UNIVERSIDAD INCA GARCILASO DE LA VEGA FACULTAD DE INGENIERIA DE SISTEMAS COMPUTO Y TELECOMUNICACIONES Apellidos y Nombres:

!!

L"bor"#orio VPN Si#e #o Si#e En la topologa mostrada configuremos VPN Site to Site usando CLI sobre 2 routers 1721 con advancesecurit I!S" Separemos por etapas la configuraci#n$ 1"% La configuraci#n &abitual de enrutamiento con EI'(P )S * 1+1

Router Serial 0 R1 10.1.1.1 /30 R2 10.2.2.2 /30 R3 -----------------

Serial 1 -----------------10.1.1.2 /30 10.2.2.1 /30

FastEthernet 0 192.168.1.1 /24 ----------------192.168.3.1 /24

Sobre eigrp e,ecutar no auto%summar - para visuali.ar las subredes con tracert" 2"% /abilitar las opciones de encriptaci#n para generar el t0nel VPN" Implementar los par1metros de i$#er%"mbio de Ll"&es de I$#er$e#- I2E" Implementar los par1metros de IPsec Verificar 3ue I2E es soportado &abilitado"

% 4I'V %

I$'! Nes#or (")#is#"

UNIVERSIDAD INCA GARCILASO DE LA VEGA FACULTAD DE INGENIERIA DE SISTEMAS COMPUTO Y TELECOMUNICACIONES Apellidos y Nombres:

!!

(56config78cr pto isa9mp enable I2E define el m:todo de intercambio de llaves usado para pasar pares del VPN" En la siguiente fase los pares intercambian creadas- para autenticar encriptar el tr1fico de datos" validar las polticas entre validan sus polticas antes

5"% 'enerar la poltica basado en un identificador 3ue puede ser num:rico$ (56config78cr pto isa9mp polic 1+ (56config%isa9mp78 ; <opciones= >"% Crear las reglas de la politica 1+ /abilitamos el intercambio de llaves compartidas" (56config%isa9mp78 aut&entication pre%s&are ?efinimos el algoritmo de encriptaci#n para proteger el tunel (56config%isa9mp78 encr pcion aes 2@A ?efinimos el algoritmo de &as&ing para la transferencia encriptada" (56config%isa9mp78 &as& s&a ?efinimos el grupo @ (56config%isa9mp78 group @ ?efinimos el tiempo de vida para la asociaci#n de seguridad a trav:s de IS)2BP" (56config%isa9mp78 lifetime 5A++ Verificamos 3ue las polticas &an sido creadas (58s&oC cr pto isa9mp polic
'lobal I2E polic % 4I'V %
I$'! Nes#or (")#is#"

UNIVERSIDAD INCA GARCILASO DE LA VEGA FACULTAD DE INGENIERIA DE SISTEMAS COMPUTO Y TELECOMUNICACIONES Apellidos y Nombres: Protection suite of priorit 1+ encr ption algorit&m$ )ES % )dvanced Encr ption Standard 62@A bit 9e s7" &as& algorit&m$ Secure /as& Standard aut&entication met&od$ Pre%S&ared 2e ?iffie%/ellman group$ 8@ 61@5A bit7 lifetime$ 5A++ seconds- no volume limit ?efault protection suite encr ption algorit&m$ ?ES % ?ata Encr ption Standard 6@A bit 9e s7" &as& algorit&m$ Secure /as& Standard aut&entication met&od$ (ivest%S&amir%)dleman Signature ?iffie%/ellman group$ 81 67AD bit7 lifetime$ DA>++ seconds- no volume limit

!!

@"% Configurar las llaves compartidas (56config78 cr pto isa9mp 9e cisco125 address 1+"1"1"1 A"% Configurar la conversion a IPsec los tiempos de vida"

(56config78 cr pto ipsec transform%set @+ esp%aes 2@A esp%s&a%&mac ESP es el protocolo de seguridad del encapsulado" Estos par1metros deben coincidir con el otro eEtremo" Fambi:n podemos definir el tiempo de vida de 5A++ por otro dentro del IPsec para la asociaci#n con el otro eEtremo del t0nel" (56config78cr pto ipsec securit %association lifetime seconds 1D++ 7"% ?efinimos el tr1fico de inter:s" Para definir esto se &a de crear una )CL 3ue permita el matc&ing- con el trafico 3ue nosotros deseemos 3ue pase por la VPN" (56config78access%list 1+1 permit ip 1G2"1AD"5"+ +"+"+"2@@ 1G2"1AD"1"+ +"+"+"2@@ D"% Crear aplicar el cr pto map" Creamos el cr pto map en (5 llamado CB)P con un numero 1+ de secuencia- se mostrara un mensa,e de edici#n" (56config78 cr pto map CB)P 1+ ipsec%isa9mp

H N!FE$ F&is neC cr pto map Cill remain disabled until a peer and a valid access list &ave been configured"

% 4I'V %

I$'! Nes#or (")#is#"

UNIVERSIDAD INCA GARCILASO DE LA VEGA FACULTAD DE INGENIERIA DE SISTEMAS COMPUTO Y TELECOMUNICACIONES Apellidos y Nombres:

!!

