Equipo 5

-Lima Muoz Luis Daniel

-Delgado Celis Alan Ivan
-Mojica Ruben Jeh
-Alcantara Rosete d!in Miguel
Seguridad en redes
"imulaci#n de una $%& con I%sec en '&"()
*) I&+R,D-CCI.&)
IPsec es un marco de est/ndares abiertos desarrollados 0or el Internet ngineering +as1 2orce 3I+245 6ue
0ro0orciona seguridad 0ara la transmisi#n de in7ormaci#n sensible a trav8s de redes sin 0rotecci#n5 como es el
caso de Internet)
I%sec acta en la ca0a de red5 lo 6ue hace 6ue sea m/s 7le9ible 7rente a otros 0rotocolos 6ue actan a 0artir de la
ca0a de trans0orte 3modelo ,"I45 como ""L5 +L" o "":) As;5 0ro0orciona 0rotecci#n < autenticaci#n de los
0a6uetes I% entre los dis0ositivos I%sec 0artici0antes 3=0ares>45 0or ejem0lo dos routers de Cisco)
n la 7igura siguiente se o7rece una visi#n sim0li7icada de c#mo 7unciona I%sec en un router
Cisco) Dos routers establecen un tnel I%sec virtual entre s; utilizando algoritmos < 0ar/metros comunes) l
tr/7ico de color rojo es el tr/7ico 6ue 7lu<e a trav8s del router5 6ue sirve 0ara ir a Internet < no a trav8s del tnel
$%&) l verde es el tr/7ico 6ue 0retende ir de un sitio a otro a trav8s del tnel I%sec $%&)
Pero por qu utilizar IPsec para crear redes privadas virtuales?
%or6ue debemos asumir 6ue los nodos e9ternos 0ueden ser maliciosos e I%sec 0ro0orciona una soluci#n de
seguridad m/s robusta 6ue los servicios 0ro0iertarios de Cisco < est/ basada en est/ndares)
2. HERRAMIENTAS.
%ara esta 0r/ctica se ha decidido utilizar un simulador gr/7ico de red5 el GNS3.
'&"( es un simulador de distribuci#n libre 6ue 0ermite disear to0olog;as de red com0lejas < 0oner en marcha
simulaciones sobre los routers) st/ estrechamente relacionado con D<nami0s5 un emulador de I," 6ue 0ermite
a los usuarios ejecutar im/genes de las I," de los routers de Cisco "<stems) n conjunto5 se trata de una buena
herramienta com0lementaria a los verdaderos laboratorios 0ara administradores de redes Cisco < en es0ecial 0ara
estudiantes)
La I," escogida 0ara este ejem0lo es la del Cisco router ?@AA 6ue sabemos 6ue so0orta las 7unciones de
con7iguraci#n 0ara la im0lementaci#n de una $%& con I0sec)
3. Desarrollo.
La ma6ueta est/ 7ormada 0or tres routers c?@AA) :a< 6ue arrastrar cada uno de los dis0ositivos al es0acio de
trabajo < con7igurar sus inter7aces) As; 0ues5 seleccionamos el router aadido con el bot#n derecho del rat#n <
hacemos clic1 en la 0estaa "lots) &uestros routers dis0ondr/n de un slot con una inter7az 2ast-thernet < de
otro con B inter7aces "erie)
La to0olog;a 7inal ser/ la siguiente5 los routers R* < R( estar/n conectados a R@5 6ue es el router e9terno 6ue se
conecta a Internet) R* se conecta mediante su inter7az 2ast-thernet) l uso del s!itch en la vida real ser/
necesario o no segn si usamos conectores RJCD directo 30ara dis0ositivos desiguales4 o cruzado 30ara
dis0ositivos igualitarios4) R( se conectar/ a R@ mediante una inter7az serie)
%ara conectar los routers mediante las inter7aces sim0lemente se usa el icono con 7orma de conector 6ue se
observa en la imagen su0erior < se hace clic1 en uno de los nodos 6ue 6ueremos conectar5 arrastr/ndolo hasta el
otro nodo)
Cuando <a est8 todo conectado5 0ulsamos el 0la< 0ara activar el 7uncionamiento de nuestra ma6ueta)
%ara comenzar a con7igurar los routers5 <a s#lo hace 7alta 0ulsar el icono de consola5 < se abrir/n
autom/ticamente tres ventanas 6ue emular/n las consolas de los routers) Ea 0odemos em0ezar a con7igurar5
utilizando el Cisco I," command-line inter7ace)
. !"N#IG$RA!I%N DE &AS INTER#A!ES)
n 0rimer lugar con7iguraremos las inter7aces de loo0bac1 < las inter7aces serie5 asignando las direcciones I% a
cada una < a0licando el comando Fno shutdo!nG a todos las cone9iones 7;sicas 0ara dejarlas abiertas) l comando
Fcloc1 rateG es necesario 0ara sincronizar las inter7aces "erie)
A0licaremos un cloc1 rate de HCAAA bits 0or segundo en el conector DC)
Imaginaremos 6ue hemos contratado la subred *I@)*HB)*@)AJ@C5 6ue usaremos 0ara las inter7aces 2ast-thernet <
la subred *I@)*HB)@()AJ@C 0ara las inter7aces serie) La inter7az de loo0bac1 de R* ser/ la *?@)*H)*)*J@C < la de
R@5 la *?@)*H)()*J@C)
n todos los routers5 habilitamos el modo con7iguraci#n global < le 0onemos un nombre 0ara evitar con7usiones
a la hora de con7igurar) Los mensajes 6ue contienen un asterisco son los mensajes de con7irmaci#n 6ue nos
a0arecen 0or consola a medida 6ue escribimos las #rdenes)
Router>enable
Router#configure terminal
*Enter configuration commands, one per line. End with CNTL!.
