Alta Disponiblidad en VPN

Curso Selectivo Perfil Seguridad

 Alta disponiblidad en VPN: DMVPN

TEMA 5

 Alta disponibilidad en redes VPN: DMVPN ♦

Introducción

♦

Escenario en una red VPN

♦

Escenario en una red DMVPN

♦

El tráfico de difusión sobre túneles IPSEC

♦

El protocolo de túnel GRE

♦

Redes NBMA y NHRP

♦

El Protocolo de enrutamiento EIGRP

♦

Los protocolos VRRP y HSRP

♦

Las redes DMVPN

♦

Ejemplo de configuración DMVPN

Introducción

♦

 Ventajas en VPN  –  –  –  –  –  –

♦

Cuotas de acceso mucho menores que en líneas dedicadas Independencia del proveedor de acceso Independencia de la distancia Mayor ancho de banda al mínimo coste Servicio de conectividad a Internet nativo Independencia de la interfaz de acceso (ADSL,UMTS,Cable,LMDS…)

Inconvenientes  – Costes iniciales mayores debido a la infraestructura requerida  – Requiere mayores conocimientos que en conexiones dedicadas • Seguridad • Protocolos

 – Enrutadores con mayor capacidad de proceso  – Nivel de fiabilidad menor que en líneas dedicadas  – Mayor latencia y ‘jitter’ (variación del retardo)

Escenario tipo de una Red VPN  t a  s o p o r  d c a s t  o  n  c  I p s e  c a s t/ B r o a  i  M u l t

 s o  c c e  a  d e  l   l  l o   F a

IPSec

 a  l  c  i  p   n   i   p  r  e s o  c  c  a  e  l  o d   l   l   F a

FW,IDS,Auth.Proxy Www,https... IPSec

Internet Www,https... Www,https... FW,IDS,Auth.Proxy Www,https...

IPSec

Www,https...

Www,https...

IPSec

IPSec

FW,IDS,Auth.Proxy

Cliente IPSec+FW centralizado

Cliente IPSec+FW centralizado

Escenario tipo de una Red DMVPN

Tráfico de difusión sobre SA IPSEC ♦

Las SA de IPSEC, no soportan tráfico de difusión. IKE solo negociará SA con patrones basados en máscaras. crypto ipsec transform-set AppBTZ esp-des esp-md5-hmac crypto ipsec transform-set DefBTZ ah-md5-hmac ! crypto map MapGtt 10 ipsec-isakmp set peer 195.157.45.238 set transform-set AppBTZ match address 102 crypto map MapGtt 20 ipsec-isakmp set peer 195.157.45.238 set transform-set DefBTZ match address 107 ! access-list 102 permit tcp 10.30.24.0 0.0.0.255 10.26.8.0 0.0.0.255 range 200 500 access-list 107 permit ip 10.30.24.0 0.0.0.255 10.26.8.0 0.0.0.255 Esta configuración debe ser simétrica en el otro extremo.

♦

No se permiten ACL como: access-list 107 permit ip 10.0.0.0 0.255.255.255 10.30.255.255 0.0.0.0 o access-list 107 permit ip 10.0.0.0 0.255.255.255 host 224.0.0.10

El Protocolo de túnel GRE ♦ ♦ ♦

Utilizado en VPN,DMVPN, PPTP En IOS se implementa mediante interfaces Tunnel Conexiones ‘peer-to-peer’  interface Tunnel0 ip unnumbered Ethernet0/0 tunnel source ATM0.1 tunnel mode gre tunnel destination 192.168.34.0 y tunnel destination 192.168.23.0

♦

Conexiones multipunto o mGre interface Tunnel0 tunnel source ATM0.1 tunnel mode gre multipoint tunnel key 12213

El Protocolo de túnel GRE GRE RFC 2784 ♦

Encapsulación  –

•

 –

Indica la existencia de comprobación de  ‘checksum’ 

Checksum

Reservado

Un 1 en este campo indica la activación de comprobación del número de secuencia

Versión

 –

Protocol Type

• •

Debe contener el valor 0 Define el tipo de protocolo transportado. Los tipos soportados se encuentran definidos en la RFC1700

GRE RFC 2890

C

Reservado

Ver

Protocol Type

Checksum •

Contiene el complemento a 1 de la cabecera GRE y sus datos, siempre que el bit C esté activado Es un número de 16 bytes destinado a identificar un flujo GRE dentro del túnel

Sequence Number •

Checksum

Reservado

Key Key

Key •

 –

Protocol Type

Si está a 1, indica la presencia del campo  ‘clave’ o Key

 –

 –

Ver

BIT S •

 –

Reservado

BIT K  •

 –

C

BIT C

Si el bit S se encuentra a 1, GRE proporciona un servicio de reordenación de paquetes no fiable.

