CCNA Security Módulo 8, Laboratorio 1
Comandos utilizados: aquí vemos solo uno de los extremos, las configuraciones de direccionamiento
IP y ACL deberán ser espejo entre origen y destino, el resto de las configuraciones deberán ser similares.
Donde
aparece 8.4.X (página X) , corresponde a donde encontrarlos en la
currícula
access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255
(definimos
tráfico interesante (origen-destino) para enviar al túnel,
el extremo
debe ser un espejo de esta ACL)(8.4.5)
crypto isakmp
policy 10(esta política debe tener un igual en el
extremo(8.4.3)
encryption aes 256 (cómo se encriptarán los paquetes)
authentication pre-share (utilizará la clave definida más adelante)
group 5 (grupo 5 Diffie Hellman, 1536
bits para intercambio de claves)
lifetime 3600 (tiempo de vidad de la
asociación de seguridad SA )
exit
crypto isakmp
key Presh4red address 192.168.23.3
(esta clave será utilizada
para este peer
(extremo) 8.4.3 (página 3)
crypto ipsec transform-set ENCRIPTA
ah-sha-hmac esp-aes 256 esp-sha-hmac
(ah: authentiction header, esp: encryption
security payload (carga útil)(8.4.4)
crypto map
MYMAP 10 ipsec-isakmp (mapa asociado a una interfaz)
(8.4.6)
set peer 192.168.23.3
(extremo del tunel)
set pfs group5 (grupo 5 Diffie Hellman, 1536 bits para intercambio de claves)
set security-association lifetime seconds 900
set transform-set ENCRIPTA (cual set de
transformación de paquetes utilizará)
match address 101 (ACL asociada al
túnel: origen-destino de paquetes)
exit
interface FastEthernet0/0 (interfaz de salida)
ip
address 192.168.12.1 255.255.255.0
crypto map MYMAP (asocia el
mapa de cifrado) 8.4.6 (página 3)
exit
ip route 172.16.3.0 255.255.255.0 FastEthernet0/0 (ruta hacia la LAN
remota)
Análisis
y solución de problemas (8.4.7):
ACA#sh
crypto isakmp sa (nos muestra el estado del túnel)
IPv4 Crypto ISAKMP SA
dst src
state conn-id slot status
192.168.23.3 192.168.12.1 QM_IDLE 1060 0 ACTIVE
ACA#sh
crypto ipsec sa (nos muestra el tráfico por el túnel)
interface: FastEthernet0/0
(interfaz de salida)
Crypto map tag: MYMAP, local addr
192.168.12.1 (mapa de cifrado)
---resumido---
current_peer 192.168.23.3 port 500
(extremo del túnel)
PERMIT, flags={origin_is_acl,}
#pkts encaps: 13, #pkts encrypt: 13, #pkts digest: 13(paquetes
enviados)
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5 (paquetes
recibidos)
#pkts compressed: 0, #pkts decompressed: 0
---resumido---
Trama
capturada y su análisis:
En esta primera imagen se puede apreciar la dirección MAC del router local, además de la IP origen (router ACA)
y destino ( router ALLA ) y no de los dispositivos que generan el tráfico original, esas direcciones IP y los datos
están encapsulados (ver abajo de ESP ).
Aquí, vemos los parámetros de AH ( autenticación ) y ESP ( confidencialidad y también autenticación ),
en este caso utilizamos SHA-1.
También vemos números de secuencia, esto nos dará un mecanismo de anti-replay del paquete.
Finalmente los datos, en este caso ICMP ( un simple ping ).
Configuración final:
ACA#sh runn
Building configuration...
Current configuration : 968 bytes
!
version 12.4
---resumido---
!
hostname ACA
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
lifetime 3600
!
crypto isakmp key Presh4red address
192.168.23.3
!
crypto map MYMAP 10 ipsec-isakmp
set peer 192.168.23.3
set pfs group5
set security-association lifetime seconds 900
match address 101
!
interface FastEthernet0/0
ip
address 192.168.12.1 255.255.255.0
duplex auto
speed auto
crypto map MYMAP
!
interface FastEthernet0/1
ip
address 172.16.1.1 255.255.255.0
duplex auto
speed auto
!
router eigrp 1
network 192.168.12.0
auto-summary
!
ip classless
ip route 172.16.3.0 255.255.255.0
FastEthernet0/0
!
!
access-list 101 permit ip 172.16.1.0
0.0.0.255 172.16.3.0 0.0.0.255
!
---resumido---
!
end
ACA#
ALLA#sh runn
Building configuration...
Current configuration : 1139 bytes
!
---resumido---
!
hostname ALLA
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
lifetime 3600
!
crypto isakmp key Presh4red address
192.168.12.1
!
crypto ipsec security-association lifetime
seconds 1800
!
crypto ipsec transform-set SET ah-sha-hmac
esp-aes 256 esp-sha-hmac
!
crypto map MYMAP 10 ipsec-isakmp
set peer 192.168.12.1
set pfs group5
set security-association lifetime seconds 900
set transform-set SET
match address 101
!
interface FastEthernet0/0
ip
address 172.16.3.1 255.255.255.0
!
interface Serial0/0/0
ip
address 192.168.23.3 255.255.255.0
crypto map MYMAP
!
router eigrp 1
network 192.168.23.0
auto-summary
!
ip route 172.16.1.0 255.255.255.0
Serial0/0/0
!
access-list 101 permit ip 172.16.3.0 0.0.0.255
172.16.1.0 0.0.0.255
!
---resumido---
!
end
ALLA#exit
OUT of classroom !!!
(2010) Crazy tales to sleep by uncle Ernest
Rosario, Argentina