Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Laboratorio N 11
OBJETIVOS
Implementar VPN entre un CLIENTE y un CONCENTRADOR VPN.
Describir el proceso de una conexin VPN CLIENTE
EQUIPOS
3 Computadora.
2 ROUTER CISCO 2800
2 SWITC 3560
PROCEDIMIENTO
PARTE 1
En grupo de 3, realizaremos las conexiones respectivas, teniendo los
cables respectivos. PC REAL (A)(B)(C) representa a las PC reales de
cada participante del grupo.
RESET
> enable Realice
Realice este
este proceso
proceso dede
RESET
RESET sisi no
no apareci
apareci el
el
# erase nvram mensaje
mensaje queque indicaba
indicaba
# reload que
que el
el equipo
equipo estaba
estaba
limpio
limpio
1
Tecsup
Los
Los nombres
nombres de
de las
las interfaces
interfaces son
son del
del modelo
modelo
CONFIGURACION ROUTER CENTRAL de
de router
router 2800,
2800, para
para otros
otros modelos
modelos
previamente
previamente visualizar
visualizar lala informacin
informacin con
con el
el
3. (RC)Personalizando los parmetros de conectividad: comando
comando ## show
show running-config
running-config
> enable
# configure terminal
> enable
# configure terminal
2
Tecsup
Login: root
Password: tecsup
Personalizar la conectividad:
IP
# vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
Personalice
Personalice con
con sus
sus propios
propios
ONBOOT=yes datos
datos de
de conectividad
conectividad yy queque los
los
BOOTPROTO=static archivos
archivos tenga
tenga la la estructura
estructura
IPADDR=192.168.2.6 indicada,
indicada, si
si existiera
existiera otras
otras lneas
lneas
NETMASK=255.255.255.0 borrar
borrar
# vi /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=SL.empresa.com.pe
GATEWAY= 192.168.2.1
# vi /etc/hosts
RESOLUCION
# vi /etc/resolv.conf
3
Tecsup
search localdomain
PARTE 3 SERVICIOS
Tomaremos como referencia al Servicio Telnet, para establecer una
comunicacin entre la sucursal y Central. Al conseguir la conexin
asumiremos que todo tipo de Aplicacin a instalarse en el Central ser
accedido por la Sucursal.
SERVICIO TELNET
9. (SL) Procesos:
HABILITAR TELNET
El TELNET por defecto esta desactivado:
telnet
PUERTO ACTIVO
Compruebe que el puerto 23 este activo:
# netstat a -n | grep tcp
CUENTA DE USUARIO
Genere la siguiente cuenta:
usuario Password
benito tecsup
# passwd benito
4
Tecsup
5
Tecsup
CONFIGURACION CLIENTE
10. (C1) Activando PUTTY: Direccin IP del Servidor a
conectarse
GENERANDO UN PERFIL * Indique la IP de su SERVER:
192.168.2.6
1
Servicio a Conectarse
Al seleccionar el tipo de
servicio,
2 automticamente campo
de (port) variara
3
CONEXION
11. (C1) Activando el perfil:
Active el PUTTY.
Cargue su PERFIL:
CONSOLA REMOTA
YA
ingrese
al
Clave: Telnet.
tecsup
Cierre el PUTTY
PARTE 4 PORT MIRROR
Habilitaremos el soporte de PORT MIRROR en el punto que esta conectado
el ESPIA para permitirle recibir una copia del trafico que esta
circulando en la RED publica.
CONFIGURANDO
12. Realizarlo en el SWITCH de la CENTRAL
donde esta conectado la PC del ESPIA:
Los
Los nombres
nombres dede las
las
interfaces
interfaces son
son
referenciales
referenciales
#Interface
monitor session 1 source interface gigabitethernet 0/12 donde esta
monitor session 1 destination interface gigabitethernet 0/10 conectado el
Router
Central
#Interface
donde esta
6 conectado el
Espia
Tecsup
PAQUETE
13. (E1) Nombre del paquetes:
INSTALACION
Ejecute el proceso de instalacin. Acepte por defecto las opciones.
