ConRed InstructorPPT Cap7 VPN IPsecv2

Captulo 7: Seguridad de
la Conectividad Site-to-
Site
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
Captulo 7: Seguridad de la Conectividad
Site-to-Site
7.1 VPNs
7.2 Tneles GRE de Site-to-Site
7.3 Presentacin de IPsec
7.4 Acceso Remoto
7.5 Resumen
Captulo 7: Objetivos
Presentacin de IPsec
Horacio Vega F
Seguridad de Protocolo de Internet
IPsec VPNs
La informacin de
una red privada se
transporta de
manera segura a
travs de una red
pblica.
Forma una red virtual
en lugar de usar una
conexin dedicada
de capa 2.
Para que siga siendo
privado, el trfico se
cifra a fin de
mantener la
confidencialidad de
los datos.
Caractersticas de IPsec
Define cmo una VPN se puede configurar de forma segura mediante IP.
Marco de estndares abiertos que se establecen las normas para las
comunicaciones seguras.
No unido a ningn tipo de cifrado especfico, autenticacin, algoritmos
de seguridad, o introducir la tecnologa.
Se basa en los algoritmos existentes para implementar comunicaciones
seguras.
Trabaja en la capa de red, la proteccin y autenticacin de paquetes IP
entre dispositivos IPsec participantes.
Asegura un camino entre dos puertas de enlace, dos hosts, o una puerta
de enlace y el host.
Todas las implementaciones de IPsec tienen un encabezado de texto
plano de capa 3, por lo que no hay problemas con el enrutamiento.
Funciones sobre los protocolos de capa 2, tales como Ethernet, ATM o
Frame Relay.
Caractersticas de IPsec
Las caractersticas de IPsec se pueden resumir de la siguiente
manera:
IPsec es un marco de estndares abiertos que no depende de
algoritmos.
IPsec proporciona confidencialidad e integridad de datos, y
autenticacin del origen.
IPsec funciona en la capa de red, por lo que protege y autentica
paquetes IP.
Encapsulacin IPsec
IPsec es capaz de tunelear paquetes usando una

encapsulacin adicional.
Nueva Cabecera Cabecera IP ESP Autenticacin

Cabecera ESP TCP Datos Trailer
original
IP ESP
Encriptado
Autenticado
Ejemplo de encapsulacin IPsec
192.168.1.0 /24 10.10.10.0 /24
.1 IPsec VPN .1
Fa0/0 Branch HQ Fa0/0
S0/0/1 S0/0/1
.10 .242 .226
.10
209.165.200.240 /29
Internet 209.165.200.224 /29
.241 .225
ISP
Original IP Header Original IP Header
Source IP: 192.168.1.10 TCP Data Source IP: 192.168.1.10 TCP Data
Destination: 10.10.10.10 Destination: 10.10.10.10
New IP Header Original IP Header

ESP ESP ESP
Source: 209.165.200.242 Source IP: 192.168.1.10 TCP Data
Header Trailer Authentication
Destination: 209.165.200.226 Destination: 10.10.10.10
El ejemplo muestra como un paquete es encapsulado
Marco del Protocolo IPsec
Horacio Vega F
Estructura IPsec
Marco del Protocolo IPsec (Cont.)
Los componentes de
la configuracin de
IPSec.
Se deben seleccionar
cinco componentes
bsicos del marco de
IPsec.
Estructura IPsec
Protocolo IPsec: Al
configurar un Gateway
IPsec para proporcionar
servicios de seguridad, se
debe seleccionar un
protocolo IPsec.
Las opciones son una
combinacin de ESP y AH.
En realidad, las opciones
de ESP o ESP+AH casi
siempre se seleccionan
porque AH en s mismo no
proporciona el cifrado,
como se muestra en la
figura
Estructura IPsec
Confidencialidad (si se implementa IPsec con ESP): DES, 3DES o
AES. Se recomienda AES, ya que AES-GCM proporciona la mayor
seguridad. Romper una clave de 128 bits, con la misma computadora,
puede llevar unos 10^19 aos.
Estructura IPsec
Integridad: garantiza que el contenido no se haya alterado en trnsito
mediante el uso de algoritmos de hash (MD5 o SHA). IPsec asegura
que los datos llegan a destino sin modificaciones.
Estructura IPsec
Autenticacin: representa cmo se establece la clave secreta
compartida y es la forma en que se autentican los dispositivos en
cualquiera de los extremos del tnel VPN (PSK o RSA).
Estructura IPsec
Grupo de algoritmos DH: representa la forma en que se establece
una clave secreta compartida entre los peers. DH24 proporciona la
mayor seguridad.
DH
Protocolo de IPsec
Horacio Vega F
Estructura IPsec
Protocolo IPsec
Como se mencion anteriormente, el marco del protocolo IPSec describe la
mensajera para proteger las comunicaciones, pero depende de los
algoritmos existentes.
Estructura IPsec
Protocolo IPsec (Cont.)
Encabezado de autenticacin (AH)
Protocolo que se debe utilizar cuando no se requiere o no se permite la
confidencialidad. AH es el protocolo IP 51
Proporciona la autenticacin y la integridad de datos para los paquetes
IP que se transmiten entre dos sistemas. Todo el texto se transporta sin
cifrar. Se provee una proteccin dbil.
No proporciona la confidencialidad (el cifrado) de datos de los paquetes.
Contenido de seguridad encapsulado (ESP)

