0 valutazioniIl 0% ha trovato utile questo documento (0 voti)
110 visualizzazioni15 pagine
Este documento describe la simulación de una red privada virtual (VPN) utilizando IPsec entre tres routers Cisco. Se configuran las interfaces de los routers con direcciones IP y se implementa EIGRP para enrutamiento. Finalmente, se configuran parámetros IKE para establecer la autenticación y encriptación del tráfico a través de la VPN IPsec entre los routers.
Este documento describe la simulación de una red privada virtual (VPN) utilizando IPsec entre tres routers Cisco. Se configuran las interfaces de los routers con direcciones IP y se implementa EIGRP para enrutamiento. Finalmente, se configuran parámetros IKE para establecer la autenticación y encriptación del tráfico a través de la VPN IPsec entre los routers.
Este documento describe la simulación de una red privada virtual (VPN) utilizando IPsec entre tres routers Cisco. Se configuran las interfaces de los routers con direcciones IP y se implementa EIGRP para enrutamiento. Finalmente, se configuran parámetros IKE para establecer la autenticación y encriptación del tráfico a través de la VPN IPsec entre los routers.
-Delgado Celis Alan Ivan -Mojica Ruben Jeh -Alcantara Rosete d!in Miguel Seguridad en redes "imulaci#n de una $%& con I%sec en '&"() *) I&+R,D-CCI.&) IPsec es un marco de est/ndares abiertos desarrollados 0or el Internet ngineering +as1 2orce 3I+245 6ue 0ro0orciona seguridad 0ara la transmisi#n de in7ormaci#n sensible a trav8s de redes sin 0rotecci#n5 como es el caso de Internet) I%sec acta en la ca0a de red5 lo 6ue hace 6ue sea m/s 7le9ible 7rente a otros 0rotocolos 6ue actan a 0artir de la ca0a de trans0orte 3modelo ,"I45 como ""L5 +L" o "":) As;5 0ro0orciona 0rotecci#n < autenticaci#n de los 0a6uetes I% entre los dis0ositivos I%sec 0artici0antes 3=0ares>45 0or ejem0lo dos routers de Cisco) n la 7igura siguiente se o7rece una visi#n sim0li7icada de c#mo 7unciona I%sec en un router Cisco) Dos routers establecen un tnel I%sec virtual entre s; utilizando algoritmos < 0ar/metros comunes) l tr/7ico de color rojo es el tr/7ico 6ue 7lu<e a trav8s del router5 6ue sirve 0ara ir a Internet < no a trav8s del tnel $%&) l verde es el tr/7ico 6ue 0retende ir de un sitio a otro a trav8s del tnel I%sec $%&) Pero por qu utilizar IPsec para crear redes privadas virtuales? %or6ue debemos asumir 6ue los nodos e9ternos 0ueden ser maliciosos e I%sec 0ro0orciona una soluci#n de seguridad m/s robusta 6ue los servicios 0ro0iertarios de Cisco < est/ basada en est/ndares) 2. HERRAMIENTAS. %ara esta 0r/ctica se ha decidido utilizar un simulador gr/7ico de red5 el GNS3. '&"( es un simulador de distribuci#n libre 6ue 0ermite disear to0olog;as de red com0lejas < 0oner en marcha simulaciones sobre los routers) st/ estrechamente relacionado con D<nami0s5 un emulador de I," 6ue 0ermite a los usuarios ejecutar im/genes de las I," de los routers de Cisco "<stems) n conjunto5 se trata de una buena herramienta com0lementaria a los verdaderos laboratorios 0ara administradores de redes Cisco < en es0ecial 0ara estudiantes) La I," escogida 0ara este ejem0lo es la del Cisco router ?@AA 6ue sabemos 6ue so0orta las 7unciones de con7iguraci#n 0ara la im0lementaci#n de una $%& con I0sec) 3. Desarrollo. La ma6ueta est/ 7ormada 0or tres routers c?