Comunicaciones de Datos II

LABORATORIO N° 08

VPN CISCO – SITE TO CLIENT

CODIGO DEL CURSO:

Alumno(s)

CRITERIOS DE EVALUACIÓNExcelente Bueno

Requiere mejora

No aceptable Nota

4 3 2 1

Describe la forma de trabajo de la implementación

Describe los componentes del sistema VPN

Diferencia la configuración entre site to site y site to client

Interpreta los resultados del comando show

% de Avance

Grupo Ciclo VFecha de entrega

COMUNICACIONES DE DATOS II Nro. DD-106Página 2/6

Tema : VPN CISCO - SITE TO CLIENTCódigo :

Semestre: VGrupo : G-H

Nota: Apellidos y Nombres: Lab. Nº : 08

1. OBJETIVOS Implementar VPN entre un CLIENTE y un CONCENTRADOR VPN. Describir el proceso de una conexión VPN CLIENTE

2. EQUIPOS 3 Computadora. 2 ROUTER CISCO 2800 2 Switch 3560

3. Seguridad

Advertencia:

No consumir alimentos ni bebidas durante el desarrollo de la sesión del laboratorio.

El equipo que esta por utilizar, es susceptible a daño eléctrico por mala manipulación y/o carga electroestática.

4. PROCEDIMIENTO

PARTE 1Realice las conexiones respectivas, teniendo los cables respectivos. PC REAL (A)(B)(C) representa a las PC reales de cada participante del grupo.

COMUNICACIONES DE DATOS IINro. DD-106Página 318

PARTE 2 CONFIGURACION DE PARAMETROS DE CONECTIVIDADConfigure los parámetros de conectividad de los equipos de la RED, personalícelo según los valores de su diagrama de RED

Realice las siguientes acciones: Limpie la configuración de los routers y switch Implemente la topología de la gráfica anterior y asigne las direcciones IP correspondientes.

CONFIGURACIÓN RED CENTRAL1. (RC)Personalizando los parámetros de conectividad:

Equipo IP Interna IP Externa RuteoRouter 192.168.2.1/24 200.0.0.1/24 DefectoE1 WinXP 192.168.2.2/24

Habilite el servicio Telnet en el equipo E1

CONFIGURACIÓN RED SUCURSAL2. (RS)Personalizando los parámetros de conectividad:

Equipo IP Interna IP Externa RuteoRouter WinXP 192.168.4.1/24 200.0.0.2/24 DefectoC1 WinXP 192.168.4.2/24

Habilite el servicio Telnet en el equipo E1

CONFIGURACION CLIENTE3. (C1) Activando PUTTY:

GENERANDO UN PERFIL

Cierre el PUTTY

CONEXION4. (C1) Activando el perfil:

Active el PUTTY. Cargue su PERFIL:

CONSOLA REMOTA

Cierre el PUTTY

“Dirección IP del Servidor a conectarse”

* Indique la IP de su SERVER: 192.168.2.2

“Servicio a Conectarse”

“Al seleccionar el tipo de servicio, automáticamente campo de (port) variara”

2

“Etiqueta del perfil a guardar la configuración”

“Putty permite guardar varios perfiles de esta forma la próxima vez no necesita estar indicando la Ip del Servidor. Carga el Perfil y se conecta Listo”

3

“Guardando el Perfil”

4

YA ingrese al Telnet.

1

Clave: tecsup

COMUNICACIONES DE DATOS IINro. DD-106Página 418

PARTE 4 PORT MIRRORHabilitaremos el soporte de PORT MIRROR en el punto que esta conectado el ESPIA para permitirle recibir una copia del trafico que esta circulando en la RED publica.

CONFIGURANDO5. Realizarlo en el SWITCH de la CENTRAL donde

esta conectado la PC del ESPIA:

PARTE 5 MONITOREO DE CONEXIONESComprobaremos que en el transito de la información sin VPN la información es transparente pudiendo ser capturada y visualizada. Tomaremos como referencia una conexión Telnet para la captura de datos.

PAQUETE6. (E1) Nombre del paquetes:

Nota: El Software se encuentra en el directorio de las maquinas virtuales. Arrástrelo a escritorio de la maquina VIRTUAL E1.

INSTALACION Ejecute el proceso de instalación. Acepte por defecto las opciones.

