Jesús Moreno León, profile picture
Subido porJesús Moreno León
PDF, PPTX13,307 vistas

Cisco site to-site vpn

Este documento describe los pasos para configurar una VPN Site-to-Site entre dos oficinas usando Cisco routers. Se creará un túnel IPsec entre las oficinas basado en un secreto compartido. Los pasos incluyen configurar políticas IKE, IPSec, crypto map y aplicar el crypto map a las interfaces para cifrar el tráfico entre las redes de las oficinas.

Incrustar presentación

Descargar como PDF, PPTX
CISCO Site-to-Site VPN Jesús Moreno León Alberto Molina Coballes Redes de Área Local Junio 2009
Escenario INTERNET OFICINA CENTRAL OFICINA REMOTA ● Se quiere implementar una VPN Site-to-Site entre las dos oficinas ● Se creará un túnel IPSEC entre ambas sedes basado en secreto compartido
Tareas a realizar I. Configurar las políticas IKE II. Verificar las políticas IKE III. Configurar IPSec IV. Configurar Crypto Map
I. Configurar las políticas IKE ● Una política IKE define una combinación de parámetros de seguridad (cifrado, hash, autenticación y DH) que serán usados durante la negociación IKE. ● En ambos nodos deben crearse políticas (tantas como se quieran ordenadas por prioridad) y, al menos, debe existir una igual en los 2 extremos. ● También se deben configurar paquetes IKE keepalives (o paquetes hello) para detectar posibles pérdidas de conectividad.
I. Configurar las políticas IKE Paso Comando Objetivo 1 r1(config)# crypto isakmp policy 1 Crear una nueva política IKE. Cada política se identifica por su número de prioridad (de 1 a 10.000; 1 la más prioridad más alta) 2 r1(config-isakmp)# encryption 3des Especificar el algoritmo de cifrado a utilizar: 56-bit Data Encryption Standard (DES [des]) o 168-bit Triple DES (3des). 3 r1(config-isakmp)# hash sha Elegir el algoritmo de hash a usar: Message Digest 5 (MD5 [md5] ) o Secure Hash Algorithm (SHA [sha]). 4 r1(config-isakmp)# authentication Determinar el método de pre-share autenticación: pre-shared keys (pre-share), RSA1 encrypted nonces (rsa-encr), o RSA signatures (rsa-slg).
I. Configurar las políticas IKE Paso Comando Objetivo 5 r1(config-isakmp)# group 2 Especificar el identificador de grupo Diffie-Hellman: 768-bit Diffie-Hellman (1) o 1024-bit Diffie-Hellman (2) 6 r1(config-isakmp)# lifetime 86400 Determinar el tiempo de vide de la Asociación de Seguridad (SA) en segundos. 86400 segundos = 1 día 7 r1(config-isakmp)# exit Volver al modo de configuración global Op- r1(config)# cry isakmp keepalive 12 2 Elegir el intervalo de los paquetes cio- hello (por defecto 10 segundos) y el nal tiempo de reintento cuando un paquete falla.
I. Configurar las políticas IKE ● En función del método de autenticación elegido hay que llevar a cabo una tarea más antes de que IKE e IPSec puedan usar la política creada. ● RSA signatures: hay que configurar ambos nodos para obtener los certificados de una CA ● RSA encrypted nonces: cada nodo debe tener en su poder la clave pública del otro nodo ● Pre-Shared keys: 1. Establecer la identidad ISAKMP de cada nodo (nombre o IP) 2. Establecer el secreto compartido en cada nodo.
I. Configurar las políticas IKE Paso Comando Objetivo 9 r1(config)# crypto isakmp identity En la oficina central: elegir la address identidad ISAKMP (address o hostname) que el router usará en las negociaciones IKE 10 r1(config)# crypto isakmp key En la oficina central: establecer el misecretocompartido secreto compartido que se usará ip_oficina_remota con el router de la oficina remota 11 r2(config)# crypto isakmp identity En la oficina remota: elegir la address identidad ISAKMP (address o hostname) que el router usará en las negociaciones IKE 12 r2(config)# crydpto isakmp key En la oficina remota: establecer el misecretocompartido secreto compartido que se usará ip_oficina_central con el router de la oficina cetral