Es un protocolo de seguridad que proporciona confidencialidad y
autenticacin mediante el cifrado del paquete IP. ESP es el protocolo IP
50
Autentica el paquete IP y el encabezado ESP internos.
Si bien el cifrado y la autenticacin son optativos en ESP, se debe
seleccionar, como mnimo.
AH Authentication and Integrity
1. Se calcula el hash sobre el encabezado IP y los datos del
paquete, utilizando la clave secreta compartida
IP Header + Data + Key
RouterB
Hash
Authentication Data IP HDR AH Data

(00ABCDEF)
3. Se transmite el
Internet IP Header + Data + Key
nuevo paquete al
router IPsec
IP HDR AH Data correspondiente Hash
4. El router destinatario
Received calcula el hash
Recomputed
del Hash
encabezado y losHashdatos del
RouterA paquete, = (00ABCDEF)
utilizando
(00ABCDEF) la clave secreta
2. El hash construye un nuevo compartida, extrae el hash transmitido
encabezado AH, el cual es en el encabezado AH y compara ambos
insertado en el paquete original
Presentation_ID
hashes. 20
2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Funcin de ESP
Internet
Router Router
IP HDR Data IP HDR Data
ESP ESP
New IP HDR ESP HDR IP HDR Data Trailer Auth
Encrypted
Authenticated
Provee confidencialidad mediante el cifrado

