-Delgado Celis Alan Ivan -Mojica Ruben Jeh -Alcantara Rosete d!in Miguel Seguridad en redes "imulaci#n de una $%& con I%sec en '&"() *) I&+R,D-CCI.&) IPsec es un marco de est/ndares abiertos desarrollados 0or el Internet ngineering +as1 2orce 3I+245 6ue 0ro0orciona seguridad 0ara la transmisi#n de in7ormaci#n sensible a trav8s de redes sin 0rotecci#n5 como es el caso de Internet) I%sec acta en la ca0a de red5 lo 6ue hace 6ue sea m/s 7le9ible 7rente a otros 0rotocolos 6ue actan a 0artir de la ca0a de trans0orte 3modelo ,"I45 como ""L5 +L" o "":) As;5 0ro0orciona 0rotecci#n < autenticaci#n de los 0a6uetes I% entre los dis0ositivos I%sec 0artici0antes 3=0ares>45 0or ejem0lo dos routers de Cisco) n la 7igura siguiente se o7rece una visi#n sim0li7icada de c#mo 7unciona I%sec en un router Cisco) Dos routers establecen un tnel I%sec virtual entre s; utilizando algoritmos < 0ar/metros comunes) l tr/7ico de color rojo es el tr/7ico 6ue 7lu<e a trav8s del router5 6ue sirve 0ara ir a Internet < no a trav8s del tnel $%&) l verde es el tr/7ico 6ue 0retende ir de un sitio a otro a trav8s del tnel I%sec $%&) Pero por qu utilizar IPsec para crear redes privadas virtuales? %or6ue debemos asumir 6ue los nodos e9ternos 0ueden ser maliciosos e I%sec 0ro0orciona una soluci#n de seguridad m/s robusta 6ue los servicios 0ro0iertarios de Cisco < est/ basada en est/ndares) 2. HERRAMIENTAS. %ara esta 0r/ctica se ha decidido utilizar un simulador gr/7ico de red5 el GNS3. '&"( es un simulador de distribuci#n libre 6ue 0ermite disear to0olog;as de red com0lejas < 0oner en marcha simulaciones sobre los routers) st/ estrechamente relacionado con D<nami0s5 un emulador de I," 6ue 0ermite a los usuarios ejecutar im/genes de las I," de los routers de Cisco "<stems) n conjunto5 se trata de una buena herramienta com0lementaria a los verdaderos laboratorios 0ara administradores de redes Cisco < en es0ecial 0ara estudiantes) La I," escogida 0ara este ejem0lo es la del Cisco router ?@AA 6ue sabemos 6ue so0orta las 7unciones de con7iguraci#n 0ara la im0lementaci#n de una $%& con I0sec) 3. Desarrollo. La ma6ueta est/ 7ormada 0or tres routers c?@AA) :a< 6ue arrastrar cada uno de los dis0ositivos al es0acio de trabajo < con7igurar sus inter7aces) As; 0ues5 seleccionamos el router aadido con el bot#n derecho del rat#n < hacemos clic1 en la 0estaa "lots) &uestros routers dis0ondr/n de un slot con una inter7az 2ast-thernet < de otro con B inter7aces "erie) La to0olog;a 7inal ser/ la siguiente5 los routers R* < R( estar/n conectados a R@5 6ue es el router e9terno 6ue se conecta a Internet) R* se conecta mediante su inter7az 2ast-thernet) l uso del s!itch en la vida real ser/ necesario o no segn si usamos conectores RJCD directo 30ara dis0ositivos desiguales4 o cruzado 30ara dis0ositivos igualitarios4) R( se conectar/ a R@ mediante una inter7az serie) %ara conectar los routers mediante las inter7aces sim0lemente se usa el icono con 7orma de conector 6ue se observa en la imagen su0erior < se hace clic1 en uno de los nodos 6ue 6ueremos conectar5 arrastr/ndolo hasta el otro nodo) Cuando <a est8 todo conectado5 0ulsamos el 0la< 0ara activar el 7uncionamiento de nuestra ma6ueta) %ara comenzar a con7igurar los routers5 <a s#lo hace 7alta 0ulsar el icono de consola5 < se abrir/n autom/ticamente tres ventanas 6ue emular/n las consolas de los routers) Ea 0odemos