Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 67 vistas

    VPN Site To Site SLN

    Cargado por

    Juan Carlos Rodriguez
    Se propone implementar una solución VPN punto a punto entre dos sedes de una empresa para conectar sus redes locales a través de Internet. Cada sede contará con una interfaz pública y una red local privada. Se configurarán los dispositivos de seguridad en cada sede para establecer un túnel IPsec que enlace las redes locales a través de autenticación y cifrado, permitiendo la comunicación entre ellas de forma remota y segura.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    VPN Site To Site SLN

    Cargado por

    Juan Carlos Rodriguez
    67 vistas13 páginas
    Se propone implementar una solución VPN punto a punto entre dos sedes de una empresa para conectar sus redes locales a través de Internet. Cada sede contará con una interfaz pública y una red local privada. Se configurarán los dispositivos de seguridad en cada sede para establecer un túnel IPsec que enlace las redes locales a través de autenticación y cifrado, permitiendo la comunicación entre ellas de forma remota y segura.

    Descripción original:

    Taller de VPN site to site en Endian

    Título original

    VPN SITE TO SITE SLN

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Se propone implementar una solución VPN punto a punto entre dos sedes de una empresa para conectar sus redes locales a través de Internet. Cada sede contará con una interfaz pública y una red local privada. Se configurarán los dispositivos de seguridad en cada sede para establecer un túnel IPsec que enlace las redes locales a través de autenticación y cifrado, permitiendo la comunicación entre ellas de forma remota y segura.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    67 vistas13 páginas

    VPN Site To Site SLN

    Cargado por

    Juan Carlos Rodriguez
    Se propone implementar una solución VPN punto a punto entre dos sedes de una empresa para conectar sus redes locales a través de Internet. Cada sede contará con una interfaz pública y una red local privada. Se configurarán los dispositivos de seguridad en cada sede para establecer un túnel IPsec que enlace las redes locales a través de autenticación y cifrado, permitiendo la comunicación entre ellas de forma remota y segura.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 13

    VPN SITE TO SITE

    Se va a implementar una solución de conectividad remota de sedes creando un


    túnel punto a punto entre dos ASA cisco, cada uno de los ASA debe tener una LAN
    en una interfaz diferente a la usada para la conexión punto a punto (WAN). El
    protocolo de conexión VPN puede ser cualquiera soportado por los dispositivos, se
    debe de hacer lo más seguro posible.
    En la siguiente topología, se tienen dos sedes diferentes de una misma empresa
    que se encuentran en dos zonas geográficas diferentes, una SEDE A y otra SEDE
    B.
    La red privada (inside) de la SEDE A tiene un ID de red 192.168.10.0/24 y una
    interfaz (outside) con IP pública suministrada por el DHCP de la red del SENA
    10.3.24.36/25.
    La red privada (inside) de la SEDE B tiene un ID de red 192.168.20.0/24 y una
    interfaz (outside) con IP pública suministrada por el DHCP de la red del SENA
    10.3.24.37/25.
    Topología VPN

    1. Crear objeto red interna


    2. Crear objeto red remota
    3. ACL -> Red local - > Red remota
    4. Autenticación IPSEC (PSK)
    5. Políticas fase I (algoritmos cifrado - integridad)
    6. Transformaciones IPSEC (AH o ESP)
    7. Unir transformaciones + remoto (IP/FQDN) + ACL
    8. Ruta a la Red LAN remota.
    Configuración VPN Site to Site de la Sede B con IPSEC
    Configuración de las Interfaces
    Vamos a configurar las tarjetas de VMware basados en las MAC de cada una de las
    interfaces y solo vamos a utilizar dos tarjetas de red, una que va a trabajar como
    outside y otra como inside.
    Las interfaces que vamos a utilizar son las 2 y 3, las otras dos las vamos a dejar en
    “Host only”
    El adaptador 2 lo vamos a poner en “bridge” para recibir una dirección IP por DHCP.
    MAC: 00:50:56:39:23:E1
    El adaptador 3 lo vamos a poner en un segmento de red llamado “LAN”
    MAC: 00:50:56:3C:33:6B
    La interfaz g0/0 es la pública (outside) y por lo tanto es asignada por un DHCP:

    La interfaz g0/1 es la privada (inside) en la cual configuramos nuestra IP privada.