II. Verificar las políticas IKE ● Para asegurarnos de que la configuración de la política es la que deseamos usar podemos utilizar el siguiente comando: Paso Comando Objetivo 13 r1# show crypto isakmp policy Comprobar los valores de cada parámetro de seguridad de la política IKE
III. Configurar IPSec ● Tras configurar y verificar la política IKE en cada nodo, hay que configurar IPSec en ambos extremos: 1. Crear Crypto ACL 2. Verificar Crypto ACL 3. Definir el Transform Set 4. Verificar el Transform Set
III. Configurar IPSec 1. Crear Crypto ACL. Las Crypto ACL se usan para definir el tráfico que será protegido mediante cifrado Paso Comando Objetivo 14 r1(config)# access-list 109 permit ip En la oficina central: cifrar todo el red_oficina_central tráfico IP que salga de la oficina red_oficina_remota central hacia la oficina remota 15 r2(config)# access-list 109 permit ip En la oficina remota: cifrar todo el red_oficina_remota tráfico IP que salga de la oficina red_oficina_central remota hacia la oficina central
III. Configurar IPSec 2. Verificar Crypto ACL. Paso Comando Objetivo 16 r1# show access-lists 109 Verificar Crypto ACL
III. Configurar IPSec 3. Definir los Transform Sets Paso Comando Objetivo 17 r1(config)# crypto ipsec transform-set Esyablece las políticas de seguridad STRONG esp-3des esp-sha-hmac IPSEC que se usarán en las comunicaciones, eligiendo el modo transporte (AH) o túnel (ESP) 18 r1(config-isakmp)# exit En la oficina remota: cifrar todo el tráfico IP que salga de la oficina remota hacia la oficina central
III. Configurar IPSec 3. Verificar el Transform Set Paso Comando Objetivo 19 r1# show crypto ipsec transform-set Verificar Transform Set
IV. Configurar Crypto Map Paso Comando Objetivo 20 r1(config)# crypto map NOMBRE 1 Crear un crypto map de nombre ipsec-isakmp NOMBRE, y establecer el número de secuencia de esta entrada, obligando a usar IKE para establecer SAs. 21 r1(config-crypto-map)# set transform- De los transform sets que se hayan set STRONG definido, especificar cuál se usara en esta entrada del crypto-map 22 r1(config-crypto-map)# set pfs group 2 Activar Perfect Forward Secrecy 23 r1(config-crypto-map)# set peer Definir la dirección del host remoto dirección-oficina-remota
IV. Configurar Crypto Map Paso Comando Objetivo 24 r1(config-crypto-map)# match address Establecer el tráfico que se va a 109 cifrar (definido previamente en una ACL) 25 r1(config-crypto-map)# ^Z Volver al modo privilegiado 26 r1(config)# show crypto map Verificar la configuración del crypto map
IV. Configurar Crypto Map Paso Comando Objetivo 27 r1(config)# interface XXXX Entrar al modo de configuración de la interfaz donde se aplicará el crypto map 28 r1(config-if)# crypto map NOMBRE Aplicar el crypto map a la interfaz física. 29 r1(config-if)#^Z Volver al modo privilegiado 30 r1#show crypto map interface XXXX Verificar la asociación de la intnerfaz y el crypto map.
Comprobar el funcionamiento Paso Comando Objetivo 31 r1# show crypto ipsec sa Mostrar la información de la Asociación de Seguridad para verificar su correcto funcionamiento 32 r1# write Guardar los cambios. El paso más importante :-)

Más contenido relacionado

PPTX
CCNA_SEC_v11 Cap_04_part_I_EB
porEdgar Benavente
 
PDF
VPN Sitio a Sitio - Packet Tracer 6.2
porVanesa Rodríguez Percy
 
PDF
7.1.2.4 packet tracer configuring vp ns (optional) instructions
porJaab Mikrotik
 