Router"config##hostname R$
R$"config##
Ahora con7iguraremos las inter7aces de cada uno de los routers)
R$"config##interface loopbac%&
*'un ( $&)*&)+$.**+) ,L-NE.R/T/0+01.2/3N) Line protocol on -nterface Loopbac%&,
changed state to up
R$"config0if##ip address $45.$6.$.$ 5++.5++.5++.&
R$"config0if##interface fastethernet&&
R$"config0if##ip address $75.$6(.$5.$ 5++.5++.5++.&
R$"config0if##no shutdown
*'un ( $&)*6)*7.&6*) ,L-N80*01.2/3N) -nterface 9astEthernet&&, changed state to
up
*'un ( $&)*6)*7.&6*) ,ENT-T:;<L<R=060-N9/) CLE<R -N9/ 9a&& .h>sical .ort
<dministrati?e @tate 2own
*'un ( $&)*6)A&.&6*) ,L-NE.R/T/0+01.2/3N) Line protocol on -nterface
9astEthernet&&, changed state to up
R5"config##interface fastEthernet &&
R5"config0if##ip address $75.$6(.$5.5 5++.5++.5++.&
R5"config0if##no shutdown
*'un ( $&)A4)&5.6A4) ,L-N80*01.2/3N) -nterface 9astEthernet&&, changed state to
down
*'un ( $&)A4)&5.6A4) ,ENT-T:;<L<R=060-N9/) CLE<R -N9/ 9a&& .h>sical .ort
<dministrati?e @tate 2own
*'un ( $&)A4)&5.6A4) ,ENT-T:;<L<R=060-N9/) <@@ERT CR-T-C<L 9a&& .h>sical .ort
Lin% 2own
R5"config0if##interface serial$&
R5"config0if##ip address $75.$6(.5*.5 5++.5++.5++.&
R5"config0if##cloc%rate 6A&&&
R5"config0if##no shutdown
*'un ( $&)A()*7.*5*) ,L-N80*01.2/3N) -nterface @erial$&, changed state to up
*'un ( $&)A()*7.*5*) ,ENT-T:;<L<R=060-N9/) CLE<R -N9/ @e$& .h>sical .ort
<dministrati?e @tate 2own
*'un ( $&)A()A&.*54) ,L-NE.R/T/0+01.2/3N) Line protocol on -nterface @erial$&,
changed state to up
R*"config##interface loopbac%&
*'un ( $&)+$)54.$64) ,L-NE.R/T/0+01.2/3N) Line protocol on -nterface Loopbac%&,
changed state to
R*"config0if##ip address $45.$6.*.$ 5++.5++.5++.&
R*"config0if##interface serial$&
R*"config0if##ip address $75.$6(.5*.* 5++.5++.5++.&
R*"config0if##no shutdown
*'un ( $&)+5)+$.*$+) ,L-N80*01.2/3N) -nterface @erial$&, changed state to up
*'un ( $&)+5)+$.*$+) ,ENT-T:;<L<R=060-N9/) CLE<R -N9/ @e$& .h>sical .ort
<dministrati?e @tate 2own
*'un ( $&)+5)+5.*$7) ,L-NE.R/T/0+01.2/3N) Line protocol on -nterface @erial$&,
changed state to up
%ara com0robar 6ue tenemos conectividad entre las subredes locales usamos el comando 0ing)
R$#ping $75.$6(.$5.5
*T>pe escape seBuence to abort.
