implantación de técnicas de seguridad remoto · pdf filela siguiente imagen nos...
TRANSCRIPT
Implantación de técnicas de seguridad remoto
2013
Adrián de la Torre López adriandelatorsad.wordpress.com
30/02/2013
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 2
a) Simulación VPN sitio a sitio, utilizando Packet Tracer.
- El primer comando sirve para crear una nueva política IKE. Cada política se identifica por su numero de prioridad. La primera es la más alta.
- El siguiente comando especifica el algoritmo de cifrado a utilizar. - Elegir el algoritmo de hash a usar en mi caso “sha”. - Determinar el método de autenticación. - Especificamos el identificación de grupo. - Determinamos el tiempo de vida de la asociación de seguridad en segundos.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 3
Según el manual de la junta de Andalucía el comando que se debe de poner no lo reconoce el programa packet tracert por lo tanto no se pudo continuar con la configuración VPN de sitio a sitio.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 4
b) CISCO CCNA Security 1. 1. Laboratorio Lab- 8- A: VPN sitio-a-sitio Nos creamos un usuario para poder configurar el router de forma CCP.
Después abrimos la aplicación e introducimos el usuario y contraseña creada con la direcciónIp a configurar. Después pulsamos ok.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 5
Se nos mostrara la siguiente pantalla donde pulsaremos a discover sobre la ip a configurar. Después pulsamos al botón configure situada en la esquina superior izquierda y podremos ver que podemos modificar y configurar las carpetas de la barra izquierda.
Pulsamos sobre la opción vpn sitio a sitio y se nos mostrara la imagen de la derecha.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 6
Pulsamos "Launch the selected task", pulsamos la segunda opción y seguimos el asistente.
Ahora introducimos los siguientes datos: - Seleccionamos la interfaz por donde va a realizarse la VPN. - Ponemos la dirección remota al router R1. - Ponemos una contraseña para compartir (cisco12345)
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 7
Configuramos la política de IKE que se utilizan para configurar el canal de control entre los dos puntos finales de VPN para el intercambio de claves.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 8
El conjunto de transformación es la directiva IPsec se utiliza para cifrar hash y autenticarse paquetes que pasan a través del túnel.
Debemos definir el tráfico interesante para ser protegida a través del túnel VPN. El trafico interesante se define a través de una lista de acceso aplicada al router. Para eso ingresamos las direcciones en la siguiente ventana:
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 9
Podemos ver un resumen de lo configurado:
Finalmente lo guardamos pulsando en el checkbox.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 10
Ahora hacemos un espejo que consiste en realizar la misma configuración pero en el otro router.
Ahora para comprobar que funciona pulsamos en la opción “test tunnel”.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 11
Ponemos la dirección de destino y le damos a "continue".
Le damos a test tunnel y esperamos a que chequee el proceso, vemos que el tunel esta up.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 12
VPN de acceso remoto Simulación VPN de acceso remoto, utilizando Packet Tracer. El escenario para realizar el VPN de acceso remoto es el siguiente:
Lo primero de todo será ponerle un nombre al router. También creamos una bolsa de direcciones que permite la conexión de 40 conexiones recurrentes.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 13
La siguiente imagen nos muestra una serie de comandos de los que cad uno significa: - Aaa new-model = Activar la funcionalidad aaa (autenticación, autorización y
contabilizacion) - Aaa authentication login = Defina la lista de métodos de autenticación cuando un usuario
hace login(local, radius…). - Aaa authorization network VPN-GROUP local = Establece los parámetros que restringen
el acceso de los usuarios a la red. Las letras mayúsculas significa poner un nombre de grupo que queramos.
- Username VPNUSER password MICONTRASEÑA: Se crea una cuenta de usuario que usaran los clientes VPN para autenticarse contra el servidor. Las letras mayúsculas se cambian por un nombre y una contraseña.
- Crypto isakmp policy 10 = Crea una nueva política IKE. Cada política se identifica por su numero de prioridad (de 1 a 10.000, el 1 es la prioridad mas alta).
- Encryption aes 192 = Especifica el algoritmo de cifrado a utilizar. - Hash sha = Elige el algoritmo de hash a usar (MD5 o SHA) - Authentication pre-share = Determina el método de autenticación (pre-share, rsa-encr o
rsa-slg) - Group 5 = especifica el identificador de grupo Diffie-Hellman.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 14
- Crypto isakmp client configuration group VPN-GROUP = Crea un grupo IKE para los clientes VPN. En mayusuclas tendremos que poner el nombre del grupo puesto en las primeras imágenes.