@AA) :a< 6ue arrastrar cada uno de los dis0ositivos al es0acio de trabajo < con7igurar sus inter7aces) As; 0ues5 seleccionamos el router aadido con el bot#n derecho del rat#n < hacemos clic1 en la 0estaa "lots) &uestros routers dis0ondr/n de un slot con una inter7az 2ast-thernet < de otro con B inter7aces "erie) La to0olog;a 7inal ser/ la siguiente5 los routers R* < R( estar/n conectados a R@5 6ue es el router e9terno 6ue se conecta a Internet) R* se conecta mediante su inter7az 2ast-thernet) l uso del s!itch en la vida real ser/ necesario o no segn si usamos conectores RJCD directo 30ara dis0ositivos desiguales4 o cruzado 30ara dis0ositivos igualitarios4) R( se conectar/ a R@ mediante una inter7az serie) %ara conectar los routers mediante las inter7aces sim0lemente se usa el icono con 7orma de conector 6ue se observa en la imagen su0erior < se hace clic1 en uno de los nodos 6ue 6ueremos conectar5 arrastr/ndolo hasta el otro nodo) Cuando <a est8 todo conectado5 0ulsamos el 0la< 0ara activar el 7uncionamiento de nuestra ma6ueta) %ara comenzar a con7igurar los routers5 <a s#lo hace 7alta 0ulsar el icono de consola5 < se abrir/n autom/ticamente tres ventanas 6ue emular/n las consolas de los routers) Ea 0odemos em0ezar a con7igurar5 utilizando el Cisco I," command-line inter7ace) . !"N#IG$RA!I%N DE &AS INTER#A!ES) n 0rimer lugar con7iguraremos las inter7aces de loo0bac1 < las inter7aces serie5 asignando las direcciones I% a cada una < a0licando el comando Fno shutdo!nG a todos las cone9iones 7;sicas 0ara dejarlas abiertas) l comando Fcloc1 rateG es necesario 0ara sincronizar las inter7aces "erie) A0licaremos un cloc1 rate de HCAAA bits 0or segundo en el conector DC) Imaginaremos 6ue hemos contratado la subred *I@)*HB)*@)AJ@C5 6ue usaremos 0ara las inter7aces 2ast-thernet < la subred *I@)*HB)@()AJ@C 0ara las inter7aces serie) La inter7az de loo0bac1 de R* ser/ la *?@)*H)*)*J@C < la de R@5 la *?@)*H)()*J@C) n todos los routers5 habilitamos el modo con7iguraci#n global < le 0onemos un nombre 0ara evitar con7usiones a la hora de con7igurar) Los mensajes 6ue contienen un asterisco son los mensajes de con7irmaci#n 6ue nos a0arecen 0or consola a medida 6ue escribimos las #rdenes) Router>enable Router#configure terminal *Enter configuration commands, one per line. End with CNTL!. Router"config##hostname R$ R$"config## Ahora con7iguraremos las inter7aces de cada uno de los routers) R$"config##interface loopbac%& *'un ( $&)*&)+$.**+) ,L-NE.R/T/0+01.2/3N) Line protocol on -nterface Loopbac%&, changed state to up R$"config0if##ip address $45.$6.$.$ 5++.5++.5++.& R$"config0if##interface fastethernet&& R$"config0if##ip address $75.$6(.$5.$ 5++.5++.5++.& R$"config0if##no shutdown *'un ( $&)*6)*7.&6*) ,L-N80*01.2/3N) -nterface 9astEthernet&&, changed state to up *'un ( $&)*6)*7.&6*) ,ENT-T:;<L<R=060-N9/) CLE<R -N9/ 9a&& .h>sical .ort <dministrati?e @tate 2own *'un ( $&)*6)A&.&6*) ,L-NE.R/T/0+01.2/3N) Line protocol on -nterface 9astEthernet&&, changed state to up R5"config##interface fastEthernet && R5"config0if##ip address $75.$6(.$5.5 5++.5++.5++.& R5"config0if##no shutdown *'un ( $&)A4)&5.6A4) ,L-N80*01.2/3N) -nterface 9astEthernet&&, changed state to down *'un ( $&)A4)&5.6A4) ,ENT-T:;<L<R=060-N9/) CLE<R -N9/ 9a&& .h>sical .ort <dministrati?e @tate 2own *'un ( $&)A4)&5.6A4) ,ENT-T:;<L<R=060-N9/) <@@ERT CR-T-C<L 9a&& .h>sical .ort Lin% 2own R5"config0if##interface serial$& R5"config0if##ip address $75.$6(.5*.5 5++.5++.5++.& R5"config0if##cloc%rate 6A&&& R5"config0if##no shutdown *'un ( $&)A()*7.*5*) ,L-N80*01.2/3N) -nterface @erial$&, changed state to up *'un ( $&)A()*7.*5*) ,ENT-T:;<L<R=060-N9/) CLE<R -N9/ @e$& .h>sical .ort <dministrati?e @tate 2own *'un ( $&)A()A&.