*@ending +, $&&0b>te -C=. Echos to $75.$6(.$5.5, timeout is 5 seconds)
CCCCC
*@uccess rate is $&& percent "++#, round0trip mina?gmaD E $6A5$4*&& ms
R*#ping $75.$6(.5*.5
*T>pe escape seBuence to abort.
*@ending +, $&&0b>te -C=. Echos to $75.$6(.5*.5, timeout is 5 seconds)
CCCCC
*@uccess rate is $&& percent "++#, round0trip mina?gmaD E $A&$7555& ms
!"N#IG$RAR EIGRP
Con la intenci#n de mantener conectividad entre redes remotas5 con7iguramos I'R% 3un 0rotocolo de routing
0ro0ietario de Cisco4 0ara 0oder enrutar entre todas las redes del diagrama) Aadiremos todas las subredes
conectadas a cada router al "istema Aut#nomo * < deshabilitaremos la sumarizaci#n de redes autom/tica 0ara
6ue todas las subredes sean visibles desde todos los 0untos)
R$"config##router eigrp $
R$"config0router##no auto0summar>
R$"config0router##networ% $45.$6.&.&
R$"config0router##networ% $75.$6(.$5.&
*'un ( $$)*A)A&.577) ,21<L0+0NFRCG<NHE) -.0E-HR."&# $) Neighbor $75.$6(.$5.5
"9astEthernet&&# is up) new adIacenc>
R5"config##router eigrp $
R5"config0router##no auto0summar>
R5"config0router##networ% $75.$6(.$5.&
*'un ( $$)*A)A&.&&*) ,21<L0+0NFRCG<NHE) -.0E-HR."&# $) Neighbor $75.$6(.$5.$
"9astEthernet&&#
R5"config0router## networ% $75.$6(.5*.&
*'un ( $$)*A)A6.76*) ,21<L0+0NFRCG<NHE) -.0E-HR."&# $) Neighbor $75.$6(.5*.*
"@erial$&# is up) new adIacenc>
R*"config##router eigrp $
R*"config0router##no auto0summar>
R*"config0router##networ% $45.$6.&.&
R*"config0router##networ% $75.$6(.5*.&
*'un ( $$)*A)A6.(+$) ,21<L0+0NFRCG<NHE) -.0E-HR."&# $) Neighbor $75.$6(.5*.5
"@erial$&# is up) new adIacenc>
Ahora <a deber;amos tener conectividad total 0or I%) Lo 0robaremos con el siguiente scri0t +CL en R*)
R$#tclsh
R$"tcl##foreach address J
K>"tcl##$45.$6.$.$
K>"tcl##$75.$6(.$5.$
K>"tcl##$75.$6(.$5.5
K>"tcl##$75.$6(.5*.5
K>"tcl##$45.$6.*.$
K>"tcl##$75.$6(.5*.*
K>"tcl##L J ping Maddress L
!REAR P"&'TI!AS I(E
%ara im0lementar una $%& con I%sec5 en 0rimer lugar ha< 6ue im0lementar los 0ar/metros >Internet Ke<
9change> 3IK45 utilizados 0ara validar las 0ol;ticas entre 0ares)
IK es un 0rotocolo 6ue de7ine el m8todo de intercambio de claves sobre I% en una 0rimera 7ase de negociaci#n
segura) De esta 7orma5 los 0ares intercambian las 0ol;ticas I%sec 0ara la autenticaci#n < la encri0taci#n del
tr/7ico de datos)
La 0ol;tica IK controla la autenticaci#n5 el algoritmo de encri0taci#n < el m8todo de intercambio de claves
usado 0or las 0ro0uestas IK5 siendo enviados < recibidos 0or los e9tremos I%sec) La 0ol;tica I%sec se usa 0ara
encri0tar tr/7ico de datos enviado a trav8s de un tnel $%&)
%ara 0oder em0ezar a trabajar5 ha< 6ue habilitar IK) n algunas I," est/ habilitado 0or de7ecto5 0ero 0or si
acaso ejecutaremos el comando corres0ondiente)
R$"config##cr>pto isa%mp enable
%ara 0ermitir la negociaci#n5 en 0rimer lugar ha< 6ue crear una 0ol;tica I"AKM% 3Internet "ecurit< Association
and Ke< Management %rotocol4 < con7igurar la asociaci#n entre los 0ares 6ue 0artici0an en la 0ol;tica I"AKM%)
Lsta 0ol;tica de7ine la autenticaci#n5 los algoritmos de encri0taci#n < la 7unci#n hash utilizada 0ara enviar tr/7ico