Provee integridad mediante la autenticacin
Seguridad de IPsec
Horacio Vega F
Servicios de seguridad IPsec
Servicios de seguridad IPsec
Confidencialidad (cifrado): cifrado de los datos antes de
transmitirlos a travs de la red
Integridad de datos: verificar que los datos se hayan transmitido a
travs de Internet sin sufrir ningn tipo de modificaciones ni
alteraciones, si se detecta una alteracin, el paquete se descarta
Autenticacin: verifica la identidad del origen de los datos que se
envan, asegura que se cree una conexin con el compaero de
comunicacin deseado, IPsec utiliza el intercambio de claves de
Internet (IKE) para autenticar a los usuarios y dispositivos que
pueden llevar a cabo la comunicacin de manera independiente.
Proteccin antireproduccin: es la capacidad de detectar y
rechazar los paquetes reproducidos, y ayuda a prevenir la
suplantacin de identidad
El acrnimo CIA se suele utilizar para ayudar a recordar las
iniciales de estas tres funciones: confidencialidad, integridad y
autenticacin.
Estructura IPsec
Confidencialidad con Cifrado
Para que la comunicacin cifrada funcione, el emisor y el receptor deben
conocer las reglas que se utilizan para transformar el mensaje original a
su forma cifrada.
Las reglas se basan en algoritmos y claves asociadas.
El descifrado es extremadamente difcil o imposible sin la clave correcta.
Estructura IPsec
Algoritmos de Cifrado
Cuanto ms larga es la clave, se torna ms difcil descifrarla. Sin
embargo, una clave ms larga requiere ms recursos de procesador
para cifrar y descifrar datos.
Existen dos tipos principals de cifrado:
Cifrado simtrico
Cifrado asimtrico
Estructura IPsec
Cifrado Simtrico
Cifrado y descifrado utilizan la misma clave.
Cada uno de los dos dispositivos de red debe conocer la clave para
decodificar la informacin.
Cada dispositivo cifra la informacin antes de enviarla a travs de la
red al otro dispositivo.
Por lo general, se utilizan para cifrar el contenido del mensaje.
Ejemplos: DES, 3DES (no son considerados seguros hoy) y AES
(recomendada de 256-bits para cifrado IPsec con Cisco).
Adems, dado que se descifraron claves de Rivest, Shamir y Adleman
(RSA) de 512 bits y 768 bits, Cisco recomienda utilizar claves de
2048 bits con la opcin RSA si se la utiliz durante la fase de
autenticacin de IKE.
Estructura IPsec
Cifrado Asimtrico
El cifrado y el descifrado utilizan claves diferentes.
Aunque conozca una de las claves, un pirata informtico no puede
deducir la segunda clave y decodificar la informacin.
Una clave cifra el mensaje, mientras que una segunda clave descifra
el mensaje.
Clave pblica es una variante del cifrado asimtrico que utiliza una
combinacin de una clave privada y una pblica.
Por lo general, se usan en la certificacin digital y la administracin de
claves
Ejemplo: RSA
Intercambio de Claves de
Diffie-Hellman
Horacio Vega F
Estructura IPsec
Intercambio de Claves de Diffie-Hellman
Diffie-Hellman (DH) no es un mecanismo de cifrado y no se suele
utilizar para cifrar datos. DH forma parte del estndar IPsec.
DH es un mtodo para intercambiar con seguridad las claves que cifran
datos. Los algoritmos (DH) permiten que dos partes establezcan la
clave secreta compartida que usan el cifrado y los algoritmos de hash.
De estos grupos, los routers Cisco soportan el Grupo 1 (claves de 768
bits), Grupo 2 (claves de 1024 bits) y Grupo 5 (claves de 1536 bits).
Los algoritmos de cifrado, como DES, 3DES y AES, as como los
algoritmos de hash MD5 y SHA-1, requieren una clave secreta
compartida simtrica para realizar el cifrado y el descifrado.
El algoritmo DH especifica un mtodo de intercambio de clave pblica
que proporciona una manera para que dos peers establezcan una clave
secreta compartida que solo ellos conozcan, aunque se comuniquen a
travs de un canal inseguro.
Estructura IPsec
Intercambio de Claves de Diffie-Hellman
Algoritmos de Hash
Horacio Vega F
Estructura IPsec
Integridad con los Algoritmos de Hash
Los algoritmos de hash manejan la integridad y la autenticacin del
trfico VPN.
Los hashes proporcionan integridad y autenticacin de datos al
asegurar que las personas no autorizadas no alteren los mensajes
transmitidos.
Un hash, tambin denominado sntesis del mensaje, es un
nmero que se genera a partir de una cadena de texto.
El hash es ms corto que el texto en s.
Se genera mediante el uso de una frmula, de tal manera que es
muy poco probable que otro texto produzca el mismo valor de
hash.
Estructura IPsec
Integridad con los Algoritmos de Hash
El emisor original genera un hash del mensaje y lo enva con el
mensaje propiamente dicho.
El destinatario analiza el mensaje y el hash, produce otro hash a
partir del mensaje recibido y compara ambos hashes.
Si son iguales, el destinatario puede estar lo suficientemente
seguro de la integridad del mensaje original.
Las VPN utilizan un cdigo de autenticacin de mensajes para
verificar la integridad y la autenticidad de un mensaje, sin
utilizar ningn mecanismo adicional.
Estructura IPsec
Integridad con los Algoritmos de Hash (cont.)
El cdigo de autenticacin de mensajes basado en hash (HMAC) es un
mecanismo para la autenticacin de mensajes mediante funciones de hash.
Un HMAC tiene dos parmetros: una entrada de mensaje y una clave secreta que
solo conocen el autor del mensaje y los destinatarios previstos.
El emisor del mensaje utiliza una funcin HMAC para producir un valor (el cdigo
de autenticacin de mensajes) que se forma mediante la compresin de la clave
secreta y la entrada de mensaje.
El cdigo de autenticacin de mensajes se enva junto con el mensaje.
El receptor calcula el cdigo de autenticacin de mensajes en el mensaje recibido
con la misma clave y la misma funcin HMAC que utiliz el emisor.
El receptor compara el resultado que se calcul con el cdigo de autenticacin de
mensajes que se recibi.
Si los dos valores coinciden, el mensaje se recibi correctamente y el receptor se
asegura de que el emisor forma parte de la comunidad de usuarios que
comparten la clave.
Estructura IPsec
Hay dos algoritmos HMAC comunes:
HMAC-Message Digest 5 (HMAC-MD5): utiliza una clave secreta
compartida de 128 bits. El mensaje de longitud variable y la clave
secreta compartida de 128 bits se combinan y se procesan con el
algoritmo de hash HMAC-MD5. El resultado es un hash de 128 bit. El
hash se adjunta al mensaje original y se enva al extremo remoto.
HMAC-Secure Hash Algorithm 1 (HMAC-SHA-1): SHA-1 utiliza una
clave secreta de 160 bits. El mensaje de longitud variable y la clave
secreta compartida de 160 bits se combinan y se procesan con el
algoritmo de hash HMAC-SHA1. El resultado es un hash de 160 bits. El
hash se adjunta al mensaje original y se enva al extremo remoto.
Nota: el IOS de Cisco tambin admite implementaciones de SHA de 256 bits,
384 bits y 512 bits.
HMAC-SHA-1 es considerado ms criptogrficamente fuerte que HMAC-MD5.
Es recomendado cuando es importante obtener una seguridad levemente superior.
Estructura IPsec
Los algoritmos de hash representan la integridad, que puede
implementarse utilizando algoritmos de hash como MD5 o SHA. IPsec
asegura que los datos llegan a destino sin modificaciones.
Autenticacin IPsec
Horacio Vega F
Estructura IPsec
Autenticacin IPsec
Las VPN con IPsec admiten la autenticacin.
El dispositivo en el otro extremo del tnel VPN se debe autenticar
para que la ruta de comunicacin se considere segura.
Estructura IPsec
Autenticacin IPsec (cont.)
Existen dos mtodos de autenticacin de peers, PSK y firmas RSA:
PSK
clave secreta que se comparte entre las dos partes que utilizan un
canal seguro antes de que se necesite utilizarla.
Utilizan algoritmos criptogrficos de clave simtrica.
Se introduce una PSK en cada peer de forma manual y se la
utiliza para autenticar el peer.
Estructura IPsec
Firmas RSA
Se intercambian certificados digitales para autenticar los peers.
El dispositivo local deriva un hash y lo cifra con su clave privada.
El hash cifrado, o la firma digital, se vincula al mensaje y se
reenva hacia el extremo remoto.
En el extremo remoto, se descifra el hash cifrado con la clave
pblica del extremo local.
Si el hash descifrado coincide con el hash recalculado, la firma es
genuina.
Estructura IPsec
IPsec utiliza RSA (sistema criptogrfico de claves pblicas)

