Date post: | 13-Jan-2016 |
Category: |
Documents |
Upload: | marcos-aicano |
View: | 236 times |
Download: | 0 times |
Comunicaciones de Datos II
LABORATORIO N° 08
VPN CISCO – SITE TO CLIENT
CODIGO DEL CURSO:
Alumno(s)
CRITERIOS DE EVALUACIÓNExcelente Bueno
Requiere mejora
No aceptable Nota
4 3 2 1
Describe la forma de trabajo de la implementación
Describe los componentes del sistema VPN
Diferencia la configuración entre site to site y site to client
Interpreta los resultados del comando show
% de Avance
Grupo Ciclo VFecha de entrega
COMUNICACIONES DE DATOS II Nro. DD-106Página 2/6
Tema : VPN CISCO - SITE TO CLIENTCódigo :
Semestre: VGrupo : G-H
Nota: Apellidos y Nombres: Lab. Nº : 08
1. OBJETIVOS Implementar VPN entre un CLIENTE y un CONCENTRADOR VPN. Describir el proceso de una conexión VPN CLIENTE
2. EQUIPOS 3 Computadora. 2 ROUTER CISCO 2800 2 Switch 3560
3. Seguridad
Advertencia:
No consumir alimentos ni bebidas durante el desarrollo de la sesión del laboratorio.
El equipo que esta por utilizar, es susceptible a daño eléctrico por mala manipulación y/o carga electroestática.
4. PROCEDIMIENTO
PARTE 1Realice las conexiones respectivas, teniendo los cables respectivos. PC REAL (A)(B)(C) representa a las PC reales de cada participante del grupo.
COMUNICACIONES DE DATOS IINro. DD-106Página 318
PARTE 2 CONFIGURACION DE PARAMETROS DE CONECTIVIDADConfigure los parámetros de conectividad de los equipos de la RED, personalícelo según los valores de su diagrama de RED
Realice las siguientes acciones: Limpie la configuración de los routers y switch Implemente la topología de la gráfica anterior y asigne las direcciones IP correspondientes.
CONFIGURACIÓN RED CENTRAL1. (RC)Personalizando los parámetros de conectividad:
Equipo IP Interna IP Externa RuteoRouter 192.168.2.1/24 200.0.0.1/24 DefectoE1 WinXP 192.168.2.2/24
Habilite el servicio Telnet en el equipo E1
CONFIGURACIÓN RED SUCURSAL2. (RS)Personalizando los parámetros de conectividad:
Equipo IP Interna IP Externa RuteoRouter WinXP 192.168.4.1/24 200.0.0.2/24 DefectoC1 WinXP 192.168.4.2/24
Habilite el servicio Telnet en el equipo E1
CONFIGURACION CLIENTE3. (C1) Activando PUTTY:
GENERANDO UN PERFIL
Cierre el PUTTY
CONEXION4. (C1) Activando el perfil:
Active el PUTTY. Cargue su PERFIL:
CONSOLA REMOTA
Cierre el PUTTY
“Dirección IP del Servidor a conectarse”
* Indique la IP de su SERVER: 192.168.2.2
“Servicio a Conectarse”
“Al seleccionar el tipo de servicio, automáticamente campo de (port) variara”
2
“Etiqueta del perfil a guardar la configuración”
“Putty permite guardar varios perfiles de esta forma la próxima vez no necesita estar indicando la Ip del Servidor. Carga el Perfil y se conecta Listo”
3
“Guardando el Perfil”
4
YA ingrese al Telnet.
1
Clave: tecsup
COMUNICACIONES DE DATOS IINro. DD-106Página 418
PARTE 4 PORT MIRRORHabilitaremos el soporte de PORT MIRROR en el punto que esta conectado el ESPIA para permitirle recibir una copia del trafico que esta circulando en la RED publica.
CONFIGURANDO5. Realizarlo en el SWITCH de la CENTRAL donde
esta conectado la PC del ESPIA:
PARTE 5 MONITOREO DE CONEXIONESComprobaremos que en el transito de la información sin VPN la información es transparente pudiendo ser capturada y visualizada. Tomaremos como referencia una conexión Telnet para la captura de datos.
PAQUETE6. (E1) Nombre del paquetes:
Nota: El Software se encuentra en el directorio de las maquinas virtuales. Arrástrelo a escritorio de la maquina VIRTUAL E1.
INSTALACION Ejecute el proceso de instalación. Acepte por defecto las opciones.