ACTIVANDO Cargue el WIRESHARK:

LIMPIEZA7. Cierre toda conexión de PUTTY con el SERVIDOR.

wireshark Info: www.wireshark.org

“Los nombres de las interfaces son referenciales”“Los nombres de las interfaces son referenciales”

monitor session 1 source interface fastethernet 0/12monitor session 1 destination interface fastethernet 0/10

“#Interface donde esta conectado el Router Central”

“#Interface donde esta conectado el Espia”

COMUNICACIONES DE DATOS IINro. DD-106Página 518

INICIANDO CAPTURA8. (E1) Procesos:

Seleccionando las opciones para CAPTURA

“Interface a monitorear”

* Seleccione la interface (VMware Accelerated AMD PCNet)

1

2

3

“Opciones para mostrar la información:

Update List: Actualiza constantemente según va capturando.Automatic Scrolling: Va mostrando las últimas capturas.Hide Info: Ocultar pantalla de estadísticas de captura”

“Resolución de capturas:

Enable MAC: Traduce la Mac a los nombres de los fabricantes de Tarjeta de Red.Enable network: Traduce la información de la IP por nombre.Enable Transport: Traduce el Puerto por su nombre”

“Iniciar la captura”

4

“Capturando informacion. Observar que siempre en la red se esta transmitiendo diversa informacion (broadcast, anuncios, busqueda … )”“Capturando informacion. Observar que siempre en la red se esta transmitiendo diversa informacion (broadcast, anuncios, busqueda … )”

“Esperare a que alguien se conecte

a un Servicio “

COMUNICACIONES DE DATOS IINro. DD-106Página 618

CONEXION9. (C1) Procesos:

Conectese con el CLIENTE (PUTTY) al Servicio TELNET:

TELNET

DETENIENDO CAPTURA10. (E1) Procesos:

Nota: Si no obtiene paquetes Telnet, parecido a lo visualizado, cierre el PUTTY y el SNIFFER y vuelva a realizar la captura.

“Voy a conectarme a mi servicio Telnet “

Clave: tecsup

Ejecutando un comando

“Llego la comida,

capturando”

“Observara que el Sniffer ha ido capturando los paquetes”

“Deteniendo la captura”*Clic

COMUNICACIONES DE DATOS IINro. DD-106Página 718

ANALIZANDO11. (E1) Conociendo la estructura de la herramienta:

Interprete su informacion capturada

“Revisare los paquetes

(comida)”

“Cada línea representa un paquete capturado”

*Ubíquese en el primer paquete TELNET

“Estructura de composición de capas de cada paquete”

“Representación hexadecimal del paquete”

“Numero de secuencia de la captura” La información es

referencial no se guie por este número usted puede tener otra secuencia”

“IP Origen o Mac Origen” “IP Destino o

Mac Destino”“Nombre del protocolo”

“Tipo de contenido”

“Las ventanas puede ampliarse y reducirse. Al ubicarse entre las líneas”

1

“Visualizando datos”

*Clic. Cambiara de (+) a (.)

2

COMUNICACIONES DE DATOS IINro. DD-106Página 818

VISUALIZANDO DATOS12. (E1) Construyendo información:

LOGIN Buscando la cuenta de Login:

Buscando las siguientes letras:

Siga buscando hasta completar la palabra del Login: benito

PASSWORD Buscando el PASSWORD:

“Son paquetes TELNET

visualizare la data enviada..”

1

“Desplazase entre la captura centrandose en los paquetes de PROTOCOL (TELNET). Y observe en el cuadro de (composicion de capas) en alguno de los paquetes TELNET debe de

encontrar la Data: b”

“Desplazase entre la captura centrandose en los paquetes de PROTOCOL (TELNET). Y observe en el cuadro de (composicion de capas) en alguno de los paquetes TELNET debe de

encontrar la Data: b”

2

“Encontré la primera letra (b) de la cuenta de

usuario..”

“seguiré buscando

por las otras letras, ya

encontré la segunda

letra (e) de la cuenta de

usuario..”

“Según mis estudios de redes, el

password de Telnet viaja sin

encriptar .. lo ubicare..”

COMUNICACIONES DE DATOS IINro. DD-106Página 918

Siga buscando hasta completar la palabra del PASSWORD: tecsup

CONSTRUYENDO DATOS13. (E1) Construyendo información:

Visualizando toda la informacion transmitida via TELNET

Nota: Cualquier aplicaciones que no incluya niveles de criptografía, será posible la visualización de la información en forma transparente como el caso del Telnet.

¿Que otra aplicaciones opina que puede obtenerse datos?

“Ya encontré dos letras (t)(e)..

