Una VPN no significa necesariamente que los datos estén encriptados, como GRE. Tenemos vpn de capa 2 y 3:
- Layer 2 - VLAN, QinQ, Frame Realy PVC, ATM PVC, VPLS
- Layer 3 - GRE, IPSEC, MPLS Layer 3 VPN
Vamos a ver dos tipos de túnel:
- Tunnel GRE
- Tunnel IPSEC
TUNNEL GRE
Una de las ventajas de GRE es que puede transportar prácticamente cualquier tipo de protocolo de la capa 3 de OSI. Encapsula estos paquetes en otro que es el que manda por el túnel.
GRE calcula la MTU en base al enlace físico de la interface de salida. Automáticamente reduce en 24 bytes la MTU. En un enlace ethernet, la MTU será de 1476 (1500-24)
Sin embargo, no provee de seguridad. Los datos no van encriptados.
Una práctica recomendable es usar las loopback para montar el túnel, ya que estas interfaces nunca caen y, si cae la interface por donde sale el túnel pero hay otro camino para llegar al destino del túnel, este seguirá levantado.
Cuando hacemos un traceroute a través del túnel, solo veremos un salto, no veremos los saltos que el tráfico da por Internet.
Pasos para configurarlo:
1. Crear el interface tunnel
2. Configurar un dirección ip al túnel
3. Añadir el origen del túnel (tunnel source)
4. Añadir el destino del túnel (tunnel destination)
Configuraremos este túnel en el laboratorio.
TUNNEL IPSEC
IPSEC es un conjuto de protocolos para formar un túnel capaz de encriptar los datos. Es un protocolo de capa 3 tanto para Ipv4 como Ipv6. De hecho, se pueden crear túneles Ipsec desde un Ipv4 a un Ipv6.
 |
| AH no encripta los datos. |
Ipsec nos aporta autenticación, integridad y confidencialidad.
Ofrece la posibilidad de autenticación entre los peer que montan el túnel y, como ya hemos dicho, ofrece confidencialidad, es decir, los datos van encriptados.
Otra característica es la integridad, es decir, la seguridad que los datos no han sido modificados. Si lo detectara, descartaría el paquete.
Ipsec utiliza el Antireplay para evitar mandar paquetes duplicados. Esto hace más eficiente al túnel.
Lo primero que hacemos es definir el tráfico que vamos a permitir pasar por el túnel a través de un access-list y, será en el momento que ese origen permitido lance tráfico cuando se levantará el túnel, es decir, tráfico bajo demanda. También se puede dejar siempre activo
Ipsec se suele usar para túneles P2P, pero tenemos la excepción GETVPN, que puede montar P2MP (Point to Multipoint)
Ipsec se monta en 2 fases de negociación que las llama IKE. En algunos entornos podéis ver que se refieren a ello como ISAKMP. En realidad son dos protocolos diferentes que negocian la formación de los SA. Desde el punto de vista de configuración, para nosotros son términos intercambiables:
- Fase IKE 1: cuando dos equipos quieren formar un túnel siguen este proceso:
- Mensaje 1:
- Para la Autenticacion usa principalmente las siguientes opciones:
- Pre-Shared Keys (PSK)
- X.509 Certificates (PKI)
- EAP - en la nueva versión IKEv2
- Para la Negociación de la política. Usa dos estructuras
- SA (Security Association) -> Tienen que estar de acuerdo en los valores, si no, no forman la VPN: AES,DES o 3DES, SHA1 o MD5, etc. Es a nivel de Control Plane.
- Security Parameter Index (SPI) -> Etiqueta del número de secuencia que va en la cabecera del paquete. Es a nivel de Data Plane.
- Mensaje 2:
Intercambian el algoritmo Diffie Hellman o la clave RSA (certificados). Son métodos para el intercambio de las claves para encriptar. Click aquí para ver un enlace con la explicación.
- Mensaje 3:
Verificación de la entidad.
Aquí se pueden configurar 2 modos:
- Main Mode: se hacen todos los mensajes paso a paso.
- Aggresive Mode: se mandan todos los mensajes en uno.
Una vez terminada la fase 1 el resultado es que tenemos el IKE SA o ISAKMP SA (UDP 500, a través de NATes el UDP 4500).
- Fase IKE 2:
Negocia los parámetros IPSEC SA a través del IKE SA. Estos parámetros son:
- Protocolo de seguridad:
- AH (Authentication Header) -> Protocolo IP 51. Protege la integridad de los datos. La autenticación incluye la cabecera.
- ESP (Encapsulating Security payload) -> Protocolo IP 50. Protege la integridad de los datos y además este último puede ser usado también para encriptación (por eso es el más elegido). La autenticación no incluye la cabecera. Usa "anti-replay".
- Encriptación: DES, 3DES, AES, etc.
- Autenticación: MD5, SHA-256, SHA-512, etc.
- Modo de encapsulación: Transport Mode o Tunnel Mode
La combinación de todos estos es lo que se llama Ipsec Transform Set
Los dos modos para el túnel IPSEC: Transport Mode y Tunnel Mode
La
diferencia es que transport mode mantiene la cabecera (header)
original. En tunnel mode se ocultan las direcciones internas y le añade
una cabecera nueva. Esto hay que tenerlo muy en cuenta pues nos aumenta el tamaño del paquete.
En
topologías Site-To-Site se suele usar Tunnel Mode (por defecto) y
Transport Mode en arquitecturas con puntos centrales a donde dirigir el
túnel.
En esta fase se establecen la asociaciones IPSEC (IPSEC SA). Por seguridad puede resetearlas y establecerlas de nuevo, al igual que ejecutar el algoritmo Diffie Hellman.
Una vez terminada la fase 2 el resultado es que tenemos el IPSEC SA.
Nota: SA es una relación entre entidades para definir la encriptación, integridad y autenticación para formar el túnel. Estas asociaciones pueden configurarse para que se renegocien cada cierto tiempo. Cuando llegue ese momento,podemos hacer que genere una nueva "clave master" en el DH activando la opción PFS (Perfect Forward Secrecy).
Vamos a configurar los 2 en el LABORATORIO VPN
No hay comentarios:
Publicar un comentario