ACTIVANDO Cargue el WIRESHARK:
LIMPIEZA7. Cierre toda conexión de PUTTY con el SERVIDOR.
wireshark Info: www.wireshark.org
“Los nombres de las interfaces son referenciales”“Los nombres de las interfaces son referenciales”
monitor session 1 source interface fastethernet 0/12monitor session 1 destination interface fastethernet 0/10
“#Interface donde esta conectado el Router Central”
“#Interface donde esta conectado el Espia”
COMUNICACIONES DE DATOS IINro. DD-106Página 518
INICIANDO CAPTURA8. (E1) Procesos:
Seleccionando las opciones para CAPTURA
“Interface a monitorear”
* Seleccione la interface (VMware Accelerated AMD PCNet)
1
2
3
“Opciones para mostrar la información:
Update List: Actualiza constantemente según va capturando.Automatic Scrolling: Va mostrando las últimas capturas.Hide Info: Ocultar pantalla de estadísticas de captura”
“Resolución de capturas:
Enable MAC: Traduce la Mac a los nombres de los fabricantes de Tarjeta de Red.Enable network: Traduce la información de la IP por nombre.Enable Transport: Traduce el Puerto por su nombre”
“Iniciar la captura”
4
“Capturando informacion. Observar que siempre en la red se esta transmitiendo diversa informacion (broadcast, anuncios, busqueda … )”“Capturando informacion. Observar que siempre en la red se esta transmitiendo diversa informacion (broadcast, anuncios, busqueda … )”
“Esperare a que alguien se conecte
a un Servicio “
COMUNICACIONES DE DATOS IINro. DD-106Página 618
CONEXION9. (C1) Procesos:
Conectese con el CLIENTE (PUTTY) al Servicio TELNET:
TELNET
DETENIENDO CAPTURA10. (E1) Procesos:
Nota: Si no obtiene paquetes Telnet, parecido a lo visualizado, cierre el PUTTY y el SNIFFER y vuelva a realizar la captura.
“Voy a conectarme a mi servicio Telnet “
Clave: tecsup
Ejecutando un comando
“Llego la comida,
capturando”
“Observara que el Sniffer ha ido capturando los paquetes”
“Deteniendo la captura”*Clic
COMUNICACIONES DE DATOS IINro. DD-106Página 718
ANALIZANDO11. (E1) Conociendo la estructura de la herramienta:
Interprete su informacion capturada
“Revisare los paquetes
(comida)”
“Cada línea representa un paquete capturado”
*Ubíquese en el primer paquete TELNET
“Estructura de composición de capas de cada paquete”
“Representación hexadecimal del paquete”
“Numero de secuencia de la captura” La información es
referencial no se guie por este número usted puede tener otra secuencia”
“IP Origen o Mac Origen” “IP Destino o
Mac Destino”“Nombre del protocolo”
“Tipo de contenido”
“Las ventanas puede ampliarse y reducirse. Al ubicarse entre las líneas”
1
“Visualizando datos”
*Clic. Cambiara de (+) a (.)
2
COMUNICACIONES DE DATOS IINro. DD-106Página 818
VISUALIZANDO DATOS12. (E1) Construyendo información:
LOGIN Buscando la cuenta de Login:
Buscando las siguientes letras:
Siga buscando hasta completar la palabra del Login: benito
PASSWORD Buscando el PASSWORD:
“Son paquetes TELNET
visualizare la data enviada..”
1
“Desplazase entre la captura centrandose en los paquetes de PROTOCOL (TELNET). Y observe en el cuadro de (composicion de capas) en alguno de los paquetes TELNET debe de
encontrar la Data: b”
“Desplazase entre la captura centrandose en los paquetes de PROTOCOL (TELNET). Y observe en el cuadro de (composicion de capas) en alguno de los paquetes TELNET debe de
encontrar la Data: b”
2
“Encontré la primera letra (b) de la cuenta de
usuario..”
“seguiré buscando
por las otras letras, ya
encontré la segunda
letra (e) de la cuenta de
usuario..”
“Según mis estudios de redes, el
password de Telnet viaja sin
encriptar .. lo ubicare..”
COMUNICACIONES DE DATOS IINro. DD-106Página 918
Siga buscando hasta completar la palabra del PASSWORD: tecsup
CONSTRUYENDO DATOS13. (E1) Construyendo información:
Visualizando toda la informacion transmitida via TELNET
Nota: Cualquier aplicaciones que no incluya niveles de criptografía, será posible la visualización de la información en forma transparente como el caso del Telnet.
¿Que otra aplicaciones opina que puede obtenerse datos?
“Ya encontré dos letras (t)(e)..