- Key SECRETOCOMPARTIDO= Establece el secreto compartido para el grupo VPN-GROUP creado anteriormente.
- Pool VPNPOOL = Se selecciona la bolsa de direcciones para los clientes
- Crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac = Establece las políticas de seguridad IPSEC que se usaran en las comunicaciones. Podemos poner cualquier nombre en “VPNSET”.
- Crypto dynamic-map VPN-DYNAMIC 10 = Crea un crypto map dinamico que se usa cuando la IP del host remoto no se conoce, como es el caso en las VPN de acceso remoto. Podemos nombrar la VPN-DYNAMIC como queramos.
- Set transform-set VPNSET = Asocia el transform set VPNSET al crypto map dinamico. En VPNSET poner el nombre anteriormente puesto en unas opciones anteriores.
- Reverse-route = Activa Reverse Route Injection.
- Crypto map VPN-STATIC client configuration address respond = Configuramos un crypto map estatico que puede ser asociado a una interfaz.. Ponemos el nombre que queramos sobre vpn-static
- Crypto map VPN-STATIC client authentication list VPN-USERS = Define el conjunto de usuarios con permisos de autenticación. Sobre VPN-STATIC pondremos el nombre anteriormente puesto en el anterior comando y en VPN-USER los usuarios creados al principio en el 3º comando.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 15
- Crypto map VPN-STATIC isakmp authorization list VPN-GROUP = Establece el grupo de usuarios y los parametros de acceso a la red.
- Crypto map VPN-STATIC 20 ipsec-isakmp dynamic VPN-DYNAMIC = Asocia el crypto map dinamico creado para los clientes de acceso remoto.
- Interface fa 0/1 = Accedemos a la configuración de la interfaz por la que se conectaran los clientes VPN.
- Crypto map VPN-STATIC = Asociamos el crypto map a la interfaz. - Write = Comando para guardar todos los cambios.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 16
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 17
b) CISCO CCNA Security 1.1. Laboratorio Lab-8-B; VPN Acceso.remoto Nos creamos un usuario para poder configurar el router de forma CCP.
Después abrimos la aplicación e introducimos el usuario y contraseña creada con la dirección Ip a configurar. Después pulsamos ok.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 18
Se nos mostrara la siguiente pantalla donde pulsaremos a discover sobre la ip a configurar. Después pulsamos al botón configure situada en la esquina superior izquierda y podremos ver que podemos modificar y configurar las carpetas de la barra izquierda.
Nos vamos a Security > Firewall, marcamos la opcion de basic firewall y le damos a launch the search task.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 19
Marcamos la interfaz que va a estar dentro y fuera del router 1 y le damos a siguiente.
Ponemos la seguridad a nivel bajo del firewall y le damos a siguiente
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 20
Permitimos las actualizaciones de eigrp a través del firewall y le damos a siguiente.
Marcamos la opción para que se guarden las configuraciones en el router y le damos a deliver.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 21
Nos vamos a security > firewall >vpn> easy vpn server, le damos a launch
Pulsamos la casilla de guardar la configuración en el router y le damos a deliver para que tengan efecto los cambios.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 22
Nos saldrá esta pantalla de bienvenida, le damos a siguiente.
Marcamos la opción de "Unnumbered to..." y seleccionamos el serial, le damos a siguiente.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 23
Seleccionamos el que viene por defecto y le damos a siguiente.
Seleccionamos el que viene por defecto y le damos a siguiente.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 24
Seleccionamos la opción del método local y le damos a siguiente
Habilitamos la autenticación por usuarios, luego marcamos la opción de solo local
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 25
Añadimos los usuarios con su contraseña y ponemos el nivel de privilegios en 1 y Ok.
Creamos el grupo y le ponemos la contraseña, ponemos un rango de direcciones que se pueden conectar a la red a través de la vpn por acceso remoto.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 26
Habilitamos el grupo y en el id túnel ponemos un 1.
En esta pantalla le damos a Ok.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 27
Nos aparece un resumen y le damos a finalizar.
Marcamos la casilla para que se guarden la configuración en el router y le damos a deliver.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 28
Le damos a test tunnel y start, esperamos a que termine el chequeo y vemos que testa el túnel up.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 29
a) Instalación de un servidor VPN en Windows XP/7/ Windows 2003/2008 Server.