ACTIVANDO
Cargue el WIRESHARK:
LIMPIEZA
14. Cierre toda conexin de PUTTY con el SERVIDOR.
INICIANDO CAPTURA
15. (E1) Procesos:
Interface a monitorear
* Seleccione la interface (VMware
Accelerated AMD PCNet)
Resolucin de capturas:
Enable MAC: Traduce la Mac
a los nombres de los
fabricantes de Tarjeta de Red.
Enable network: Traduce la
informacin de la IP por
nombre.
Enable Transport: Traduce
el Puerto por su nombre
Iniciar la
3 captura
7
Tecsup
Capturando
Capturando informacion.
informacion. Observar
Observar que
que siempre
siempre en
en la
la red
red
se
se esta
esta transmitiendo
transmitiendo diversa
diversa informacion
informacion (broadcast,
(broadcast,
anuncios,
anuncios, busqueda
busqueda
)
)
4
Esperare a
que alguien se
conecte a un
Servicio
CONEXION
16. (C1) Procesos:
Clave: Llego la
tecsup comida,
Ejecutand capturando
o un
comando
DETENIENDO CAPTURA
17. (E1) Procesos:
Deteniendo la
captura
*Clic
Observara que el
Sniffer ha ido
capturando los
paquetes
8
Tecsup
Revisare
ANALIZANDO los paquetes
18. (E1) Conociendo la estructura de la herramienta: (comida)
Cada lnea
representa un
1 paquete capturado
Las *Ubquese en el
ventanas primer paquete
puede TELNET
ampliarse y
reducirse.
Al ubicarse
entre las Estructura de
lneas composicin de
capas de cada
paquete
Visualizando
2
datos
*Clic.
Cambiara de Representacin
(+) a (.) hexadecimal del
paquete
VISUALIZANDO DATOS
19. (E1) Construyendo informacin: Son paquetes
TELNET
LOGIN visualizare la
data enviada..
Buscando la cuenta de Login:
Desplazase
Desplazase entre
entrela
la captura
captura centrandose
centrandose en
enlos
los
paquetes
paquetes de
de PROTOCOL
PROTOCOL(TELNET).
(TELNET). YY observe
observe en
en el
el
cuadro
cuadro de
de (composicion
(composicion dede capas)
capas)enen alguno
algunodede los
los
paquetes
paquetes TELNET
TELNET debedebe de
de encontrar
encontrar la Data: b
la Data: b
Encontr la
primera letra (b)
de la cuenta de
usuario..
9
Tecsup
PASSWORD
Buscando el PASSWORD:
Ya encontr dos
letras (t)(e)..
Seguir
buscando, tengo
tiempo
10
Tecsup
CONSTRUYENDO DATOS
20. (E1) Construyendo informacin: Ubiquese
Ubiquese en
enel
el
Primer
Primer paquete
paquete de
de
Protocol
ProtocolTELNET
TELNET
*Clic
*Clic derecho
derecho
1
2
Opcin
Opcinque
que construye
construye toda
todala
la
informacin
informacintransmitida
transmitida del
del
protocolo
protocoloelegido
elegido
*Clic
*Clic
Observara
Observaradiversos
diversos caracteres
caracteres yy en
en algunos
algunos casos
casos
observara
observara que
que los
los caracteres
caracteresse
se repite
repite debido
debido aa que
que Ya tengo los
muestra
muestralos
los caracteres
caracteresenviados
enviados yy recibidos
recibidos datos de Login y
sus acciones
Va
Vaal
al campo
campo
(PROTO)
(PROTO)
11
Tecsup
CAPAS
INTERNET TRANSPORTE APLICACIO
PARTE 6 HABILITAR SOPORTE DE IPSEC (VPN) EN ROUTER CISCO N
El Router CENTRAL se comportara como un concentrador de conexiones
VPN. En el ROUTER CENTRAL deber de habilitar el soporte de VPN para
aceptar conexiones de CLIENTE VPN. Usaremos el protocolo de VPN
llamado IPSEC.
