Seguridad en las conexiones sitio a sitio.Descripción completa
8.4.1.3 Lab -Configure Site-To-Site VPN Using CLI instructor version
lab ciscoFull description
SOP for Connecting to BTS Site Manager on Site
SITELESS - 1001 Building forms
ReferenceDescription complète
site analysis
Site Instruction
ReferenceDescripción completa
qcFull description
Full description
qcDescription complète
hbhjbnjmFull description
SITELESS - 1001 Building formsFull description
site planeFull description
SITELESS - 1001 Building formsDescrição completa
site
architectureFull description
emergency response planDeskripsi lengkap
telecom
MPKFull description
Evaluation of public-facing websites for analyst firms.
UNIVERSIDAD INCA GARCILASO DE LA VEGA FACULTAD DE INGENIERIA DE SISTEMAS COMPUTO Y TELECOMUNICACIONES Apellidos y Nombres: !!
Impleme"#$%i&" VPN Si#e #o Si#e En la topología mostrada configuremos VPN Site to Site usando CLI sobre 2 routers 1721 con advancesecurit I!S" Separemos por etapas la configuraci#n$ 1"% La configuraci#n &abitual de enrutamiento con EI'(P )S * 1+1
Sobre eigrp e,ecutar no auto%summar- para visuali.ar las subredes con tracert" 2"% /abilitar las opciones de encriptaci#n para generar el t0nel VPN" Implementar los parmetros de i"#er%$mbio de Ll$'es de I"#er"e#- IE" Implementar los parmetros de IPsec Verificar 3ue IE es soportado &abilitado" % 4I'V %
I"(! Nes#or )$*#is#$
1
UNIVERSIDAD INCA GARCILASO DE LA VEGA FACULTAD DE INGENIERIA DE SISTEMAS COMPUTO Y TELECOMUNICACIONES Apellidos y Nombres: !!
(56config8crpto isa9mp enable IE define el m:todo de intercambio de llaves usado para pasar validar las políticas entre pares del VPN" En la siguiente fase los pares intercambian validan sus políticas antes creadas- para autenticar encriptar el trfico de datos" 5"% 'enerar la política basado en un identificador 3ue puede ser num:rico$ (56config8crpto isa9mp polic 1+ (56config%isa9mp8 ; "% Crear las reglas de la politica 1+ /abilitamos el intercambio de llaves compartidas" (56config%isa9mp8 aut&entication pre%s&are ?efinimos el algoritmo de encriptaci#n para proteger el tunel (56config%isa9mp8 encrpcion aes 2@A ?efinimos el algoritmo de &as&ing para la transferencia encriptada" (56config%isa9mp8 &as& s&a ?efinimos el grupo @ (56config%isa9mp8 group @ ?efinimos el tiempo de vida para la asociaci#n de seguridad a trav:s de IS)BP" (56config%isa9mp8 lifetime 5A++ Verificamos 3ue las políticas &an sido creadas (58s&o crpto isa9mp polic % 4I'V %
I"(! Nes#or )$*#is#$
2
UNIVERSIDAD INCA GARCILASO DE LA VEGA FACULTAD DE INGENIERIA DE SISTEMAS COMPUTO Y TELECOMUNICACIONES Apellidos y Nombres: !! 'lobal IE polic Protection suite of priorit 1+ encrption algorit&m$ )ES % )dvanced Encrption Standard 62@A bit 9es" &as& algorit&m$ Secure /as& Standard aut&entication met&od$ Pre%S&ared e ?iffie%/ellman group$ 8@ 61@5A bit lifetime$ 5A++ seconds- no volume limit ?efault protection suite encrption algorit&m$ ?ES % ?ata Encrption Standard 6@A bit 9es" &as& algorit&m$ Secure /as& Standard aut&entication met&od$ (ivest%S&amir%)dleman Signature ?iffie%/ellman group$ 81 67AD bit lifetime$ DA>++ seconds- no volume limit
@"% Configurar las llaves compartidas (56config8 crpto isa9mp 9e cisco125 address 1+"1"1"1 A"% Configurar la conversion a IPsec los tiempos de vida" (56config8 crpto ipsec transform%set @+ esp%aes 2@A esp%s&a%&mac ESP es el protocolo de seguridad del encapsulado" Estos parmetros deben coincidir con el otro etremo" Fambi:n podemos definir el tiempo de vida de 5A++ por otro dentro del IPsec para la asociaci#n con el otro etremo del t0nel" (56config8crpto ipsec securit%association lifetime seconds 1D++ 7"% ?efinimos el trfico de inter:s" Para definir esto se &a de crear una )CL 3ue permita el matc&ing- con el trafico 3ue nosotros deseemos 3ue pase por la VPN" (56config8access%list 1+1 permit ip 1G2"1AD"5"+ +"+"+"2@@ 1G2"1AD"1"+ +"+"+"2@@ D"% Crear aplicar el crpto map" Creamos el crpto map en (5 llamado CB)P con un numero 1+ de secuencia- se mostrara un mensa,e de edici#n" (56config8 crpto map CB)P 1+ ipsec%isa9mp H N!FE$ F&is ne crpto map ill remain disabled until a peer and a valid access list &ave been configured"
% 4I'V %
I"(! Nes#or )$*#is#$
3
UNIVERSIDAD INCA GARCILASO DE LA VEGA FACULTAD DE INGENIERIA DE SISTEMAS COMPUTO Y TELECOMUNICACIONES Apellidos y Nombres: !!