para la autenticacin en el contexto de IKE.
El mtodo de firmas RSA utiliza una configuracin de firma digital
en la que cada dispositivo firma un conjunto de datos de forma
digital y lo enva a la otra parte.
Las firmas RSA usan una entidad de certificacin (CA) para
generar un certificado digital de identidad exclusiva que se asigna
a cada peer para la autenticacin.
El certificado digital de identidad tiene una funcin similar a la de
una PSK, pero proporciona una seguridad mucho ms slida.
Negociacin VPN IPsec
Sitio-a-Sitio
Horacio Vega F
Negociacin VPN IPsec Sitio-a-Sitio
Una VPN es un canal de comunicacin utilizado para formar

una conexin lgica entre dos extremos sobre una red
pblica.
Las VPNs no necesariamente incluyen cifrado y autenticacin.
Las VPNs IPsec utilizan el protocolo IKE para establecer
comunicaciones seguras.
La negociacin de una VPN IPsec involucra diferentes pasos,
los cuales incluyen las fases 1 y 2 de la negociacin IKE.
Fases de IKE
R1 R2
Host A Host B
10.0.1.3 IKE Phase 1: 10.0.2.3

Main Mode Exchange
IKE Phase 1 Exchange
Policy 10 Policy 15
1. Negociar los conjuntos DES DES 1. Negociar los conjuntos
MD5 MD5
de polticas IKE pre-share pre-share de polticas IKE
DH1 DH1
lifetime lifetime
2. Intercambio de 2. Intercambio de
claves DH claves DH
3. Verificar la identidad de
3. Verificar la identidad de
par remoto
par remoto
IKE Phase 2 Exchange
Negociar la poltica IPSEC Negociar la poltica IPSEC
Host A Host B
RouterA RouterB
10.0.2.3
10.0.1.3
1. Un tnel IPsec se inicia cuando un host A
enva trfico "interesante" al host B.
El trfico es considerado interesante cuando

viaja entre los pares IPsec y cumple con los
criterios definidos en una crypto ACL.
Host A Host B
RouterA RouterB
10.0.2.3
10.0.1.3
IKE SA IKE Phase 1 IKE SA
2. Comienza la fase 1 de IKE.

Los pares IPsec negocian la poltica de
asociacin de seguridad (SA) IKE.
Cuando los pares son autenticados, se crea

un tnel seguro utilizando ISAKMP.
Host A Host B
RouterA RouterB
10.0.2.3
10.0.1.3
IPsec SA IKE Phase 2 IPsec SA
3. Comienza la fase 2 de IKE.

Los pares IPsec utilizan el tnel seguro
autenticado para negociar las transformaciones
SA IPsec.
La negociacin de la poltica compartida

determina cmo se establecer el tnel IPsec.
Host A Host B
RouterA RouterB
10.0.2.3
10.0.1.3
IPsec Tunnel
4. Se crea el tnel IPsec y se transfieren los

datos entre los pares IPsec de acuerdo a los
parmetros configurados en los conjuntos de
transformacin IPsec.
Host A Host B
RouterA RouterB
10.0.2.3
10.0.1.3
5. El tnel IPsec termina cuando se eliminan las

SAs IPsec o cuando expira su tiempo de vida.
Pasos para configurar una
VPN IPsec
Horacio Vega F
Pasos para configurar una VPN IPsec
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
209.165.200.240 /29 Internet 209.165.200.224 /29
.241 .225
Branch Server NAT Pool NAT Pool Email Server
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Deben completarse algunas tareas bsicas para configurar

