la barra de direcciones, ingresar la
direccin anterior mente configurada a la zona trust, pero sin la mascara de subred. Ver
figura 33

Figura 33
Paso 4: En este paso se va a trabajar con las interfaces. Se debe tener en cuenta que este
dispositivo por ser ms pequeo solo tiene 3 interfaces predeterminadas, de las cuales se
van a configurar la zona trust y la zona untrust, de la siguiente manera: Ver figura 34

Network >Interface >Edit: Para la zona Trust:
Zone name: Trust Nombre de la zona
IP Address/Netmask: 10.2.0.1 /16 direccin ip zona trust de la sede
remota.
Network >Interface >Edit: Para la Untrust:
Zone name: Untrust Nombre de la zona
14
IP Address/Netmask:200.20.32.1/24 direccin ip zona untrust de la
sede remota.



Figura 34

Ahora se debe crear el tnel, que va a ir de la zona untrust (NS5XT) de la sede remota, a
la zona untrust (NS25) de la sede principal, de la misma manera inicialmente dada.

Network >Interface >Tunnel IF New: Ver figura 35

Tunnel Interface Name: tunnel.2 Identificador del tnel.
Zone: Untrust (trust-vr) La zona con la cual se va a conectar el tnel entre las
sedes.
Unnumbered: Se selecciona esta opcin, para definir la interfaz untrust
como la elegida para ser la puerta de enlace del NS5XT.
Interface: Untrust (trust-vr)

15

Figura 35

Paso 5: Se contina con la creacin de la lista de direcciones ip de la sede remota y de
la sede principal.

Objects >Address >List >New: Ver figura 36

Address Name: Trust_LanR Nombre de la sede principal
IP/Netmask: 10.2.0.0/16 La direccin de red de la sede remota
Zone: Trust Zona de ubicacin de la red LAN de la sede remota.

Objects >Address >List >New: Ver figura 37

Address Name: Sede_Principal Nombre de la sede principal
IP/Netmask: 10.1.0.0/16 La direccin de red de la sede principal
Zone: Untrust Zona donde se encuentra ubicada la sede principal.

16



Figura 36




Figura 37



17
Paso 6: Se debe continuar con la configuracin de la VPN, de igual forma que la
descrita en el NS25.

VPNs >Manual Key >New: Ver figura 38

VPN Tunnel Name: Remota_principal El nombre de la VPN
Gateway IP: 200.20.31.1 La direccin ip de la zona untrust de la sede
principal.
Security Index: 3030(Local) 3020 (Remote) El identificador de seguridad
para diferenciar las zonas.
Outgoing Interface: Untrust Es la zona por la cual van a salir los paquetes
de la zona trust de la sede remota.
ESP-CBC: Se selecciona para escoger el algoritmo de encriptacin. Tiene que
ser el mismo que se escogi en el NS25.
Encryption Algorithm: 3DES-CBC El algoritmo de encriptacin de
los datos.
Generate Key by Password: redes La contrasea de seguridad.
Authentication Algorithm: SHA-1Algoritmo de transformacin de
cdigo seguro.
Generate Key by Password: re05d La contrasea para la
autenticacin de los datos.
>Advanced: Ver figura 39
Bind to
Tnel Interface: Se selecciona, tnel.2 El tnel que se
creo en Interface, que une las dos sedes a travs de las
zonas untrust.
Clic en Return.

18

Figura 38

Figura 39


Figura 40: VPN finalizada

19
Paso 7: Ya creada la VPN, se deben crear las rutas virtuales entre las sedes. Ver figura
41

Network >Routing >Routing Table >trust-vr New:

Network Address/Netmask: 0.0.0.0/0 Esto quiere decir que no importa que
direcciones tenga la zona privada, los paquetes van a salir por la ethernet3.
Gateway: Se selecciona.
Interface: untrust La interfaz por donde van a salir los
paquetes y adems, se conecta el tnel de la sede principal.
Gateway IP Address: 200.20.32.2 La P.E del router.

Network >Routing >Routing Table >trust-vr New:

Network Address/Netmask: 10.1.0.0/16 la direccin de la sede principal.
Gateway: Se selecciona.
Interface: tunnel.2 La ruta que van a seguir los paquetes para
llegar a la sede principal.
Gateway IP Address: 0.0.0.0 Sin P.E, porque ya se tiene la
direccin de llegada.



Figura 41

20
Paso 8: Una vez establecido el tnel, se deben realizar las polticas de seguridad y
servicio que deben existir entre las sedes. Ver figura 42

Polices >(From Trust, To: Untrust) New:

Name: pol1
Source Address:
Address Book: Trust_LanR Se selecciona la sede remota como
origen.
Destination Address:
Address Book: Sede _ principal Se selecciona la sede principal como
destino.
Service: ANY Todos los servicios.
Action: Permit Todos los servicios permitidos.

Polices > (From Untrust, To: trust) New:

Name: SedeP_SedeR
Source Address:
Address Book: Sede_principal Se selecciona la sede principal.
Destination Address:
Address Book: Trust_LanR Se selecciona la sede remota.
Service: ANY Todos los servicios.
Action: Permit Todos los servicios permitidos.

Figura 42
21
Culminada las configuraciones de los equipos, se debe dirigir a probar la conectividad
con el comando ping. Para esto se debe abrir una ventana de comandos y hacerle ping
direccin de la otra sede.

De igual forma se aplica el comando tracert d, para ver los saltos que realiza la trama
para llegar de origen al destino. Ver figura 43


Figura 43

22

Figura 44

Una manera anexa para comprobar y percibir si los paquetes estn en realidad viajando
a travs de la WAN, es utilizar una herramienta de escaneo llamada Ethereal. Para esto
se debe colocar un equipo en la red WAN que contenga el Sniffer para que capture los
paquetes que viajan a travs de l. Ver figura 45

23

Figura 45

Con el Sniffer, se visualiza de igual forma, la conversacin que tienen los equipos
durante la comunicacin. Ver figura 46

24

Figura 46

















25
Con el comando netstat -an, se verifica que se est cumpliendo con la funcin NAT
dada a las zonas trust de cada sede.
Se est haciendo un servicio de http del equipo 10.2.0.2 de la sede remota, al equipo
10.1.0.5 de la sede principal. Ver figura 47


Figura 47



26
2.5.3 Configuracin de los Router Cisco 1700
La configuracin que los routers Cisco 1751 deben tener para que halla comunicacin
con los firewalls se muestra a continuacin en las figuras 48 y 49.

Figura 48: Router 1

Figura 49: Router 2
27

28