*54) ,L-NE.R/T/0+01.2/3N) Line protocol on -nterface @erial$&, changed state to up R*"config##interface loopbac%& *'un ( $&)+$)54.$64) ,L-NE.R/T/0+01.2/3N) Line protocol on -nterface Loopbac%&, changed state to R*"config0if##ip address $45.$6.*.$ 5++.5++.5++.& R*"config0if##interface serial$& R*"config0if##ip address $75.$6(.5*.* 5++.5++.5++.& R*"config0if##no shutdown *'un ( $&)+5)+$.*$+) ,L-N80*01.2/3N) -nterface @erial$&, changed state to up *'un ( $&)+5)+$.*$+) ,ENT-T:;<L<R=060-N9/) CLE<R -N9/ @e$& .h>sical .ort <dministrati?e @tate 2own *'un ( $&)+5)+5.*$7) ,L-NE.R/T/0+01.2/3N) Line protocol on -nterface @erial$&, changed state to up %ara com0robar 6ue tenemos conectividad entre las subredes locales usamos el comando 0ing) R$#ping $75.$6(.$5.5 *T>pe escape seBuence to abort. *@ending +, $&&0b>te -C=. Echos to $75.$6(.$5.5, timeout is 5 seconds) CCCCC *@uccess rate is $&& percent "++#, round0trip mina?gmaD E $6A5$4*&& ms R*#ping $75.$6(.5*.5 *T>pe escape seBuence to abort. *@ending +, $&&0b>te -C=. Echos to $75.$6(.5*.5, timeout is 5 seconds) CCCCC *@uccess rate is $&& percent "++#, round0trip mina?gmaD E $A&$7555& ms !"N#IG$RAR EIGRP Con la intenci#n de mantener conectividad entre redes remotas5 con7iguramos I'R% 3un 0rotocolo de routing 0ro0ietario de Cisco4 0ara 0oder enrutar entre todas las redes del diagrama) Aadiremos todas las subredes conectadas a cada router al "istema Aut#nomo * < deshabilitaremos la sumarizaci#n de redes autom/tica 0ara 6ue todas las subredes sean visibles desde todos los 0untos) R$"config##router eigrp $ R$"config0router##no auto0summar> R$"config0router##networ% $45.$6.&.& R$"config0router##networ% $75.$6(.$5.& *'un ( $$)*A)A&.577) ,21<L0+0NFRCG<NHE) -.0E-HR."&# $) Neighbor $75.$6(.$5.5 "9astEthernet&&# is up) new adIacenc> R5"config##router eigrp $ R5"config0router##no auto0summar> R5"config0router##networ% $75.$6(.$5.& *'un ( $$)*A)A&.&&*) ,21<L0+0NFRCG<NHE) -.0E-HR."&# $) Neighbor $75.$6(.$5.$ "9astEthernet&&# R5"config0router## networ% $75.$6(.5*.& *'un ( $$)*A)A6.76*) ,21<L0+0NFRCG<NHE) -.0E-HR."&# $) Neighbor $75.$6(.5*.* "@erial$&# is up) new adIacenc> R*"config##router eigrp $ R*"config0router##no auto0summar> R*"config0router##networ% $45.$6.&.& R*"config0router##networ% $75.$6(.5*.& *'un ( $$)*A)A6.(+$) ,21<L0+0NFRCG<NHE) -.0E-HR."&# $) Neighbor $75.$6(.5*.5 "@erial$&# is up) new adIacenc> Ahora <a deber;amos tener conectividad total 0or I%) Lo 0robaremos con el siguiente scri0t +CL en R*) R$#tclsh R$"tcl##foreach address J K>"tcl##$45.$6.$.$ K>"tcl##$75.$6(.$5.$ K>"tcl##$75.$6(.$5.5 K>"tcl##$75.$6(.5*.5 K>"tcl##$45.$6.*.$ K>"tcl##$75.$6(.5*.* K>"tcl##L J ping Maddress L !REAR P"&'TI!AS I(E %ara im0lementar una $%& con I%sec5 en 0rimer lugar ha< 6ue im0lementar los 0ar/metros >Internet Ke< 9change> 3IK45 utilizados 0ara validar las 0ol;ticas entre 0ares) IK es un 0rotocolo 6ue de7ine el m8todo de intercambio de claves sobre I% en una 0rimera 7ase de negociaci#n segura) De esta 7orma5 los 0ares intercambian las 0ol;ticas I%sec 0ara la autenticaci#n < la encri0taci#n del tr/7ico de datos) La 0ol;tica IK controla la autenticaci#n5 el algoritmo de encri0taci#n < el m8todo de intercambio de claves usado 0or las 0ro0uestas IK5 siendo enviados < recibidos 0or los e9tremos I%sec) La 0ol;tica I%sec se usa 0ara encri0tar tr/7ico de datos enviado a trav8s de un tnel $%&) %ara 0oder em0ezar a trabajar5 ha< 6ue habilitar IK) n algunas I," est/ habilitado 0or de7ecto5 0ero 0or si acaso ejecutaremos el comando