de control entre los dos nodos de la $%&)
%ara iniciar las 0ol;tica I"AKM% introducimos el siguiente comando en modo con7iguraci#n global)
R$"config##cr>pto isa%mp polic> $&
"i a continuaci#n introducimos el 0ar/metro FMG 0odemos ver todos los 0ar/metros IK dis0onibles) Al conjunto
de 0ar/metros 6ue se utilizan 0ara de7inir los re6uerimientos de seguridad de una comunicaci#n en una direcci#n
0articular 3entrante o saliente45 se le llama >Asociaci#n de "eguridad> 3"A4)
La elecci#n de un algoritmo de encri0taci#n controlar/ la con7idencialidad del canal de control entre los dos
nodos) l algoritmo hash controla la integridad de los datos) l ti0o de autenticaci#n se asegura de 6ue5 en
e7ecto5 el 0a6uete 7ue enviado < 7irmado 0or el 0ar remoto)
l gru0o Di77ie-:ellman se usa 0ara crear una clave secreta com0artida 0or los 0ares 6ue nunca ha<a sido
enviada a trav8s de la red)
$amos a con7igurar una autenticaci#n de claves 0re-com0artidas) -tilizaremos encr<0taci#n A" @DH 3es decir
una clave de @DH bits < un tamao de blo6ue de *H b<tes4 < ":A como algoritmo hash5 adem/s de Di77ie-
:ellman gru0o D 3*D(H bits4 0ara esta 0ol;tica IK)
Le daremos a esta Asociaci#n de "eguridad un tiem0o de vida de (HAA segundos 3una hora4) "e trata del tiem0o
m/9imo en el 6ue una 0ol;tica de seguridad se utiliza sin necesidad de negociarla de nuevo) ,bviamente5 esta
con7iguraci#n ha< 6ue a0licarla a los dos nodos en los 6ue crearemos la $%&)
R$"config##cr>pto isa%mp polic> $&
R$"config0isa%mp##authentication pre0share
R$"config0isa%mp##encr>ption aes 5+6
R$"config0isa%mp##hash sha
R$"config0isa%mp##group +
R$"config0isa%mp##lifetime *6&&
R*"config##cr>pto isa%mp polic> $&
R*"config0isa%mp##authentication pre0share
R*"config0isa%mp##encr>ption aes 5+6
R*"config0isa%mp##hash sha
R*"config0isa%mp##group +
R*"config0isa%mp##lifetime *6&&
Aun6ue s#lo necesitamos con7igurar una 0ol;tica a6u;5 0odemos con7igurar mtli0les 0ol;ticas IK) Los
di7erentes nmeros de 0rioridad est/n relacionados con la seguridad) Cuanto menor sea el nmero5 m/s segura es
la 0ol;tica) Los routers com0robar/n < veri7icar/n 6u8 0ol;ticas de seguridad con com0atibles con sus 0ares5
comenzando con la 0ol;tica de menor nmero)
%odemos veri7icar nuestra 0ol;tica IK con el comando sho! cr<0to isa1m0 0olic<)
!"N#IG$RAR !&A)ES PRE!"NPARTIDAS.
-na vez elegido nuestro m8todo de autenticaci#n5 tenemos 6ue con7igurar una clave en cada router 6ue se
corres0onda con el otro nodo de la $%&) Las claves utilizadas deben coincidir 0ara 6ue la autenticaci#n sea
satis7actoria < 0ara 6ue la relaci#n IK entre 0ares se com0lete)
%or sim0licidad5 utilizaremos la clave =sssi>) ,bviamente5 0ara cual6uier otro caso se deber;a utilizar una clave
m/s com0leja) -saremos el comando cr<0to isa1m0 1e< sssi address junto con las direcciones I% de
las inter7aces 7;sicas de los nodos del e9tremo o0uesto)
R$"config##cr>pto isa%mp %e> sssi address $75.$6(.5*.*
R*"config##cr>pto isa%mp %e> sssi address $75.$6(.$5.$
!"N#IG$RAR E& IPSE! TRANS#"RM SET * &"S &I#ETIMES.
