Conexión VPN IPsec entre ASAs con direccionamiento IP dinamico y estatico

Una Red Privada Virtual (VPN) es una tecnología de redes que cumple con la finalidad de permitir acceso a una red LAN (Local Área Network) desde Internet de forma segura. Las organizaciones utilizan esta tecnología para permitir el acceso remoto de tus trabajadores a la red interna de la organización desde cualquier parte del mundo, a esto último se le conoce como teletrabajo. Existen varios tipos de tecnologías VPN, sin embargo haremos referencia a las IPsec VPN.

La tecnología VPN ofrece la siguiente protección para el tráfico:

• Confidencialidad: Utiliza el encriptamiento de trafico para asegurar que nadie tenga acceso al contenido de la información transmitida.
• Integridad: Se asegura de que la información no sea modificada durante su tránsito.
• Autenticación: Gracias a un intercambio de contraseñas, previamente conocidas por ambos miembros de la conversación, la tecnología se asegura de que los participantes de la conversación sean quienes dicen ser.

Para prestar los servicios anteriormente mencionados, IPsec utiliza una serie de protocolos, uno de ellos es el Internet Key Exchange (IKE), el cual tiene la función de realizar el encriptamiento entre los miembros autenticados de la conversación usando llaves de encriptamiento y establecer el túnel IPsec. Otro protocolo que utiliza IPsec es el Authentication Header (AH) Protocol o el Encapsulating Security Payload (ESP) Protocol, ambos AH y ESP ofrecen servicios de autenticación e integridad, los cuales se aseguran de que los miembros de la conversación IPsec sean quienes dicen ser y de que los datos no sean modificados durante su transmisión. 

El túnel IPsec VPN se establece en dos fases, estas son:

• Fase 1: Durante esta fase los miembros de la conversación intercambian parámetros para establecer la sesión de comunicación segura. Este grupo de parámetros es llamada Asociación de Seguridad (SA)
• Fase 2: Ocurre dentro de la protección de un túnel IKE de fase 1, y establece el tunel IKE de fase 2 o también llamado túnel IPsec. 

IMAGEN 1: CONEXIÓN VPN IPsec

Los pasos para el establecimiento de una VPN IPsec son los siguientes:

1. El PC-1 envía trafico destinado a la PC-2, el ASA-1 analiza el tráfico e inicia el proceso de creación del túnel.
2. Ambos ASAs negocian una Asociación de Seguridad (SA) utilizada para formar un túnel IKE de fase 1, también conocido como ISAKMP.
3. Dentro de la protección del túnel IKE de fase 1, se negocia y activa un túnel IPsec IKE de fase 2, también conocido como túnel IPsec.
4. Después de que el túnel IPSec haya sido establecido, el trafico analizado fluye a través de este.
5. Tras pasar un determinado tiempo sin recibir tráfico a cursar por el túnel establecido, el túnel se desvanece.

Este laboratorio fue desarrollado con dispositivos ASA 5505, la topología utilizada fue la siguiente:

IMAGEN 2: TOPOLOGÍA USADA PARA EL LABORATORIO VPN

Configuraciones:

- ASA-1 -

!

interface Vlan1

 nameif inside

 security-level 100

 ip address 192.168.1.1 255.255.255.0

!

interface Vlan2

 nameif outside

 security-level 0

 ip address 11.11.11.2 255.255.255.0

!

!

interface Ethernet0/0

 switchport access vlan 2

!

!

interface Ethernet0/7

!

!

access-list 100 extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

!

global (outside) 1 interface

nat (inside) 0 access-list 100

nat (inside) 1 0.0.0.0 0.0.0.0

route outside 0.0.0.0 0.0.0.0 11.11.11.1 1

!

!

crypto ipsec transform-set myset esp-des esp-md5-hmac

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

crypto dynamic-map cisco 1 set transform-set myset

crypto map dyn-map 20 ipsec-isakmp dynamic cisco

crypto map dyn-map interface outside

!

crypto isakmp enable outside

crypto isakmp policy 20

 authentication pre-share

 encryption des

 hash md5

 group 2

 lifetime 3600

!

end

- ASA-2 -

!

interface Vlan1

 nameif inside

 security-level 100

 ip address 192.168.2.1 255.255.255.0

!

interface Vlan2

 nameif outside

 security-level 0

 ip address dhcp

!

interface Ethernet0/0

 switchport access vlan 2

!

interface Ethernet0/7

!

access-list 101 extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

!