em0ezar a con7igurar5 utilizando el Cisco I," command-line inter7ace) . !"N#IG$RA!I%N DE &AS INTER#A!ES) n 0rimer lugar con7iguraremos las inter7aces de loo0bac1 < las inter7aces serie5 asignando las direcciones I% a cada una < a0licando el comando Fno shutdo!nG a todos las cone9iones 7;sicas 0ara dejarlas abiertas) l comando Fcloc1 rateG es necesario 0ara sincronizar las inter7aces "erie) A0licaremos un cloc1 rate de HCAAA bits 0or segundo en el conector DC) Imaginaremos 6ue hemos contratado la subred *I@)*HB)*@)AJ@C5 6ue usaremos 0ara las inter7aces 2ast-thernet < la subred *I@)*HB)@()AJ@C 0ara las inter7aces serie) La inter7az de loo0bac1 de R* ser/ la *?@)*H)*)*J@C < la de R@5 la *?@)*H)()*J@C) n todos los routers5 habilitamos el modo con7iguraci#n global < le 0onemos un nombre 0ara evitar con7usiones a la hora de con7igurar) Los mensajes 6ue contienen un asterisco son los mensajes de con7irmaci#n 6ue nos a0arecen 0or consola a medida 6ue escribimos las #rdenes) Router>enable Router#configure terminal *Enter configuration commands, one per line. End with CNTL!. Router"config##hostname R$ R$"config## Ahora con7iguraremos las inter7aces de cada uno de los routers) R$"config##interface loopbac%& *'un ( $&)*&)+$.**+) ,L-NE.R/T/0+01.2/3N) Line protocol on -nterface Loopbac%&, changed state to up R$"config0if##ip address $45.$6.$.$ 5++.5++.5++.& R$"config0if##interface fastethernet&& R$"config0if##ip address $75.$6(.$5.$ 5++.5++.5++.& R$"config0if##no shutdown *'un ( $&)*6)*7.&6*) ,L-N80*01.2/3N) -nterface 9astEthernet&&, changed state to up *'un ( $&)*6)*7.&6*) ,ENT-T:;<L<R=060-N9/) CLE<R -N9/ 9a&& .h>sical .ort <dministrati?e @tate 2own *'un ( $&)*6)A&.&6*) ,L-NE.R/T/0+01.2/3N) Line protocol on -nterface 9astEthernet&&, changed state to up R5"config##interface fastEthernet && R5"config0if##ip address $75.$6(.$5.5 5++.5++.5++.& R5"config0if##no shutdown *'un ( $&)A4)&5.6A4) ,L-N80*01.2/3N) -nterface 9astEthernet&&, changed state to down *'un ( $&)A4)&5.6A4) ,ENT-T:;<L<R=060-N9/) CLE<R -N9/ 9a&& .h>sical .ort <dministrati?e @tate 2own *'un ( $&)A4)&5.6A4) ,ENT-T:;<L<R=060-N9/) <@@ERT CR-T-C<L 9a&& .h>sical .ort Lin% 2own R5"config0if##interface serial$& R5"config0if##ip address $75.$6(.5*.5 5++.5++.5++.& R5"config0if##cloc%rate 6A&&& R5"config0if##no shutdown *'un ( $&)A()*7.*5*) ,L-N80*01.2/3N) -nterface @erial$&, changed state to up *'un ( $&)A()*7.*5*) ,ENT-T:;<L<R=060-N9/) CLE<R -N9/ @e$& .h>sical .ort <dministrati?e @tate 2own *'un ( $&)A()A&.*54) ,L-NE.R/T/0+01.2/3N) Line protocol on -nterface @erial$&, changed state to up R*"config##interface loopbac%& *'un ( $&)+$)54.$64) ,L-NE.R/T/0+01.2/3N) Line protocol on -nterface Loopbac%&, changed state to R*"config0if##ip address $45.$6.*.$ 5++.5++.5++.& R*"config0if##interface serial$& R*"config0if##ip address $75.$6(.5*.* 5++.5++.5++.& R*"config0if##no shutdown *'un ( $&)+5)+$.*$+) ,L-N80*01.2/3N) -nterface @erial$&, changed state to up *'un ( $&)+5)+$.*$+) ,ENT-T:;<L<R=060-N9/) CLE<R -N9/ @e$& .h>sical .ort <dministrati?e @tate 2own *'un ( $&)+5)+5.*$7) ,L-NE.R/T/0+01.2/3N) Line protocol on -nterface @erial$&, changed state to up %ara com0robar 6ue tenemos conectividad entre las subredes locales usamos el comando 0ing) R$#ping $75.$6(.$5.5 *T>pe escape seBuence to abort. *@ending +, $&&0b>te -C=. Echos to $75.$6(.