Para realizar una VPN en el sistema operativo Windows Xp nos situaremos en la ruta: Inicio – panel de control – conexiones de red e internet – conexiones de red y crear una nueva conexión.
Una vez que pulsamos únicamente seguiremos las indicaciones del asistente:
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 30
Para poder realizar la VPN elegimos la ultima opción.
Elegimos la primera opción para aceptar conexiones entrantes.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 31
No seleccionamos la conexión.
Para usar VPN tenemos que aceptar la siguiente opción.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 32
Después elegimos los usuarios que podrán utilizar este tipo de conexión.
Después nos saldrá todos los protocolos que podrán usar la conexión.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 33
Una vez finalizado podemos ver que se creó correctamente.
b) Instalación de un servidor VPN en GNU/Linux Para poder realizar un servidor VPN en un Ubuntu lo primero que se debe de hacer es descargar e instalar el paquete VPN:
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 34
Una vez instalado procedemos a configurarlo y para ello nos situamos en el siguiente fichero:
Pondremos la siguientes líneas y todo lo demás quedara comentado menos la ultima opcion que significa su compresion.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 35
A continuación modificamos el fichero “pptpd.conf” donde comentaremos todas las líneas a excepción de tres.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 36
Al final del archivo pondremos unas líneas con la IP de nuestro servidor vpn y el rango de ip disponibles.
Por ultimo editamos un ultimo fichero llamado “chap-secret” donde se situan el nombre de usuario y contraseña para poder acceder al servidor llamado anteriormente adrian y se podrán conectar con el primer usuario desde cualquier maquina y con el segundo desde esa ip especifica.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 37
c) Conexión desde un cliente Windows y GNU/Linux VPN a un servidor VPN
Nos situaremos en el panel de control y después en centro de recursos compartidos. Una vez situados pulsaremos en la opcion “configurar una nueva conexión o red”.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 38
Elegimos la tercera opción.
Después nos dará a elegir entre las dos siguientes opción y evidentemente elegimos la primera.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 39
La siguiente pantalla tendremos que poner a que equipo o servidor configurado con VPN nos queremos conectar.
Después pondremos a que usuario le permitimos acceder al servicio de VPN y este usuario se dio de dar de alta en el servidor como esta hecho anteriormente.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 40
Finalmente se conecto.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 41
La conexión desde otro equipo cliente pero Linux se hace de la siguiente manera. Nos situamos en “conexiones VPN” y configurar VPN.
Nos saldrá la siguiente pantalla y damos la opción “añadir”.
Elegimos el tipo de conexión:
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 42
Introducimos los datos de usuario, contraseña y la Ip del servidor VPN.
d) Configurar el router Linksys RV200 como un servidor VPN sobre red local.
Para configurar este router como una VPN de acceso remoto es muy simple. Nos situamos en la pestaña “VPN ” y después sobre la opción “VPN client access” donde veremos la siguiente imagen y la rellenaremos con los usuarios que queramos que accedan.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 43
Ponemos el usuario, su contraseña y por ultimo pulsamos el botón “add/save” para guardar el usuario.
Para realizar una VPN de sitio a sitio nos vamos a la pestaña “IPSEC VPN”. Como veremos en la siguiente imagen creamos un túnel con un nombre y lo activamos. La dirección de red local y remota con la que se realizara el túnel.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 44
El tipo de encapsulación que se usara y también se puede ver la clave compartida entre los dos sitios.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 45
e) Configurar el router Linksys RV042 como un servidor VPN sobre red local.
Para realizar en este router una Vpn nos situamos en la pestaña “VPN” y después sobre “Gateway to gateway” para realizar la VPN de sitio a sitio.
Ahora procedemos a configurarla. Lo primero será darle un numero y un nombre al túnel. Ponemos la dirección Ip local y de destino con su dirección Gateway de salida.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 46
Más abajo tiene la configuración de la encapsulación del túnel que pondremos la “3DES” y para autenticar el método “MD5”.
Para configurarlo de forma de acceso remoto nos vamos a la pestaña “Gateway to client”. Lo configuraremos para que solo pueda acceder un equipo.
Servicios de red e internet Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 3
VPN
30/01/2013 Página 47
Después como siempre la configuración de la contraseña compartida, el método de encriptación y autenticación.