una VPN IPsec de sitio a sitio.
Step 1: Asegurar que las ACLs configuradas en la Interfaz son
compatibles con la configuracin IPsec.
Usualmente existen restricciones en las interfaces utilizadas por el
trfico VPN.
Por ejemplo, bloquear todo el trfico que no sea IPsec o IKE.
Step 2: Crear una poltica ISAKMP para determinar los
parmetros ISAKMP que sern utilizados para establecer el tnel.
Contiene los comandos de autenticacin, encriptacin y mtodos
de hashing que son los primeros usados para negociar e
intercambiar las credenciales con una pareja VPN.
Step 3: Configure IPSec transform set.
Definir el conjunto de transformacin IPsec. La definicin de los
conjuntos de transformacin define los parmetros que utiliza el
tnel IPsec.
Este conjunto puede incluir los algoritmos de cifrado e integridad.
Step 4: Crear una crypto ACL.
La crypto ACL define qu trfico es enviado a travs del tnel
IPSec y protege el proceso IPsec. Ambos elementos de una VPN
deben tener ACLs recprocas.
Step 5: Crear y aplicar un crypto-map.
El crypto-map agrupa los parmetros configurados previamente y
define los dispositivos IPsec. Este se aplica a la interfaz de salida
del dispositivo VPN.
Ejemplo 1 VPN
IPsec Sitio-a-Sitio
Horacio Vega F
Ejemplo para configurar una VPN IPsec
Parte 1: Habilitar las caractersticas de
seguridad al ios del router
Paso 1: Activar el mdulo securityk9.
Se debe activar la licencia del paquete de tecnologa de seguridad para
completar esta actividad.
R1(config)# license boot module c2900 technology-package
securityk9
R1(config)# end
R1# copy running-config startup-config
R1# reload
Una vez finalizada la recarga, vuelva a emitir el comando show version
para verificar si se activ la licencia del paquete de tecnologa de
seguridad.
Parmetros de poltica de fase 1 de ISAKMP
Parte 2: Configurar los parmetros de
IPsec en el R1
Paso 1: Identificar el trfico interesante en el R1.
Configure la ACL 110 para identificar como interesante el trfico
proveniente de la LAN en el R1 a la LAN en el R3.
Este trfico interesante activa la VPN con IPsec para que se
implemente cada vez que haya trfico entre las LAN de los routers
R1 y R3.
El resto del trfico que se origina en las LAN no se cifra. Recuerde
que debido a la instruccin implcita deny any, no hay necesidad de
agregar dicha instruccin a la lista.
R1(config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
IPsec en el R1
Paso 2: Configurar las propiedades de la fase 1 de ISAKMP en
el R1.
Configure las propiedades de la poltica criptogrfica ISAKMP 10
en el R1 junto con la clave criptogrfica compartida cisco.
Consulte la tabla de la fase 1 de ISAKMP para ver los parmetros
especficos que se deben configurar.
No es necesario que se configuren los valores predeterminados,
por lo que solo se deben configurar el cifrado, el mtodo de
intercambio de claves y el mtodo DH.
IPsec en el R1
el R1.
R1(config)# crypto isakmp policy 10
R1(config-isakmp)# encryption aes
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# exit
R1(config)# crypto isakmp key cisco address 10.2.2.2
Parmetros de poltica de fase 2 de IPsec
IPsec en el R1
el R1.
Cree el conjunto de transformaciones VPN-SET para usar esp-
3des y esp-sha-hmac.
A continuacin, cree la asignacin criptogrfica VPN-MAP que
vincula todos los parmetros de la fase 2.
Use el nmero de secuencia 10 e identifquelo como una
asignacin ipsec-isakmp.
IPsec en el R1
Paso 3: Configurar las propiedades de la fase 2 de ISAKMP en el
R1.
R1(config)# crypto ipsec transform-set VPN-SET esp-3des esp-sha-
hmac
R1(config)# crypto map VPN-MAP 10 ipsec-isakmp
R1(config-crypto-map)# description VPN connection to R3
R1(config-crypto-map)# set peer 10.2.2.2
R1(config-crypto-map)# set transform-set VPN-SET
R1(config-crypto-map)# match address 110
R1(config-crypto-map)# exit
IPsec en el R1
Paso 4: Configurar la asignacin criptogrfica en la interfaz
de salida.
Por ltimo, vincule la asignacin criptogrfica VPN-MAP a la
interfaz de salida Serial 0/0/0.
Nota: esta actividad no se califica.
R1(config)# interface S0/0/0
R1(config-if)# crypto map VPN-MAP
IPsec en el R3
Paso 1: Configurar el router R3 para admitir una VPN de sitio
a sitio con el R1.
Ahora configure los parmetros recprocos en el R3. Configure la
ACL 110 para identificar como interesante el trfico proveniente de
la LAN en el R3 a la LAN en el R1.
R3(config)# access-list 110 permit ip 192.168.3.0 0.0.0.255
192.168.1.0 0.0.0.255
IPsec en el R3
el R3.
Configure las propiedades de la poltica criptogrfica ISAKMP 10
en el R3 junto con la clave criptogrfica compartida cisco.
R3(config)# crypto isakmp policy 10
R3(config-isakmp)# encryption aes
R3(config-isakmp)# authentication pre-share
R3(config-isakmp)# group 2
R3(config-isakmp)# exit
R3(config)# crypto isakmp key cisco address 10.1.1.2
IPsec en el R3
el R1.
Como hizo en el R1, cree el conjunto de transformaciones VPN-
SET para usar esp-3des y esp-sha-hmac.
A continuacin, cree la asignacin criptogrfica VPN-MAP que
vincula todos los parmetros de la fase 2.
Use el nmero de secuencia 10 e identifquelo como una
asignacin ipsec-isakmp.
IPsec en el R3
el R1.
R3(config)# crypto ipsec transform-set VPN-SET esp-3des esp-
sha-hmac
R3(config)# crypto map VPN-MAP 10 ipsec-isakmp
R3(config-crypto-map)# description VPN connection to R1
R3(config-crypto-map)# set peer 10.1.1.2
R3(config-crypto-map)# set transform-set VPN-SET
R3(config-crypto-map)# match address 110
R3(config-crypto-map)# exit
IPsec en el R3
Paso 4: Configurar la asignacin criptogrfica en la interfaz
de salida.
Por ltimo, vincule la asignacin criptogrfica VPN-MAP a la
interfaz de salida Serial 0/0/1. Nota: esta actividad no se califica.
R3(config)# interface S0/0/1
R3(config-if)# crypto map VPN-MAP
IPsec en el R3
Paso 1: Verificar el tnel antes del trfico interesante.
Emita el comando show crypto ipsec sa en el R1. Observe que la cantidad de
paquetes encapsulados, cifrados, desencapsulados y descifrados se establece en 0.
IPsec en el R3
Paso 2: Crear el trfico interesante.
Haga ping de la PC-A a la PC-C.
Paso 3: Verificar el tnel despus del trfico interesante.
En el R1, vuelva a emitir el comando show crypto ipsec sa.
Ahora observe que la cantidad de paquetes es superior a 0, lo que
indica que el tnel VPN con IPsec funciona.
R1# show crypto ipsec sa
IPsec en el R3
Ejemplo 2 VPN
IPsec Sitio-a-Sitio
Horacio Vega F
Ejemplo VPN IPsec Sitio-a-Sitio
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
209.165.200.240 /29 Internet 209.165.200.224 /29
.241 .225
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
El router Branch ha sido configurado para soportar una VPN IPsec

