UNIVERSIDAD TCNICA DE AMBATOFACULTAD DE INGENIERA EN SISTEMAS, ELECTRNICA E INDUSTRIAL F . I . S . E . IFACULTAD DE INGENIERIA EN SISTEMAS, ELECTRONICA E INDUSTRIAL

PERODO ACADMICO: OCTUBRE/2014 MARZO/2015

UNIVERSIDAD TCNICA DE AMBATOFacultad de Ingeniera en Sistemas, Electrnica e IndustrialARMADO DE TNELES IPSEC ENTRE UN LINUX Y UN ROUTER CISCO

GESTIN DE REDESCarrera:Electrnica y ComunicacionesCurso:Quinto A ElectrnicaAlumnos Participantes:lvarez Montenegro Dalia SolangeAvils Castillo Ftima AdrianaGarzn Benalcazar Silvio ValentnDocente:Ing. Santiago ManzanoI. INFORME DEL PROYECTO1. Ttulo Armado de Tneles IPSEC entre un Linux y un router Cisco2. Objetivos2.1 Objetivo General Trabajar en el armado de tneles encriptados usando Linux y un router cisco2.2 Objetivos Especficos

2.3 ResumenEl presente trabajo muestra un Armado de Tneles utilizando el protocolo IPSEC que proporciona conectividad segura con redes virtuales privadas, ya que IPsec utiliza fuertes tcnicas de criptografa para proveer los servicios de autenticacin y autentificacin, ocultando datos, para evitar una posible lectura no autorizada del contenido de paquete.Para la realizacin de este trabajo se utilizaron tres mquinas virtuales de software libre Ubuntu Instaladas en la plataforma de Virtual Box, la topologa de la red y la configuracin de los routers CISCO se realiz con el Emulador GNS3, se utiliz tambin un switch Tricom para la conexin de los Host y el Sniffer.2.4 Palabras clave: IPsec, Tunelamiento, Sniffer, Enrutamiento_Esttico, Seguridad_Ip, GNS3, Ubuntu_12.04

2.5 IntroduccinIpsec protege los paquetes IP autenticndolos, cifrndolos o llevando a cabo ambas acciones. Ipsec se lleva a cabo dentro del mdulo IP, debajo de la capa de aplicacin. Por tanto, una aplicacin de Internet puede aprovechar Ipsec aunque no est configurada para el uso de Ipsec. Cuando se utiliza correctamente, la directiva Ipsec es una herramienta eficaz para proteger el trfico de la red.La proteccin Ipsec implica cinco componentes principales: Protocolos de seguridad: Mecanismo de proteccin de datagramas IP. El encabezado de autenticacin (AH) firma los paquetes IP y garantiza la integridad. El contenido del datagrama no est cifrado, pero el receptor tiene la seguridad de que el contenido del paquete no se ha modificado. El receptor tambin tiene la garanta de que los paquetes los ha enviado el remitente. La Encapsulating Security Payload (ESP) cifra los datos IP, con lo cual codifica el contenido durante la transmisin de paquetes. ESP tambin puede garantizar la integridad de los datos mediante una opcin de algoritmo de autenticacin. Base de datos de asociaciones de seguridad (SADB): La base de datos que asocia un protocolo de seguridad con una direccin de destino IP y un nmero de ndice. El nmero de ndice se denomina ndice de parmetros de seguridad. Estos tres elementos (el protocolo de seguridad, la direccin de destino y el SPI) identifican de forma exclusiva a un paquete Ipsec legtimo. La base de datos garantiza que el receptor reconozca un paquete protegido que llega a su destino. El receptor tambin utiliza informacin de la base de datos para descifrar la comunicacin, verificar que los paquetes no se hayan modificado, volver a ensamblar los paquetes y entregarlos en su destino final. Administracin de claves: La generacin y distribucin de claves para los algoritmos criptogrficos y SPI. Mecanismos de seguridad: Los algoritmos de autenticacin y cifrado que protegen los datos de los datagramas IP. Base de datos de directivas de seguridad (SPD): La base de datos que especifica el nivel de proteccin que se aplica a un paquete. SPD filtra el trfico IP para determinar el modo en que se deben procesar los paquetes. Un paquete puede descartarse, transferirse sin codificar o protegerse con Ipsec. Para los paquetes salientes, SPD y SADB determinan el nivel de proteccin que se aplicar. Para los paquetes entrantes, SPD permite determinar si el nivel de proteccin del paquete es aceptable. Si el paquete se protege con Ipsec, SPD se consulta una vez descifrado y verificado el paquete.Ipsec aplica los mecanismos de seguridad a los datagramas IP que se transfieren a la direccin de destino IP. El receptor utiliza la informacin de SADB para comprobar que los paquetes que llegan sean legtimos y descifrarlos. Las aplicaciones pueden invocar Ipsec para aplicar mecanismos de seguridad a los datagramas IP por socket tambin.Los sockets tienen un comportamiento distinto segn el puerto: Los SA por socket modifican su entrada de puerto correspondiente en SPD. Adems, si el socket de un puerto est conectado y posteriormente se aplica la directiva Ipsec a ese puerto, el trfico que utiliza ese socket no est protegido mediante Ipsec.Naturalmente, un socket abierto en un puerto despus de la aplicacin de la directiva Ipsec en el puerto est protegido con Ipsec.2.6 Materiales y Metodologa 3 Computadoras Software GNS3 Cables de red cruzado Software Oracle Virtual Box Sistema Operativo Ubuntu, imgenes ISO