$5.5, timeout is 5 seconds) CCCCC *@uccess rate is $&& percent "++#, round0trip mina?gmaD E $6A5$4*&& ms R*#ping $75.$6(.5*.5 *T>pe escape seBuence to abort. *@ending +, $&&0b>te -C=. Echos to $75.$6(.5*.5, timeout is 5 seconds) CCCCC *@uccess rate is $&& percent "++#, round0trip mina?gmaD E $A&$7555& ms !"N#IG$RAR EIGRP Con la intenci#n de mantener conectividad entre redes remotas5 con7iguramos I'R% 3un 0rotocolo de routing 0ro0ietario de Cisco4 0ara 0oder enrutar entre todas las redes del diagrama) Aadiremos todas las subredes conectadas a cada router al "istema Aut#nomo * < deshabilitaremos la sumarizaci#n de redes autom/tica 0ara 6ue todas las subredes sean visibles desde todos los 0untos) R$"config##router eigrp $ R$"config0router##no auto0summar> R$"config0router##networ% $45.$6.&.& R$"config0router##networ% $75.$6(.$5.& *'un ( $$)*A)A&.577) ,21<L0+0NFRCG<NHE) -.0E-HR."&# $) Neighbor $75.$6(.$5.5 "9astEthernet&&# is up) new adIacenc> R5"config##router eigrp $ R5"config0router##no auto0summar> R5"config0router##networ% $75.$6(.$5.& *'un ( $$)*A)A&.&&*) ,21<L0+0NFRCG<NHE) -.0E-HR."&# $) Neighbor $75.$6(.$5.$ "9astEthernet&&# R5"config0router## networ% $75.$6(.5*.& *'un ( $$)*A)A6.76*) ,21<L0+0NFRCG<NHE) -.0E-HR."&# $) Neighbor $75.$6(.5*.* "@erial$&# is up) new adIacenc> R*"config##router eigrp $ R*"config0router##no auto0summar> R*"config0router##networ% $45.$6.&.& R*"config0router##networ% $75.$6(.5*.& *'un ( $$)*A)A6.(+$) ,21<L0+0NFRCG<NHE) -.0E-HR."&# $) Neighbor $75.$6(.5*.5 "@erial$&# is up) new adIacenc> Ahora <a deber;amos tener conectividad total 0or I%) Lo 0robaremos con el siguiente scri0t +CL en R*) R$#tclsh R$"tcl##foreach address J K>"tcl##$45.$6.$.$ K>"tcl##$75.$6(.$5.$ K>"tcl##$75.$6(.$5.5 K>"tcl##$75.$6(.5*.5 K>"tcl##$45.$6.*.$ K>"tcl##$75.$6(.5*.* K>"tcl##L J ping Maddress L !REAR P"&'TI!AS I(E %ara im0lementar una $%& con I%sec5 en 0rimer lugar ha< 6ue im0lementar los 0ar/metros >Internet Ke< 9change> 3IK45 utilizados 0ara validar las 0ol;ticas entre 0ares) IK es un 0rotocolo 6ue de7ine el m8todo de intercambio de claves sobre I% en una 0rimera 7ase de negociaci#n segura) De esta 7orma5 los 0ares intercambian las 0ol;ticas I%sec 0ara la autenticaci#n < la encri0taci#n del tr/7ico de datos) La 0ol;tica IK controla la autenticaci#n5 el algoritmo de encri0taci#n < el m8todo de intercambio de claves usado 0or las 0ro0uestas IK5 siendo enviados < recibidos 0or los e9tremos I%sec) La 0ol;tica I%sec se usa 0ara encri0tar tr/7ico de datos enviado a trav8s de un tnel $%&) %ara 0oder em0ezar a trabajar5 ha< 6ue habilitar IK) n algunas I," est/ habilitado 0or de7ecto5 0ero 0or si acaso ejecutaremos el comando corres0ondiente) R$"config##cr>pto isa%mp enable %ara 0ermitir la negociaci#n5 en 0rimer lugar ha< 6ue crear una 0ol;tica I"AKM% 3Internet "ecurit< Association and Ke< Management %rotocol4 < con7igurar la asociaci#n entre los 0ares 6ue 0artici0an en la 0ol;tica I"AKM%) Lsta 0ol;tica de7ine la autenticaci#n5 los algoritmos de encri0taci#n < la 7unci#n hash utilizada 0ara enviar tr/7ico de control entre los dos nodos de la $%&) %ara iniciar las 0ol;tica I"AKM% introducimos el siguiente comando en modo con7iguraci#n global) R$"config##cr>pto isa%mp polic> $& "i a continuaci#n introducimos el 0ar/metro FMG 0odemos ver todos los 0ar/metros IK dis0onibles) Al conjunto de 0ar/metros 6ue se utilizan 0ara de7inir los re6uerimientos de