corres0ondiente) R$"config##cr>pto isa%mp enable %ara 0ermitir la negociaci#n5 en 0rimer lugar ha< 6ue crear una 0ol;tica I"AKM% 3Internet "ecurit< Association and Ke< Management %rotocol4 < con7igurar la asociaci#n entre los 0ares 6ue 0artici0an en la 0ol;tica I"AKM%) Lsta 0ol;tica de7ine la autenticaci#n5 los algoritmos de encri0taci#n < la 7unci#n hash utilizada 0ara enviar tr/7ico de control entre los dos nodos de la $%&) %ara iniciar las 0ol;tica I"AKM% introducimos el siguiente comando en modo con7iguraci#n global) R$"config##cr>pto isa%mp polic> $& "i a continuaci#n introducimos el 0ar/metro FMG 0odemos ver todos los 0ar/metros IK dis0onibles) Al conjunto de 0ar/metros 6ue se utilizan 0ara de7inir los re6uerimientos de seguridad de una comunicaci#n en una direcci#n 0articular 3entrante o saliente45 se le llama >Asociaci#n de "eguridad> 3"A4) La elecci#n de un algoritmo de encri0taci#n controlar/ la con7idencialidad del canal de control entre los dos nodos) l algoritmo hash controla la integridad de los datos) l ti0o de autenticaci#n se asegura de 6ue5 en e7ecto5 el 0a6uete 7ue enviado < 7irmado 0or el 0ar remoto) l gru0o Di77ie-:ellman se usa 0ara crear una clave secreta com0artida 0or los 0ares 6ue nunca ha<a sido enviada a trav8s de la red) $amos a con7igurar una autenticaci#n de claves 0re-com0artidas) -tilizaremos encr<0taci#n A" @DH 3es decir una clave de @DH bits < un tamao de blo6ue de *H b<tes4 < ":A como algoritmo hash5 adem/s de Di77ie- :ellman gru0o D 3*D(H bits4 0ara esta 0ol;tica IK) Le daremos a esta Asociaci#n de "eguridad un tiem0o de vida de (HAA segundos 3una hora4) "e trata del tiem0o m/9imo en el 6ue una 0ol;tica de seguridad se utiliza sin necesidad de negociarla de nuevo) ,bviamente5 esta con7iguraci#n ha< 6ue a0licarla a los dos nodos en los 6ue crearemos la $%&) R$"config##cr>pto isa%mp polic> $& R$"config0isa%mp##authentication pre0share R$"config0isa%mp##encr>ption aes 5+6 R$"config0isa%mp##hash sha R$"config0isa%mp##group + R$"config0isa%mp##lifetime *6&& R*"config##cr>pto isa%mp polic> $& R*"config0isa%mp##authentication pre0share R*"config0isa%mp##encr>ption aes 5+6 R*"config0isa%mp##hash sha R*"config0isa%mp##group + R*"config0isa%mp##lifetime *6&& Aun6ue s#lo necesitamos con7igurar una 0ol;tica a6u;5 0odemos con7igurar mtli0les 0ol;ticas IK) Los di7erentes nmeros de 0rioridad est/n relacionados con la seguridad) Cuanto menor sea el nmero5 m/s segura es la 0ol;tica) Los routers com0robar/n < veri7icar/n 6u8 0ol;ticas de seguridad con com0atibles con sus 0ares5 comenzando con la 0ol;tica de menor nmero) %odemos veri7icar nuestra 0ol;tica IK con el comando sho! cr<0to isa1m0 0olic<) !"N#IG$RAR !&A)ES PRE!"NPARTIDAS. -na vez elegido nuestro m8todo de autenticaci#n5 tenemos 6ue con7igurar una clave en cada router 6ue se corres0onda con el otro nodo de la $%&) Las claves utilizadas deben coincidir 0ara 6ue la autenticaci#n sea satis7actoria < 0ara 6ue la relaci#n IK entre 0ares se com0lete) %or sim0licidad5 utilizaremos la clave =sssi>) ,bviamente5 0ara cual6uier otro caso se deber;a utilizar una clave m/s com0leja) -saremos el comando cr<0to isa1m0 1e< sssi address junto con las direcciones I% de las inter7aces 7;sicas de los nodos del e9tremo o0uesto) R$"config##cr>pto isa%mp %e> sssi address $75.$6(.5*.* R*"config##cr>pto isa%mp %e> sssi address $75.$6(.$5.