l I%sec trans7orm set es otro 0ar/metro de con7iguraci#n ci7rada 6ue negocian los routers 0ara 7ormar
Asociaciones de "eguridad) De la misma 7orma 6ue las 0ol;ticas I"AKM%5 tambi8n 0ueden e9istir mlti0les
trans7orm sets en un router) Los routers com0arar/n sus trans7orm sets con el 0ar remoto hasta encontrar uno 6ue
coincida)
Crearemos un trans7orm set I%sec usando la sinta9is =cr<0to i0sec trans7orm set>) -tilizaremos el caracter FMG
0ara descubrir los 0ar/metros dis0onibles)
IK est/ 7ormado 0or una cabecera de autenticaci#n =Authentication :eader> 3A:4 o 0or una cabecera de
autenticaci#n m/s encri0taci#n 6ue se conoce como =nca0sulating "ecurit< %a<load> 3"%4) -na Asociaci#n de
"eguridad 0uede ser A: o "%5 0ero no ambas) I%sec o7rece dos modos de o0eraci#n segn utilice A: o "%
0ara 0roteger los datos sobre I%) "e conocen como =modo de trans0orte> 3si usamos A:4 o =modo tnel> 3si
usamos "%4) n esta ocasi#n vamos a decantarnos 0or "%)
As; 0ues5 ejecutamos el comando en ambos routers)
R$"config##cr>pto ipsec transform0set +& esp0aes 5+6 esp0sha0hmac
R*"config##cr>pto ipsec transform0set +& esp0aes 5+6 esp0sha0hmac
%odemos es0eci7icar nuestro tiem0o de seguridad asociado un vez creado el trans7orm-set) A continuaci#n
cambiaremos5 en R* < R(5 nuestro l;mite de tiem0o a (A minutos)
R$"config##cr>pto ipsec securit>0association lifetime seconds $(&&
R*"config##cr>pto ipsec securit>0association lifetime seconds $(&&
DE#INIR E& TR+#I!" ,$E N"S INTERESA.
Ahora 6ue todas las o0ciones de encri0taci#n est/n claras5 de7iniremos listas de acceso e9tendidas 0ara decirle al
router 6u8 tr/7ico debe encri0tar) n este caso5 un 0a6uete al 6ue se le 0ermite5 mediante una lista de acceso
usada 0ara de7inir tr/7ico I%sec5 ser/ encri0tado si la sesi#n I%sec ha sido con7igurada correctamente) "in
embargo5 un 0a6uete denegado 0or alguna de estas listas de acceso no se tirar/5 sino 6ue ser/ enviado sin
encri0tar)
Como en todas las listas de acceso5 e9iste un =den<> im0l;cito al 7inal5 6ue en este caso im0lica 6ue la acci#n 0or
de7ecto es no encri0tar tr/7ico) "i no ha< una asociaci#n de seguridad correctamente con7igurada5 entonces
tam0oco se encri0tar/ el tr/7ico5 sino 6ue ser/ enviado sin encri0tar)
n este escenario5 el tr/7ico 6ue vamos a encri0tar es tr/7ico 0rocedente de la direcci#n de loo0bac1 de R* hasta
la direcci#n de loo0bac1 de R(5 o viceversa) Las listas de acceso se usan en las inter7aces de salida de los nodos
terminales de la $%&5 0or lo 6ue debemos con7igurarlas acorde a esto) La con7iguraci#n de la lista de acceso de
R* debe ser e9actamente el es0ejo de la de R( 0ara 6ue 7uncione correctamente)
R$"config##access0list $&$ permit ip $45.$6.$.& &.&.&.5++ $45.$6.*.&
&.&.&.5++
R*"config##access0list $&$ permit ip $45.$6.*.& &.&.&.5++ $45.$6.$.&
&.&.&.5++
Como se 0uede observar5 las m/scaras en las listas de acceso se escriben como m/scaras invertidas5 siendo en
realidad redes J@C como hemos indicado al comienzo de la memoria)
!REAR * AP&I!AR !R*PT" MAPS
Ahora 6ue hemos creado estos 0e6ueos m#dulos de con7iguraci#n5 0odemos llevarlos todos a un cr<0to ma0)
-n cr<0to ma0 es una asignaci#n 6ue asocia el tr/7ico 6ue coincide con una lista de acceso 3como la de7inida
anteriormente4 a un 0ar de nodos < a diversas 0ol;ticas IK < o0ciones de I%sec) stos ma0as de ci7rado 0ueden
tener mlti0les sentencias5 0or lo 6ue 0odr;amos obtener tr/7ico 6ue coincide con una cierta lista de acceso
siendo encri0tado < enviado a otro 0ar I%sec5 < 0or otro lado obtener otro tr/7ico 6ue coincide con una lista
de acceso di7erente siendo encri0tada hacia otro nodo di7erente)
-na vez 6ue un ma0a de ci7rado ha<a sido creado5 0uede ser a0licado a una o m/s inter7aces5 0ero siem0re
deber;a a0licarse a las inter7aces en7rentadas con la inter7az de su 0ar I%sec)