Sequence Number 

El protocolo de túnel GRE Punto-Punto ♦

interface Tunnel0  –  –  –  –

♦

interface Tunnel0  –  –  –  –

Ip address 10.0.0.1 255.0.0.0 Tunnel source Dialer1 Tunnel destination 172.16.0.3 Tunnel key 1234

interface Tunnel0  –  –  –  –

♦

Multipunto

♦

Ip address 10.0.0.2 255.0.0.0 Tunnel source Dialer1 Tunnel destination 172.16.0.2 Tunnel key 1234

interface Tunnel0  –  –  –  –

Ip address 10.0.0.1 255.0.0.0 Tunnel source Dialer1 Tunnel mode gre multipoint Tunnel key 1234

Ip address 10.0.0.2 255.0.0.0 Tunnel source Dialer1 Tunnel mode gre multipoint Tunnel key 1234

m G R E M u ltipu n to

G R E P u n to a P u nto R1

R1

T u n n el0

T u n n el2

Tunnel0 Tunnel1 T u nn e l0

T u n n e l0 Tunnel0

R3

R2

R2

R3

Tunnel0 Tunnel0

Tunnel0

R4 R4

El protocolo de túnel GRE

♦

Encapsulación del transporte

Redes NBMA ♦

Una red NBMA es un concepto opuesto a una red ‘Broadcast’

♦

En una red ‘Broadcast’, múltiples dispositivos se encuentran conectados al mismo medio físico. Cuando uno de ellos transmite, todos los demás le escuchan, pero solo contesta aquel a quien va dirigida la trama.

♦

En una red NBMA, todos los dispositivos se encuentran conectados, pero los datos son transmitidos desde un dispositivo a otro a través de un circuito virtual.

♦

Ejemplos comunes de redes NBMA son ATM, Frame-Relay y X.25

♦

NHRP es un protocolo utilizado para determinar la asociación entre la subred NBMA y la dirección pública de inter-red utilizada.  –  –

La RFC 2332 define este protocolo. Dentro de una red DMVPN, NHRP sería el encargado de relacionar la dirección de la red remota y la dirección IP pública para alcanzarla.

El protocolo EIGRP ♦

♦

♦

♦

Evolución del protocolo IGRP desarrollado por Cisco en 1986 con la intención de subsanar las deficiencias de RIP. La primera versión de EIGRP aparece en 1990, con el objetivo de proporcionar mejor escalabilidad y tiempos de convergencia. EIGRP es un protocolo de vector de distancia con características de  ‘estado de enlace’. Trata de reunir lo mejor de cada tipo. Su uso ha sido tanto en entornos ‘IGP’ como ‘EGP’.

♦

El algoritmo DUAL, basado en investigaciones de ‘SRI International’, es el encargado de obtener convergencias libres de bucles con tiempos muy reducidos.

♦

EIGRP, dispone de 4 componentes:  –  –  –  –

Módulos dependientes del protocolo (IP, IPX…) Descubrimiento y recuperación de vecinos Protocolo de transporte de rutas fiable (RTP) Algoritmo DUAL (Diffusing Update Algorithm)

El protocolo EIGRP ♦

Módulos dependientes del protocolo  – EIGRP utiliza diferentes módulos que de forma independiente soportan IP, IPX y AppleTalk.

♦

Descubrimiento y Recuperación de Vecinos  – EIGRP descubre y mantiene información de sus vecinos, enviando cada 5 segundos paquetes ‘HELLO’, mediante la dirección de multicast 224.0.0.10  – Si el ‘router’ no recibe un paquete ‘HELLO’ en 15 segundos (3 actualizaciones), elimina a su vecino de la tabla.