$ !"N#IG$RAR E& IPSE! TRANS#"RM SET * &"S &I#ETIMES. l I%sec trans7orm set es otro 0ar/metro de con7iguraci#n ci7rada 6ue negocian los routers 0ara 7ormar Asociaciones de "eguridad) De la misma 7orma 6ue las 0ol;ticas I"AKM%5 tambi8n 0ueden e9istir mlti0les trans7orm sets en un router) Los routers com0arar/n sus trans7orm sets con el 0ar remoto hasta encontrar uno 6ue coincida) Crearemos un trans7orm set I%sec usando la sinta9is =cr<0to i0sec trans7orm set>) -tilizaremos el caracter FMG 0ara descubrir los 0ar/metros dis0onibles) IK est/ 7ormado 0or una cabecera de autenticaci#n =Authentication :eader> 3A:4 o 0or una cabecera de autenticaci#n m/s encri0taci#n 6ue se conoce como =nca0sulating "ecurit< %a<load> 3"%4) -na Asociaci#n de "eguridad 0uede ser A: o "%5 0ero no ambas) I%sec o7rece dos modos de o0eraci#n segn utilice A: o "% 0ara 0roteger los datos sobre I%) "e conocen como =modo de trans0orte> 3si usamos A:4 o =modo tnel> 3si usamos "%4) n esta ocasi#n vamos a decantarnos 0or "%) As; 0ues5 ejecutamos el comando en ambos routers) R$"config##cr>pto ipsec transform0set +& esp0aes 5+6 esp0sha0hmac R*"config##cr>pto ipsec transform0set +& esp0aes 5+6 esp0sha0hmac %odemos es0eci7icar nuestro tiem0o de seguridad asociado un vez creado el trans7orm-set) A continuaci#n cambiaremos5 en R* < R(5 nuestro l;mite de tiem0o a (A minutos) R$"config##cr>pto ipsec securit>0association lifetime seconds $(&& R*"config##cr>pto ipsec securit>0association lifetime seconds $(&& DE#INIR E& TR+#I!" ,$E N"S INTERESA. Ahora 6ue todas las o0ciones de encri0taci#n est/n claras5 de7iniremos listas de acceso e9tendidas 0ara decirle al router 6u8 tr/7ico debe encri0tar) n este caso5 un 0a6uete al 6ue se le 0ermite5 mediante una lista de acceso usada 0ara de7inir tr/7ico I%sec5 ser/ encri0tado si la sesi#n I%sec ha sido con7igurada correctamente) "in embargo5 un 0a6uete denegado 0or alguna de estas listas de acceso no se tirar/5 sino 6ue ser/ enviado sin encri0tar) Como en todas las listas de acceso5 e9iste un =den<> im0l;cito al 7inal5 6ue en este caso im0lica 6ue la acci#n 0or de7ecto es no encri0tar tr/7ico) "i no ha< una asociaci#n de seguridad correctamente con7igurada5 entonces tam0oco se encri0tar/ el tr/7ico5 sino 6ue ser/ enviado sin encri0tar) n este escenario5 el tr/7ico 6ue vamos a encri0tar es tr/7ico 0rocedente de la direcci#n de loo0bac1 de R* hasta la direcci#n de loo0bac1 de R(5 o viceversa) Las listas de acceso se usan en las inter7aces de salida de los nodos terminales de la $%&5 0or lo 6ue debemos con7igurarlas acorde a esto) La con7iguraci#n de la lista de acceso de R* debe ser e9actamente el es0ejo de la de R( 0ara 6ue 7uncione correctamente) R$"config##access0list $&$ permit ip $45.$6.$.& &.&.&.5++ $45.$6.*.& &.&.&.5++ R*"config##access0list $&$ permit ip $45.$6.*.& &.&.&.5++ $45.$6.$.& &.&.&.5++ Como se 0uede observar5 las m/scaras en las listas de acceso se escriben como m/scaras invertidas5 siendo en realidad redes J@C como hemos indicado al comienzo de la memoria) !REAR * AP&I!AR !R*PT" MAPS Ahora 6ue hemos creado estos 0e6ueos m#dulos de con7iguraci#n5 0odemos llevarlos todos a un cr<0to ma0) -n cr<0to ma0 es una asignaci#n 6ue asocia el tr/7ico 6ue coincide con una lista de acceso 3como la de7inida anteriormente4 a un 0ar de nodos < a diversas 0ol;ticas IK < o0ciones de I%sec) stos ma0as de ci7rado 0ueden tener mlti0les sentencias5 0or lo 6ue 0odr;amos obtener tr/7ico 6ue coincide con una cierta lista de acceso siendo encri0tado < enviado a otro 0ar I%sec5 < 0or otro lado obtener otro tr/7ico 6ue coincide con una lista de acceso di7erente siendo encri0tada hacia otro nodo di7erente) -na vez 6ue un ma0a de