%ara crear un ma0a de ci7rado5 usaremos el comando =cr<0to ma0> en modo con7iguraci#n global5 al 6ue
aadiremos un nombre < un nmero de secuencia5 e introduciremos la con7iguraci#n deseada asociada a ese
nmero de secuencia) Muchas sentencias de los ma0as de ci7rado 0ueden 0ertenecer al mismo cr<0to ma05 < en
ese caso ser;an evaluados en orden num8rido ascendente) +ambi8n introduciremos el ti0o de ci7rado) n cuanto a
esto ltimo5 si usamos el ti0o =i0sec-isa1m0> signi7ica 6ue se usar/ IK 0ara establecer asociaciones
de seguridad con I%sec5 al contrario de lo 6ue ocurrir;a en caso de seleccionar el ti0o =i0secmanual>)
$amos a llamar al cr<0to ma0 =MA%A*N < utilizaremos el nmero de secuencia *A) Cuando entremos en el
modo de con7iguraci#n de ma0as de ci7rado en R* nos a0arecer/ una advertencia5 indicando 6ue el 0eer debe
estar com0letamente con7igurado antes de 6ue el ma0a de ci7rado sea considerado v/lido < 0ueda ser a0licado
activamente)
R$"config##cr>pto map =<.<$ $& ipsec0isa%mp
Ahora usaremos el comando =match address> junto al nmero de la lista de acceso creada 0ara es0eci7icar 6u8
lista de acceso de7inir/ el tr/7ico a encri0tar)
R$"config0cr>pto0map##match address $&$
l comando =set> nos o7rece muchas 0osibilidades 0ara trabajar con un ma0a de ci7rado) $amos a utilizar el
car/cter de a<uda FMG 0ara conocerlas)
Algunos de estos comandos son im0rescindibles5 como =set i0>5 =set 0eer> o =set hostname>) Los a0licaremos a
la inter7az del nodo del otro e9tremo de la $%&) Adem/s seleccionaremos el nmero del trans7orm set de7inido
anteriormente)
+ambi8n seleccionaremos el comando =set 07s claves> 30er7ect 7or!arding secrec< t<0e4 cu<a clave est/
directamente relacionada con el ti0o de m#dulo Di77ie-:ellman seleccionado) Desde este modo de con7iguraci#n
tambi8n 0odemos modi7icar el tiem0o de vida de la Asociaci#n de "eguridad) La con7iguraci#n nos ha 6uedado
as;O
R$"config0cr>pto0map##set peer $75.$6(.5*.*
R$"config0cr>pto0map##set pfs group+
R$"config0cr>pto0map##set transform0set +&
R$"config0cr>pto0map##set securit>0association lifetime seconds 7&&
R*"config##cr>pto map =<.<$ $& ipsec0isa%mp
, N/TE) This new cr>pto map will remain disabled until a peer and a ?alid access list
ha?e been configured.
R*"config0cr>pto0map##match address $&$
R*"config0cr>pto0map##set peer $75.$6(.$5.$
R*"config0cr>pto0map##set pfs group+
R*"config0cr>pto0map##set transform0set +&
R*"config0cr>pto0map##set securit>0association lifetime seconds 7&&
Ahora 6ue los ma0as de ci7rado han sido creados5 el ltimo 0aso en el 0roceso de creaci#n $%&Gs nodo a nodo es
a0licar los ma0as a las inter7aces) sto lo conseguimos entrando en modo con7iguraci#n de inter7az e
introduciendo el comando =cr<0to ma0 nombre>) s necesario com0render 6ue las asociaciones de seguridad no
se establecer/n hasta 6ue el ma0a de ci7rado sea activado al reconocer tr/7ico 6ue le interesa)
&o crearemos dicho tr/7ico an5 0or6ue tendremos 6ue 0ermitir algunos comandos de de0uraci#n en 0r#9imos
0asos)
De momento5 el router generar/ una noti7icaci#n indicando 6ue se ha activado el ci7rado en dichas inter7aces)
R$"config##interface fastEthernet &&
R$"config0if##cr>pto map =<.<$
*'un ( 5$)&4)5A.$64) ,CR:.T/060-@<8=.;/N;/99) -@<8=. is /N
R*"config##interface serial $&
R*"config0if##cr>pto map =<.<$
*'un ( 5$)&()*(.57+) ,CR:.T/060-@<8=.;/N;/99) -@<8=. is /N
)ERI#I!AR !"N#IG$RA!I%N
n el 0aso H usamos el comando =sho! cr<0to isa1m0 0olic<> 0ara mostrar las 0ol;ticas I"AKM% con7iguradas
en el router) De 7orma similar5 el comando =sho! cr<0to i0sec trans7orm set>
muestra 0or 0antalla las 0ol;ticas I%sec con7iguradas en los trans7orm sets)
A continuaci#n usaremos el comando =sho! cr<0to ma0> 0ara mostrar los ma0as de ci7rado 6ue
se han a0licado al router)
sta in7ormaci#n no cambiar/ aun6ue ha<a tr/7ico =interesante> cruzando a trav8s de la cone9i#n)
)ERI#I!AR "PERA!I%N IPSE!.