global (outside) 1 interface

nat (inside) 0 access-list 101

nat (inside) 1 0.0.0.0 0.0.0.0

route outside 0.0.0.0 0.0.0.0 10.10.10.1 1

!

crypto ipsec transform-set myset esp-des esp-md5-hmac

crypto map newmap 10 match address 101

crypto map newmap 10 set peer 11.11.11.2

crypto map newmap 10 set transform-set myset

crypto map newmap interface outside

!

crypto isakmp enable outside

crypto isakmp key **** address 11.11.11.2 netmask 255.255.255.255

crypto isakmp policy 10

 authentication pre-share

 encryption des

 hash md5

 group 2

 lifetime 3600

!

end

Es importante destacar que las configuraciones realizadas en el ASA-2 (IP dinámica) corresponde a la configuración regular de un Firewall para una VPN IPsec Site-to-Site. El cambio en las configuraciones ocurre en el Firewall principal (ASA-1) el cual utiliza un cryptomap dinámico, esto influye en el sentido en el que se genera el túnel; utilizando esta configuración, el túnel solo podrá ser creado cuando se origine tráfico desde el host remoto (ASA-2) hasta el host principal (ASA-1), y una vez establecido el túnel IPsec, se permitirá el trafico bidireccional de la información.

Espero que esta información te sirva de ayuda para solventar problemas en conexiones VPN con direccionamiento IP dinámico.

¡Éxitos!

Referencias: 

• CCNA Security Official Exam Certification Gruide, cisco press, 2008
• http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/63876-pix-dyntostat-ipsec-nat.html
• http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118652-configure-asa-00.html

Usando ARP Poisoning para capturar trafico en la red

El ARP Poisoning consiste en envenenar las tablas MAC de un host de la red con el objetivo de engañarlo y capturar trafico generado por este. Es importante destacar que, generalmente, este tipo de metodologías de trabajo son adoptadas por "Crackers" o "Black hat hackers" para robar información en la red. Sin embargo, en este blog hacemos énfasis en que esta información sea utilizada para brindar seguridad a las organizaciones y realizar labores de auditoria de trafico de red.

Para este laboratorio de prueba de ARP Poisoning, contamos con los programas:

• Cain&Abel
• Wireshark
• VMware

Asimismo, la topologia de trabajo para este laboratorio es la siguiente:

IMAGEN 1: Topologia de red utilizada

En este laboratorio hacemos uso de VMware para virtualizar las PCs con Windows XP y 7. El objetivo principal es poder utilizar la PC Windows 7 para envenenar las tablar ARP de las PCs con Windows 10 y XP, de tal forma que podamos capturar el trafico de red que intercambian por medio del programa Wireshark.

A continuación se presentan la información de red de las PCs:

IMAGEN 2: Ipconfig/all en PC Windows 10

IMAGEN 3: Ipconfig/all en PC Windows XP

IMAGEN 4: Ipconfig/all en PC Windows 7

Como se puede apreciar en las imágenes 2, 3 y 4, todas las PCs están dentro del mismo segmento de red 192.168.115.0/24.

A continuación se presentan las tablas ARP de la PC de Windws 10, antes de iniciar el proceso de envenenamiento, la cual sera la victima en este laboratorio:

IMAGEN 5: Arp -a en PC Windows 10 antes del envenenamiento

Seguidamente nos dirigimos a la PC Windows 7 e inicializamos nuestro programa Cain&Abel. La configuración del programa para realizar este ataque es bastante sencilla, se debe iniciar el Sniffer del programa para luego proceder a la selección de hosts a atacar, para realizar esto se deben seguir los siguientes pasos:

1. Hacemos click en el botón que tiene forma de una interfaz de red y seleccionar la interfaz donde realizaremos el ataque.
2. Click ok para activar el sniffer
3. Ubicados en la pestaña Sniffer, hacemos click en el botón (+) para generar una tabla con los hosts encontrados
4. Hacemos click en la pestaña ARP, la cual está ubicada en el fondo de la pantalla
5. En esta nueva ventana, hacemos click en el botón (+) para que aparezca una ventana de selección de hosts.
6. Del lado izquierdo, veremos los hosts de la red, hacemos click en el host que quieras espiar (PC Windows 10 - 192.168.115.100). Una vez realizado esto, en la lista del lado derecho, aparecerá la lista de hosts de la red sin el host que seleccionamos.
7. En la lista de lado derecho, seleccionamos la IP de host de destino (PC Windows XP - 192.168.115.50) y presionamos OK.
8. Para finalizar el proceso, debemos hacer click en el botón de símbolo nuclear en la barra de herramientas. Esto activará la función de ARP Poisoning del programa.