♦

RTP  – Para manejar paquetes EIGRP se utiliza un protocolo fiable: RTP.  – RTP asegura la entrega de las actualizaciones de rutas y además utiliza números de secuencia para asegurar una entrega ordenada.  – Envía paquetes a la dirección de ‘multicast’ 224.0.0.10. Contesta por  ‘unicast’ utilizando paquetes ‘HELLO’ sin datos

♦

DUAL  – EIGRP implementa DUAL para seleccionar caminos y garantizar ausencia de bucles. Este algoritmo desarrollado por JJ Garcia Luna-Aceves, fué comprobado matemáticamente para demostrar su ausencia de bucles. Tampoco necesita incorporar mecanismos de congelación de rutas y actualizaciones periódicas, lo cual ralentizaría los tiempos de convergencia.

El protocolo EIGRP ♦

DUAL  – DUAL selecciona siempre para cada destino el mejor camino(succesor) y una segunda alternativa, denominada ‘feasible succesor’.  – En caso de fallo en del sucesor en curso, automáticamente sería seleccionado el ‘feasible succesor’ 

♦

Temporizadores  – EIGRP actualiza rutas únicamente cuando es necesario. No existen temporizadores periódicos.  – EIGRP utiliza paquetes ‘HELLO’ cada 5 segundos para aprender información de sus vecinos

♦

Métricas EIGRP  – Las métricas de EIGRP se basan en una expresión que incorpora las siguientes variables: • • • •

Ancho de banda de la interfaz Fiabilidad (Número de veces que ha fallado en un intervalo de tiempo) Carga (Estado de ocupación de la interfaz) Retardo (Delay)

EIGRPmetric={ K1 x BW +[(k2 x BW)/(256-load)]+k3 x Delay} x {k5/(reliability+k4)}

El protocolo EIGRP ♦

Tipos de paquetes EIGRP  –

Hello Descubrimiento/Recuperación de vecinos

 –

Acknowledgement (ack) Paquete HELLO sin datos. Reconoce la recepción de un paquete de actualización

 –

Update Paquete de actualización conteniendo información de rutas. Debe ser confirmados con ‘Ack’ 

 –

Query EIGRP envía paquetes ‘QUERY’ para encontrar sucesores alcanzables (feasible succesor)

 –

Reply EIGRP contesta paquetes ‘REPLAY’ para responder a paquetes ‘QUERY’.

♦

Resumen  –  –  –  –  –  –  –  –  –  –  –

Protocolo híbrido (vector de distancia con características de estado de enlace) Número de protocolo IP 88 Soporta VLSM (Máscaras IP de longitud variable) Métrica por defecto: Ancho de Banda y Retardo (BW + Delay) Se puede incluir la carga y la fiabilidad en la métrica Sólo envía actualizaciones parciales de rutas cuando existen cambios Soporta autenticación Algoritmo DUAL Permite balanceo de carga Protocolo utilizado en la parte ‘core’ de la red. Utilizado en redes grandes

Protocolos VRRP y HSRP

♦

♦

♦

HSRP (Hot Standby Routing Protocol)  – Propietario de Cisco, publicado en la RFC 2281  – Es capaz de compartir una dirección MAC e IP entre un grupo de ‘routers’   – En caso de fallo del enrutador designado como ‘Maestro’, otro del mismo grupo tomará la dirección MAC e IP del grupo proporcionando alta disponibilidad a los ‘host’ o máquinas que utilicen estos valores  VRRP (Virtual Router Redundancy Protocol)  – Estándar IETF definido en la RFC 2338  – Similar a HSRP

IPSTB (IP Standby Protocol)  – Creado por Digital Equipment Corporation  – Similar a HSRP

Las redes DMVPN ♦

 ‘Dynamic Multipoint VPN (DMPVN) es una combinación de los protocolos GRE, NHRP e IPsec

♦

NHRP permite a los interlocuteres disponer de direcciones IP dinámicas (ej. Conmutadas o xDSL) con los túneles GRE/Ipsec

♦

El ‘backbone’ de la red se conforma en topología ‘Hub – Spoke’ 

♦

La parte ‘Hub’ define los enrutadores principales en la Raíz de la red. Los ‘spoke’ son los enrutadores remotos que se conectan a la raíz.