"i usamos el comando =sho! cr<0to isa1m0 sa>5 8ste nos revelar/ 6ue no e9isten asociaciones de seguridad IK
todav;a) sta in7ormaci#n de salida se ver/ modi7icada en cuanto se comience a enviar tr/7ico =interesante>)
"i ahora usamos el comando =sho! cr<0to i0sec sa>5 este comando nos mostrar/ las asociaciones de seguridad
en desuso entre R* < R() %odemos 7ijarnos en la ausencia5 tanto de 0a6uetes enviados a trav8s como de
asociaciones de seguridad) sto ltimo se muestra hacia la 0arte in7erior de la salida en ambos routers)
INTERPRETAR E)ENT"S DE DEP$RA!I"N.
n t8rminos de la comunicaci#n real entre los 0untos e9tremos de la $%&5 I"AKM% establece normas estrictas
en cuanto a c#mo 0uede ser una asociaci#n de seguridad establecida)
La 7ase * de IK 3I"AKM%4 negociar/ el canal seguro entre los nodos5 autenticar/ a su vecino si tiene la clave
secreta correcta5 < autenticar/ el nodo remoto a trav8s del canal seguro) La 7ase * de IK utiliza el =modo
0rinci0al>5 6ue consta de seis mensajes en tres intercambios de eventos)
l resultado es una asociaci#n de seguridad I"AKM% bidireccional) Los intercambios son de entradaJsalida5 0or
lo 6ue cada evento se guarda en la de0uraci#n como un evento de entrada desde cada router local hasta el router
remoto)
La 7ase @ de IK 3I%"ec4 negociar/ el tunel I%sec entre los dos nodos 7inales5 autenticar/ los 0ares < encri0tar/ el
tr/7ico de datos entre ellos a trav8s del tunel ci7rado) La 7ase @ de IK usa el 0roceso llamado =modo r/0ido>
0ara llevar a cabo su intercambio 0ara establecer dos asociaciones de seguridad unidireccionales)
A continuaci#n en R* habilitaremos dos comandos de de0uraci#nO =debug cr<0to isa1m0> < >debug cr<0to
i0sec>)
R$#debug cr>pto isa%mp
*Cr>pto -@<8=. debugging is on
R$#debug cr>pto ipsec
*Cr>pto -.@EC debugging is on
Ahora enviaremos un 0ing e9tendido desde la direcci#n de loo0bac1 de R* hasta la direcci#n de loo0bac1 de R(
< veremos la de0uraci#n de la salida de ambos routers) $eremos tanto la negociaci#n I"AKM% como el
establecimiento de la asociaci#n de seguridad I%sec)
R$# ping
.rotocol NipO)
Target -. address) $45.$6.*.$
Repeat count N+O)
2atagram siPe N$&&O)
Timeout in seconds N5O)
EDtended commands NnO) >
@ource address or interface) $45.$6.$.$
T>pe of ser?ice N&O)
@et 29 bit in -. headerQ NnoO)
Ralidate repl> dataQ NnoO)
2ata pattern N&D<FC2O)
Loose, @tring, Record, Timestamp, Rerbose NnoneO)
@weep range of siPes NnO)
n medio de una salida bastante e9tensa5 el resultado obtenido ha sido el siguiente)
*T>pe escape seBuence to abort.
*@ending +, $&&0b>te -C=. Echos to $45.$6.*.$, timeout is 5 seconds)
*.ac%et sent with a source address of $45.$6.$.$
..CCC
@uccess rate is 6& percent "*+#, round0trip mina?gmaD E 55(54*576 ms
Ea 0odemos cancelar la instrucci#n de de0uraci#n)
R$#undebug all
<ll possible debugging has been turned off
E ahora s; 6ue se 0ueden ver datos al introducir los comandos de ci7rado)
%odemos observar 6ue esta vez s; 6ue se han encri0tado 0a6uetes5 < 6ue se han 7ormado varias asociaciones de
seguridad)
!"N#IG$RA!I"NES #INA&ES
Las con7iguraciones 7inales se 0ueden observar a continuaci#n mediante el uso de la instrucci#n >sho! running-
con7ig>)
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
R$#show running0config
Fuilding configuration...
