PEscobar PracticaVPN it2SR

GUIA DE INFORME
Asignatura: IT2 Seguridad en Redes

Integrante: Escobar Poleth
Fecha de informe: domingo de enero de 2021
A. TÍTULO
Tarea VPN en Packet Tracer
B. INTRODUCCIÓN
Mantener una comunicación segura a través de una red insegura como Internet, es
una de las principales preocupaciones de cualquier usuario en Internet, y también
de las diferentes empresas. Los principales motivos para usar una VPN, es que
permite establecer comunicaciones seguras, con autenticación y cifrado de datos
para proteger toda la información intercambiada.
VPN
Una red privada virtual, o VPN, es una conexión encriptada a través de Internet
desde un dispositivo a una red. La conexión cifrada ayuda a garantizar que los datos
confidenciales se transmitan de forma segura. Evita que personas no autorizadas
escuchen el tráfico y permite al usuario realizar el trabajo de forma remota. La
tecnología VPN se usa ampliamente en entornos corporativos.
Existen dos tipos fundamentales a la hora de establecer una Red Privada Virtual
(VPN).(Cisco, 2020)
• VPN Sitio a Sitio

Son utilizadas para conectar sitios geográficamente separados de una corporación.
Con una VPN es posible conectar las LAN corporativas utilizando internet.
El envío de información se realiza a través de una conexión VPN, de esta forma se
puede crear un WAN utilizando una VPN. Una empresa puede hacer que sus redes
se conecten utilizando un ISP local y establezcan una conexión de sitio a sitio a
través de internet.
• VPN de Acceso Remoto
Una VPN de acceso remoto conecta de forma segura un dispositivo fuera de la
oficina corporativa. Estos dispositivos se conocen como puntos finales y pueden ser
computadoras portátiles, tabletas o teléfonos inteligentes.
Una VPN para que sea segura debe garantizar ciertas funciones de seguridad como
autentificación, confidencialidad, integridad, no repudio calidad de servicio, registro
de actividad y control de acceso.(Edhison García, 2019)
En VPN existen algunos protocolos como por ejemplo: Ipsec, PPTP, L2TP, que son
los más relevantes; sin embargo, para esta práctica al ser el más recomendado se
utiliza Ipsec.
IPSEC
IPsec es uno de los protocolos de seguridad más importantes, el cual proporciona
una capa de seguridad a todas las comunicaciones IP entre dos o más participantes.
Permite mejorar la seguridad a través de algoritmos de cifrado robustos y un sistema
de autentificación más exhaustivo. IPsec posee dos métodos de encriptado, modo
transporte y modo túnel. Asimismo, soporta encriptado de 56 bit y 168 bit (triple
DES)(José Cejas, 2015)
IPsec proporciona todos servicios necesarios para que la comunicación sea segura.
IPsec integra un sistema de negociación para que los equipos finales negocien el
mejor cifrado posible que soporten, acordar las claves de intercambio, y elegir los
algoritmos de cifrado que tengan en común. Dependiendo de la cabecera de IPsec
usada (AH o ESP), podremos comprobar solamente la autenticidad del paquete, o
cifrar la carga útil de todo el paquete IP y comprobar también su autenticidad.
Conceptos de la configuración
Política de encriptación: Se utiliza para establecer una política de seguridad

compartida y las claves autenticadas para los servicios (como IPSec) que requieren
una clave.
Isakmp: (Asociación de seguridad en Internet y Protocolo de administración de

claves): estructura de protocolo que define el mecanismo de implementación de un
protocolo de intercambio de claves y la negociación de las políticas de seguridad.
Authentication: Establece el método de protección.