♦

Permite el establecimiento directo de túneles ‘spoke-spoke’ de forma dinámica

Las redes DMVPN ♦ ♦

 A excepción de BGP4, los protocolos de encaminamiento IGP utilizan Multicast IPSEC no permite formar SA con direcciones multicast

♦

Solución:  –

Cabecera IP pública

Tunel GRE, dentro de IPSEC en modo transporte.

IPSEC esp/ah transporte

GRE

Cabecera IP

Datos

Multipunto

Privada

Cifrados

Las redes DMVPN ♦ ♦ ♦ ♦

Topología en malla parcial (Partial Mesh) mGRE Direcciones Privadas 10.1.4.0/24 IPsec NHRP R1

Dirección IP Estática

HUB

Spoke R2

Dirección IP Dinámica

10.1.3.0/24

Direcciones Privadas

Spoke

Dirección IP Dinámica R3

Dirección IP Dinámica 10.1.1.0/24

Direcciones Privadas

R4

Spoke

Direcciones Privadas 10.1.2.0/24

= Túnel Estático

= Túnel Dinámico

mGRE y NHRP ♦

♦ ♦

♦ ♦ ♦

Un paquete es encaminado hacia la interfaz mGRE por su ‘next-hop’ o próximo salto El ‘next-hop’ es la dirección IP de la interfaz túnel del otro extremo mGRE consulta la tabla caché de NHRP, y recupera la dirección NBMA del ‘router’ remoto mGRE encapsula el paquete en una carga IP/GRE La nueva dirección destino del paquete será la dirección NBMA El tráfico Multicast será enviado únicamente hacia interlocutores remotos identificados en la configuración NHRP

Establecimiento del Túnel DMVPN

Ejemplo práctico 2:

Router Oficina secundaria IPSEC+GRE

Router Oficina Principal

♦

♦

♦

♦

♦

♦

♦ ♦ ♦

2 Proveedores de acceso en la raíz Conexiones remotas cruzadas  Accesos remotos  ADSL/LMDS y ‘backup’ RDSI  ‘Backup’ RDSI con franja horaria (time-range)  ‘Router’ de calidad de servicio Firewall redundante con 5 DMZ Servidor Raius DHCP centralizado Tráfico masivo encaminado por el túnel secundario

1

   )    P    R    I  G    E   (     I    D  S    R

rZona

0

rStub

Internet IPSEC+GRE

TELEFONICA DATA (Frame-Relay)

BROADNET (LMDS)

IPSEC+GRE

IPSEC+GRE IPSEC+GRE

LAN ISP R  A  S   (  R   T  C   - R   D  S   I    ) 

Serv. IPSEC LAN 1 VPN3005

rAlicante

rBackUp 1 0

CISCOSYSTEMS

1

0

Router Backup DMVPN

Concentrador VPN  Accesos conmutados

 )  R D S I  p (   B a c k u  LA N

{Lan Backup}

Pri1 Pri0

{IPSEC}

Router principal RDSI, DMVPN

{Usuarios VPN conmutados}

{Acceso Corporativo Inet} {Servicios Inet} {RAS}

LAN QoS rQoS 1

0

Firewall Redundante

Router de Calidad de Servicio QoS rPix

2

3

4

5

1

0

Serv BBDD

d i gi t a l

DMZ Serv RADIUS

Desarrollo

Serv SSL

Servidores

di gi tal

di gi t al

Referencias

♦

Cisco Warp: Configuring Dynamic Multipoint VPN Using GRE Over IPSec With EIGRP, NAT, and CBAC  – http://www.cisco.com/warp/public/707/dmvpn-gre-eigrp.html

♦ ♦

♦

GRE RFC 2784, RFC 2890 Ciscopress.com CCDA Cert. Guide Cisco: Dynamic Multipoint IPsec VPNs (Using Multipoint GRE/NHRP to Scale IPsec VPNs)  – http://www.cisco.com/en/US/tech/tk583/tk372/technologies_white_pap er09186a008018983e.shtml

Curso Selectivo Perfil Seguridad

FIN Tema 5