PDF
Student packet tracer manual
porWaldir Nuñez Francia
 
DOCX
Practica con firewall asa
porwebsyo
 
PDF
Pix (1)
porSIPECOM
 
PDF
2.3.3.5 lab configuring a switch management address
portimmaujim
 
PDF
Configuraion vpn
porJacqueline Coba
 
CCNA_SEC_v11 Cap_04_part_I_EB
porEdgar Benavente
 
VPN Sitio a Sitio - Packet Tracer 6.2
porVanesa Rodríguez Percy
 
7.1.2.4 packet tracer configuring vp ns (optional) instructions
porJaab Mikrotik
 
Student packet tracer manual
porWaldir Nuñez Francia
 
Practica con firewall asa
porwebsyo
 
Pix (1)
porSIPECOM
 
2.3.3.5 lab configuring a switch management address
portimmaujim
 
Configuraion vpn
porJacqueline Coba
 

La actualidad más candente

PDF
Comandos de configuracion de dispositivos cisco
porCISCO NETWORKING
 
PDF
Laboratorio 11.5.1
porUNAD
 
PDF
Configuracion de router packet tracer
porKurtz Ledezma
 
PDF
Clase 2a. Tipos de VPN
porJosé Ricardo Tillero Giménez
 
PDF
Creacion vpn-packet-tracer
porkranford_816
 
PDF
Comandos ccna-1-y-ccna-2-v5-rs
porOscarFF
 
PDF
Las 12 pruebas de Asterisk
porElio Rojano
 
PDF
PfSense VLAN sobre una sola interfaz de red.
porgabo_rojo
 
PDF
Enrutamiento estatico-con-gns3
porJavierandres64
 
PDF
2.1.4.9 lab establishing a console session with tera term
pornacional22
 
PDF
Configuración Firewall - CISCO ASA 5510
porVanesa Rodríguez Percy
 
PDF
E4 pt act_2_4_6
porjcnunez1290
 
ODT
Configuracion router
porcyberleon95
 
PDF
Laboratorio 10 6 2
porUNAD
 
PPTX
Hacking en redes LAN
porPaulo Colomés
 
PPTX
Tutorial red dinamica
pordaver98
 
DOCX
Practica con firewall ASA
porwebsyo
 
DOCX
Red con servidor dhcp
porInmaculada Concepción
 
PPT
Servidir Proxy
porkaliz
 
PDF
CONFIGURACIÓN FIREWALL ASA EN DISPOSITIVOS ACTIVOS
porYimy Pérez Medina
 
Comandos de configuracion de dispositivos cisco
porCISCO NETWORKING
 
Laboratorio 11.5.1
porUNAD
 
Configuracion de router packet tracer
porKurtz Ledezma
 
Clase 2a. Tipos de VPN
porJosé Ricardo Tillero Giménez
 
Creacion vpn-packet-tracer
porkranford_816
 
Comandos ccna-1-y-ccna-2-v5-rs
porOscarFF
 
Las 12 pruebas de Asterisk
porElio Rojano
 
PfSense VLAN sobre una sola interfaz de red.
porgabo_rojo
 
Enrutamiento estatico-con-gns3
porJavierandres64
 
2.1.4.9 lab establishing a console session with tera term
pornacional22
 
Configuración Firewall - CISCO ASA 5510
porVanesa Rodríguez Percy
 
E4 pt act_2_4_6
porjcnunez1290
 
Configuracion router
porcyberleon95
 
Laboratorio 10 6 2
porUNAD
 
Hacking en redes LAN
porPaulo Colomés
 
Tutorial red dinamica
pordaver98
 
Practica con firewall ASA
porwebsyo
 
Red con servidor dhcp
porInmaculada Concepción
 
Servidir Proxy
porkaliz
 
CONFIGURACIÓN FIREWALL ASA EN DISPOSITIVOS ACTIVOS
porYimy Pérez Medina
 

Destacado

PDF
Manual Monitoreo de Servidores
porcyberleon95
 
PDF
Configuración VPN de Acceso remoto con TMG
porcyberleon95
 
PDF
Instalación e Introducción básica de Windows Server 2012
porMoisés Elías Araya
 