SHA: Son algoritmos que representa un resumen de toda la información que se le
ha dado
Encryption: Algoritmo de encriptación.
AES: Es un esquema de cifrado por bloques adoptado como un estándar de cifrado.
Group Diffie-Hellman: Es un protocolo de establecimiento de claves entre partes

que no han tenido contacto previo, utilizando un canal inseguro, y de manera
anónima (no autentificada).
Lifetime: Tiempo de vida para la conexión, puede configurarse entre 60 y 86400

segundos.
Transform-set: El transform set define las políticas de seguridad que serán

aplicadas al tráfico que entra o sale de la interfaz. El estándar IPSec especifica el
uso de Security Asociations para determinar qué políticas de seguridad se aplican
al tráfico deseado. Los transform-set se definen a través de crypto-maps.(Cuzme,
2021)
C. OBJETIVO DEL PROYECTO

Objetivo General:
Configurar dos routers para admitir una VPN con IPsec de sitio a sitio para el
tráfico que fluye de sus respectivas LAN (Ibarra - Quito).
Objetivos Específicos:
• Realizar las configuraciones básicas de seguridad en cada uno de los
routers.
• Configurar el protocolo de enrutamiento RIP
• Configurar los parámetros de IPSEC en Router (Ibarra) y Router (QUITO)
• Verificar la VPN con IPsec
• Verificar que exista conectividad de extremo a extremos en la red, en ambos
sentidos.
• Realizar un informe técnico – estructurado; el cual evidencie el desarrollo de
la práctica llevada a cabo.
D. METODOLOGÍA
1. Realizar las configuraciones básicas de seguridad en cada uno de los routers
2. Configurar las interfaces de acuerdo con la topología planteada.
3. Configurar el protocolo de enrutamiento (OSPF, RIP)
4. Verificar que exista conectividad de extremo a extremos en la red, en ambos
sentidos.
5. Configurar VPN
6. Verificar el estado del VPN
E. RECURSOS MATERIALES Y EQUIPO

Packet Tracer
• 2 routers 1841
• 2 switch 2960
• 2 PC
• Cables para la conexión
Guía Práctica VPN
Conexión a Internet
F. DESCRIPCIÓN DEL DESARROLLO DE LA PRÁCTICA
PASO 1 Crear la topología basada en la guía práctica, según el siguiente
direccionamiento:
Dispositivo Interfaz Dirección IP Mascara Gateway
R1 F0/0 192.168.1.254 255.255.255.0 N/A
S0/0/0 10.0.0.1 255.0.0.0 N/A
R2 F0/0 172.16.0.254 255.255.0.0 N/A
S0/0/0 10.0.0.2 255.0.0.0 N/A
PC Ibarra 192.168.1.1 255.255.255.0 192.168.1.254
PC Quito 172.16.0.1 255.255.0.0 172.16.0.254
PASO 2 Configuración Router IBARRA
Gateway
Nombre
Contraseña
modo
privilegiado
Contraseña
modo usuario
Acceso nombre
de usuario y
contraseña
Banner
PASO 3 Configuración Router QUITO

Gateway
Nombre
Contraseña
modo
privilegiado
Contraseña
modo usuario
Acceso nombre
de usuario y
contraseña
Banner
PASO 4 Utilice show run, para poder visualizar las configuraciones básicas de
seguridad, tanto para el router IBARRA como para QUITO
PASO 5 Comprobamos que el direccionamiento este correctamente agregado

a las interfaces del router IBARRA y QUITO, con el comando:
• show run
PASO 6 Ingresamos a la configuración de las máquinas de cada LAN e
ingresamos el direccionamiento
PC LAN A Ibarra PC LAN B Quito
PASO 7 Definir protocolo de enrutamiento RIP

RIP es un protocolo de enrutamiento dinámico que utiliza los routers para que
intercambien las tablas de enrutamiento entre ellos.
Para que exista comunicación entre la LAN 1 IBARRA y la LAN 2 QUITO se necesita
de la configuración del protocolo de enrutamiento, en esta ocasión se utiliza RIP
(protocolo dinámico)-
• #router rip
• #network dirección_IP (Con el comando network se asigna las rutas o
redes que desea compartir)
• #wr
Finalmente, guardamos las configuraciones con el comando: wr
Esto se hace para cada router Ibarra & Quito.
Comprobamos las tablas de enrutamiento con sh ip route, en los routers. El cual s

señalado con la letra R.
Ibarra:
Quito:
PASO 8 Verificamos que exista conexión entre las redes haciendo ping desde
la LAN Ibarra hacia la LAN Quito y viceversa
Configurar las propiedades de ISAKMP en el R_Ibarra. Isakmp es un protocolo de