ci7rado ha<a sido creado5 0uede ser a0licado a una o m/s inter7aces5 0ero siem0re deber;a a0licarse a las inter7aces en7rentadas con la inter7az de su 0ar I%sec) %ara crear un ma0a de ci7rado5 usaremos el comando =cr<0to ma0> en modo con7iguraci#n global5 al 6ue aadiremos un nombre < un nmero de secuencia5 e introduciremos la con7iguraci#n deseada asociada a ese nmero de secuencia) Muchas sentencias de los ma0as de ci7rado 0ueden 0ertenecer al mismo cr<0to ma05 < en ese caso ser;an evaluados en orden num8rido ascendente) +ambi8n introduciremos el ti0o de ci7rado) n cuanto a esto ltimo5 si usamos el ti0o =i0sec-isa1m0> signi7ica 6ue se usar/ IK 0ara establecer asociaciones de seguridad con I%sec5 al contrario de lo 6ue ocurrir;a en caso de seleccionar el ti0o =i0secmanual>) $amos a llamar al cr<0to ma0 =MA%A*N < utilizaremos el nmero de secuencia *A) Cuando entremos en el modo de con7iguraci#n de ma0as de ci7rado en R* nos a0arecer/ una advertencia5 indicando 6ue el 0eer debe estar com0letamente con7igurado antes de 6ue el ma0a de ci7rado sea considerado v/lido < 0ueda ser a0licado activamente) R$"config##cr>pto map =<.<$ $& ipsec0isa%mp Ahora usaremos el comando =match address> junto al nmero de la lista de acceso creada 0ara es0eci7icar 6u8 lista de acceso de7inir/ el tr/7ico a encri0tar) R$"config0cr>pto0map##match address $&$ l comando =set> nos o7rece muchas 0osibilidades 0ara trabajar con un ma0a de ci7rado) $amos a utilizar el car/cter de a<uda FMG 0ara conocerlas) Algunos de estos comandos son im0rescindibles5 como =set i0>5 =set 0eer> o =set hostname>) Los a0licaremos a la inter7az del nodo del otro e9tremo de la $%&) Adem/s seleccionaremos el nmero del trans7orm set de7inido anteriormente) +ambi8n seleccionaremos el comando =set 07s claves> 30er7ect 7or!arding secrec< t<0e4 cu<a clave est/ directamente relacionada con el ti0o de m#dulo Di77ie-:ellman seleccionado) Desde este modo de con7iguraci#n tambi8n 0odemos modi7icar el tiem0o de vida de la Asociaci#n de "eguridad) La con7iguraci#n nos ha 6uedado as;O R$"config0cr>pto0map##set peer $75.$6(.5*.* R$"config0cr>pto0map##set pfs group+ R$"config0cr>pto0map##set transform0set +& R$"config0cr>pto0map##set securit>0association lifetime seconds 7&& R*"config##cr>pto map =<.<$ $& ipsec0isa%mp , N/TE) This new cr>pto map will remain disabled until a peer and a ?alid access list ha?e been configured. R*"config0cr>pto0map##match address $&$ R*"config0cr>pto0map##set peer $75.$6(.$5.$ R*"config0cr>pto0map##set pfs group+ R*"config0cr>pto0map##set transform0set +& R*"config0cr>pto0map##set securit>0association lifetime seconds 7&& Ahora 6ue los ma0as de ci7rado han sido creados5 el ltimo 0aso en el 0roceso de creaci#n $%&Gs nodo a nodo es a0licar los ma0as a las inter7aces) sto lo conseguimos entrando en modo con7iguraci#n de inter7az e introduciendo el comando =cr<0to ma0 nombre>) s necesario com0render 6ue las asociaciones de seguridad no se establecer/n hasta 6ue el ma0a de ci7rado sea activado al reconocer tr/7ico 6ue le interesa) &o crearemos dicho tr/7ico an5 0or6ue tendremos 6ue 0ermitir algunos comandos de de0uraci#n en 0r#9imos 0asos) De momento5 el router generar/ una noti7icaci#n indicando 6ue se ha activado el ci7rado en dichas inter7aces) R$"config##interface fastEthernet && R$"config0if##cr>pto map =<.<$ *'un ( 5$)&4)5A.$64) ,CR:.T/060-@<8=.;/N;/99) -@<8=. is /N R*"config##interface serial $& R*"config0if##cr>pto map =<.