jueves, 29 de diciembre de 2016

Instalación de licencias en Cisco IOS 15.x


En Cisco IOS se distingue 2 tipos de licencias:

  • Licencias permanentes.
    Una vez instaladas son definitivas y no tienen vencimiento.
  • Licencias temporales.
    Pueden ser licencias demo o licencias compradas. En este caso su vigencia tiene un plazo de vencimiento.
Instalación de licencias permanentes

Router#license install fash:uck9-2900-SPE150_K9-FHH11253557.xml
  • Instala el archivo de licencias permanentes que ha sido descargado previamente a la memoria flash.
  • En este caso se instala una licencia permanente de comunicaciones unificadas en un router Cisco 2900.
Router#reload
  • Reinicia el dispositivo para hacer efectiva la instalación de la licencia permanente. Si la licencia de evaluación ya se encontraba activa antes, no es necesario el reinicio del dispositivo.
  • Las licencias permanentes son perpetuas y por lo tanto no les aplica el concepto de un período de validez.
  • Luego de reiniciado el dispositivo se sugiere verificar la instalación.
Router#show versión

License UDI:
------------------------------------
Device#  PID           SN           
------------------------------------
*0       CISCO2901/K9  FCG3467G5DX  
Technology Package License Information for Module:’c2900’
-------------------------------------------------------------
Technology   Technology-package      Technology-package
             Current     Type        Next reboot
-------------------------------------------------------------
ipbase       ipbasek9    Permanent   ipbasek9
security     None        None        None
uc           uck9        Permanent   uck9
data         None        None        None


Instalación de licencias de evaluación

Con la introducción de IOS 15.0(1)M las licencias de evaluación han sido reemplazadas con licencias RTU de evaluación. Para activar estas licencias se debe utilizar el siguiente procedimiento:

Router#license boot module c2900 technology-package uck9
  • Activa la licencia de comunicaciones unificadas de evaluación en el router Cisco 2900. Al ejecutar el comando se mostrará el contrato de acuerdo de uso que debe ser aceptado para que la licencia temporal se active.
  • Una vez instalada la licencia de evaluación o temporal, es necesario reiniciar el dispositivo.
  • Las licencias de evaluación tienen un período de duración de 60 días.
Router#show license
Index 1 Feature: ipbasek9
        Period left: Life time
        License Type: Permanent
        License State: Active, In Use
        License Count: Non-Counted
        License Priority: Medium
Index 2 Feature: securityk9
        Period left: Not Activated
        License Used: 0 minute 0 second
        License Type: EvalRightToUse
        License State: Not in Use, EULA not accepted
        License Count: Non-Counted
        License Priority: None
Index 1 Feature: uck9
        Period left: 8 weeks 3 days
        Period Used: 9 minutes 30 seconds
        License Type: EvalRightToUse
        License State: Active, In Use
        License Count: Non-Counted
        License Priority: Low


Tomado de: http://librosnetworking.blogspot.com/2016/11/instalacion-de-licencias-en-ios-15x.html

martes, 6 de diciembre de 2016

Cómo Configurar VPN IPSec Site-to-Site en Cisco Router



En el artículo de hoy vamos a explicar cómo configurar una VPN (Virtual Private Network) Site To Site en Cisco IOS.

Primeramente, ¿qué es un VPN


Una VPN es una conexión virtual entre dos dispositivos que permite el envío de información de manera segura a través de un medio inseguro como lo es Internet

Con una VPN podemos desarrollar toda una infraestructura de red WAN (Wide Area Network) de forma más rápida y económica en comparación con la contratación del servicio de línea de fijas Frame Relay, ATM u otro tipo de tecnologías.

Nuestra configuración de VPN Site to Site es realizada utilizando el protocolo IPSec (Internet Protocol Security).  


IPSec es un protocolo de capa 3 del modelo OSI que permite desarrollar VPNs brindando las siguientes ventajas:
  • Confidentiality
  • Data integrity
  • Authentication
 
Confidentiality (confidencialidad) significa que la información enviada a través del VPN no podrá ser leída por un usuario o dispositivo tercero que no participe en la comunicación. En otras palabras, la información enviada por la VPN no podrá se accedida por ninguna entidad no autorizada. La confidencialidad se logra en la práctica a través de la implementación de técnicas de cifrado de datos. Para los no entendidos en la materia, el cifrado de información logra convertir un texto original en un formato no entendible (texto cifrado) para todo aquel que no conozca: (1) el algoritmo de cifrado y (2) la llave secreta. En IPSec podemos implementar cifrado de datos utilizando algoritmos simétricos tales como 3DES y AES.

Data integrity (Integridad de la información) significa que la información enviada entre dos dispositivos en una VPN debe de llegar tal cual fue enviada por el dispositivo emisor. En otras palabras, IPSec garantiza que la información, mientras esté en tránsito, no será modificada nivalterada. La integridad de la información en la práctica se logra a través de la implementación de técnicas de Hashing. Un Hash es una función matemática que no tiene inversa, por lo tanto, va partir del resultado no es posible —matemáticamente hablando — conseguir la información original. En IPSec podemos implementar Hashing utilizando algoritmos tales como MD5, SHA-1 y SHA-2.