4sar el comando matc& address con el n0mero de la )CL- para especificar el trafico de inter:s a encriptar" (56config%crpto%map8matc& address 1+1 Luego establecer la direcci#n del otro etremo del t0nel" (56config%crpto%map8set peer 1+"1"1"1 (56config%crpto%map8set pfs group@ (56config%crpto%map8set transform%set @+ (56config%crpto%map8set securit%association lifetime seconds G++ G"% Lo ultimo seria aplicar el mapa a la interface" Para (5 es Serial 1 (56config8interface serial 1 (56config%if8crpto map CB)P 1+"% Verificamos nuestros resultados Verificar la configuraci#n del IPsec (58s&o crpto ipsec transform%set Fransform set @+$ esp%2@A%aes esp%s&a%&mac J ill negotiate * Funnel- J-
(58s&o crpto map Crpto Bap KCB)PK 1+ ipsec%isa9mp Peer * 1+"1"1"1 Etended IP access list 1+1 access%list 1+1 permit ip 1G2"1AD"5"+ +"+"+"2@@ 1G2"1AD"1"+ +"+"+"2@@ Current peer$ 1+"1"1"1 Securit association lifetime$ >A+D+++ 9ilobtesG++ seconds PMS 6N$ ?/ group$ group@ Fransform sets* @+J Interfaces using crpto map CB)P$ Serial1
Veri+i%$mos l$ Oper$%io" del VPN (58s&o crpto isa9mp sa dst
src
state
conn%id slot status % 4I'V %
I"(! Nes#or )$*#is#$
4
UNIVERSIDAD INCA GARCILASO DE LA VEGA FACULTAD DE INGENIERIA DE SISTEMAS COMPUTO Y TELECOMUNICACIONES Apellidos y Nombres: !! 1+"1"1"1 1+"2"2"1 OBI?LE 1 + )CFIVE
Bostramos la asociaci#n de seguridad IPsec" (58s&o crpto ipsec sa interface$ Serial1 Crpto map tag$ CB)P- local addr 1+"2"2"1 protected vrf$ 6none local ident 6addrmas9protport$ 61G2"1AD"5"+2@@"2@@"2@@"+++ remote ident 6addrmas9protport$ 61G2"1AD"1"+2@@"2@@"2@@"+++ currentpeer 1+"1"1"1 port @++ PE(BIF- flags*originisacl-J 8p9ts encaps$ 7- 8p9ts encrpt$ 7- 8p9ts digest$ 7 8p9ts decaps$ 7- 8p9ts decrpt$ 7- 8p9ts verif$ 7 8p9ts compressed$ +- 8p9ts decompressed$ + 8p9ts not compressed$ +- 8p9ts compr" failed$ + 8p9ts not decompressed$ +- 8p9ts decompress failed$ + 8send errors 5- 8recv errors + local crpto endpt"$ 1+"2"2"1- remote crpto endpt"$ 1+"1"1"1 pat& mtu 1@++- ip mtu 1@++- ip mtu idb Serial1 current outbound spi$ +771GQC+161GGD17@255 inbound esp sas$ spi$ +M1QGM2+)6>+@@>G@17D transform$ esp%2@A%aes esp%s&a%&mac in use settings *Funnel- J conn id$ 2++1- floid$ 1- crpto map$ CB)P sa timing$ remaining 9e lifetime 69sec$ 6>@75@+1771 IV si.e$ 1A btes repla detection support$ Status$ )CFIVE inbound a& sas$ inbound pcp sas$ outbound esp sas$ spi$ +771GQC+161GGD17@255 transform$ esp%2@A%aes esp%s&a%&mac in use settings *Funnel- J conn id$ 2++2- floid$ 2- crpto map$ CB)P sa timing$ remaining 9e lifetime 69sec$ 6>@75@+17>D IV si.e$ 1A btes repla detection support$ Status$ )CFIVE
% 4I'V %
I"(! Nes#or )$*#is#$
5
UNIVERSIDAD INCA GARCILASO DE LA VEGA FACULTAD DE INGENIERIA DE SISTEMAS COMPUTO Y TELECOMUNICACIONES Apellidos y Nombres: !! outbound a& sas$
outbound pcp sas$
11"% )seguramos nuestros routers con SS/ /FFPS" (56config8ip domain%name inictel"gob"pe (56config8crpto 9e generate rsa F&e name for t&e 9es ill be$ (5"inictel"gob"pe C&oose t&e si.e of t&e 9e modulus in t&e range of 5A+ to 2+>D for our 'eneral Purpose es" C&oosing a 9e modulus greater t&an @12 ma ta9e a fe minutes" /o man bits in t&e modulus R@12$ H 'enerating @12 bit (S) 9es- 9es ill be non%eportable"""R! TBar 1 +A$27$1+"AA7$ (S) 9e si.e needs to be atleast 7AD bits for ss& version 2 TBar 1 +A$27$1+"A71$ HSS/%@%EN)QLE?$ SS/ 1"@ &as been enabled
Creamos el usuario administrador /abilitamos SS/ como 0nico protocolo de sesi#n &acia el router" (56config8username admin privilege 1@ passord class (56config8line vt + > (56config%line8transport input ss& (56config%line8login local /abilitamos /FFPS (56config8ip &ttp secure%server H 'enerating 1+2> bit (S) 9es- 9es ill be non%eportable""" TBar 1 +A$5@$17"11@$ HPI%A%)4F!S)VE$ (unning configuration saved to NV()B