Seguiré buscando, tengo

tiempo”

“Ya fue, tengo el

login y el password”

12

3

“Ubiquese en el Primer paquete de Protocol TELNET”

“Ubiquese en el Primer paquete de Protocol TELNET”

*Clic derecho*Clic derecho

“Opción que construye toda la información transmitida del protocolo elegido”

*Clic

“Opción que construye toda la información transmitida del protocolo elegido”

*Clic

“Ya tengo los datos de Login y

sus acciones”

“Observara diversos caracteres y en algunos casos observara que los caracteres se repite debido a que muestra los caracteres enviados y recibidos”

“Observara diversos caracteres y en algunos casos observara que los caracteres se repite debido a que muestra los caracteres enviados y recibidos”

COMUNICACIONES DE DATOS IINro. DD-106Página 1018

ESTRUCTURA DEL PAQUETE14. (E1) De un paquete que tenga como origen la IP del CLIENTE, complete los campos de la

composición:

PARTE 6 HABILITAR SOPORTE DE IPSEC (VPN) EN ROUTER CISCOEl Router CENTRAL se comportara como un concentrador de conexiones VPN. En el ROUTER CENTRAL deberá de habilitar el soporte de VPN para aceptar conexiones de CLIENTE VPN. Usaremos el protocolo de VPN llamado IPSEC.

HABILITANDO SOPORTE AAA 15. (RC) Para validar las cuentas de acceso de los Clientes VPN tendrá que habilitarse el soporte de

AAA en el ROUTER.

AGREGANDO USUARIOS16. (RC) El ROUTER al habilitar el soporte de AAA tiene la capacidad de validar cuentas o de delegar

a un Servidor RADIUS. En nuestros caso lo validaremos en el propio ROUTER:

ASOCIANDO EL SOPORTE DE AAA AL VPN17. (RC) Las cuentas de usuarios registradas en el ROUTER la asociaremos como cuentas a ser

asociadas con las cuentas a validar vía VPN para el ingreso:

IP ORIGEN IP DESTINO PROTO PUERTOORIGEN

PUERTODESTINO

APLICACION

TCP TELNET

INTERNET TRANSPORTE APLICACION

CAPAS

COMPOSICION

1

“Va al campo (PROTO)”“Va al campo (PROTO)”

“Esta información no servirá como referencia para ver que cambios sucede en la composición del paquete luego al aplicar VPN”

“Esta información no servirá como referencia para ver que cambios sucede en la composición del paquete luego al aplicar VPN”

aaa authentication login user local

“Etiqueta de soporte de autenticación”

“Etiqueta de soporte de autorización”

username remoto1 password remoto1

“Cuenta de usuario”

“Password de usuario”

crypto map clientmap client authentication list user

“Etiqueta de parámetros globales del VPN”

“Asociando lo definido en el paso: HABLITANDO SOPORTE AAA ”

COMUNICACIONES DE DATOS IINro. DD-106Página 1118

PARAMETROS DE ISAKMP 18. (RC) Estableciendo parámetros de criptografía del protocolo ISAKMP para que transmita en forma

segura la información de la clave y la negociación de los algoritmos del Túnel.

POOL DE IP 19. (RC) Al ser un concentrador de VPN para los CLIENTES. Al recibir una solicitud se le entregara al

CLIENTE una IP PRIVADA que lo asociara al TUNEL:

GRUPO DE AUTENTICACION20. (RC) Generando grupos de autentificación para entregarles parámetros de conectividad al

CLIENTE:

“Grupo (Diffie-Helman) que define el tamaño de bits del algoritmo para el intercambio de la llave que negociaran”Grupo 1: 768bitsGrupo 2: 1024bits

crypto isakmp policy 10encryption deshash md5authentication pre-sharegroup 2

“Algoritmo de integridad (hash)”“Algoritmo de

encriptación”

“Método de autentificación entre los nodos”Preshare: Clave en común que ambos nodos deben conocer

“En forma simbólica al existir una tabulación indica que esta dentro de una sección”

Nota: Para salir de una sección use el comando (exit)”

“En forma simbólica al existir una tabulación indica que esta dentro de una sección”

Nota: Para salir de una sección use el comando (exit)”

“Parámetro de Dominio a entregar”

ip local pool ippool 11.0.0.1 11.0.0.10

“Etiqueta a asignar al POOL”

“IP inicial del POOL”

“IP final del POOL”

“El pool de IP puede elegirse de cualquier clase y cualquier rango”

“El pool de IP puede elegirse de cualquier clase y cualquier rango”

crypto isakmp client configuration group clientesvpnkey cisco123dns 192.168.2.6domain empresa.com.pepool ippool

“Password a requerir para autorizar la entrega de parámetros”

“Parámetro de DNS a entregar en forma referencial”

“Parámetro de IP a entregar del POOL definido en el paso POOL DE IP ”

“Etiqueta para definir un grupo de autenticación”

