Cisco site to-site vpn

  • Published on
    10-Jun-2015

  • View
    26.578

  • Download
    2

Embed Size (px)

Transcript

  • 1. CISCO Site-to-Site VPN Jess Moreno Len Alberto Molina Coballes Redes de rea LocalJunio 2009

2. Escenario INTERNETOFICINA CENTRALOFICINA REMOTA Se quiere implementar una VPN Site-to-Site entre las dos oficinas Se crear un tnel IPSEC entre ambas sedes basado en secreto compartido 3. Tareas a realizarI. Configurar las polticas IKE II. Verificar las polticas IKE III. Configurar IPSec IV. Configurar Crypto Map 4. I. Configurar las polticas IKE Una poltica IKE define una combinacin de parmetros de seguridad (cifrado, hash, autenticacin y DH) que sern usados durante la negociacin IKE. En ambos nodos deben crearse polticas (tantas como se quieran ordenadas por prioridad) y, al menos, debe existir una igual en los 2 extremos. Tambin se deben configurar paquetes IKE keepalives (o paquetes hello) para detectar posibles prdidas de conectividad. 5. I. Configurar las polticas IKE Paso ComandoObjetivo1 r1(config)# crypto isakmp policy 1 Crear una nueva poltica IKE. Cada poltica se identifica por su nmero de prioridad (de 1 a 10.000; 1 la msprioridad ms alta)2 r1(config-isakmp)# encryption 3des Especificar el algoritmo de cifrado autilizar: 56-bit Data Encryption Standard (DES [des]) o 168-bit Triple DES (3des).3 r1(config-isakmp)# hash shaElegir el algoritmo de hash a usar:Message Digest 5 (MD5 [md5] ) o Secure Hash Algorithm (SHA [sha]).4 r1(config-isakmp)# authentication Determinar el mtodo depre-shareautenticacin: pre-shared keys(pre-share), RSA1 encrypted nonces (rsa-encr), o RSA signatures (rsa-slg). 6. I. Configurar las polticas IKE Paso Comando Objetivo5 r1(config-isakmp)# group 2Especificar el identificador de grupoDiffie-Hellman: 768-bit Diffie-Hellman (1) o 1024-bit Diffie-Hellman (2) 6 r1(config-isakmp)# lifetime 86400 Determinar el tiempo de vide de la Asociacin de Seguridad (SA) ensegundos. 86400 segundos = 1 da7 r1(config-isakmp)# exit Volver al modo de configuracin globalOp-r1(config)# cry isakmp keepalive 12 2Elegir el intervalo de los paquetes cio- hello (por defecto 10 segundos) y el naltiempo de reintento cuando unpaquete falla. 7. I. Configurar las polticas IKE En funcin del mtodo de autenticacin elegido hay que llevar a cabo una tarea ms antes de que IKE e IPSec puedan usar la poltica creada. RSA signatures: hay que configurar ambos nodos para obtener los certificados de una CA RSA encrypted nonces: cada nodo debe tener en su poder la clave pblica del otro nodo Pre-Shared keys: 1. Establecer la identidad ISAKMP de cada nodo (nombre o IP) 2. Establecer el secreto compartido en cada nodo. 8. I. Configurar las polticas IKE Paso ComandoObjetivo9 r1(config)# crypto isakmp identityEn la oficina central: elegir laaddress identidad ISAKMP (address o hostname) que el router usar en las negociaciones IKE10r1(config)# crypto isakmp key En la oficina central: establecer elmisecretocompartido secreto compartido que se usarip_oficina_remota con el router de la oficina remota 11r2(config)# crypto isakmp identityEn la oficina remota: elegir laaddress identidad ISAKMP (address o hostname) que el router usar en las negociaciones IKE12r2(config)# crydpto isakmp keyEn la oficina remota: establecer el misecretocompartidosecreto compartido que se usar ip_oficina_centralcon el router de la oficina cetral 9. II. Verificar las polticas IKEPara asegurarnos de que la configuracin de la poltica esla que deseamos usar podemos utilizar el siguientecomando:PasoComandoObjetivo 13 r1# show crypto isakmp policy Comprobar los valores de cada parmetro de seguridad de la poltica IKE 10. III. Configurar IPSec Tras configurar y verificar la poltica IKE en cada nodo, hay que configurar IPSec en ambos extremos:1. Crear Crypto ACL 2. Verificar Crypto ACL 3. Definir el Transform Set 4. Verificar el Transform Set 11. III. Configurar IPSec1. Crear Crypto ACL. Las Crypto ACL se usan para definir el trfico que ser protegido mediante cifradoPasoComando Objetivo14r1(config)# access-list 109 permit ip En la oficina central: cifrar todo elred_oficina_centraltrfico IP que salga de la oficinared_oficina_remotacentral hacia la oficina remota 15r2(config)# access-list 109 permit ip En la oficina remota: cifrar todo elred_oficina_remota trfico IP que salga de la oficinared_oficina_central remota hacia la oficina central 12. III. Configurar IPSec2. Verificar Crypto ACL.Paso ComandoObjetivo16r1# show access-lists 109 Verificar Crypto ACL 13. III. Configurar IPSec3. Definir los Transform SetsPaso ComandoObjetivo17r1(config)# crypto ipsec transform-set Esyablece las polticas de seguridadSTRONG esp-3des esp-sha-hmac IPSEC que se usarn en las comunicaciones, eligiendo el modotransporte (AH) o tnel (ESP)18r1(config-isakmp)# exit En la oficina remota: cifrar todo el trfico IP que salga de la oficinaremota hacia la oficina central 14. III. Configurar IPSec3. Verificar el Transform SetPaso ComandoObjetivo19r1# show crypto ipsec transform-set Verificar Transform Set 15. IV. Configurar Crypto Map Paso Comando Objetivo20r1(config)# crypto map NOMBRE 1Crear un crypto map de nombre ipsec-isakmpNOMBRE, y establecer el nmero desecuencia de esta entrada, obligando a usar IKE para establecerSAs.21r1(config-crypto-map)# set transform-De los transform sets que se hayan set STRONGdefinido, especificar cul se usara en esta entrada del crypto-map 22r1(config-crypto-map)# set pfs group 2Activar Perfect Forward Secrecy23r1(config-crypto-map)# set peerDefinir la direccin del host remotodireccin-oficina-remota 16. IV. Configurar Crypto Map Paso ComandoObjetivo24r1(config-crypto-map)# match address Establecer el trfico que se va a 109 cifrar (definido previamente en unaACL) 25r1(config-crypto-map)# ^ZVolver al modo privilegiado26r1(config)# show crypto mapVerificar la configuracin del cryptomap 17. IV. Configurar Crypto MapPasoComando Objetivo27r1(config)# interface XXXXEntrar al modo de configuracin dela interfaz donde se aplicar el crypto map 28r1(config-if)# crypto map NOMBRE Aplicar el crypto map a la interfaz fsica.29r1(config-if)#^Z Volver al modo privilegiado30r1#show crypto map interface XXXX Verificar la asociacin de la intnerfazy el crypto map. 18. Comprobar el funcionamientoPaso Comando Objetivo31r1# show crypto ipsec saMostrar la informacin de laAsociacin de Seguridad para verificar su correcto funcionamiento 32r1# write Guardar los cambios. El paso msimportante :-)