PROGRAMA DE FORMACION REGULAR

REDES Y COMUNICACIONES DE DATOS

SEGURIDAD PERIMETRAL

Laboratorio N 06
VPN IPSEC
ALUMNOS:
DAVID VARGAS HUANUQUEO
LEIDY FLORES MEDINA

VPN IPSEC PARTE II

1. OBJETIVOS
a. Implementar un Servidor VPN con IPSEC
b. Generar una red VPN SITE to SITE.
2. PROCEDIMIENTO
3. Conectividad
Direccin IP de nuestro servicio, que pertenece a la red 192.168.50.0

Figura 1. Direccin IP del servidor

Direccin IP de nuestro cliente, que pertenece a la red 192.168.52.0

Figura 2. Direccin IP del cliente

Direccin IP de nuestro donde se encuentra nuestro servicio de IPsec,

que pertenece a la red 192.168.51.0

Figura 3. Direcciones IP de nuestro servidor VPN

Figura 4. Direcciones IP de nuestro servidor VPN

4. Politicas iptables
Luego en un archivo se definieron las reglas del iptables para cada
servidor VPN

Figura 5. Reglas del servidor VPN

La primeras lneas son para poder borrar las reglas del iptables.
Luego la regla de enmascaramiento que donde nos indica que est
agregando una regla a la cadena POSTROUTING que tenga como
origen la red 192.168.50.0 y con destino diferente a la red
192.168.52.0 ser enmascarada.

Figura 6. Reglas del servidor VPN

La primeras lneas son para poder borrar las reglas del iptables.
Luego la regla de enmascaramiento que donde nos indica que est
agregando una regla a la cadena POSTROUTING que tenga como
origen la red 192.168.52.0 y con destino diferente a la red
192.168.50.0 ser enmascarada.

5. Forwadeo

Figura 7. Archivo sysctl.conf

Tambin se configuro el archivo sysctl.con para activar el forward

para el reenvi de paquetes entre las redes.

6. Configuracin del VPN

Luego se configuro el archivo ipsec.conf

Figura 7. Reglas del servidor VPN

La configuracin mostra en la figura 7 se configuro en los dos

servidores.
o protostack=netkey : Indica el Soporte de IPSEC en el Kernel a
partir de la versin de Kernel 2.6.
o nat_traversal=yes: Permite que los paquetes de IPSEC se
encapsule en un paquete UDP para transitar por redes
Nateadas.
o nhelpers=0 : Indicando que use todo la capacidad de
procesamiento posible para las operaciones de criptografa
Luego para crear el tnel se configura lo siguiente al final del archivo
de cada uno de los servidores.

Figura 7. Archivo ipsec.conf del servidor

Figura 8. Archivo ipsec.conf del servidor

conn : Contiene una especificacin de conexin, que define una

conexin de red se hagan con IPsec.
Type: Es el tipo de la conexin; Actualmente los valores aceptados
son tnel que significa un host-a-host, host-a-subred o una subred a
subred tnel
Left: indica la direccin IP de la interfaz de red pblica del
participante izquierda.
Leftsubnet: indica la subred privada detrs del participante
izquierda, expresada como la red

Right: indica la direccin IP de la interfaz de red pblica del

participante derecha.
Rightsubnet: indica la subred privada detrs del participante
derecha, expresada como la red.
Keyingtries: es el nmero de intentos siempre se debe hacer para
negociar una conexin.
Authby: Cmo las dos pasarelas de seguridad deben autenticarse
entre s.
Auto: Ante una cada del VPN se activa automticamente

Luego se paso a crear la llave de 256 bits la cual tendr las dos sucursales
que realizaran la VPN

Figura 8. Archivo ipsec.secret del servidor

7. Archivo de llave
La llave se busc en internet y esta llave tiene que ser la misma para
los dos sedes que van a realizar la VPN.

Figura 9. Archivo ipsec.secret del servidor

8. Activacin del tnel
Luego de configurar el archivo ipsec.conf se pas a reiniciar el
servicio de ipsec.
Luego se paso a mirar el log para poder ver si la conexcion se ha
establecido correctamente.

Figura 10. Log del servidor

Figura 11. Log del servidor

Como se puede ver en los log de cada uno de los servidores la

conexin se ha realizado correctamente.
Tambin se puede ver que se hay una asociacin de seguridad (SA)
que es el establecimiento de atributos de seguridad entre los dos
servidores esta incluye atributos como: algoritmo de cifrado y el
modo, la clave de cifrado del trfico y los parmetros de los datos de
la red que se deben pasar por la conexin.
AES (Standard Avanzado de Encriptacin) se usa para el cifrado y este
texto cifrado no puede ser ledo por cualquier persona que no sea el
destinatario.
HMAC es un artefacto criptogrfica para determinar la autenticidad y
la integridad de un mensaje ,la clave es de 256 bits, y se utiliza con el
algoritmo de hash SHA1

9. Probando conexin
Luego se fue a probar la conexin con un servicio implementado en la
red 192.168.50.0 que ser accedido desde un cliente en la red
192.168.52.0

Figura 12. Servicio accedido desde el cliente

Figura 11.Prueba del servicio accedido desde el cliente

10.

Captura de paquetes

Luego con con un el programa wireshark se capturara los paquetes que

viajan atravez de la la conexcion VPN

Figura 12 Captura de paquetes ISAKMP

En la primera parte del paquete se ve que las dos esta en una fase de
negociacin de polticas que esto es un Security Association(SA) esto
permite una comunicacin segura.
Primero hay una cookie de iniciador y un cookie de respuesta que
serian las cabeceras de los paquetes ISAKMP
Next payload indica el tipo de mensaje en este caso es key exhange
que indica el intercambio de llaves entre dos partes
Versin indica la versin menor del protocolo ISAKMP
Exchange Type indica el tipo de intercambio que van a usar en este
caso es Identify Protection.
Flags: indica las opciones que estn establecidas para el intercambio
ISAKMP.
o Mensaje ID: Es un valor nico utilizado para identificar el
estado de protocolo durante la Fase 2 negociaciones. Se
genera de forma aleatoria por el iniciador de la negociacin de
fase 2
o Length: Es la longitud total de la cabecera de ISAKMP y las
cargas tiles encapsuladas en bytes.

Figura 13.Captura de paquete(ESP)

El campo de identificacin es un identificador nico aplicado a cada

paquete de un host enva en una conexin .Por lo general, slo es til
si un paquete est fragmentado (por ejemplo por un router) - cada
fragmento conservar la identificacin original. Permite al host
receptor para saber cmo volver a montar los fragmentos.
En el campo flags , hay tres bits para los indicadores de control. El
(DF) bit "no fragmentar" determina si se permite o no un paquete a
ser fragmentado.
Y luego esta esta una parte que se encargar de comprobacin del
paquete que indica el origen y destino.
Como se observa la data es encapsulada en un paquete ESP que se
aplica los algoritmos de encriptacin e integridad con la llave.
La llave de sesin se renueva habitualmente en forma automtica y
que es negociada e enviada por el ISAKMP.

CONCLUSIONES:

Se implement un VPN con IPsec el cual nos permite poder realizar

una comunicacin segura.
Se gener un red VPN que permito conectar dos sedes y asi poder
utilizar los recursos que posea esa red, como el servicio de correo.

RECOMENDACIONES:

Es importante usar el enmascaramiento de red en el firewall ya que

con esto evitas que si un atacante como un sniffer captura los
paquetes este no conozca las IP de nuestra red LAN y solo vea la IP
de la red publica.