<$ *'un ( 5$)&()*(.57+) ,CR:.T/060-@<8=.;/N;/99) -@<8=. is /N )ERI#I!AR !"N#IG$RA!I%N n el 0aso H usamos el comando =sho! cr<0to isa1m0 0olic<> 0ara mostrar las 0ol;ticas I"AKM% con7iguradas en el router) De 7orma similar5 el comando =sho! cr<0to i0sec trans7orm set> muestra 0or 0antalla las 0ol;ticas I%sec con7iguradas en los trans7orm sets) A continuaci#n usaremos el comando =sho! cr<0to ma0> 0ara mostrar los ma0as de ci7rado 6ue se han a0licado al router) sta in7ormaci#n no cambiar/ aun6ue ha<a tr/7ico =interesante> cruzando a trav8s de la cone9i#n) )ERI#I!AR "PERA!I%N IPSE!. "i usamos el comando =sho! cr<0to isa1m0 sa>5 8ste nos revelar/ 6ue no e9isten asociaciones de seguridad IK todav;a) sta in7ormaci#n de salida se ver/ modi7icada en cuanto se comience a enviar tr/7ico =interesante>) "i ahora usamos el comando =sho! cr<0to i0sec sa>5 este comando nos mostrar/ las asociaciones de seguridad en desuso entre R* < R() %odemos 7ijarnos en la ausencia5 tanto de 0a6uetes enviados a trav8s como de asociaciones de seguridad) sto ltimo se muestra hacia la 0arte in7erior de la salida en ambos routers) INTERPRETAR E)ENT"S DE DEP$RA!I"N. n t8rminos de la comunicaci#n real entre los 0untos e9tremos de la $%&5 I"AKM% establece normas estrictas en cuanto a c#mo 0uede ser una asociaci#n de seguridad establecida) La 7ase * de IK 3I"AKM%4 negociar/ el canal seguro entre los nodos5 autenticar/ a su vecino si tiene la clave secreta correcta5 < autenticar/ el nodo remoto a trav8s del canal seguro) La 7ase * de IK utiliza el =modo 0rinci0al>5 6ue consta de seis mensajes en tres intercambios de eventos) l resultado es una asociaci#n de seguridad I"AKM% bidireccional) Los intercambios son de entradaJsalida5 0or lo 6ue cada evento se guarda en la de0uraci#n como un evento de entrada desde cada router local hasta el router remoto) La 7ase @ de IK 3I%"ec4 negociar/ el tunel I%sec entre los dos nodos 7inales5 autenticar/ los 0ares < encri0tar/ el tr/7ico de datos entre ellos a trav8s del tunel ci7rado) La 7ase @ de IK usa el 0roceso llamado =modo r/0ido> 0ara llevar a cabo su intercambio 0ara establecer dos asociaciones de seguridad unidireccionales) A continuaci#n en R* habilitaremos dos comandos de de0uraci#nO =debug cr<0to isa1m0> < >debug cr<0to i0sec>) R$#debug cr>pto isa%mp *Cr>pto -@<8=. debugging is on R$#debug cr>pto ipsec *Cr>pto -.@EC debugging is on Ahora enviaremos un 0ing e9tendido desde la direcci#n de loo0bac1 de R* hasta la direcci#n de loo0bac1 de R( < veremos la de0uraci#n de la salida de ambos routers) $eremos tanto la negociaci#n I"AKM% como el establecimiento de la asociaci#n de seguridad I%sec) R$# ping .rotocol NipO) Target -. address) $45.$6.*.$ Repeat count N+O) 2atagram siPe N$&&O) Timeout in seconds N5O) EDtended commands NnO) > @ource address or interface) $45.$6.$.$ T>pe of ser?ice N&O) @et 29 bit in -. headerQ NnoO) Ralidate repl> dataQ NnoO) 2ata pattern N&D<FC2O) Loose, @tring, Record, Timestamp, Rerbose NnoneO) @weep range of siPes NnO) n medio de una salida bastante e9tensa5 el resultado obtenido ha sido el siguiente) *T>pe escape seBuence to abort. *@ending +, $&&0b>te -C=. Echos to $45.$6.*.$, timeout is 5 seconds) *.ac%et sent with a source address of $45.$6.$.