PDF
Actividad Firewall Cisco ASA 5510
porYeider Fernandez
 
PDF
Configuración VPN Sitio a Sitio en ENDIAN
porcyberleon95
 
PDF
Unión Cliente a Dominio Windows Server 2012 R2
porcyberleon95
 
PDF
Instalación y Configuración Active Directory en Windows Server 2012 R2
porcyberleon95
 
PDF
Manual configuración GPO
porcyberleon95
 
PPTX
DISEÑO DE REDES PRIVADAS VIRTUALES, CON INTERNET COMO RED DE ENLACE (VPN)
porVíctor H Castillo J
 
PPT
Packet Tracer en la nube
porElvis Barahona Alvarado
 
DOC
45546195 frame-relay-con-packet-tracer-5
porGonzalo Miguel Asturizaga Irusta
 
DOCX
Proyecto final de vpn buses
porING. JOSE MARTIN VELASQUEZ RUIZ
 
Manual Monitoreo de Servidores
porcyberleon95
 
Configuración VPN de Acceso remoto con TMG
porcyberleon95
 
Instalación e Introducción básica de Windows Server 2012
porMoisés Elías Araya
 
Actividad Firewall Cisco ASA 5510
porYeider Fernandez
 
Configuración VPN Sitio a Sitio en ENDIAN
porcyberleon95
 
Unión Cliente a Dominio Windows Server 2012 R2
porcyberleon95
 
Instalación y Configuración Active Directory en Windows Server 2012 R2
porcyberleon95
 