seguridad de una comunicaci#n en una direcci#n 0articular 3entrante o saliente45 se le llama >Asociaci#n de "eguridad> 3"A4) La elecci#n de un algoritmo de encri0taci#n controlar/ la con7idencialidad del canal de control entre los dos nodos) l algoritmo hash controla la integridad de los datos) l ti0o de autenticaci#n se asegura de 6ue5 en e7ecto5 el 0a6uete 7ue enviado < 7irmado 0or el 0ar remoto) l gru0o Di77ie-:ellman se usa 0ara crear una clave secreta com0artida 0or los 0ares 6ue nunca ha<a sido enviada a trav8s de la red) $amos a con7igurar una autenticaci#n de claves 0re-com0artidas) -tilizaremos encr<0taci#n A" @DH 3es decir una clave de @DH bits < un tamao de blo6ue de *H b<tes4 < ":A como algoritmo hash5 adem/s de Di77ie- :ellman gru0o D 3*D(H bits4 0ara esta 0ol;tica IK) Le daremos a esta Asociaci#n de "eguridad un tiem0o de vida de (HAA segundos 3una hora4) "e trata del tiem0o m/9imo en el 6ue una 0ol;tica de seguridad se utiliza sin necesidad de negociarla de nuevo) ,bviamente5 esta con7iguraci#n ha< 6ue a0licarla a los dos nodos en los 6ue crearemos la $%&) R$"config##cr>pto isa%mp polic> $& R$"config0isa%mp##authentication pre0share R$"config0isa%mp##encr>ption aes 5+6 R$"config0isa%mp##hash sha R$"config0isa%mp##group + R$"config0isa%mp##lifetime *6&& R*"config##cr>pto isa%mp polic> $& R*"config0isa%mp##authentication pre0share R*"config0isa%mp##encr>ption aes 5+6 R*"config0isa%mp##hash sha R*"config0isa%mp##group + R*"config0isa%mp##lifetime *6&& Aun6ue s#lo necesitamos con7igurar una 0ol;tica a6u;5 0odemos con7igurar mtli0les 0ol;ticas IK) Los di7erentes nmeros de 0rioridad est/n relacionados con la seguridad) Cuanto menor sea el nmero5 m/s segura es la 0ol;tica) Los routers com0robar/n < veri7icar/n 6u8 0ol;ticas de seguridad con com0atibles con sus 0ares5 comenzando con la 0ol;tica de menor nmero) %odemos veri7icar nuestra 0ol;tica IK con el comando sho! cr<0to isa1m0 0olic<) !"N#IG$RAR !&A)ES PRE!"NPARTIDAS. -na vez elegido nuestro m8todo de autenticaci#n5 tenemos 6ue con7igurar una clave en cada router 6ue se corres0onda con el otro nodo de la $%&) Las claves utilizadas deben coincidir 0ara 6ue la autenticaci#n sea satis7actoria < 0ara 6ue la relaci#n IK entre 0ares se com0lete) %or sim0licidad5 utilizaremos la clave =sssi>) ,bviamente5 0ara cual6uier otro caso se deber;a utilizar una clave m/s com0leja) -saremos el comando cr<0to isa1m0 1e< sssi address junto con las direcciones I% de las inter7aces 7;sicas de los nodos del e9tremo o0uesto) R$"config##cr>pto isa%mp %e> sssi address $75.$6(.5*.* R*"config##cr>pto isa%mp %e> sssi address $75.$6(.$5.$ !"N#IG$RAR E& IPSE! TRANS#"RM SET * &"S &I#ETIMES. l I%sec trans7orm set es otro 0ar/metro de con7iguraci#n ci7rada 6ue negocian los routers 0ara 7ormar Asociaciones de "eguridad) De la misma 7orma 6ue las 0ol;ticas I"AKM%5 tambi8n 0ueden e9istir mlti0les trans7orm sets en un router) Los routers com0arar/n sus trans7orm sets con el 0ar remoto hasta encontrar uno 6ue coincida) Crearemos un trans7orm set I%sec usando la sinta9is =cr<0to i0sec trans7orm set>) -tilizaremos el caracter FMG 0ara descubrir los 0ar/metros dis0onibles) IK est/ 7ormado 0or una cabecera de autenticaci#n =Authentication :eader> 3A:4 o 0or una cabecera de autenticaci#n m/s encri0taci#n 6ue se conoce como =nca0sulating "ecurit< %a<load> 3"%4) -na Asociaci#n de "eguridad 