Seguiré buscando, tengo
tiempo”
“Ya fue, tengo el
login y el password”
12
3
“Ubiquese en el Primer paquete de Protocol TELNET”
“Ubiquese en el Primer paquete de Protocol TELNET”
*Clic derecho*Clic derecho
“Opción que construye toda la información transmitida del protocolo elegido”
*Clic
“Opción que construye toda la información transmitida del protocolo elegido”
*Clic
“Ya tengo los datos de Login y
sus acciones”
“Observara diversos caracteres y en algunos casos observara que los caracteres se repite debido a que muestra los caracteres enviados y recibidos”
“Observara diversos caracteres y en algunos casos observara que los caracteres se repite debido a que muestra los caracteres enviados y recibidos”
COMUNICACIONES DE DATOS IINro. DD-106Página 1018
ESTRUCTURA DEL PAQUETE14. (E1) De un paquete que tenga como origen la IP del CLIENTE, complete los campos de la
composición:
PARTE 6 HABILITAR SOPORTE DE IPSEC (VPN) EN ROUTER CISCOEl Router CENTRAL se comportara como un concentrador de conexiones VPN. En el ROUTER CENTRAL deberá de habilitar el soporte de VPN para aceptar conexiones de CLIENTE VPN. Usaremos el protocolo de VPN llamado IPSEC.
HABILITANDO SOPORTE AAA 15. (RC) Para validar las cuentas de acceso de los Clientes VPN tendrá que habilitarse el soporte de
AAA en el ROUTER.
AGREGANDO USUARIOS16. (RC) El ROUTER al habilitar el soporte de AAA tiene la capacidad de validar cuentas o de delegar
a un Servidor RADIUS. En nuestros caso lo validaremos en el propio ROUTER:
ASOCIANDO EL SOPORTE DE AAA AL VPN17. (RC) Las cuentas de usuarios registradas en el ROUTER la asociaremos como cuentas a ser
asociadas con las cuentas a validar vía VPN para el ingreso:
IP ORIGEN IP DESTINO PROTO PUERTOORIGEN
PUERTODESTINO
APLICACION
TCP TELNET
INTERNET TRANSPORTE APLICACION
CAPAS
COMPOSICION
1
“Va al campo (PROTO)”“Va al campo (PROTO)”
“Esta información no servirá como referencia para ver que cambios sucede en la composición del paquete luego al aplicar VPN”
“Esta información no servirá como referencia para ver que cambios sucede en la composición del paquete luego al aplicar VPN”
aaa authentication login user local
“Etiqueta de soporte de autenticación”
“Etiqueta de soporte de autorización”
username remoto1 password remoto1
“Cuenta de usuario”
“Password de usuario”
crypto map clientmap client authentication list user
“Etiqueta de parámetros globales del VPN”
“Asociando lo definido en el paso: HABLITANDO SOPORTE AAA ”
COMUNICACIONES DE DATOS IINro. DD-106Página 1118
PARAMETROS DE ISAKMP 18. (RC) Estableciendo parámetros de criptografía del protocolo ISAKMP para que transmita en forma
segura la información de la clave y la negociación de los algoritmos del Túnel.
POOL DE IP 19. (RC) Al ser un concentrador de VPN para los CLIENTES. Al recibir una solicitud se le entregara al
CLIENTE una IP PRIVADA que lo asociara al TUNEL:
GRUPO DE AUTENTICACION20. (RC) Generando grupos de autentificación para entregarles parámetros de conectividad al
CLIENTE:
“Grupo (Diffie-Helman) que define el tamaño de bits del algoritmo para el intercambio de la llave que negociaran”Grupo 1: 768bitsGrupo 2: 1024bits
crypto isakmp policy 10encryption deshash md5authentication pre-sharegroup 2
“Algoritmo de integridad (hash)”“Algoritmo de
encriptación”
“Método de autentificación entre los nodos”Preshare: Clave en común que ambos nodos deben conocer
“En forma simbólica al existir una tabulación indica que esta dentro de una sección”
Nota: Para salir de una sección use el comando (exit)”
“En forma simbólica al existir una tabulación indica que esta dentro de una sección”
