VPN Site to Site - Cisco PIX

VPN Site to Site

Primera parte:

Fase1: Determinar la Politica IKE

 

Parametro Fuerte Mas Fuerte
Encripcion DES 3DES, AES
Hash MD5 SHA-1
Autentucacion Pre Shared Key RSA Sign
Intercambio de Claves Diffie Hellman Grupo 1 Diffie Hellman Grupos 2, 5, 7
Lifetime – SA (Security Association) 86400 segundos Menos de 86400 segundos

Fase2: Determinar la Politica IPSec

 

Politica Site 1 Site 2
Transform Set ESP – DES, Tunnel ESP – DES, Tunnel
Pares ASA A ASA B
Direccionamiento 192.168.2.2 192.168.1.2
Red Protegida 10.10.10.11 10.0.0.11
Paquetes a encriptar IP IP
Establicimieno SA IPSec-ISAKMP IPSec-ISAKMP

 

Paso 2: Configurar IKE

Habilitar IKE sobre las interfaces a utilizar:

Código:
firewall(config)# isakmp enable outside

Configurar la politica IKE Fase1:

Código:
firewall(config)# isakmp policy 10 encription des
 firewall(config)# isakmp policy 10 hash sha
 firewall(config)# isakmp policy 10 authentication pre-share
 firewall(config)# isakmp policy 10 group 1
 firewall(config)# isakmp policy 10 lifetime 86400

Los parametros de una politica deben ser creados segun el numero de prioridad.

Para crear un administrar una conexion VPN se necesita usar el comando tunnel-group 

tunnel-group nombre_tunnel type tipo
 

Código:
firewall(config)# tunnel-group my_tunnel type ipsec-l2l

Presenta los siguiente subcomandos:

  • tunnel-group general-attributes
  • tunnel-group ipsec-attributes

El submodo de configuracion general-attributes se usa para configurar parametros comunes a todos los protocolos de tunneling y presenta los siguientes subcomandos:

  • accounting-server-group
  • address-pool
  • authentication-server-group
  • authorization-server-group
  • default-group-policy
  • dhcp-server
  • strip-group
  • strip-realm

tunnel-group nombre_tunnel general-attributes
 

Código:
firewall(config)# tunnel-group my_tunnel general-attributes
 firewall(config-general)#

El submodo de configuracion ipsec-attributes se usa para configurar parametros que son especificos de IPSec y presenta los siguientes subcomandos:

  • authorization-dn-attributes
  • authorization-required
  • chain
  • client-update
  • isakmp keepalive
  • peer-id-validate
  • pre-shared-key
  • radius-with-expiry
  • trust-point

tunnel-group nombre_tunnel ipsec-attributes
 

Código:
firewall(config)# tunnel-group my_tunnel ipsec-attributes
 firewall(config-ipsec)#

Topologia:

Configurar un tunnel-group:
Definir el tipo de conexion a establecer:

Código:
firewallA(config)# tunnel-group 192.168.6.2 type ipse-l2l

Configurar los atributos:

Código:
firewallA(config)# tunnel-group 192.168.6.2 ipsec-attributes
 firewallA(config)# pre-shared-key password

Para verificar la coinfiguracion de la politica de utiliza el comando show

Código:
firewallA(config)# show run crypto isakmp
 isamp identity address
 isakmp enable outside
 isakmp policy 10 authentication pre-share
 isakmp policy 10 encryption 3des
 isakmp policy 10 hash sha
 isakmp policy 10 group 2
 isakmp policy 10 lifetime 86400
Paso 3: Configurar IPSec
 
Para configurar el trafico intresante se utilizan ACLs permitiendo el trafico entre redes internas en cada peer.
El trafico que aplique con el permit de la ACL sera el trafico encriptado.
(Permitir en el firewallA el trafico hacia el B y desde el firewaalB hacia el A)
 
Código:
firewallA(config)# access-list 101 permit ip 10.0.1.10 255.255.255.0 10.0.6.0 255.255.255.0
 
En el mismo NAT se matchea el trafico interesante con la ACL con NAT 0 jsutamente para que no se nateen los paquetes.
 
Código:
firewallA(config)#  nat (inside) 0 access-list 101
 
 
Configurar un Transform Set:
El modo por default es tunnel
 
crypto ipsec transform-set nombre_transform-set transform1 [transform2]
 
Código:
firewallA(config)# crypto ipsec transform-set firewallB esp-des es—md5-hmac
 
Los transform sets disponibles son:
esp-des DES 56bits
esp-3des 3DES 168bits
esp-aes AES-128
esp-aes-192 AES-192
esp-aes-256 AES-256
esp-md5-hmac HMAC-MD5 Auth
esp-sha-hmac HMAC-SHA Auth
esp-none Sin autenticacion
esp-null Sin encripcion
 
Configurar CryptoMap
 
Código:
firewallA(config)# crypto map my_map 10 match address 101
firewallA(config)# crypto map my_map 10 set peer 192.168.6.2 firewallA(config)# crypto map my_map 10 set transform-set firewallB firewallA(config)# crypto map my_map 10 set security-association lifetime seconds 86400

 

Aplicar el crypto a una interdace y activarlo:
Código:
firewallA(config)# crypto map my_map interface outside
 
 
Comandos de verificacion:
 
Código:
firewallA(config)# show run access-list
firewallA(config)# show run isakmp firewallA(config)# sh run tunnel-group firewallA(config)# show run ipsec firewallA(config)# show run crypto map firewallA(config)# debug crypto ipsec firewallA(config)# debug crypto isakmp

 

Borrar las SA
Código:
firewallA(config)# clear crypto ipsec sa
firewallA(config)# clear crypto isakmp sa

 

Conceptos Basicos VPN

Tags: 

Predefined Sections

Seccion Cisco   Seccion Linux   Seccion Microsoft   Seccion Redes   Seccion Seguridad   Seccion General