0uede ser A: o "%5 0ero no ambas) I%sec o7rece dos modos de o0eraci#n segn utilice A: o "% 0ara 0roteger los datos sobre I%) "e conocen como =modo de trans0orte> 3si usamos A:4 o =modo tnel> 3si usamos "%4) n esta ocasi#n vamos a decantarnos 0or "%) As; 0ues5 ejecutamos el comando en ambos routers) R$"config##cr>pto ipsec transform0set +& esp0aes 5+6 esp0sha0hmac R*"config##cr>pto ipsec transform0set +& esp0aes 5+6 esp0sha0hmac %odemos es0eci7icar nuestro tiem0o de seguridad asociado un vez creado el trans7orm-set) A continuaci#n cambiaremos5 en R* < R(5 nuestro l;mite de tiem0o a (A minutos) R$"config##cr>pto ipsec securit>0association lifetime seconds $(&& R*"config##cr>pto ipsec securit>0association lifetime seconds $(&& DE#INIR E& TR+#I!" ,$E N"S INTERESA. Ahora 6ue todas las o0ciones de encri0taci#n est/n claras5 de7iniremos listas de acceso e9tendidas 0ara decirle al router 6u8 tr/7ico debe encri0tar) n este caso5 un 0a6uete al 6ue se le 0ermite5 mediante una lista de acceso usada 0ara de7inir tr/7ico I%sec5 ser/ encri0tado si la sesi#n I%sec ha sido con7igurada correctamente) "in embargo5 un 0a6uete denegado 0or alguna de estas listas de acceso no se tirar/5 sino 6ue ser/ enviado sin encri0tar) Como en todas las listas de acceso5 e9iste un =den<> im0l;cito al 7inal5 6ue en este caso im0lica 6ue la acci#n 0or de7ecto es no encri0tar tr/7ico) "i no ha< una asociaci#n de seguridad correctamente con7igurada5 entonces tam0oco se encri0tar/ el tr/7ico5 sino 6ue ser/ enviado sin encri0tar) n este escenario5 el tr/7ico 6ue vamos a encri0tar es tr/7ico 0rocedente de la direcci#n de loo0bac1 de R* hasta la direcci#n de loo0bac1 de R(5 o viceversa) Las listas de acceso se usan en las inter7aces de salida de los nodos terminales de la $%&5 0or lo 6ue debemos con7igurarlas acorde a esto) La con7iguraci#n de la lista de acceso de R* debe ser e9actamente el es0ejo de la de R( 0ara 6ue 7uncione correctamente) R$"config##access0list $&$ permit ip $45.$6.$.& &.&.&.5++ $45.$6.*.& &.&.&.5++ R*"config##access0list $&$ permit ip $45.$6.*.& &.&.&.5++ $45.$6.$.& &.&.&.5++ Como se 0uede observar5 las m/scaras en las listas de acceso se escriben como m/scaras invertidas5 siendo en realidad redes J@C como hemos indicado al comienzo de la memoria) !REAR * AP&I!AR !R*PT" MAPS Ahora 6ue hemos creado estos 0e6ueos m#dulos de con7iguraci#n5 0odemos llevarlos todos a un cr<0to ma0) -n cr<0to ma0 es una asignaci#n 6ue asocia el tr/7ico 6ue coincide con una lista de acceso 3como la de7inida anteriormente4 a un 0ar de nodos < a diversas 0ol;ticas IK < o0ciones de I%sec) stos ma0as de ci7rado 0ueden tener mlti0les sentencias5 0or lo 6ue 0odr;amos obtener tr/7ico 6ue coincide con una cierta lista de acceso siendo encri0tado < enviado a otro 0ar I%sec5 < 0or otro lado obtener otro tr/7ico 6ue coincide con una lista de acceso di7erente siendo encri0tada hacia otro nodo di7erente) -na vez 6ue un ma0a de ci7rado ha<a sido creado5 0uede ser a0licado a una o m/s inter7aces5 0ero siem0re deber;a a0licarse a las inter7aces en7rentadas con la inter7az de su 0ar I%sec) %ara crear un ma0a de ci7rado5 usaremos el comando =cr<0to ma0> en modo con7iguraci#n global5 al 6ue aadiremos un nombre < un nmero de secuencia5 e introduciremos la con7iguraci#n deseada asociada a ese nmero de secuencia) Muchas sentencias de los ma0as de ci7rado 0ueden 0ertenecer