“Parametros que le entregara el Router Central al CLIENTE mas adelante cuando se conecte via VPN”

“Parametros que le entregara el Router Central al CLIENTE mas adelante cuando se conecte via VPN”

“# que define la prioridad si hubiera otros perfiles de ISAKMP”

COMUNICACIONES DE DATOS IINro. DD-106Página 1218

ALGORITMOS DEL TUNEL IPSEC21. (RC) Estableciendo parámetros de criptografía del protocolo IPSEC para que ser usados por el

protocolo (ESP) para que transmitan en forma segura la información de los datos por el Túnel:

DEFINIENDO TIPO DE TUNEL DINAMICO22. (RC) Debido a que los CLIENTES se puedan conectar desde cualquier punto remoto y al no saber

cual es la IP del CLIENTE. Se indicara que el TUNEL será del tipo dinámico:

NEGOCIACION DE IPSEC ISAKMP DINAMICO23. (RC) Aplicando a IPSEC-ISAKMP que las negociaciones para establecer la comunicación del VPN

será del tipo dinámico debido a que los Clientes no son fijos:

ACEPTAR DIRECCIONES DE CLIENTE24. (RC) Para permitir aceptar el acceso a los CLIENTES debido a que tiene IP no conocidas:

APLICANDO PERFIL A INTERFACE25. (RC) En lo declarado anteriormente con el comando (crypto map) ahora lo aplicaremos en una

interface para habilitar el VPN:

RESUMEN

crypto ipsec transform-set myset esp-des esp-md5-hmac

“Asignando el nombre túnel al TUNEL”

“Algoritmo de encriptación a usar la cabecera (esp) para los datos”

“Algoritmo de integridad a usar la cabecera (esp) para los datos”

crypto dynamic-map dynmap 10set transform-set myset

”Asociando al túnel que algoritmos usara, definido en el paso ALGORITMOS DEL TUNEL IPSEC

“Etiqueta del perfil del túnel dinámico”“Numero a asignar al perfil del túnel dinámico”

crypto map clientmap 10 ipsec-isakmp dynamic dynmap

“Etiqueta de parámetros globales del VPN”

“Asociando lo definido en el paso: TIPO DE TUNEL DINAMICO ”

“# de secuencia”

crypto map clientmap client configuration address respond

“Etiqueta de parámetros globales del VPN”

interface [NOMBRE_INTERFACE_PUBLICA_ROUTER]crypto map clientmap

Caso: Según la configuración realizada en el route, el nombre de la interface física a informar es: fasethernet 0/1

“Etiqueta de parámetros globales del VPN”

COMUNICACIONES DE DATOS IINro. DD-106Página 1318

26. (RC,RS) En forma resumida hemos aplicado la siguiente estructura que podrá visualizarlo en la configuración del ROUTER con el comando:

Nota: Compruebe a detalle que este toda la informacion configurada del VPN en los ROUTER para evitar percances en la conexión VPN.

PARTE 7 CLIENTE VPNPor el lado del Cliente instalaremos un programa CLIENTE de CISCO para incorporar el soporte del VPN y que el CLIENTE pueda establecer una conexión VPN con el CONCENTRADOR VPN de la CENTRAL.

PAQUETE27. (C1) Nombre del paquetes:

Nota: El Software se encuentra en el directorio de las maquinas virtuales. Arrástrelo a escritorio de la maquina VIRTUAL C1.

aaa authentication login user localaaa authorization network grupo local

username remoto1 password remoto1username remoto2 password remoto2

crypto map clientmap client authentication list user crypto map clientmap isakmp authorization list grupo

crypto isakmp policy 10encryption deshash md5authentication pre-sharegroup 2

ip local pool ippool 11.0.0.1 11.0.0.10

crypto isakmp client configuration group clientesvpnkey cisco123dns 192.168.2.6domain empresa.com.pepool ippool

crypto ipsec transform-set myset esp-des esp-md5-hmac

crypto dynamic-map dynmap 10set transform-set myset

crypto map clientmap 10 ipsec-isakmp dynamic dynmapcrypto map clientmap client configuration address respond

interface F1/0crypto map clientmap

# show running-config

“Al visualizar la configuración, no aparecerá este comando debido a que por defecto asume internamente el algoritmo DES”

“Al visualizar la configuración, no aparecerá este comando debido a que por defecto asume internamente el algoritmo DES”

ciscovpn.exe Info: www.cisco.com

COMUNICACIONES DE DATOS IINro. DD-106Página 1418

INSTALACION Ejecute el proceso de instalación. Acepte por defecto las opciones. Y reinicie la Maquina