$ ..CCC @uccess rate is 6& percent "*+#, round0trip mina?gmaD E 55(54*576 ms Ea 0odemos cancelar la instrucci#n de de0uraci#n) R$#undebug all <ll possible debugging has been turned off E ahora s; 6ue se 0ueden ver datos al introducir los comandos de ci7rado) %odemos observar 6ue esta vez s; 6ue se han encri0tado 0a6uetes5 < 6ue se han 7ormado varias asociaciones de seguridad) !"N#IG$RA!I"NES #INA&ES Las con7iguraciones 7inales se 0ueden observar a continuaci#n mediante el uso de la instrucci#n >sho! running- con7ig>) ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; R$#show running0config Fuilding configuration... Current configuration ) 5$$A b>tes C ?ersion $5.A ser?ice timestamps debug datetime msec ser?ice timestamps log datetime msec no ser?ice password0encr>ption C hostname R$ C boot0start0mar%er boot0end0mar%er C no aaa new0model C resource polic> C ip subnet0Pero ip cef C cr>pto isa%mp polic> $& encr aes 5+6 authentication pre0share group + lifetime *6&& cr>pto isa%mp %e> sssi address $75.$6(.5*.* C cr>pto ipsec securit>0association lifetime seconds $(&& C cr>pto ipsec transform0set +& esp0aes 5+6 esp0sha0hmac C cr>pto map =<.<$ $& ipsec0isa%mp set peer $75.$6(.5*.* set securit>0association lifetime seconds 7&& set transform0set +& set pfs group+ match address $&$ C interface Loopbac%& ip address $45.$6.$.$ 5++.5++.5++.& C interface 9astEthernet&& ip address $75.$6(.$5.$ 5++.5++.5++.& dupleD auto speed auto cr>pto map =<.<$ C C router eigrp $ networ% $45.$6.&.& networ% $75.$6(.$5.& no auto0summar> C ip classless no ip http ser?er no ip http secure0ser?er C logging alarm informational access0list $&$ permit ip $45.$6.$.& &.&.&.5++ $45.$6.*.& &.&.&.5++ C gate%eeper shutdown C line con & stopbits $ line auD & line ?t> & A C end ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; R5#sh run Fuilding configuration... Current configuration ) $+(7 b>tes C ?ersion $5.A ser?ice timestamps debug datetime msec ser?ice timestamps log datetime msec no ser?ice password0encr>ption C hostname R5 C boot0start0mar%er boot0end0mar%er C no aaa new0model C resource polic> C ip subnet0Pero ip cef C interface 9astEthernet&& ip address $75.$6(.$5.5 5++.5++.5++.& dupleD auto speed auto C interface @erial$& ip address $75.$6(.5*.5 5++.5++.5++.& serial restart0dela> & cloc% rate 6A&&& no dce0terminal0timing0enable C router eigrp $ networ% $75.$6(.$5.& networ% $75.$6(.5*.& no auto0summar> C ip classless no ip http ser?er no ip http secure0ser?er C logging alarm informational C control0plane C gate%eeper shutdown C line con & stopbits $ line auD & line ?t> & A C end ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; R*#sh run Fuilding configuration... Current configuration ) 5&5A b>tes C ?ersion $5.A ser?ice timestamps debug datetime msec ser?ice timestamps log datetime msec no ser?ice password0encr>ption C hostname R* C boot0start0mar%er boot0end0mar%er C no aaa new0model C resource polic> C ip subnet0Pero ip cef C cr>pto isa%mp polic> $& encr aes 5+6 authentication pre0share group + lifetime *6&& cr>pto isa%mp %e> sssi address $75.$6(.$5.$ C cr>pto ipsec securit>0association lifetime seconds $(&& C cr>pto ipsec transform0set +& esp0aes 5+6 esp0sha0hmac C cr>pto map =<.<$ $& ipsec0isa%mp set peer $75.$6(.$5.$ set securit>0association lifetime seconds 7&& set transform0set +& set pfs group+ match address $&$ C interface Loopbac%& ip address $45.$6.*.$ 5++.5++.5++.& C interface @erial$& ip address $75.$6(.5*.* 5++.5++.5++.& serial restart0dela> & no dce0terminal0timing0enable cr>pto map =<.<$ C router eigrp $ networ% $45.$6.&.& networ% $75.$6(.5*.& no auto0summar> C ip classless no ip http ser?er no ip http secure0ser?er C logging alarm informational access0list $&$ permit ip $45.$6.*.& &.&.&.5++ $45.$6.$.& &.&.&.5++ C control0plane C gate%eeper shutdown C line con & stopbits $ line auD & line ?t> & A C end