al mismo cr<0to ma05 < en ese caso ser;an evaluados en orden num8rido ascendente) +ambi8n introduciremos el ti0o de ci7rado) n cuanto a esto ltimo5 si usamos el ti0o =i0sec-isa1m0> signi7ica 6ue se usar/ IK 0ara establecer asociaciones de seguridad con I%sec5 al contrario de lo 6ue ocurrir;a en caso de seleccionar el ti0o =i0secmanual>) $amos a llamar al cr<0to ma0 =MA%A*N < utilizaremos el nmero de secuencia *A) Cuando entremos en el modo de con7iguraci#n de ma0as de ci7rado en R* nos a0arecer/ una advertencia5 indicando 6ue el 0eer debe estar com0letamente con7igurado antes de 6ue el ma0a de ci7rado sea considerado v/lido < 0ueda ser a0licado activamente) R$"config##cr>pto map =<.<$ $& ipsec0isa%mp Ahora usaremos el comando =match address> junto al nmero de la lista de acceso creada 0ara es0eci7icar 6u8 lista de acceso de7inir/ el tr/7ico a encri0tar) R$"config0cr>pto0map##match address $&$ l comando =set> nos o7rece muchas 0osibilidades 0ara trabajar con un ma0a de ci7rado) $amos a utilizar el car/cter de a<uda FMG 0ara conocerlas) Algunos de estos comandos son im0rescindibles5 como =set i0>5 =set 0eer> o =set hostname>) Los a0licaremos a la inter7az del nodo del otro e9tremo de la $%&) Adem/s seleccionaremos el nmero del trans7orm set de7inido anteriormente) +ambi8n seleccionaremos el comando =set 07s claves> 30er7ect 7or!arding secrec< t<0e4 cu<a clave est/ directamente relacionada con el ti0o de m#dulo Di77ie-:ellman seleccionado) Desde este modo de con7iguraci#n tambi8n 0odemos modi7icar el tiem0o de vida de la Asociaci#n de "eguridad) La con7iguraci#n nos ha 6uedado as;O R$"config0cr>pto0map##set peer $75.$6(.5*.* R$"config0cr>pto0map##set pfs group+ R$"config0cr>pto0map##set transform0set +& R$"config0cr>pto0map##set securit>0association lifetime seconds 7&& R*"config##cr>pto map =<.<$ $& ipsec0isa%mp , N/TE) This new cr>pto map will remain disabled until a peer and a ?alid access list ha?e been configured. R*"config0cr>pto0map##match address $&$ R*"config0cr>pto0map##set peer $75.$6(.$5.$ R*"config0cr>pto0map##set pfs group+ R*"config0cr>pto0map##set transform0set +& R*"config0cr>pto0map##set securit>0association lifetime seconds 7&& Ahora 6ue los ma0as de ci7rado han sido creados5 el ltimo 0aso en el 0roceso de creaci#n $%&Gs nodo a nodo es a0licar los ma0as a las inter7aces) sto lo conseguimos entrando en modo con7iguraci#n de inter7az e introduciendo el comando =cr<0to ma0 nombre>) s necesario com0render 6ue las asociaciones de seguridad no se establecer/n hasta 6ue el ma0a de ci7rado sea activado al reconocer tr/7ico 6ue le interesa) &o crearemos dicho tr/7ico an5 0or6ue tendremos 6ue 0ermitir algunos comandos de de0uraci#n en 0r#9imos 0asos) De momento5 el router generar/ una noti7icaci#n indicando 6ue se ha activado el ci7rado en dichas inter7aces) R$"config##interface fastEthernet && R$"config0if##cr>pto map =<.<$ *'un ( 5$)&4)5A.$64) ,CR:.T/060-@<8=.;/N;/99) -@<8=. is /N R*"config##interface serial $& R*"config0if##cr>pto map =<.