Manual configuración GPO
porcyberleon95
 
DISEÑO DE REDES PRIVADAS VIRTUALES, CON INTERNET COMO RED DE ENLACE (VPN)
porVíctor H Castillo J
 
Packet Tracer en la nube
porElvis Barahona Alvarado
 
45546195 frame-relay-con-packet-tracer-5
porGonzalo Miguel Asturizaga Irusta
 
Proyecto final de vpn buses
porING. JOSE MARTIN VELASQUEZ RUIZ
 

Similar a Cisco site to-site vpn

PDF
Cisco ios easy vpn server
porJesús Moreno León
 
PDF
infiltracion en una red wireless protegida
porSebastiian Velasquez
 
PPT
Seguridad
porNaydu Lopez
 
PDF
Soluciones BI con delegación Kerberos | SolidQ Summit 2012
porSolidQ
 
PDF
Configuracion red inalambrica modo ad hoc
porguiranar
 
PPTX
Ipsec y certificados
porKevinn Lino
 
PDF
Guía de Seguridad en Redes Inalámbricas
porESET Latinoamérica
 
PPT
Ip sec y certificados
porLuis Mario Pastrana Torres
 
PDF
Guion%20practica%206%20 vpn
porjose_cortez
 
DOCX
Trabajo isakmp i psec
porJairo Rosas
 
PPT
Ip sec exposicion
pormaurprem
 
PPTX
Protocolo De Seguridad Y De Red
porguest3fa6c7
 
PDF
Infiltración en una red wireless protegida
porELKIN JAVIER DE AVILA MANTILLA
 
DOCX
Proyecto 6
pordavister
 
PPT
Seguridad4
porOscar Mauricio
 
PPTX
Cinthia
porAndforget
 
PPTX
Actividad 5 infraestructura pk ix
porpazminojuancarlos
 
PDF
guia de seguridad wifi por nod32
porERICKNT999
 
PDF
Guia seguridad-redes-inalambricas
porSykrayo
 
PPTX
Bridges Configuración Avanzada
porBrayan Problems
 
Cisco ios easy vpn server
porJesús Moreno León
 
infiltracion en una red wireless protegida
porSebastiian Velasquez
 
Seguridad
porNaydu Lopez
 
Soluciones BI con delegación Kerberos | SolidQ Summit 2012
porSolidQ
 
Configuracion red inalambrica modo ad hoc
porguiranar
 
Ipsec y certificados
porKevinn Lino
 
Guía de Seguridad en Redes Inalámbricas
porESET Latinoamérica
 
Ip sec y certificados
porLuis Mario Pastrana Torres
 
Guion%20practica%206%20 vpn
porjose_cortez
 
Trabajo isakmp i psec
porJairo Rosas
 
Ip sec exposicion
pormaurprem
 
Protocolo De Seguridad Y De Red
porguest3fa6c7
 
Infiltración en una red wireless protegida
porELKIN JAVIER DE AVILA MANTILLA
 
Proyecto 6
pordavister
 
Seguridad4
porOscar Mauricio
 
Cinthia
porAndforget
 
Actividad 5 infraestructura pk ix
porpazminojuancarlos
 
guia de seguridad wifi por nod32
porERICKNT999
 
Guia seguridad-redes-inalambricas
porSykrayo
 
Bridges Configuración Avanzada
porBrayan Problems
 

Más de Jesús Moreno León

PDF
Pensamiento computacional e inteligencia artificial en la educación
porJesús Moreno León
 
PDF
On the development of computational thinking skills in schools through comput...
porJesús Moreno León
 
PDF
Code to Learn with Scratch? A systematic literature review
porJesús Moreno León
 
PDF
Developing Mathematical Thinking with Scratch: An Experiment with 6th Grade S...
porJesús Moreno León
 
PDF
El repositorio de proyectos Scratch. Nuevas oportunidades de investigación y ...
porJesús Moreno León
 
PDF
Dr. Scratch, una herramienta de asistencia al docente en la evaluación de pro...
porJesús Moreno León
 
PDF
Analyze your Scratch projects with Dr. Scratch and assess your Computational ...
porJesús Moreno León
 
PDF
Assessing computational thinking with tools in the classroom
porJesús Moreno León
 
PDF
On the quest for assessing computational thinking
porJesús Moreno León
 
PDF
Dr. Scratch, Análisis de proyectos Scratch para medir el desarrollo del a Pen...
porJesús Moreno León
 
PDF
La programación informática como vía de emprendimiento. Programamos.
porJesús Moreno León
 
PDF
Investigación sobre el desarrollo del pensamiento computacional en la escuela
porJesús Moreno León
 
PDF
The Europe Code Week (CodeEU) initiative
porJesús Moreno León
 
PDF
Code to learn in k-12?
porJesús Moreno León
 
PDF
Can we Measure Computational Thinking with Tools? Present and Future of Dr. S...
porJesús Moreno León
 
PDF
Computer Programming as an Educational Tool in the English Classroom: a preli...
porJesús Moreno León
 
PDF
La programación informática y el desarrollo del pensamiento computacional en ...
porJesús Moreno León
 
PDF
Programación y robótica en la escuela. ¿Un juego de niños pasajero?
porJesús Moreno León
 
PDF
How social are Scratch learners? A comprehensive analysis of the Scratch plat...
porJesús Moreno León
 
PDF
Tecnología educativa en infantil
porJesús Moreno León
 
Pensamiento computacional e inteligencia artificial en la educación
porJesús Moreno León
 
On the development of computational thinking skills in schools through comput...
porJesús Moreno León
 
Code to Learn with Scratch? A systematic literature review
porJesús Moreno León
 
Developing Mathematical Thinking with Scratch: An Experiment with 6th Grade S...
porJesús Moreno León
 
El repositorio de proyectos Scratch. Nuevas oportunidades de investigación y ...
porJesús Moreno León
 
Dr. Scratch, una herramienta de asistencia al docente en la evaluación de pro...
porJesús Moreno León
 
Analyze your Scratch projects with Dr. Scratch and assess your Computational ...
porJesús Moreno León
 
Assessing computational thinking with tools in the classroom
porJesús Moreno León
 
On the quest for assessing computational thinking
porJesús Moreno León
 
Dr. Scratch, Análisis de proyectos Scratch para medir el desarrollo del a Pen...
porJesús Moreno León
 
La programación informática como vía de emprendimiento. Programamos.
porJesús Moreno León
 
Investigación sobre el desarrollo del pensamiento computacional en la escuela
porJesús Moreno León
 
The Europe Code Week (CodeEU) initiative
porJesús Moreno León
 
Code to learn in k-12?
porJesús Moreno León
 
Can we Measure Computational Thinking with Tools? Present and Future of Dr. S...
porJesús Moreno León
 