Nota: Para salir de una sección use el comando (exit)”
“Parámetro de Dominio a entregar”
ip local pool ippool 11.0.0.1 11.0.0.10
“Etiqueta a asignar al POOL”
“IP inicial del POOL”
“IP final del POOL”
“El pool de IP puede elegirse de cualquier clase y cualquier rango”
“El pool de IP puede elegirse de cualquier clase y cualquier rango”
crypto isakmp client configuration group clientesvpnkey cisco123dns 192.168.2.6domain empresa.com.pepool ippool
“Password a requerir para autorizar la entrega de parámetros”
“Parámetro de DNS a entregar en forma referencial”
“Parámetro de IP a entregar del POOL definido en el paso POOL DE IP ”
“Etiqueta para definir un grupo de autenticación”
“Parametros que le entregara el Router Central al CLIENTE mas adelante cuando se conecte via VPN”
“Parametros que le entregara el Router Central al CLIENTE mas adelante cuando se conecte via VPN”
“# que define la prioridad si hubiera otros perfiles de ISAKMP”
COMUNICACIONES DE DATOS IINro. DD-106Página 1218
ALGORITMOS DEL TUNEL IPSEC21. (RC) Estableciendo parámetros de criptografía del protocolo IPSEC para que ser usados por el
protocolo (ESP) para que transmitan en forma segura la información de los datos por el Túnel:
DEFINIENDO TIPO DE TUNEL DINAMICO22. (RC) Debido a que los CLIENTES se puedan conectar desde cualquier punto remoto y al no saber
cual es la IP del CLIENTE. Se indicara que el TUNEL será del tipo dinámico:
NEGOCIACION DE IPSEC ISAKMP DINAMICO23. (RC) Aplicando a IPSEC-ISAKMP que las negociaciones para establecer la comunicación del VPN
será del tipo dinámico debido a que los Clientes no son fijos:
ACEPTAR DIRECCIONES DE CLIENTE24. (RC) Para permitir aceptar el acceso a los CLIENTES debido a que tiene IP no conocidas:
APLICANDO PERFIL A INTERFACE25. (RC) En lo declarado anteriormente con el comando (crypto map) ahora lo aplicaremos en una
interface para habilitar el VPN:
RESUMEN
crypto ipsec transform-set myset esp-des esp-md5-hmac
“Asignando el nombre túnel al TUNEL”
“Algoritmo de encriptación a usar la cabecera (esp) para los datos”
“Algoritmo de integridad a usar la cabecera (esp) para los datos”
crypto dynamic-map dynmap 10set transform-set myset
”Asociando al túnel que algoritmos usara, definido en el paso ALGORITMOS DEL TUNEL IPSEC
“Etiqueta del perfil del túnel dinámico”“Numero a asignar al perfil del túnel dinámico”
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
“Etiqueta de parámetros globales del VPN”
“Asociando lo definido en el paso: TIPO DE TUNEL DINAMICO ”
“# de secuencia”
crypto map clientmap client configuration address respond
“Etiqueta de parámetros globales del VPN”
interface [NOMBRE_INTERFACE_PUBLICA_ROUTER]crypto map clientmap
Caso: Según la configuración realizada en el route, el nombre de la interface física a informar es: fasethernet 0/1
“Etiqueta de parámetros globales del VPN”
COMUNICACIONES DE DATOS IINro. DD-106Página 1318
26. (RC,RS) En forma resumida hemos aplicado la siguiente estructura que podrá visualizarlo en la configuración del ROUTER con el comando:
Nota: Compruebe a detalle que este toda la informacion configurada del VPN en los ROUTER para evitar percances en la conexión VPN.
PARTE 7 CLIENTE VPNPor el lado del Cliente instalaremos un programa CLIENTE de CISCO para incorporar el soporte del VPN y que el CLIENTE pueda establecer una conexión VPN con el CONCENTRADOR VPN de la CENTRAL.
PAQUETE27. (C1) Nombre del paquetes:
Nota: El Software se encuentra en el directorio de las maquinas virtuales. Arrástrelo a escritorio de la maquina VIRTUAL C1.