<$ *'un ( 5$)&()*(.57+) ,CR:.T/060-@<8=.;/N;/99) -@<8=. is /N )ERI#I!AR !"N#IG$RA!I%N n el 0aso H usamos el comando =sho! cr<0to isa1m0 0olic<> 0ara mostrar las 0ol;ticas I"AKM% con7iguradas en el router) De 7orma similar5 el comando =sho! cr<0to i0sec trans7orm set> muestra 0or 0antalla las 0ol;ticas I%sec con7iguradas en los trans7orm sets) A continuaci#n usaremos el comando =sho! cr<0to ma0> 0ara mostrar los ma0as de ci7rado 6ue se han a0licado al router) sta in7ormaci#n no cambiar/ aun6ue ha<a tr/7ico =interesante> cruzando a trav8s de la cone9i#n) )ERI#I!AR "PERA!I%N IPSE!. "i usamos el comando =sho! cr<0to isa1m0 sa>5 8ste nos revelar/ 6ue no e9isten asociaciones de seguridad IK todav;a) sta in7ormaci#n de salida se ver/ modi7icada en cuanto se comience a enviar tr/7ico =interesante>) "i ahora usamos el comando =sho! cr<0to i0sec sa>5 este comando nos mostrar/ las asociaciones de seguridad en desuso entre R* < R() %odemos 7ijarnos en la ausencia5 tanto de 0a6uetes enviados a trav8s como de asociaciones de seguridad) sto ltimo se muestra hacia la 0arte in7erior de la salida en ambos routers) INTERPRETAR E)ENT"S DE DEP$RA!I"N. n t8rminos de la comunicaci#n real entre los 0untos e9tremos de la $%&5 I"AKM% establece normas estrictas en cuanto a c#mo 0uede ser una asociaci#n de seguridad establecida) La 7ase * de IK 3I"AKM%4 negociar/ el canal seguro entre los nodos5 autenticar/ a su vecino si tiene la clave secreta correcta5 < autenticar/ el nodo remoto a trav8s del canal seguro) La 7ase * de IK utiliza el =modo 0rinci0al>5 6ue consta de seis mensajes en tres intercambios de eventos) l resultado es una asociaci#n de seguridad I"AKM% bidireccional) Los intercambios son de entradaJsalida5 0or lo 6ue cada evento se guarda en la de0uraci#n como un evento de entrada desde cada router local hasta el router remoto) La 7ase @ de IK 3I%"ec4 negociar/ el tunel I%sec entre los dos nodos 7inales5 autenticar/ los 0ares < encri0tar/ el tr/7ico de datos entre ellos a trav8s del tunel ci7rado) La 7ase @ de IK usa el 0roceso llamado =modo r/0ido> 0ara llevar a cabo su intercambio 0ara establecer dos asociaciones de seguridad unidireccionales) A continuaci#n en R* habilitaremos dos comandos de de0uraci#nO =debug cr<0to isa1m0> < >debug cr<0to i0sec>) R$#debug cr>pto isa%mp *Cr>pto -@<8=. debugging is on R$#debug cr>pto ipsec *Cr>pto -.@EC debugging is on Ahora enviaremos un 0ing e9tendido desde la direcci#n de loo0bac1 de R* hasta la direcci#n de loo0bac1 de R( < veremos la de0uraci#n de la salida de ambos routers) $eremos tanto la negociaci#n I"AKM% como el establecimiento de la asociaci#n de seguridad I%sec) R$# ping .rotocol NipO) Target -. address) $45.$6.*.$ Repeat count N+O) 2atagram siPe N$&&O) Timeout in seconds N5O) EDtended commands NnO) > @ource address or interface) $45.$6.$.$ T>pe of ser?ice N&O) @et 29 bit in -. headerQ NnoO) Ralidate repl> dataQ NnoO) 2ata pattern N&D<FC2O) Loose, @tring, Record, Timestamp, Rerbose NnoneO) @weep range of siPes NnO) n medio de una salida bastante e9tensa5 el resultado obtenido ha sido el siguiente) *T>pe escape seBuence to abort. *@ending +, $&&0b>te -C=. Echos to $45.$6.*.$, timeout is 5 seconds) *.ac%et sent with a source address of $45.$6.$.