Computer Programming as an Educational Tool in the English Classroom: a preli...
porJesús Moreno León
 
La programación informática y el desarrollo del pensamiento computacional en ...
porJesús Moreno León
 
Programación y robótica en la escuela. ¿Un juego de niños pasajero?
porJesús Moreno León
 
How social are Scratch learners? A comprehensive analysis of the Scratch plat...
porJesús Moreno León
 
Tecnología educativa en infantil
porJesús Moreno León
 

Último

PDF
4°🦋♾️S17 Cuadernillo trabajo Juan Pablo.pdf
porMonserratMora11
 
PDF
Problemas Resueltos de Probabilidades Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PPTX
c2.hu2.p2.p4.Libertad y responsabilidad.pptx
porMartín Ramírez
 
PDF
LOS UNOS A LOS OTROS Por Jonathan Bravo
porJonathan Bravo
 
PPTX
c2.hu2.p2.p5.Las instituciones......pptx
porMartín Ramírez
 
PDF
Plan de clase lección 3. Vida y muerte.pdf
porAlejandrino Halire Ccahuana
 
DOCX
Errores y novedades del Catecismo de la Iglesia católica (1992).docx
porESPAÑA PRECONCILIAR
 
PDF
Gobierno hondureño sanciona y oficializa decreto de escrutinio electoral
porpegazohn1978
 
PDF
DIAPOSITIVAS DE NUTRICIÓN INFANTIL CLASE 10/01/2026
porAngieSalagata
 
PDF
Los animales vertebrados - Educación Secundaria - ¡Presentación creada con Ch...
porProfesorProductivo
 
PPTX
La estética medieval en el cómic mexicano del siglo XX: reconstrucción y apro...
porIGNACIO BALLESTER PARDO
 
PDF
Probabilidad y Estadística - McGraw Hill Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Serie Inteligencia Emocional - Cómo ser más productivo HBR Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Los animales vertebrados - Educación Secundaria - ¡Presentación creada con Ch...
porProfesorProductivo
 
PDF
Ley orgánica del sistema de seguridad social_20260110_195046_0000.pdf
porharipriyacarrero
 
PDF
La inteligencia artificial en educación - Educación Secundaria - ¡Presentació...
porProfesorProductivo
 
PDF
El Proyecto de Investigación Cientifica - Mario Tamayo Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Introduccion al Calculo de Probabilidades UNFV Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
El sistema respiratorio humano - Educación Secundaria - ¡Presentación creada ...
porProfesorProductivo
 
PDF
Registro de materias en Curso de Inducción 2026A - CUValles
porveganet
 
4°🦋♾️S17 Cuadernillo trabajo Juan Pablo.pdf
porMonserratMora11
 
Problemas Resueltos de Probabilidades Ccesa007.pdf
porDemetrio Ccesa Rayme
 
c2.hu2.p2.p4.Libertad y responsabilidad.pptx
porMartín Ramírez
 
LOS UNOS A LOS OTROS Por Jonathan Bravo
porJonathan Bravo
 
c2.hu2.p2.p5.Las instituciones......pptx
porMartín Ramírez
 
Plan de clase lección 3. Vida y muerte.pdf
porAlejandrino Halire Ccahuana
 
Errores y novedades del Catecismo de la Iglesia católica (1992).docx
porESPAÑA PRECONCILIAR
 
Gobierno hondureño sanciona y oficializa decreto de escrutinio electoral
porpegazohn1978
 
DIAPOSITIVAS DE NUTRICIÓN INFANTIL CLASE 10/01/2026
porAngieSalagata
 
Los animales vertebrados - Educación Secundaria - ¡Presentación creada con Ch...
porProfesorProductivo
 
La estética medieval en el cómic mexicano del siglo XX: reconstrucción y apro...
porIGNACIO BALLESTER PARDO
 
Probabilidad y Estadística - McGraw Hill Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Serie Inteligencia Emocional - Cómo ser más productivo HBR Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Los animales vertebrados - Educación Secundaria - ¡Presentación creada con Ch...
porProfesorProductivo
 