Virtual C1

CONFIGURACION28. (C1) Procesos:

Activar el programa:

Agregar un PERFIL:

“Agregando nuevo Perfil” 1

2

3

“IP del ROUTER CENTRAL VPN”

“Nombre del Grupo de Autenticación”

“Datos obtenidos de lo configurado en el ROUTER CENTRAL en el paso GRUPO DE AUTENTICACION”

“Datos obtenidos de lo configurado en el ROUTER CENTRAL en el paso GRUPO DE AUTENTICACION”

“Clave del grupo: cisco123”

COMUNICACIONES DE DATOS IINro. DD-106Página 1518

CONECTANDO A LA CENTRAL29. (C1) Procesos:

Conectandose:

INFORMACION DEL TUNEL30. Visualizando los parámetros negociados:

(C1) Clic derecho al icono del candado <Statistics>:

“Al conectarse al concentrador y ser autorizado en el grupo. Le solicitara autentificación. Si no obtiene esta ventana revise las configuraciones del Router Central”

“Al conectarse al concentrador y ser autorizado en el grupo. Le solicitara autentificación. Si no obtiene esta ventana revise las configuraciones del Router Central”

12

“Usuario y password definido en el Router Central en el paso: AGREGANDO USUARIOS”

3“Icono que nos garantiza que se ha establecido el túnel VPN”

“Algoritmos seleccionados en el túnel VPN”

“Ip del POOL asignado”

COMUNICACIONES DE DATOS IINro. DD-106Página 1618

(RC) Visualizando evento del TUNEL:

PRUEBAS31. (C1) Procesos:

EQUIPO ACCIONES RESULTADOC1 PING 192.168.2.6 (CENTRAL) (ON)

(SUCURSAL)

Conectese con el CLIENTE (PUTTY) al Servicio TELNET (CENTRAL):

TELNET

PARTE 8 MONITOREO DE LAS CONEXIONES CON VPNAl estar habilitado un Túnel de VPN debe de garantizarnos que todo tráfico que se transmita entre la Sucursal y Central debe estar encriptado. Y si hubiera una captura deberá de visualizar los datos en formato encriptado.

LIMPIEZA32. Cierre toda conexión de PUTTY TELNET con el SERVIDOR.

INICIANDO CAPTURA33. (E1) Inicie la captura de paquetes con el Wireshark:

Clave: tecsupEjecutando un comando

“Si por casualidad al realizar ping o telnet no responde a la primera vez vuelva a intentarlo una vez mas. Alguna veces sucede debido a que el Tunel esta armándose automáticamente”

“Si por casualidad al realizar ping o telnet no responde a la primera vez vuelva a intentarlo una vez mas. Alguna veces sucede debido a que el Tunel esta armándose automáticamente”

# show crypto map interface fastEthernet 0/1

“Comprobamos la información asignada al TUNEL dinámico”

“Comprobamos la información asignada al TUNEL dinámico”

COMUNICACIONES DE DATOS IINro. DD-106Página 1718

CONEXION34. (C1) Procesos:

Conectese con el CLIENTE (PUTTY) al Servicio TELNET:

DETENIENDO CAPTURA35. (E1) Procesos:

Nota: Si no obtiene paquetes ESP, parecido a lo visualizado, cierre el PUTTY y el SNIFFER y vuelva a realizar la captura.

ANALIZANDO CAPTURA ESP36. (E1) Procesos:

TIPO DE PAQUETES Visualize que no aparece paquetes con protocolo TELNET. Toda informacion esta siendo

transmitida en forma encriptada dentro del paquete ESP:

COMPOSICION De la informacion armamos una estructura de un paquete, según el modelo de TCP/IP

obtendriamos:

EJERCICIO (REALIZARLO)37. Caso: Active una nueva máquina virtual Windows XP que representara a otro cliente e instale el

Software VPN de CISCO y conéctese con la cuenta “remoto2”. De esta forma comprobaremos que

Clave: tecsup

“Observara que el Sniffer ha ido capturando los paquetes”

“Deteniendo la captura”*Clic

IP ORIGEN IP DESTINO ESP PROTO PUERTOORIGEN

PUERTODESTINO

APLICACION

192.168.4.3

200.0.0.1 ESP

INTERNET TRANSPORTE APLICACION

CAPAS

COMPOSICION

“El paquete de IPSEC llega hasta el nivel de RED (INTERNET) no hay los otros protocolos”

COMUNICACIONES DE DATOS IINro. DD-106Página 1818

puede establecerse en forma simultánea más de una conexión con el concentrador VPN (Router CENTRAL).

5. Observaciones y Conclusiones

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________