CCNA Security Módulo 8
Fecha: 7/7/2010 Instructor: Ernesto Vilarrasa
Escenario: tenemos un escenario de dos sucursales conectadas a internet mediante
routers con NAT y túneles GRE, ya que éstos permiten el tráfico multicast, y este
escenario utiliza EIGRP debido a su rapidez de convergencia.
Configuración de equipos: el router ISP sólo tiene las IP correspondientes, su configuración no
afecta el escenario debido a que no tenemos control sobre equipos de un ISP.
Cordoba#sh runn
Building configuration...
!
hostname Cordoba
!
interface Tunnel0 generamos la interfaz virtual
ip address 192.168.0.2 255.255.255.252 le
asignamos una IP, en este caso privada
tunnel source
FastEthernet0/1
tunnel
destination 200.45.0.1 definimos el final del túnel
(IP del peer)
!
interface FastEthernet0/0
ip address 192.168.20.1 255.255.255.0 dirección
de gateway de los host LAN
ip nat inside definimos estado del NAT
!
interface FastEthernet0/1
ip address
200.69.216.1 255.255.255.252 dirección IP de internet
ip
nat outside definimos estado del NAT
!
router eigrp 100 enrutamiento sólo las redes privadas
network 192.168.0.0
0.0.0.3 túnel
network
192.168.20.0 red local
no
auto-summary
!
ip nat inside source list 1 interface FastEthernet0/1
overload conversión NAT
ip route 0.0.0.0 0.0.0.0
200.69.216.2 ruta por defecto
!
access-list 1 permit
192.168.20.0 0.0.0.255 tráfico interesante para NAT
!
end
Rosario#sh running-config
Building configuration...
!
hostname Rosario
!
interface Tunnel0
ip address
192.168.0.1 255.255.255.252
tunnel source
FastEthernet0/1
tunnel
destination 200.69.216.1
!
interface FastEthernet0/0
ip
address 192.168.10.1 255.255.255.0
ip nat inside definimos estado del NAT
!
interface FastEthernet0/1
ip address
200.45.0.1 255.255.255.252
ip
nat outside definimos estado del NAT
!
router eigrp 100 enrutamiento sólo las redes privadas
network 192.168.0.0
0.0.0.3 túnel
network
192.168.10.0 local
no
auto-summary
!
ip nat inside source list 1 interface FastEthernet0/1
overload conversión NAT
ip route 0.0.0.0 0.0.0.0
200.45.0.2 ruta por defecto
!
access-list 1 permit
192.168.10.0 0.0.0.255 tráfico interesante para NAT
!
ip dhcp excluded-address 192.168.10.1 dirección no afectada al DHCP
!
ip dhcp pool DHCP pool
para los clientes LAN
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
!
end
Verificación:
Rosario#sh ip route
Gateway of last resort is 200.45.0.2 to network
0.0.0.0
192.168.0.0/30
is subnetted, 1 subnets
C
192.168.10.0/24 is directly connected, FastEthernet0/0
D
192.168.20.0/24
[90/26882560] via 192.168.0.2, 00:02:39, Tunnel0
200.45.0.0/30 is subnetted, 1 subnets
C
200.45.0.0 is directly connected, FastEthernet0/1
S* 0.0.0.0/0 [1/0] via 200.45.0.2
Rosario#
Cordoba# show ip route
Gateway of last resort is 200.69.216.2 to network
0.0.0.0
192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C
192.168.20.0/24 is directly connected, FastEthernet0/0
200.69.216.0/30 is subnetted, 1 subnets
C
200.69.216.0 is directly connected, FastEthernet0/1
S* 0.0.0.0/0
[1/0] via 200.69.216.2
Cordoba#sh int tunnel 0
Tunnel0 is up, line protocol is up (connected)
Hardware is
Tunnel
Internet
address is 192.168.0.2/30
MTU 1476
bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 1/255, rxload
1/255
Encapsulation
TUNNEL, loopback not set
Keepalive not
set
Tunnel source
200.69.216.1 (FastEthernet0/1), destination 200.45.0.1
Tunnel
protocol/transport GRE/IP
Key
disabled, sequencing disabled
Checksumming of packets disabled
Tunnel TTL
255
Fast
tunneling enabled
Tunnel
transport MTU 1476 bytes
---resumido---
C:\>tracert
192.168.10.2
Tracing route to 192.168.10.2 over a maximum of 30
hops:
1 78 ms
31 ms 31 ms 192.168.20.1
2 94 ms
93 ms 93 ms 192.168.0.1 túnel
GRE
3 *
125 ms 110 ms 192.168.10.2
Trace complete.
Ahora conectamos un switch en la conexión outside y corremos un sniffer para captrar el
tráfico entre sucursales, configuramos el monitoreo de puertos (SPAN, capítulo 6):
Switch(config)#monitor session 1 source
interface Fa0/1 interfaz conectada a Córdoba
Switch(config)#monitor session 1 destination
interface Fa0/10 interfaz conectada al Wireshark
Aquí obsevamos lo siguiente: un update EIGRP informando sobre la ruta a 192.168.20.0/24
también vemos el origen real del paquete: 200.69.216.1 y el origen del paquete encapsulado:
192.168.0.2 también vemos ambos destinos, reales y tunelados, y que es un paquete GRE
(Generic Routing Encapsulation)
Podemos generar un túnel IP Sec junto con el túnel GRE para proteger el tráfico de usuarios, y el tráfico
de enrutamiento viajará sin protección.
También podemos darle autenticación MD5 al enrutamiento para evitar spoofing, con esto las actualizaciones
EIGRP no se encriptan, pero se autentica con un hash para verificar de quien envía la data es quien dice ser.
Cordoba#conf t la misma configuración para Rosario
Cordoba(config)#key
chain AAAEIGRP nombre del grupo de claves
Cordoba(config-keychain)#key
1 pueden utilizarse varios juegos de claves, en
este caso uno
Cordoba(config-keychain-key)#key-string
Clave12345 configuramos la clave de autenticación
Cordoba(config-keychain-key)#exit
Cordoba(config-keychain)#exit
Cordoba(config)#int tunnel 0
Cordoba(config-if)#ip
authentication mode eigrp 100 md5 configuramos
modo de autenticación
Cordoba(config-if)#ip authentication key-chain
eigrp 100 AAAEIGRP utilizamos el grupo AAAEIGRP
Cordoba(config-if)#end
Cordoba# sh ip route si aparecen rutas tipo D en la tabla de rutas anterior es
porque ambos
routers confían entre
ellos
Aquí vemos un update EIGRP sobre las redes generadas para tal fin: 192.168.30.0 y 40.0/24 mediante interfaces
Loopback, esta vez con autenticación MD5.
En este PC que captura tráfico, no podríamos inyectar paquetes EIGRP en el túnel sin hash generado mediante el
key correspondiente.
(2010) Crazy tales to sleep by uncle Ernest
Rosario, Argentina