Ley orgánica del sistema de seguridad social_20260110_195046_0000.pdf
porharipriyacarrero
 
La inteligencia artificial en educación - Educación Secundaria - ¡Presentació...
porProfesorProductivo
 
El Proyecto de Investigación Cientifica - Mario Tamayo Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Introduccion al Calculo de Probabilidades UNFV Ccesa007.pdf
porDemetrio Ccesa Rayme
 
El sistema respiratorio humano - Educación Secundaria - ¡Presentación creada ...
porProfesorProductivo
 
Registro de materias en Curso de Inducción 2026A - CUValles
porveganet
 

Cisco site to-site vpn

  • 1.
    CISCO Site-to-Site VPN Jesús Moreno León Alberto Molina Coballes Redes de Área Local Junio 2009
  • 2.
    Escenario INTERNET OFICINA CENTRAL OFICINA REMOTA ● Se quiere implementar una VPN Site-to-Site entre las dos oficinas ● Se creará un túnel IPSEC entre ambas sedes basado en secreto compartido
  • 3.
    Tareas a realizar I.Configurar las políticas IKE II. Verificar las políticas IKE III. Configurar IPSec IV. Configurar Crypto Map
  • 4.
    I. Configurar laspolíticas IKE ● Una política IKE define una combinación de parámetros de seguridad (cifrado, hash, autenticación y DH) que serán usados durante la negociación IKE. ● En ambos nodos deben crearse políticas (tantas como se quieran ordenadas por prioridad) y, al menos, debe existir una igual en los 2 extremos. ● También se deben configurar paquetes IKE keepalives (o paquetes hello) para detectar posibles pérdidas de conectividad.
  • 5.
    I. Configurar laspolíticas IKE Paso Comando Objetivo 1 r1(config)# crypto isakmp policy 1 Crear una nueva política IKE. Cada política se identifica por su número de prioridad (de 1 a 10.000; 1 la más prioridad más alta) 2 r1(config-isakmp)# encryption 3des Especificar el algoritmo de cifrado a utilizar: 56-bit Data Encryption Standard (DES [des]) o 168-bit Triple DES (3des). 3 r1(config-isakmp)# hash sha Elegir el algoritmo de hash a usar: Message Digest 5 (MD5 [md5] ) o Secure Hash Algorithm (SHA [sha]). 4 r1(config-isakmp)# authentication Determinar el método de pre-share autenticación: pre-shared keys (pre-share), RSA1 encrypted nonces (rsa-encr), o RSA signatures (rsa-slg).
  • 6.
    I. Configurar laspolíticas IKE Paso Comando Objetivo 5 r1(config-isakmp)# group 2 Especificar el identificador de grupo Diffie-Hellman: 768-bit Diffie-Hellman (1) o 1024-bit Diffie-Hellman (2) 6 r1(config-isakmp)# lifetime 86400 Determinar el tiempo de vide de la Asociación de Seguridad (SA) en segundos. 86400 segundos = 1 día 7 r1(config-isakmp)# exit Volver al modo de configuración global Op- r1(config)# cry isakmp keepalive 12 2 Elegir el intervalo de los paquetes cio- hello (por defecto 10 segundos) y el nal tiempo de reintento cuando un paquete falla.
  • 7.
    I. Configurar laspolíticas IKE ● En función del método de autenticación elegido hay que llevar a cabo una tarea más antes de que IKE e IPSec puedan usar la política creada. ● RSA signatures: hay que configurar ambos nodos para obtener los certificados de una CA ● RSA encrypted nonces: cada nodo debe tener en su poder la clave pública del otro nodo ● Pre-Shared keys: 1. Establecer la identidad ISAKMP de cada nodo (nombre o IP) 2. Establecer el secreto compartido en cada nodo.
  • 8.