Etiqueta de
soporte de
autorizacin
AGREGANDO USUARIOS
23. (RC) El ROUTER al habilitar el soporte de AAA tiene la capacidad de validar
cuentas o de delegar a un Servidor RADIUS. En nuestros caso lo validaremos en
el propio ROUTER:
Cuenta de
usuario
PARAMETROS DE ISAKMP
25. (RC) Estableciendo parmetros de criptografa del protocolo ISAKMP para que
transmita en forma segura la informacin de la clave y la negociacin de los
algoritmos del Tnel.
Algoritmo # que define la
Algoritmo crypto isakmp policy 3 de integridad prioridad si hubiera
de (hash) otros perfiles de
encryption des
encriptaci ISAKMP
hash md5
n
authentication pre-share
group 2
En
En forma
forma simblica
simblica alal Mtodo de
existir
existir una
una tabulacin
tabulacin autentificacin entre
indica
indica que
que esta
esta dentro
dentro Grupo (Diffie-Helman) que los nodos
de
de una
una seccin
seccin define el tamao de bits del Preshare: Clave en
Nota:
Nota: Para
Para salir
salir de
de una
una algoritmo para el intercambio comn que ambos
seccin
seccin use
use el
el comando
comando de la llave que negociaran nodos deben conocer
(exit)
(exit) Grupo 1: 768bits
Grupo 2: 1024bits
12
Tecsup
POOL DE IP
26. (RC) Al ser un concentrador de VPN para los CLIENTES. Al recibir una solicitud
se le entregara al CLIENTE una IP PRIVADA que lo asociara al TUNEL:
El
El pool
pool de
de IP
IP IP inicial del
puede
puede elegirse
elegirse POOL
de
de cualquier
cualquier
clase
clase yy ip local pool ippool 11.0.0.1 11.0.0.10
cualquier
cualquier
rango
rango
Etiqueta a
asignar al IP final del
POOL POOL
GRUPO DE AUTENTICACION
27. (RC) Generando grupos de autentificacin para entregarles parmetros de
conectividad al CLIENTE:
Etiqueta para
definir un grupo de
autenticacin
Passwor
da
crypto isakmp client configuration group clientesvpn
requerir key cisco123
para dns 192.168.2.6 Parmetro de
autorizar domain empresa.com.pe DNS a entregar
la en forma
pool ippool referencial
entrega
de
parmetr
os Parmetro de
Parmetro de
Dominio a Parametros
Parametros queque le
le
IP a entregar
entregar entregara
entregara el
el Router
Router
del POOL
definido en el Central
Central al
al CLIENTE
CLIENTE
paso POOL DE mas
mas adelante
adelante cuando
cuando
IP se
se conecte
conecte via
via VPN
VPN
ALGORITMOS DEL TUNEL IPSEC
28. (RC) Estableciendo parmetros de criptografa del protocolo IPSEC para que ser
usados por el protocolo (ESP) para que transmitan en forma segura la
informacin de los datos por el Tnel:
Asignando el nombre
tnel al TUNEL Algoritmo de integridad a
usar la cabecera (esp) para
los datos
13
Tecsup
Asociando lo
Etiqueta de # de definido en el paso:
parmetros secuencia TIPO DE TUNEL
globales del VPN DINAMICO
Etiqueta de
parmetros
globales del VPN
interface [NOMBRE_INTERFACE_PUBLICA_ROUTER]
Etiqueta de
crypto map clientmap parmetros globales
del VPN
RESUMEN
33. (RC,RS) En forma resumida hemos aplicado la siguiente estructura que podr
visualizarlo en la configuracin del ROUTER con el comando:
# show running-config
14
Tecsup
interface [NOMBRE_INTERFACE_PUBLICA_ROUTER]
crypto map clientmap
PAQUETE
34. (C1) Nombre del paquetes:
INSTALACION
15
Tecsup
CONFIGURACION
35. (C1) Procesos:
Activar el programa:
Agregar un PERFIL:
Agregan 2
do nuevo 1
Perfil
IP del
ROUTER
CENTRAL
VPN
Datos
Datos obtenidos
obtenidos de de lo
lo
Nombre del configurado
configurado en
en elel ROUTER
ROUTER
Grupo de CENTRAL
CENTRAL en
en el
el paso
paso
Autenticacin GRUPO
GRUPO DEDE
AUTENTICACION
AUTENTICACION
Clave del
grupo:
3
cisco123
CONECTANDO A LA CENTRAL
36. (C1) Procesos:
Al
Al conectarse
conectarse alal concentrador
concentrador yy ser
ser
autorizado
autorizado en
en el
el grupo.