cuando se conecta al sitio HQ.
El propsito de un enlace VPN IPsec es ser usado como enlace de
respaldo en caso que el enlace WAN privado falle.
La meta a largo plazo es dejar de usar el enlace WAN completamente y usar
solamente la conexin VPN para comunicar entre la oficina sucursal y la central.
Configuracin del router Branch con IPsec VPN
Branch# conf t
Branch(config)# crypto isakmp policy 1
Branch(config-isakmp)# encryption aes
ISAKMP Policy

Especifica los detalles de configuracin
Branch(config-isakmp)# authentication pre-share iniciales de la VPN
Branch(config-isakmp)# group 2
Branch(config-isakmp)# exit
Branch(config)# crypto isakmp key cisco123 address 209.165.200.226
Branch(config)#
IPsec Details

Especifica como los
paquetes Ipsec
Branch(config)# crypto ipsec transform-set HQ-VPN esp-sha-hmac esp-3des
sern encapsulados
Branch(cfg-crypto-trans)# exit
Branch(config)#
Branch(config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 10.10.10.0 0.0.0.255
Branch(config)#
Branch(config)#
Crypto ACL

Especifica el trfico que ser
Branch(config)# crypto map HQ-MAP 10 ipsec-isakmp enviado a la VPN para activarla
% NOTE: This new crypto map will remain disabled until a peer
Branch(config-crypto-map)# set transform-set HQ-VPN
Branch(config-crypto-map)# set peer 209.165.200.226

VPN Tunnel Information
Crea el crypto map que
combinar la poltica ISAKMP,
Branch(config-crypto-map)# match address 110 el conjunto de transformacin
Branch(config-crypto-map)# exit IPsec, las direcciones de las
Branch(config)# int s0/0/1 parejas VPN y la crypto ACL
Branch(config-if)# crypto map HQ-MAP
Branch(config-if)# ^Z Apply the Crypto Map
Identifica cual interface es usada como parte activa de la
Branch# VPN
Ejemplo de verificacin de VPN IPsec
Verificando
Comando y Descripcin
corrigiendo IPsec
show crypto map Muestra contenidos especficos en una configuracin de
crypto map
show crypto session Muestra la informacin de estado de la sesin crypto

activa.
show crypto ipsec sa Muestra las configuraciones usadas en la SA.
debug crypto ipsec Muestra los eventos IPsec en tiempo real
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
209.165.200.240 /29 Internet 209.165.200.224 /29
.241 .225
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Branch# debug crypto ipsec

Crypto IPSEC debugging is on
Branch# ping 10.10.10.1 source 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/56/60 ms
Branch#
Habilita la depuracin Ipsec y genera el trfico VPN interesante.

Notifica que el trfico ping coincide con la crypto ACL 110, sin embargo,
no se genera una salida de depuracin.
access-list 110 permit ip 192.168.1.0 0.0.0.255 10.10.10.0 0.0.0.255
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
209.165.200.240 /29 Internet 209.165.200.224 /29
.241 .225
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Branch# show crypto session

Crypto session current status
Interface: Serial0/0/1
Session status: DOWN
Peer: 209.165.200.226 port 500
IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 10.10.10.0/255.255.255.0
Active SAs: 0, origin: crypto map
<output omitted>
Aunque el ping fue exitoso, aparece que el tunel est abajo.

Recordar que en la ltima implementacin se utiliz NAT.
Tal vez esta es la causa de algunos problemas con el tnel IPsec que se acaba de crear.
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
209.165.200.240 /29 Internet 209.165.200.224 /29
.241 .225
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Branch# debug ip nat

IP NAT debugging is on

!!!!!
Branch#
Habilita la depuracin NAT y realizar ping nuevamente.

El ping es nuevamente exitoso.
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
209.165.200.240 /29 Internet 209.165.200.224 /29
.241 .225
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Branch#
*Mar 26 16:35:21.251: NAT: s=192.168.1.1->209.165.200.249, d=10.10.10.1 [35]
*Mar 26 16:35:21.307: NAT*: s=209.165.200.238, d=209.165.200.249->192.168.1.1 [35]
*Mar 26 16:35:21.307: NAT: s=192.168.1.1->209.165.200.249, d=10.10.10.1 [36]
*Mar 26 16:35:21.367: NAT*: s=209.165.200.238, d=209.165.200.249->192.168.1.1 [36]
*Mar 26 16:35:21.367: NAT: s=192.168.1.1->209.165.200.249, d=10.10.10.1 [37]
*Mar 26 16:35:21.423: NAT*: s=209.165.200.238, d=209.165.200.249->192.168.1.1 [37]
*Mar 26 16:35:21.423: NAT: s=192.168.1.1->209.165.200.249, d=10.10.10.1 [38]
*Mar 26 16:35:21.479: NAT*: s=209.165.200.238, d=209.165.200.249->192.168.1.1 [38]
*Mar 26 16:35:21.483: NAT: s=192.168.1.1->209.165.200.249, d=10.10.10.1 [39]
*Mar 26 16:35:21.539: NAT*: s=209.165.200.238, d=209.165.200.249->192.168.1.1 [39]
Branch#
La salida de depuracin NAT indica que la direccin IP interna