    La IP proporcionada por el DHCP del Sena

    Configuración con IPSEC:


    paso 1: lo primero que debemos de realizar es configurar las políticas de la
    Asociación de seguridad de Internet y el Protocolo de administración de claves
    (ISAKMP) para las conexiones IKEv1, con los siguientes comandos:
    paso 2: Después de realizar lo anterior usted debe habilitar IKEv1 en la interfaz que
    finaliza el túnel VPN. Por lo general, esta es la interfaz externa (o pública). Para
    habilitar IKEv1, ingrese el siguiente comando:

    paso 3: Se debe habilitar un túnel que vaya desde LAN de A hasta la LAN B o
    viceversa, para un túnel de LAN a LAN, el tipo de perfil de conexión es ipsec-l2l.

    Paso 4: en este paso vamos a realizar la creación de dos objetos:


    Objeto local que está configurado con el ID de la red privada de la sede de A que
    es la 192.168.10.0/24
    Objeto remoto que está configurado con el ID de la red privada de la sede de B que
    es la 192.168.20.0/24
    Paso 5: es necesario crear una ACL indicando el permiso para definir los objetos
    local y remoto.
    El ASA utiliza listas de control de acceso (ACL) para diferenciar el tráfico que debe
    protegerse con el cifrado IPSEC del tráfico que no requiere protección.

    Paso 6: realizamos la creación de una regla NAT, lo que realiza esta regla es traducir
    una dirección a la misma dirección:

    paso 7: definimos la configuración para el conjunto de transformaciones ikev1:se


    debe configurar para la combinación de protocolos y algoritmos que definen la forma
    en que el ASA protege los datos por medio de la transformación ikev1:

    configuramos un mapa criptográfico y lo aplicamos en una interfaz, en el caso


    nuestro debemos aplicar el mapa en la interfaz pública del firewall asa al cual vamos
    a tratar de establecer la comunicación, en este caso la interfaz publica de la sede
    de Medellín que tiene la dirección 10.3.25.33
    paso 9: por último, enrutamos con las que él no conoce (es de suma importancia
    realizar este paso)

    PRUEBAS DESDE EL ASA DE LA SEDE A


    Miramos la tabla de enrutamiento y verificamos que la ruta predetermina que
    creamos esté bien configurada con la dirección que se quiere alcanzar:

    Verificamos que el túnel que establecimos este activo

    Prueba LAN TO LAN


    Hacemos ping para comprobar conectividad a la otra LAN (A)
    Sede B
    configuración de las interfaces:
    La g0/0 es la interface pública (outside) y por lo tanto es asignada por un DHCP:
    A la cual el DHCP le asigno la IP 10.3.25.46

    La interfaz g0/1 es la “inside” que es la IP privada


    Configuración con IPSEC
    Lo primero que debemos de realizar es configurar las políticas de la Asociación de
    seguridad de Internet y el Protocolo de administración de claves (ISAKMP) para las
    conexiones IKEv1, con los siguientes comandos:
    Después de realizar lo anterior usted debe habilitar IKEv1 en la interfaz que finaliza
    el túnel VPN. Por lo general, esta es la interfaz externa (o pública). Para habilitar
    IKEv1, ingrese el siguiente comando:

    Se debe habilitar un túnel que vaya desde LAN de A hasta la LAN de B o viceversa,
    Para un túnel de LAN a LAN, el tipo de perfil de conexión es ipsec-l2l.

    En este paso vamos a realizar la creación de dos objetos:


    objeto local que está configurado con el ID de la red privada de la sede de Medellín
    que es la 192.16.20.0/24
    objeto remoto que está configurado con el ID de la red privada de la sede de Bogotá
    que es la 192.168.10.0/24
    Y también creamos una ACL indicando el permiso para definir los objetos local y
    remoto.
    El ASA utiliza listas de control de acceso (ACL) para diferenciar el tráfico que debe
    protegerse con el cifrado IPSec del tráfico que no requiere protección.

    Realizamos la creación de una regla NAT, lo que realiza esta regla es traducir una
    dirección a la misma dirección.

    Definimos la configuración para el conjunto de transformaciones ikev1:


    Se debe configurar para la combinación de protocolos y algoritmos que definen la
    forma en que el ASA protege los datos por medio de la transformación ikev1:

    Configuramos un mapa criptográfico y lo aplicamos en una interfaz, en el caso


    nuestro debemos aplicar el mapa en la interfaz pública del firewall asa al cual
    vamos a tratar de establecer la comunicación, en este caso la interfaz publica de
    la sede de B que tiene la dirección 10.3.25.47
    por último, enrutamos con las que no conoce (es de suma importancia realizar
    este paso)

    Pruebas de Funcionamiento VPN SITE TO SITE

    También podría gustarte