grupo. Le
Le solicitara
solicitara
Conectandose: autentificacin.
autentificacin. SiSi no
no obtiene
obtiene esta
esta
ventana
ventana revise
revise las
las configuraciones
configuraciones del
del
Router
Router Central
Central
1
2
3
Icono que nos
garantiza que
se ha
16
establecido el
tnel VPN
Tecsup
Ip del
POOL
asignad
o Algoritmo
s
selecciona
dos en el
tnel VPN
Si
Si por
por casualidad
casualidad al al realizar
realizar ping
ping oo telnet
telnet
no
no responde
responde aa la
la primera
primera vezvez vuelva
vuelva aa
PRUEBAS intentarlo
intentarlo una
una vez
vez mas.
mas. Alguna
Alguna veces
veces
sucede
sucede debido
debido aa que
que elel Tunel
Tunel esta
esta
38. (C1) Procesos: armndose
armndose automticamente
automticamente
TELNET
17
Tecsup
Clave: tecsup
Ejecutando
un comando
PARTE 8 MONITOREO DE LAS CONEXIONES CON VPN
Al estar habilitado un Tnel de VPN debe de garantizarnos que todo
trfico que se transmita entre la Sucursal y Central debe estar
encriptado. Y si hubiera una captura deber de visualizar los datos en
formato encriptado.
LIMPIEZA
39. Cierre toda conexin de PUTTY TELNET con el SERVIDOR.
INICIANDO CAPTURA
40. (E1) Procesos:
Cierre toda ventana de WIRESHARK.
1
Vuelva abrir el sniffer WIRESHARK.
Seleccionando las opciones para CAPTURA:
Interface a monitorear
* Seleccione la interface (VMware Accelerated
AMD PCNet)
Modo que 2
captura todo
trafico que pasa
por la interface
de Red. Con
destino a
cualquiera
<START>
CONEXION Llego la
41. (C1) Procesos: comida,
capturando
Conectese con el CLIENTE (PUTTY) al
Servicio TELNET:
Clave: tecsup
DETENIENDO CAPTURA
42. (E1) Procesos:
Deteniendo la captura
*Clic
Observara que el
Sniffer ha ido
capturando los
paquetes
18
Tecsup
19
Tecsup
TIPO DE PAQUETES
Visualize que no aparece paquetes con protocolo TELNET. Toda informacion
esta siendo transmitida en forma encriptada dentro del paquete ESP:
COMPOSICION
De la informacion armamos una estructura de un paquete, segn el modelo
de TCP/IP obtendriamos: El paquete de IPSEC llega hasta el
nivel de RED (INTERNET) no hay los
otros protocolos
EJERCICIO (REALIZARLO)
44. Caso: Active una nueva mquina virtual Windows XP que representara a otro
cliente e instale el Software VPN de CISCO y conctese con la cuenta
remoto2. De esta forma comprobaremos que puede establecerse en forma
simultnea ms de una conexin con el concentrador VPN (Router CENTRAL).
Ok. Hemos
comprobando el
proceso de la
comunicacin de
una VPN IPSEC en
un concentrador
TECSUP
GD
20
Tecsup
Periodo: Fecha:
Requiere Puntaje
CRITERIOS A EVALUACIN Excelente Bueno Mejora No aceptable Logrado
Puntaje Total
Puntaje Descripcin
Demuestra un completo entendimiento del problema o realiza
la actividad cumpliendo todos los requerimientos
Excelente 4 especificados.
Demuestra un considerable entendimiento del problema o
realiza la actividad cumpliendo con la mayora de los
Bueno 3 requerimientos especificados
Demuestra un bajo entendimiento del problema o realiza la
actividad cumpliendo con la pocos de los requerimientos
Requiere mejora 2 especificados..
No Aceptable 1-0 No demuestra entendimiento del problema o de la actividad.
21