2.7 Resultados y Discusin

Figura 1. Topologa de red

1. Creacin de la topologa de Red en GNS3.La topologia de red se basa en simulaciones de red en 2 Pcs distintas con un diagrama similar al siguiente, adems se realizara un enrutamiento esttico:

Figura 2. Topologa de red GNS3. Router 1

Figura 3. Topologa de red GNS3. Router 2

Se debe tomar en cuenta que que los host conectados a los Router 1 y 2 estn conectado internamente a las maquinas virtuales de Ubuntu en Virtual Box.Y por medio de la nube se conectarn ambas maquinas por medio de las tarjetas de red y el cable de red correspondiente.Las maquinas virtuales deben estar conectadas en modo Adaptador solo anfitrin, adems el Host Sniffer que tratar de vulnerar la red tambien estar en el mismo modo por lo cual no neceitar una conexin directa a la simulacin de GNS3. 2. Creacin de mquinas virtuales en Virtual Box Al iniciar las mquinas virtuales debern configurarse las interfaces de red de la siguiente manera: Maquina (H1)ifconfig eth0 192.168.100.13 netmask 255.255.255.0route add default gw 192.168.100.1 Maquina (H2) ifconfig eth0 192.168.102.13 netmask 255.255.255.0route add default gw 192.168.102.1 Maquina (HostSniffer) ifconfig eth0 192.168.101.30 netmask 255.255.255.0

Cada mquina virtual, tendr la configuracin del adaptador de red en modo: Slo Anfitrin.

Figura 4. Configuracin del Adaptador de red de las mquinas Ubuntu

3. Configurar GNS3 (HOST) y mquinas virtualesConfiguramos cada host con nio_gen_eth: VirtualBox Host-Only Network, y su respectiva direccin de red en las mquinas virtuales

Figura 5. Configuracin de Host en GNS3.

Figura 6. Direccin de red de la PC1

Figura 7. Direccin de red de la PC2

4. Verificar conexin entre mquinas virtuales Verificamos la conexin entre las PC1, PC2 y Sniffer.

Figura 8. Ping entre PC2 y PC1

5. Configuracin de los routersConfiguracin del mtodo de encripcin.Para el intercambio de claves que establece las SA se configuran diferentes polticas soportadas para dicho intercambio.Cada poltica contiene: Algoritmo de encripcin: DES, 3DES, etc. Algoritmo de hashing: MD5 (por defecto) o SHA Autenticacin: RSA para firmas o nonces (nmeros aleatorios) o claves precompartidas