Es importante destacar que este tipo de acciones corresponden a un ataque de "Hombre en el Medio" o MITM "Man In The Middle" por lo que este tipo de practicas se recomiendan para casos relacionados con seguridad de la información o auditoria de sistemas, y no se apoya el uso de estos conocimientos para fines antiéticos.

IMAGEN 6: Cain&Abel en proceso de envenenamiento ARP

Una vez realizado el proceso anterior, la PC Windows 7, recibirá todo el trafico que curse entre las PCs con Windows XP y Windows 10, gracias al envenenamiento ARP. Por lo que se procede a utilizar el programa Wireshark para capturar el trafico de la red. En la siguiente imagen podemos apreciar un extracto de la captura de trafico ICMP (Ping).

IMAGEN 7: Captura de trafico ICMP entre PCs Windows XP y 10 en PC atacante

Finalmente, se presenta la tabla ARP en la PC Windows 10 envenenada, observe que ahora las direcciones IP 192.168.115.50 (PC con Windows XP) y 192.168.115.130 (PC con Windows 7) ahora poseen la misma dirección MAC (00-0c-29-f1-4f-71).

IMAGEN 8: Arp -a en PC Windows 10 después del envenenamiento

Espero que esta información pueda serte útil

¡Éxitos!

Referencia: Practical Packet Analysis: Using wireshark to solve real-world network problems - Chris Sanders, 2007.

¿Que es una EDT?

En la actualidad la gerencia de proyectos es considerada como una de las áreas de conocimientos imprescindibles para la próxima década.

Es por esto que es imprescindible que todos los lideres dentro de las organizaciones conozcan las bases de los conceptos de esta carrera. Uno de ellos es la Estructura de Desglose del Trabajo o "EDT" la cual invierte tiempo para generar control y eficacia en el trabajo por venir.

A continuación una breve explicación de este importante proceso de la gestión de proyectos:

Según el PMBOK (Project Management Book of Knowledge) en su 4ta edición, "es un proceso que consiste en subdividir los entregables y el trabajo de un proyecto en componentes mas pequeños y mas fáciles de dirigir".

Es decir, una vez que hayamos definido cual es el objetivo del proyecto, debemos desglosarlos en paquetes de trabajos mas pequeños, esto con el objetivo de controlar mejor el trabajo y reducir el nivel de incertidumbre.

IMAGEN 1: Entradas, herramientas y salidas del proceso de elaboración de la EDT

La imagen 1 presenta la descripción del proceso de una EDT; es importante destacar que las entradas del proceso, corresponden al alcance del proyecto, la documentación de los requerimientos del proyecto y los activos de la organización. Al analizar estos componentes y desglosarlos, se obtiene obtener: 1) La EDT, 2) El diccionario de la EDT, 3) La linea base del alcance y 4) Actualizaciones en la documentación del proyecto.

Es importante destacar que cuando se indica desglosar el trabajo, se hace referencia a los productos o entregables del proyecto, los cuales son resultado del esfuerzo realizado, y no son el esfuerzo en si mismo. Es decir, la EDT no esta compuesta por las actividades del proyecto per se, sino por los entregables generados por dichas actividades.

A continuación un ejemplo de una EDT

IMAGEN 2: Ejemplo de una EDT

Se observa en el ejemplo anterior como el proyecto puede ser dividido en fases, entregables, o incluso subproyectos; donde posteriormente este nivel se subdivide en los entregables generados en dichas fases, el proceso puede continuar hasta finalmente llegar al nivel de "los paquetes de trabajo" los cuales se refieren al entregable de la actividad.

A continuación otro ejemplo de una EDT, considerando la creación de un software:

IMAGEN 3: Ejemplo de una EDT por fases

Es importante destacar que toda EDT debe estar acompañada por un diccionario, la cual explica el alcance de cada fase, entregable y paquete de trabajo ubicado en la EDT (ver imagen 2 y 3).

Para concluir, este tema es apasionante y extenso, existe mucha literatura al respecto pero el PMBOK es un buen punto de comienzo para todos aquellos interesados en la gerencia de proyectos. Adicionalmente, para el momento de escritura, la certificación de PMP es una de las certificaciones (no técnicas) mejor pagadas del mundo, esto resalta la importancia de dominar los conceptos y estrategias de la carrera de gerencia de proyectos.

Espero que esta breve introducción te sea de ayuda en tu día a día

¡Éxitos!

Referencia: PMBOK 4ta edición, 2008.