    I. Configurar laspolíticas IKE Paso Comando Objetivo 9 r1(config)# crypto isakmp identity En la oficina central: elegir la address identidad ISAKMP (address o hostname) que el router usará en las negociaciones IKE 10 r1(config)# crypto isakmp key En la oficina central: establecer el misecretocompartido secreto compartido que se usará ip_oficina_remota con el router de la oficina remota 11 r2(config)# crypto isakmp identity En la oficina remota: elegir la address identidad ISAKMP (address o hostname) que el router usará en las negociaciones IKE 12 r2(config)# crydpto isakmp key En la oficina remota: establecer el misecretocompartido secreto compartido que se usará ip_oficina_central con el router de la oficina cetral
  • 9.
    II. Verificar laspolíticas IKE ● Para asegurarnos de que la configuración de la política es la que deseamos usar podemos utilizar el siguiente comando: Paso Comando Objetivo 13 r1# show crypto isakmp policy Comprobar los valores de cada parámetro de seguridad de la política IKE
  • 10.
    III. Configurar IPSec ● Tras configurar y verificar la política IKE en cada nodo, hay que configurar IPSec en ambos extremos: 1. Crear Crypto ACL 2. Verificar Crypto ACL 3. Definir el Transform Set 4. Verificar el Transform Set
  • 11.
    III. Configurar IPSec 1.Crear Crypto ACL. Las Crypto ACL se usan para definir el tráfico que será protegido mediante cifrado Paso Comando Objetivo 14 r1(config)# access-list 109 permit ip En la oficina central: cifrar todo el red_oficina_central tráfico IP que salga de la oficina red_oficina_remota central hacia la oficina remota 15 r2(config)# access-list 109 permit ip En la oficina remota: cifrar todo el red_oficina_remota tráfico IP que salga de la oficina red_oficina_central remota hacia la oficina central
  • 12.
    III. Configurar IPSec 2.Verificar Crypto ACL. Paso Comando Objetivo 16 r1# show access-lists 109 Verificar Crypto ACL
  • 13.
    III. Configurar IPSec 3.Definir los Transform Sets Paso Comando Objetivo 17 r1(config)# crypto ipsec transform-set Esyablece las políticas de seguridad STRONG esp-3des esp-sha-hmac IPSEC que se usarán en las comunicaciones, eligiendo el modo transporte (AH) o túnel (ESP) 18 r1(config-isakmp)# exit En la oficina remota: cifrar todo el tráfico IP que salga de la oficina remota hacia la oficina central
  • 14.
    III. Configurar IPSec 3.Verificar el Transform Set Paso Comando Objetivo 19 r1# show crypto ipsec transform-set Verificar Transform Set
  • 15.
    IV. Configurar CryptoMap Paso Comando Objetivo 20 r1(config)# crypto map NOMBRE 1 Crear un crypto map de nombre ipsec-isakmp NOMBRE, y establecer el número de secuencia de esta entrada, obligando a usar IKE para establecer SAs. 21 r1(config-crypto-map)# set transform- De los transform sets que se hayan set STRONG definido, especificar cuál se usara en esta entrada del crypto-map 22 r1(config-crypto-map)# set pfs group 2 Activar Perfect Forward Secrecy 23 r1(config-crypto-map)# set peer Definir la dirección del host remoto dirección-oficina-remota
  • 16.
    IV. Configurar CryptoMap Paso Comando Objetivo 24 r1(config-crypto-map)# match address Establecer el tráfico que se va a 109 cifrar (definido previamente en una ACL) 25 r1(config-crypto-map)# ^Z Volver al modo privilegiado 26 r1(config)# show crypto map Verificar la configuración del crypto map
  • 17.
    IV. Configurar CryptoMap Paso Comando Objetivo 27 r1(config)# interface XXXX Entrar al modo de configuración de la interfaz donde se aplicará el crypto map 28 r1(config-if)# crypto map NOMBRE Aplicar el crypto map a la interfaz física. 29 r1(config-if)#^Z Volver al modo privilegiado 30 r1#show crypto map interface XXXX Verificar la asociación de la intnerfaz y el crypto map.
  • 18.
    Comprobar el funcionamiento Paso Comando Objetivo 31 r1# show crypto ipsec sa Mostrar la información de la Asociación de Seguridad para verificar su correcto funcionamiento 32 r1# write Guardar los cambios. El paso más importante :-)