Finalmente la configuracin queda:Configuracin R1. IPSECcrypto isakmp policy 1encr 3desauthentication pre-sharegroup 1exit

crypto isakmp key prueba123 address 192.168.101.4crypto ipsec transform-set myset esp-3des esp-md5-hmacaccess-list 101 permit ip 192.168.100.0 0.0.0.255 192.168.102.0 0.0.0.255crypto map test 1 ipsec-isakmpset peer 192.168.101.4set transform-set mysetmatch address 101exitin se 1/0crypto map testexit

Configuracin R2. IPSECcrypto isakmp policy 1encr 3desauthentication pre-sharegroup 1exitcrypto isakmp key prueba123 address 192.168.101.2crypto ipsec transform-set myset esp-3des esp-md5-hmacaccess-list 101 permit ip 192.168.102.0 0.0.0.255 192.168.100.0 0.0.0.255crypto map test 1 ipsec-isakmpset peer 192.168.101.2set transform-set mysetmatch address 101exit

in se 1/0crypto map testexit

Configuracin de las Access-list:access-list 101 permit ip 192.168.100.0 0.0.0.255 192.168.102.0 0.0.0.255access-list 101 permit ip 192.168.102.0 0.0.0.255 192.168.100.0 0.0.0.255

6. Verificar la encriptacin y creacin de Tnel IPSEC.Para verificar utilizamos los siguientes comandosShow ip routeShow crypto sessionShow crypto ipsac saShow crypto isakmp sa

Figura 9. Verificacin de conexin, antes de encriptar datos

Figura 10. Envo y recepcin de paquetes

Figura 11. Envo y recepcin de paquetes

7. Vulnerar la red, mediante un Host-Sniffer

Para vulnerar una red, realizamos el anlisis de trfico de red desde WIRESHARK; los paquetes estn encriptados y no estn al alcance del usuario.

Figura 12. Captura de paquetes mediante Wireshark

2.8 Conclusiones IPsec es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec tambin incluye protocolos para el establecimiento de claves de cifrado. ISAKMP: negocia, modifica y anula SA, Security Asociation IP Security (IPSec), es un conjunto de estndares para implementar seguridad a nivel de red en lugar de su implementacin a nivel de aplicacin. IPSec establece la securizacin de las comunicaciones sobre redes no seguras o pblicas Todo lo que ha de atravesar la red no confiable, ser encriptado por un gateway IPsec y decriptado por otro gateway IPsec en el otro extremo de la red insegura. El resultado de esta operacin, es lo que se conoce como un Virtual Private Network o VPN. Esta "red" es efectivamente privada a pesar de incluir maquinas conectadas a una red insegura y publica como la Internet.

2.9 Referencias bibliogrficas [1] C.Wells, 17 Agosto 2014, VCPS Tutorial UPDATE, Red Nectars Blog, [online], Disponible en: www.tp-link.ec/article/?faqid=244 [2] S.Friedl, 08 Octubre 2012, Protocolo IPsec, Grupo de Sistemas Operativos. [online], Disponible en: www.tp-link.ec/article/?faq http://laurel.datsi.fi.upm.es/proyectos/teldatsi/teldatsi/protocolos_de_comunicaciones/protocolo_ipsec id=244 [3] S. Araya y C. Carvajal, Utilizacin y Aplicacin de Tuneles IPsec en ambiente de VPM empresarial [online], Disponible en: http://profesores.elo.utfsm.cl/~agv/elo322/1s10/project/reports/Utilizacion%20y%20Aplicacion%20de%20Tuneles%20IPsec%20en%20ambiente%20de%20VPN%20empresarial.pdf

CUESTIONARIO1. Durante la fase de sincronizacin, uso del protocolo ISAKMP hasta ESP. Cuntas fases se ejecutan.ISAKMP: negocia, modifica y anula ASSe ejecuta con dos fases: Fase1.- fase de negociacion SA Security Association Fase2.- Intercambio de Hash2. Con que algoritmo se encripta? Hacer para esto un (show crypto ipsec sa)show crypto ipsec sa

Figura 13. Datos sin encriptar

Figura 14. Estado activo de IPSEC. Captura de paquetes