$ ..CCC @uccess rate is 6& percent "*+#, round0trip mina?gmaD E 55(54*576 ms Ea 0odemos cancelar la instrucci#n de de0uraci#n) R$#undebug all <ll possible debugging has been turned off E ahora s; 6ue se 0ueden ver datos al introducir los comandos de ci7rado) %odemos observar 6ue esta vez s; 6ue se han encri0tado 0a6uetes5 < 6ue se han 7ormado varias asociaciones de seguridad) !"N#IG$RA!I"NES #INA&ES Las con7iguraciones 7inales se 0ueden observar a continuaci#n mediante el uso de la instrucci#n >sho! running- con7ig>) ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; R$#show running0config Fuilding configuration... Current configuration ) 5$$A b>tes C ?ersion $5.A ser?ice timestamps debug datetime msec ser?ice timestamps log datetime msec no ser?ice password0encr>ption C hostname R$ C boot0start0mar%er boot0end0mar%er C no aaa new0model C resource polic> C ip subnet0Pero ip cef C cr>pto isa%mp polic> $& encr aes 5+6 authentication pre0share group + lifetime *6&& cr>pto isa%mp %e> sssi address $75.$6(.5*.* C cr>pto ipsec securit>0association lifetime seconds $(&& C cr>pto ipsec transform0set +& esp0aes 5+6 esp0sha0hmac C cr>pto map =<.<$ $& ipsec0isa%mp set peer $75.$6(.5*.* set securit>0association lifetime seconds 7&& set transform0set +& set pfs group+ match address $&$ C interface Loopbac%& ip address $45.$6.$.$ 5++.5++.5++.& C interface 9astEthernet&& ip address $75.$6(.$5.$ 5++.5++.5++.& dupleD auto speed auto cr>pto map =<.<$ C C router eigrp $ networ% $45.$6.&.& networ% $75.$6(.$5.& no auto0summar> C ip classless no ip http ser?er no ip http secure0ser?er C logging alarm informational access0list $&$ permit ip $45.$6.$.& &.&.&.5++ $45.$6.*.& &.&.&.5++ C gate%eeper shutdown C line con & stopbits $ line auD & line ?t> & A C end ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; R5#sh run Fuilding configuration... Current configuration ) $+(7 b>tes C ?ersion $5.A ser?ice timestamps debug datetime msec ser?ice timestamps log datetime msec no ser?ice password0encr>ption C hostname R5 C boot0start0mar%er boot0end0mar%er C no aaa new0model C resource polic> C ip subnet0Pero ip cef C interface 9astEthernet&& ip address $75.$6(.$5.5 5++.5++.5++.& dupleD auto speed auto C interface @erial$& ip address $75.$6(.5*.5 5++.5++.5++.& serial restart0dela> & cloc% rate 6A&&& no dce0terminal0timing0enable C router eigrp $ networ% $75.$6(.$5.& networ% $75.$6(.5*.& no auto0summar> C ip classless no ip http ser?er no ip http secure0ser?er C logging alarm informational C control0plane C gate%eeper shutdown C line con & stopbits $ line auD & line ?t> & A C end ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; R*#sh run Fuilding configuration... Current configuration ) 5&5A b>tes C ?ersion $5.A ser?ice timestamps debug datetime msec ser?ice timestamps log datetime msec no ser?ice password0encr>ption C hostname R* C boot0start0mar%er boot0end0mar%er C no aaa new0model C resource polic> C ip subnet0Pero ip cef C cr>pto isa%mp polic> $& encr aes 5+6 authentication pre0share group + lifetime *6&& cr>pto isa%mp %e> sssi address $75.$6(.$5.$ C cr>pto ipsec securit>0association lifetime seconds $(&& C cr>pto ipsec transform0set +& esp0aes 5+6 esp0sha0hmac C cr>pto map =<.<$ $& ipsec0isa%mp set peer $75.$6(.$5.$ set securit>0association lifetime seconds 7&& set transform0set +& set pfs group+ match address $&$ C interface Loopbac%& ip address $45.$6.*.$ 5++.5++.5++.& C interface @erial$& ip address $75.$6(.5*.* 5++.5++.5++.& serial restart0dela> & no dce0terminal0timing0enable cr>pto map =<.<$ C router eigrp $ networ% $45.$6.&.& networ% $75.$6(.5*.& no auto0summar> C ip classless no ip http ser?er no ip http secure0ser?er C logging alarm informational access0list $&$ permit ip $45.$6.*.& &.&.&.5++ $45.$6.$.& &.&.&.5++ C control0plane C gate%eeper shutdown C line con & stopbits $ line auD & line ?t> & A C end