aaa authentication login user localaaa authorization network grupo local
username remoto1 password remoto1username remoto2 password remoto2
crypto map clientmap client authentication list user crypto map clientmap isakmp authorization list grupo
crypto isakmp policy 10encryption deshash md5authentication pre-sharegroup 2
ip local pool ippool 11.0.0.1 11.0.0.10
crypto isakmp client configuration group clientesvpnkey cisco123dns 192.168.2.6domain empresa.com.pepool ippool
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto dynamic-map dynmap 10set transform-set myset
crypto map clientmap 10 ipsec-isakmp dynamic dynmapcrypto map clientmap client configuration address respond
interface F1/0crypto map clientmap
# show running-config
“Al visualizar la configuración, no aparecerá este comando debido a que por defecto asume internamente el algoritmo DES”
“Al visualizar la configuración, no aparecerá este comando debido a que por defecto asume internamente el algoritmo DES”
ciscovpn.exe Info: www.cisco.com
COMUNICACIONES DE DATOS IINro. DD-106Página 1418
INSTALACION Ejecute el proceso de instalación. Acepte por defecto las opciones. Y reinicie la Maquina
Virtual C1
CONFIGURACION28. (C1) Procesos:
Activar el programa:
Agregar un PERFIL:
“Agregando nuevo Perfil” 1
2
3
“IP del ROUTER CENTRAL VPN”
“Nombre del Grupo de Autenticación”
“Datos obtenidos de lo configurado en el ROUTER CENTRAL en el paso GRUPO DE AUTENTICACION”
“Datos obtenidos de lo configurado en el ROUTER CENTRAL en el paso GRUPO DE AUTENTICACION”
“Clave del grupo: cisco123”
COMUNICACIONES DE DATOS IINro. DD-106Página 1518
CONECTANDO A LA CENTRAL29. (C1) Procesos:
Conectandose:
INFORMACION DEL TUNEL30. Visualizando los parámetros negociados:
(C1) Clic derecho al icono del candado <Statistics>:
“Al conectarse al concentrador y ser autorizado en el grupo. Le solicitara autentificación. Si no obtiene esta ventana revise las configuraciones del Router Central”
“Al conectarse al concentrador y ser autorizado en el grupo. Le solicitara autentificación. Si no obtiene esta ventana revise las configuraciones del Router Central”
12
“Usuario y password definido en el Router Central en el paso: AGREGANDO USUARIOS”
3“Icono que nos garantiza que se ha establecido el túnel VPN”
“Algoritmos seleccionados en el túnel VPN”
“Ip del POOL asignado”
COMUNICACIONES DE DATOS IINro. DD-106Página 1618
(RC) Visualizando evento del TUNEL:
PRUEBAS31. (C1) Procesos:
EQUIPO ACCIONES RESULTADOC1 PING 192.168.2.6 (CENTRAL) (ON)
(SUCURSAL)
Conectese con el CLIENTE (PUTTY) al Servicio TELNET (CENTRAL):
TELNET
PARTE 8 MONITOREO DE LAS CONEXIONES CON VPNAl estar habilitado un Túnel de VPN debe de garantizarnos que todo tráfico que se transmita entre la Sucursal y Central debe estar encriptado. Y si hubiera una captura deberá de visualizar los datos en formato encriptado.
LIMPIEZA32. Cierre toda conexión de PUTTY TELNET con el SERVIDOR.
INICIANDO CAPTURA33. (E1) Inicie la captura de paquetes con el Wireshark:
Clave: tecsupEjecutando un comando
“Si por casualidad al realizar ping o telnet no responde a la primera vez vuelva a intentarlo una vez mas. Alguna veces sucede debido a que el Tunel esta armándose automáticamente”
“Si por casualidad al realizar ping o telnet no responde a la primera vez vuelva a intentarlo una vez mas. Alguna veces sucede debido a que el Tunel esta armándose automáticamente”
# show crypto map interface fastEthernet 0/1
“Comprobamos la información asignada al TUNEL dinámico”
“Comprobamos la información asignada al TUNEL dinámico”
COMUNICACIONES DE DATOS IINro. DD-106Página 1718
CONEXION34. (C1) Procesos:
Conectese con el CLIENTE (PUTTY) al Servicio TELNET:
DETENIENDO CAPTURA35. (E1) Procesos:
Nota: Si no obtiene paquetes ESP, parecido a lo visualizado, cierre el PUTTY y el SNIFFER y vuelva a realizar la captura.
ANALIZANDO CAPTURA ESP36. (E1) Procesos:
TIPO DE PAQUETES Visualize que no aparece paquetes con protocolo TELNET. Toda informacion esta siendo
transmitida en forma encriptada dentro del paquete ESP:
COMPOSICION De la informacion armamos una estructura de un paquete, según el modelo de TCP/IP
obtendriamos:
EJERCICIO (REALIZARLO)37. Caso: Active una nueva máquina virtual Windows XP que representara a otro cliente e instale el
Software VPN de CISCO y conéctese con la cuenta “remoto2”. De esta forma comprobaremos que
Clave: tecsup
“Observara que el Sniffer ha ido capturando los paquetes”
“Deteniendo la captura”*Clic
IP ORIGEN IP DESTINO ESP PROTO PUERTOORIGEN
PUERTODESTINO
APLICACION
192.168.4.3
200.0.0.1 ESP
INTERNET TRANSPORTE APLICACION
CAPAS
COMPOSICION
“El paquete de IPSEC llega hasta el nivel de RED (INTERNET) no hay los otros protocolos”
COMUNICACIONES DE DATOS IINro. DD-106Página 1818
puede establecerse en forma simultánea más de una conexión con el concentrador VPN (Router CENTRAL).
5. Observaciones y Conclusiones
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________