intercambio de claves y la negociación de las políticas de seguridad.
PASO 9 Configurar las propiedades de ISAKMP en el R_Ibarra
Configurar las propiedades de la política criptográfica ISAKMP 10 en el R_Ibarra
Configuramos la política de seguridad, que sirve para establecer una seguridad
compartida entre las redes.
• #crypto isakmp policy 10
Luego, especificamos claves previamente compartidas como método de

autenticación. Donde se observa que el router cisco packet tracer, tiene métodos de
autenticación como md5 y sha; que son utilizados para resumir la información en un
formato cifrado. Y de esta forma los datos enviados no se puedan reconocer si algún
atacante pretende obtenerlos.
• #authentication pre-share,
• #hash sha
Seleccionamos sha
Seleccionamos el método de cifrado con el comando encryption; y observamos

que existen las opciones de DES y 3DES, que son métodos de cifrado simétrico; sin
embargo, seleccionamos aes ya que es un sistema de clave simétrica, lo cual le
otorga una mayor seguridad, ya que la clave usada debe ser conocida para el
cifrado como para el descifrado y tanto emisor como receptor necesitan una copia
de la llave correspondiente.
Actualmente hay tres tipos de cifrado AES: 128 bits, 192 bits y 256 bits, donde este
último es el más seguro.
• #encription aes 256
• #group 2
Seleccionamos el tiempo de vida para la conexión, puede configurarse entre 60 y

86400 segundos.
• #lifetime 86400
• #exit
Configura una clave de autenticación previamente compartida. Utilizada en el

modo de configuración global o enable “cisco123”
• #crypto isakmp key cisco123 address 10.0.0.2 (router 2)
Creemos el conjunto de
transformaciones SEGURIDAD para usar esp-aes y esp-sha-hmac. Es una
combinación aceptable de protocolos y algoritmos de seguridad:
Esp-aes: Esp transformado utilizando cifrado AES.
Esp-sha-hmac: Esp transformado utilizando autenticación HMAC-SH
• #crypto ipsec transform-set SEGURIDAD esp-aes esp-sha-hmac
Configure la ACL 101 para que tráfico proveniente de la LAN Ibarra en el R_Ibarra
y se dirija a la LAN en el Quito: en sí para que se comuniquen las dos redes. Este
tráfico activa la VPN con IPsec para que se implemente cada vez que haya tráfico
entre las LAN de los routers R_Ibarra y R_Quito.
• #access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
Cree una asignación criptográfica REDES que protegerá el tráfico, por esta entrada
de mapa criptográfico. Especificado por el número de secuencia 10 y luego
identificarlo como una asignación ipsec-isakmp
• #crypto map REDES 10 ipsec-isakmp
Establecemos la dirección IP del extremo remoto. Definimos la dirección por la que
saldrán los paquetes, es decir por la interfaz 10.0.0.2 en el router Quito
• #set peer 10.0.0.2 (Router 2)
Se utiliza para asignar una lista de acceso extendida a una! --- entrada de mapa
criptográfico que utiliza IPSec! --- para determinar qué tráfico debe protegerse! ---
por criptografía y qué tráfico no! --- necesita protección criptográfica .
• #match address 101
Configuramos IPSec para usar el transform-set

• #set transform-set SEGURIDAD
Configurar la asignación criptográfica REDES en la interfaz de salida serial 0/0/0.

• #interface s0/0/0 (Interface a Router 2)
• #crypto map REDES
Guardamos la configuración del router

• #do wr
PASO 10 Configurar las propiedades de ISAKMP en el R2 o R_Quito cambiando

la dirección de destino, en este caso será la dirección del router 1.
Finalmente, las configuraciones de VPN para el router Quito son las mismas que en
el Router Ibarra.
RESULTADOS Y CONCLUSIONES
Resultados:
Para activar el estado del VPN debemos enviar tráfico de la PC de Ibarra a la PC
de Quito y viceversa. Emita el siguiente comando tanto en el router Ibarra como
para el router Quito:
• show crypto isakmp sa
Antes de hacer ping
Después de hacer ping
Así comprobamos que la VPN configurada este en un estado activo, donde nos
muestra como está configurado el túnel. El destino por donde saldrán los datos
10.0.0.2 y el origen 10.0.0.1 donde se originan y esto lo podemos comprobar en los
dos routers.
Verificar la VPN con Ipsec:

Aquí se observa la cantidad de paquetes encapsulados, cifrados, desencapsulados
y descifrados se establece en 0 antes de hacer tráfico entre las redes y luego de
hacer tráfico, indicará el número de paquetes. Emita el siguiente comando:
• show crypto ipsec sa
Verificar el túnel antes de hacer ping
Verificar el túnel después de hacer ping

• Router Ibarra
• Router Quito
Comprobamos que exista comunicación haciendo ping desde la red Ibarra hacia
Quito y viceversa.
Conclusiones:
Los costos de la comunicación se reducen enormemente al usar VPN porque el
cliente sólo paga por el acceso a internet las oficinas remotas se conectan a través
de los túneles conectados sobre internet con el uso de la infraestructura de internet.
Con el uso de la infraestructura de internet una empresa puede desechar la difícil
tarea de tener que estar administrando los dispositivos como los que se utilizan en
las doble WAN tradicionales.
Se logro comprobar satisfactoriamente el estado de la VPN y como los paquetes
encapsulados, cifrados, desencapsulados y descifrados cuando se realiza la
tunelización.
Para esta práctica siempre hay que tomar en cuenta la clave en modo privilegiado
de paket Tracer, con el fin de que esta sea la contraseña compartida entre las redes
y por lo tanto otorgue cierto punto de seguridad.
H. BIBLIOGRAFÍA
Cisco. (2020, May 13). ¿Qué es una VPN? - Red privada virtual - Cisco.
https://www.cisco.com/c/en/us/products/security/vpn-endpoint-security-
clients/what-is-vpn.html
Cuzme, F. G. (2021). CIERCOM_SEGURIDAD_UNIDAD3_V3_parte2.
Edhison García. (2019, June 28). Tipos de VPN y sus protocolos.
https://www.kionetworks.com/blog/data-center/tipos-de-vpn-y-sus-protocolos
José Cejas. (2015, December 2). ¿Qué es una VPN y cómo funciona para la
privacidad de la información? | WeLiveSecurity.
https://www.welivesecurity.com/la-es/2012/09/10/vpn-funcionamiento-
privacidad-informacion/

PEscobar PracticaVPN it2SR

Cargado por

Copyright:

Formatos disponibles

PEscobar PracticaVPN it2SR

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

PEscobar PracticaVPN it2SR

Cargado por

Copyright:

Formatos disponibles

GUIA DE INFORME

Asignatura: IT2 Seguridad en Redes

• VPN Sitio a Sitio

Política de encriptación: Se utiliza para establecer una política de seguridad

Isakmp: (Asociación de seguridad en Internet y Protocolo de administración de

Authentication: Establece el método de protección.

AES: Es un esquema de cifrado por bloques adoptado como un estándar de cifrado.

Group Diffie-Hellman: Es un protocolo de establecimiento de claves entre partes

Lifetime: Tiempo de vida para la conexión, puede configurarse entre 60 y 86400

Transform-set: El transform set define las políticas de seguridad que serán

C. OBJETIVO DEL PROYECTO

E. RECURSOS MATERIALES Y EQUIPO

PASO 2 Configuración Router IBARRA

PASO 3 Configuración Router QUITO

PASO 5 Comprobamos que el direccionamiento este correctamente agregado

PASO 7 Definir protocolo de enrutamiento RIP

Comprobamos las tablas de enrutamiento con sh ip route, en los routers. El cual s

Configurar las propiedades de ISAKMP en el R_Ibarra. Isakmp es un protocolo de

• #crypto isakmp policy 10

Luego, especificamos claves previamente compartidas como método de

Seleccionamos el método de cifrado con el comando encryption; y observamos

Seleccionamos el tiempo de vida para la conexión, puede configurarse entre 60 y

Configura una clave de autenticación previamente compartida. Utilizada en el

Configuramos IPSec para usar el transform-set

Configurar la asignación criptográfica REDES en la interfaz de salida serial 0/0/0.

Guardamos la configuración del router

PASO 10 Configurar las propiedades de ISAKMP en el R2 o R_Quito cambiando

Después de hacer ping

Verificar la VPN con Ipsec:

Verificar el túnel después de hacer ping

También podría gustarte