4sar el comando matc& address con el n0mero de la )CLinter:s a encriptar" (56config%cr pto%map78matc& address 1+1

para especificar el trafico de

Luego establecer la direcci#n del otro eEtremo del t0nel" (56config%cr pto%map78set peer 1+"1"1"1 (56config%cr pto%map78set pfs group@ (56config%cr pto%map78set transform%set @+ (56config%cr pto%map78set securit %association lifetime seconds G++ G"% Lo ultimo seria aplicar el mapa a la interface" Para (5 es Serial 1 (56config78interface serial 1 (56config%if78cr pto map CB)P 1+"% Verificamos nuestros resultados Verificar la configuraci#n del IPsec (58s&oC cr pto ipsec transform%set

Fransform set @+$ I esp%2@A%aes esp%s&a%&mac J Cill negotiate * I Funnel- J-

(58s&oC cr pto ipsec transform%set

Fransform set @+$ I esp%2@A%aes esp%s&a%&mac J Cill negotiate * I Funnel- J-

(58s&oC cr pto map

Cr pto Bap KCB)PK 1+ ipsec%isa9mp Peer * 1+"1"1"1 EEtended IP access list 1+1 access%list 1+1 permit ip 1G2"1AD"5"+ +"+"+"2@@ 1G2"1AD"1"+ +"+"+"2@@ Current peer$ 1+"1"1"1 Securit association lifetime$ >A+D+++ 9ilob tesLG++ seconds PMS 6NLN7$ N ?/ group$ group@ Fransform sets*I @+J Interfaces using cr pto map CB)P$ Serial1

% 4I'V %

I$'! Nes#or (")#is#"

UNIVERSIDAD INCA GARCILASO DE LA VEGA FACULTAD DE INGENIERIA DE SISTEMAS COMPUTO Y TELECOMUNICACIONES Apellidos y Nombres:

!!

dst 1+"1"1"1

src 1+"2"2"1

Verificamos la !peracion del VPN (58s&oC cr pto isa9mp sa

state conn%id slot status OBPI?LE 1 + )CFIVE

Bostramos la asociaci#n de seguridad IPsec" (58s&oC cr pto ipsec sa

interface$ Serial1 Cr pto map tag$ CB)P- local addr 1+"2"2"1

protected vrf$ 6none7 local ident 6addrLmas9LprotLport7$ 61G2"1AD"5"+L2@@"2@@"2@@"+L+L+7 remote ident 6addrLmas9LprotLport7$ 61G2"1AD"1"+L2@@"2@@"2@@"+L+L+7 currentPpeer 1+"1"1"1 port @++ PE(BIF- flags*IoriginPisPacl-J 8p9ts encaps$ 7- 8p9ts encr pt$ 7- 8p9ts digest$ 7 8p9ts decaps$ 7- 8p9ts decr pt$ 7- 8p9ts verif $ 7 8p9ts compressed$ +- 8p9ts decompressed$ + 8p9ts not compressed$ +- 8p9ts compr" failed$ + 8p9ts not decompressed$ +- 8p9ts decompress failed$ + 8send errors 5- 8recv errors + local cr pto endpt"$ 1+"2"2"1- remote cr pto endpt"$ 1+"1"1"1 pat& mtu 1@++- ip mtu 1@++- ip mtu idb Serial1 current outbound spi$ +E771GQC+161GGD17@2557 inbound esp sas$ spi$ +EM1QGM2+)6>+@@>G@17D7 transform$ esp%2@A%aes esp%s&a%&mac in use settings *IFunnel- J conn id$ 2++1- floCPid$ 1- cr pto map$ CB)P sa timing$ remaining 9e lifetime 69Lsec7$ 6>@75@+1L7717 IV si.e$ 1A b tes repla detection support$ N Status$ )CFIVE inbound a& sas$ inbound pcp sas$ outbound esp sas$ spi$ +E771GQC+161GGD17@2557 transform$ esp%2@A%aes esp%s&a%&mac in use settings *IFunnel- J conn id$ 2++2- floCPid$ 2- cr pto map$ CB)P sa timing$ remaining 9e lifetime 69Lsec7$ 6>@75@+1L7>D7 IV si.e$ 1A b tes % 4I'V %
I$'! Nes#or (")#is#"

UNIVERSIDAD INCA GARCILASO DE LA VEGA FACULTAD DE INGENIERIA DE SISTEMAS COMPUTO Y TELECOMUNICACIONES Apellidos y Nombres: repla detection support$ N Status$ )CFIVE outbound a& sas$ outbound pcp sas$

!!

11"% )seguramos nuestros routers con SS/ (56config78ip domain%name inictel"gob"pe (56config78cr pto 9e generate rsa

/FFPS"

F&e name for t&e 9e s Cill be$ (5"inictel"gob"pe C&oose t&e si.e of t&e 9e modulus in t&e range of 5A+ to 2+>D for our 'eneral Purpose 2e s" C&oosing a 9e modulus greater t&an @12 ma ta9e a feC minutes" /oC man bits in t&e modulus R@12S$ H 'enerating @12 bit (S) 9e s- 9e s Cill be non%eEportable"""R!2S TBar 1 +A$27$1+"AA7$ (S) 9e si.e needs to be atleast 7AD bits for ss& version 2 TBar 1 +A$27$1+"A71$ HSS/%@%EN)QLE?$ SS/ 1"@ &as been enabled

Creamos el usuario administrador /abilitamos SS/ como 0nico protocolo de sesi#n &acia el router" (56config78username admin privilege 1@ passCord class (56config78line vt + > (56config%line78transport input ss& (56config%line78login local /abilitamos /FFPS (56config78ip &ttp secure%server

H 'enerating 1+2> bit (S) 9e s- 9e s Cill be non%eEportable""" TBar 1 +A$5@$17"11@$ HP2I%A%)4F!S)VE$ (unning configuration saved to NV()B

% 4I'V %

I$'! Nes#or (")#is#"