Authentication (Autenticación) consiste en establecer mecanismos de seguridad para validar la identidad de los dispositivos envueltos en la transmisión de información a través de una VPN. En IPSec tenemos la opción utilizar diferentes mecanismos de autenticación como son: (1) Pre-share Key y (2) Digital Signature.

En la práctica, la implementación de IPSec como protocolo de VPN no es muy user-friendly. Requiere a priori un entendimiento muy detallado por parte del ingeniero de la intríngulis técnica de este protocolo que, de por sí, es complejo.

Una VPN IPSec requiere del establecimiento de dos túneles. El primero llamado IKE Phase 1 (Internet Key Exchange Fase 1) que es utilizado para que los routers se comuniquen directamente entre ellos. Este túnel no es utilizado para el envío de paquetes IP de los usuarios, sino más bien, para el intercambio información de control. Para que el túnel IKE Phase 1 pueda establecerse con éxito, ambos routers deben de estar de acuerdo en las siguientes variables:
  • Hash algorithm
  • Encryption algorithm
  • Diffie-Hellman DH group
  • Authentication method
  • Lifetime
 Después que ambos routers agotan con éxito la primera fase del IPSecIKE Phase 1 —, sí y solo sí se establece la segunda fase — IKE Phase 2 — donde se establece el túnel por donde viaja la información de los usuarios de manera encriptada.



Entonces teniendo como trasfondo la información anterior, vamos a explicar cómo podemos configurar una VPN Site to Site entre dos routers Cisco utilizando IPSec

 Para hacer el proceso de configuración un poco más fácil de entender, vamos a dividir el proceso de configuración en dos etapas: (1) ISAKMP 1; (2) ISAKMP 2 tanto para R1 como para R2. A los túneles IKE también se les llama ISAKMP.



Vamos a comenzar con la configuración de R1.

IKE ISAKMP Phase 1


Paso 1: configuración de ISAKMP Policy.


R1(config)#crypto isakmp policy 1
R1(config-isakmp)#encr 3des
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#lifetime 86400

Paso 2: definir la contraseña a utilizar entre los R1 y R2 como pre-share key.


R1(config)#crypto isakmp key cisco address 1.1.1.2

Paso 3: configuración de ACL


R1(config)# ip Access-list extended VPN-TRAFFIC
R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

IKE ISAKMP Phase 2

Paso 4: configurando IPSec Transform


R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

Paso 5: configuración de CRYPTO MAP


R1(config)# crypto map CMAP 10 ipsec-isakmp
R1(config-crypto-map)#set peer 1.1.1.2
R1(config-crypto-map)#set transform-set TS
R1(config-crypto-map)#match address VPN-TRAFFIC

Paso 6: aplicando Crypto MAP a una interface pública


R1(config)# interface Fastethernet 0/1
R1(config-if)#crypto map CMAP

El mismo procedimiento de configuración que aplicamos a R1 lo hacemos en R2 con ciertas modificaciones en cuanto a las direcciones IP.

Vamos a comenzar con la configuración de R2.

IKE ISAKMP Phase 1


Paso 1: configuración de ISAKMP Policy.


R2(config)#crypto isakmp policy 1
R2(config-isakmp)#encr 3des
R2(config-isakmp)#hash md5
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#group 2
R2(config-isakmp)#lifetime 86400

Paso 2: definir la contraseña a utilizer entre los R1 y R2 como pre-share key.


R2(config)#crypto isakmp key cisco address 1.1.1.1

Paso 3: configuración de ACL


R2(config)# ip Access-list extended VPN-TRAFFIC
R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255

IKE ISAKMP Phase 2


Paso 4: configurando IPSec Transform

R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

Paso 5: configuración de CRYPTO MAP

R2(config)# crypto map CMAP 10 ipsec-isakmp
R2(config-crypto-map)#set peer 1.1.1.1
R2(config-crypto-map)#set transform-set TS
R2(config-crypto-map)#match address VPN-TRAFFIC

Paso 6: aplicando Crypto MAP a una interface pública


R2(config)# interface Fastethernet 0/1
R2(config-if)#crypto map CMAP

Al aplicar esta configuración en R1 y R2 una VPN IPSec debe de funcionar perfectamente. Para comprobar que los paquetes IP provenientes de ambas redes LAN se envían a través del VPN debemos de ejecutar los siguientes comandos.

R1#ping 20.20.20.1 source FastEthernet 0/0
R1#show crypto session

Ahora en R2:

R2#ping 10.10.10.1 source FastEthernet 0/0
R2#show crypto session



Tomado de: http://blog.capacityacademy.com/2014/09/12/ccna-security-como-configurar-vpn-ipsec-site-to-site-en-cisco-router/