192.168.1.1 ha sido traducida a 209.165.200.249.
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
209.165.200.240 /29 Internet 209.165.200.224 /29
.241 .225
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Branch# show access-lists

Extended IP access list 110
10 permit ip 192.168.1.0 0.0.0.255 10.10.10.0 0.0.0.255
Extended IP access list BRANCH-NAT-ACL
10 permit ip 192.168.1.0 0.0.0.255 any (1 match)
Branch#
La BRANCH-NAT-ACL identifica el trfico a traducir como una sola

coincidencia.
La ACL 110 es para el VPN IPsec.
Cul es la solucin a este problema?
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
209.165.200.240 /29 Internet 209.165.200.224 /29
.241 .225
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Branch(config)# no ip access-list extended BRANCH-NAT-ACL

Branch(config)# ip access-list extended BRANCH-NAT-ACL
Branch(config-ext-nacl)# deny ip 192.168.1.0 0.0.0.255 10.10.10.0 0.0.0.255
Branch(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 any
Branch(config-ext-nacl)# ^Z
Branch
Alterar la ACL NAT para omitir el trfico VPN.

La ACL debe ignorar el trfico de la LAN Branch que va hacia la LAN HQ
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
209.165.200.240 /29 Internet 209.165.200.224 /29
.241 .225
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Branch# clear ip nat translation *

Branch# clear crypto isakmp
Branch# clear crypto sa
!!!!!
Branch#
Limpiar las traducciones NAT y las Sas IPsec y generar trfico VPN
interesante.
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
209.165.200.240 /29 Internet 209.165.200.224 /29
.241 .225
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
*Mar 26 18:28:45.166: IPSEC(sa_request): ,

(key eng. msg.) OUTBOUND local= 209.165.200.242, remote= 209.165.200.226,
local_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
remote_proxy= 10.10.10.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
*Mar 26 18:28:45.730: IPSEC(validate_proposal_request): proposal part #1
<output omitted>
*Mar 26 18:28:45.738: IPSEC(update_current_outbound_sa): updated peer 209.165.200.226

current outbound sa to SPI 1C838B72!!!!
Branch#
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
209.165.200.240 /29 Internet 209.165.200.224 /29
.241 .225
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Branch# show crypto session

Crypto session current status
Interface: Serial0/0/1
Session status: UP-ACTIVE
Peer: 209.165.200.226 port 500
IKE SA: local 209.165.200.242/500 remote 209.165.200.226/500 Active
IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 10.10.10.0/255.255.255.0
Active SAs: 2, origin: crypto map
Branch#
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
209.165.200.240 /29 Internet 209.165.200.224 /29
.241 .225
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Branch# show crypto ipsec sa
interface: Serial0/0/1
Crypto map tag: HQ-MAP, local addr 209.165.200.242
protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer 209.165.200.226 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
<output omitted>
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
209.165.200.240 /29 Internet 209.165.200.224 /29
.241 .225
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
El ejemplo confirma que el router Branch y el router HQ han establecido

una sesin VPN.
Notar que un servicio tal como NAT puede impactar la creacin de un
tnel VPN.
Verificar y resolver
problemas de la
configuracin IPsec
Horacio Vega F
Test and Verify IPsec
Show Command Description

show crypto map Muestra los crypto-maps configurados
show crypto isakmp policy Muestra las polticas IKE configuradas
show crypto ipsec sa Muestra los tneles IPsec establecidos
show crypto ipsec Muestra los conjuntos de transformacin

transform-set IPsec configurados
debug crypto isakmp Depura los eventos IKE
Depura los eventos IPsec

debug crypto ipsec
Show crypto map Command
Site 1 Site 2
RouterA RouterB
A
Internet B
10.0.1.3 S0/1 S0/1 10.0.2.3
172.30.1.2 172.30.2.2
router#
show crypto map
Muestra los crypto-maps configurados

RouterA#show crypto map
Crypto Map "mymap" 10 ipsec-isakmp
Peer = 172.30.2.2
Extended IP access list 110
access-list 102 permit ip host 10.0.1.3 host 10.0.2.3
Current peer: 172.30.2.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={ mine, }
Show crypto isakmp policy Command
Site 1 Site 2
RouterA RouterB
A
Internet B
10.0.1.3 10.0.2.3
router#
show crypto isakmp policy
RouterA#show crypto isakmp policy

Protection suite of priority 110
encryption algorithm: 3DES - Data Encryption Standard (168 bit keys).
hash algorithm: Secure Hash Standard
authentication method: preshared
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
Show crypto ipsec sa
Site 1 Site 2
RouterA RouterB
A
Internet B
10.0.1.3 S0/1 S0/1 10.0.2.3
172.30.1.2 172.30.2.2
Muestra los tneles IPsec establecidos

