domingo, 24 de julio de 2016

Conexión VPN IPsec entre ASAs con direccionamiento IP dinamico y estatico

Una Red Privada Virtual (VPN) es una tecnología de redes que cumple con la finalidad de permitir acceso a una red LAN (Local Área Network) desde Internet de forma segura. Las organizaciones utilizan esta tecnología para permitir el acceso remoto de tus trabajadores a la red interna de la organización desde cualquier parte del mundo, a esto último se le conoce como teletrabajo. Existen varios tipos de tecnologías VPN, sin embargo haremos referencia a las IPsec VPN.

La tecnología VPN ofrece la siguiente protección para el tráfico:
  • Confidencialidad: Utiliza el encriptamiento de trafico para asegurar que nadie tenga acceso al contenido de la información transmitida.
  • Integridad: Se asegura de que la información no sea modificada durante su tránsito.
  • Autenticación: Gracias a un intercambio de contraseñas, previamente conocidas por ambos miembros de la conversación, la tecnología se asegura de que los participantes de la conversación sean quienes dicen ser.
Para prestar los servicios anteriormente mencionados, IPsec utiliza una serie de protocolos, uno de ellos es el Internet Key Exchange (IKE), el cual tiene la función de realizar el encriptamiento entre los miembros autenticados de la conversación usando llaves de encriptamiento y establecer el túnel IPsec. Otro protocolo que utiliza IPsec es el Authentication Header (AH) Protocol o el Encapsulating Security Payload (ESP) Protocol, ambos AH y ESP ofrecen servicios de autenticación e integridad, los cuales se aseguran de que los miembros de la conversación IPsec sean quienes dicen ser y de que los datos no sean modificados durante su transmisión. 

El túnel IPsec VPN se establece en dos fases, estas son:
  • Fase 1: Durante esta fase los miembros de la conversación intercambian parámetros para establecer la sesión de comunicación segura. Este grupo de parámetros es llamada Asociación de Seguridad (SA)
  • Fase 2: Ocurre dentro de la protección de un túnel IKE de fase 1, y establece el tunel IKE de fase 2 o también llamado túnel IPsec. 

IMAGEN 1: CONEXIÓN VPN IPsec


Los pasos para el establecimiento de una VPN IPsec son los siguientes:
  1. El PC-1 envía trafico destinado a la PC-2, el ASA-1 analiza el tráfico e inicia el proceso de creación del túnel.
  2. Ambos ASAs negocian una Asociación de Seguridad (SA) utilizada para formar un túnel IKE de fase 1, también conocido como ISAKMP.
  3. Dentro de la protección del túnel IKE de fase 1, se negocia y activa un túnel IPsec IKE de fase 2, también conocido como túnel IPsec.
  4. Después de que el túnel IPSec haya sido establecido, el trafico analizado fluye a través de este.
  5. Tras pasar un determinado tiempo sin recibir tráfico a cursar por el túnel establecido, el túnel se desvanece.

Este laboratorio fue desarrollado con dispositivos ASA 5505, la topología utilizada fue la siguiente:

IMAGEN 2: TOPOLOGÍA USADA PARA EL LABORATORIO VPN


Configuraciones:


- ASA-1 -
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 11.11.11.2 255.255.255.0
!
!
interface Ethernet0/0
 switchport access vlan 2
!
!
interface Ethernet0/7
!
!
access-list 100 extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
!
global (outside) 1 interface
nat (inside) 0 access-list 100
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 11.11.11.1 1
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map cisco 1 set transform-set myset
crypto map dyn-map 20 ipsec-isakmp dynamic cisco
crypto map dyn-map interface outside
!
crypto isakmp enable outside
crypto isakmp policy 20
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 3600
!
end


- ASA-2 -
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address dhcp
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/7
!
access-list 101 extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
!
global (outside) 1 interface
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 10.10.10.1 1
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto map newmap 10 match address 101
crypto map newmap 10 set peer 11.11.11.2
crypto map newmap 10 set transform-set myset
crypto map newmap interface outside
!
crypto isakmp enable outside
crypto isakmp key **** address 11.11.11.2 netmask 255.255.255.255
crypto isakmp policy 10
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 3600
!
end

Es importante destacar que las configuraciones realizadas en el ASA-2 (IP dinámica) corresponde a la configuración regular de un Firewall para una VPN IPsec Site-to-Site. El cambio en las configuraciones ocurre en el Firewall principal (ASA-1) el cual utiliza un cryptomap dinámico, esto influye en el sentido en el que se genera el túnel; utilizando esta configuración, el túnel solo podrá ser creado cuando se origine tráfico desde el host remoto (ASA-2) hasta el host principal (ASA-1), y una vez establecido el túnel IPsec, se permitirá el trafico bidireccional de la información.

Espero que esta información te sirva de ayuda para solventar problemas en conexiones VPN con direccionamiento IP dinámico.

¡Éxitos!

Referencias: 
  • CCNA Security Official Exam Certification Gruide, cisco press, 2008
  • http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/63876-pix-dyntostat-ipsec-nat.html
  • http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118652-configure-asa-00.html
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)