Current configuration ) 5$$A b>tes
C
?ersion $5.A
ser?ice timestamps debug datetime msec
ser?ice timestamps log datetime msec
no ser?ice password0encr>ption
C
hostname R$
C
boot0start0mar%er
boot0end0mar%er
C
no aaa new0model
C
resource polic>
C
ip subnet0Pero
ip cef
C
cr>pto isa%mp polic> $&
encr aes 5+6
authentication pre0share
group +
lifetime *6&&
cr>pto isa%mp %e> sssi address $75.$6(.5*.*
C
cr>pto ipsec securit>0association lifetime seconds $(&&
C
cr>pto ipsec transform0set +& esp0aes 5+6 esp0sha0hmac
C
cr>pto map =<.<$ $& ipsec0isa%mp
set peer $75.$6(.5*.*
set securit>0association lifetime seconds 7&&
set transform0set +&
set pfs group+
match address $&$
C
interface Loopbac%&
ip address $45.$6.$.$ 5++.5++.5++.&
C
interface 9astEthernet&&
ip address $75.$6(.$5.$ 5++.5++.5++.&
dupleD auto
speed auto
cr>pto map =<.<$
C
C
router eigrp $
networ% $45.$6.&.&
networ% $75.$6(.$5.&
no auto0summar>
C
ip classless
no ip http ser?er
no ip http secure0ser?er
C
logging alarm informational
access0list $&$ permit ip $45.$6.$.& &.&.&.5++ $45.$6.*.& &.&.&.5++
C
gate%eeper
shutdown
C
line con &
stopbits $
line auD &
line ?t> & A
C
end
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
R5#sh run
Fuilding configuration...
Current configuration ) $+(7 b>tes
C
?ersion $5.A
ser?ice timestamps debug datetime msec
ser?ice timestamps log datetime msec
no ser?ice password0encr>ption
C
hostname R5
C
boot0start0mar%er
boot0end0mar%er
C
no aaa new0model
C
resource polic>
C
ip subnet0Pero
ip cef
C
interface 9astEthernet&&
ip address $75.$6(.$5.5 5++.5++.5++.&
dupleD auto
speed auto
C
interface @erial$&
ip address $75.$6(.5*.5 5++.5++.5++.&
serial restart0dela> &
cloc% rate 6A&&&
no dce0terminal0timing0enable
C
router eigrp $
networ% $75.$6(.$5.&
networ% $75.$6(.5*.&
no auto0summar>
C
ip classless
no ip http ser?er
no ip http secure0ser?er
C
logging alarm informational
C
control0plane
C
gate%eeper
shutdown
C
line con &
stopbits $
line auD &
line ?t> & A
C
end
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
R*#sh run
Fuilding configuration...
Current configuration ) 5&5A b>tes
C
?ersion $5.A
ser?ice timestamps debug datetime msec
ser?ice timestamps log datetime msec
no ser?ice password0encr>ption
C
hostname R*
C
boot0start0mar%er
boot0end0mar%er
C
no aaa new0model
C
resource polic>
C
ip subnet0Pero
ip cef
C
cr>pto isa%mp polic> $&
encr aes 5+6
authentication pre0share
group +
lifetime *6&&
cr>pto isa%mp %e> sssi address $75.$6(.$5.$
C
cr>pto ipsec securit>0association lifetime seconds $(&&
C
cr>pto ipsec transform0set +& esp0aes 5+6 esp0sha0hmac
C
cr>pto map =<.<$ $& ipsec0isa%mp
set peer $75.$6(.$5.$
set securit>0association lifetime seconds 7&&
set transform0set +&
set pfs group+
match address $&$
C
interface Loopbac%&
ip address $45.$6.*.$ 5++.5++.5++.&
C
interface @erial$&
ip address $75.$6(.5*.* 5++.5++.5++.&
serial restart0dela> &
no dce0terminal0timing0enable
cr>pto map =<.<$
C
router eigrp $
networ% $45.$6.&.&
networ% $75.$6(.5*.&
no auto0summar>
C
ip classless
no ip http ser?er
no ip http secure0ser?er
C
logging alarm informational
access0list $&$ permit ip $45.$6.*.& &.&.&.5++ $45.$6.$.& &.&.&.5++
C
control0plane
C
gate%eeper
shutdown
C
line con &
stopbits $
line auD &
line ?t> & A
C
end