RouterA#show crypto ipsec sa
Interface: Serial0/1
Crypto map tag: mymap, local addr. 172.30.1.2
local ident (addr/mask/prot/port): (172.30.1.2/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (172.30.2.2/255.255.255.255/0/0)
current_peer: 172.30.2.2
PERMIT, flacs={origin_is_acl,}
#pkts encaps: 21, #pkts encrypt: 21, #pkts digest 0
#pkts decaps: 21, #pkts decrypt: 21, #pkts verify 0
#send errors 0, #recv errors 0
local crypto endpt.: 172.30.1.2, remote crypto endpt.: 172.30.2.2
path mtu 1500, media mtu 1500
current outbound spi: 8AE1C9C
Show crypto ipsec transform-set Command
Site 1 Site 2
RouterA RouterB
A
Internet B
S0/1 S0/1
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
router#
show crypto ipsec transform-set
Muestra los conjuntos de transformacin IPsec

configurados
RouterA#show crypto ipsec transform-set
Transform set AES_SHA: { esp-128-aes esp-sha-hmac }
will negotiate = { Tunnel, },
Debug crypto isakmp
router#
debug crypto isakmp
1d00h: ISAKMP (0:1): atts are not acceptable. Next payload is 0 1d00h: ISAKMP (0:1); no
offers accepted!
1d00h: ISAKMP (0:1): SA not acceptable!
1d00h: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Main Mode failed with peer at 172.30.2.2
El comando debug crypto isakmp muestra informacin detallada sobre

los procesos de negociacin IKE de fase 1 y fase 2.
El comando debug crypto ipsec muestra informacin detallada sobre
los eventos IPsec.

ConRed InstructorPPT Cap7 VPN IPsecv2

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ConRed InstructorPPT Cap7 VPN IPsecv2

Uploaded by

Copyright:

Available Formats

Captulo 7: Seguridad de

IPsec es capaz de tunelear paquetes usando una

Nueva Cabecera Cabecera IP ESP Autenticacin

New IP Header Original IP Header

El ejemplo muestra como un paquete es encapsulado

Contenido de seguridad encapsulado (ESP)

Authentication Data IP HDR AH Data

Provee confidencialidad mediante el cifrado

IPsec utiliza RSA (sistema criptogrfico de claves pblicas)

Una VPN es un canal de comunicacin utilizado para formar

10.0.1.3 IKE Phase 1: 10.0.2.3

IKE Phase 2 Exchange

Negociar la poltica IPSEC Negociar la poltica IPSEC

El trfico es considerado interesante cuando

2. Comienza la fase 1 de IKE.

Cuando los pares son autenticados, se crea

3. Comienza la fase 2 de IKE.

La negociacin de la poltica compartida

4. Se crea el tnel IPsec y se transfieren los

5. El tnel IPsec termina cuando se eliminan las

192.168.1.0 /24 10.10.10.0 /24

209.165.200.240 /29 Internet 209.165.200.224 /29

Deben completarse algunas tareas bsicas para configurar

R1(config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

209.165.200.240 /29 Internet 209.165.200.224 /29

El router Branch ha sido configurado para soportar una VPN IPsec

show crypto session Muestra la informacin de estado de la sesin crypto

show crypto ipsec sa Muestra las configuraciones usadas en la SA.

debug crypto ipsec Muestra los eventos IPsec en tiempo real

209.165.200.240 /29 Internet 209.165.200.224 /29

Branch# debug crypto ipsec

Habilita la depuracin Ipsec y genera el trfico VPN interesante.

209.165.200.240 /29 Internet 209.165.200.224 /29

Branch# show crypto session

Aunque el ping fue exitoso, aparece que el tunel est abajo.

209.165.200.240 /29 Internet 209.165.200.224 /29

Branch# debug ip nat

Type escape sequence to abort.

Habilita la depuracin NAT y realizar ping nuevamente.

209.165.200.240 /29 Internet 209.165.200.224 /29

La salida de depuracin NAT indica que la direccin IP interna

209.165.200.240 /29 Internet 209.165.200.224 /29

Branch# show access-lists

La BRANCH-NAT-ACL identifica el trfico a traducir como una sola

Cul es la solucin a este problema?

209.165.200.240 /29 Internet 209.165.200.224 /29

Branch(config)# no ip access-list extended BRANCH-NAT-ACL

Alterar la ACL NAT para omitir el trfico VPN.

209.165.200.240 /29 Internet 209.165.200.224 /29

Branch# clear ip nat translation *

209.165.200.240 /29 Internet 209.165.200.224 /29

*Mar 26 18:28:45.166: IPSEC(sa_request): ,

*Mar 26 18:28:45.738: IPSEC(update_current_outbound_sa): updated peer 209.165.200.226

209.165.200.240 /29 Internet 209.165.200.224 /29

Branch# show crypto session

209.165.200.240 /29 Internet 209.165.200.224 /29

Branch# show crypto ipsec sa

protected vrf: (none)

209.165.200.240 /29 Internet 209.165.200.224 /29

El ejemplo confirma que el router Branch y el router HQ han establecido

Show Command Description

show crypto isakmp policy Muestra las polticas IKE configuradas

show crypto ipsec sa Muestra los tneles IPsec establecidos

show crypto ipsec Muestra los conjuntos de transformacin