ASA Clientless SSL VPN (WebVPN)

ClientLess SSL VPN permite un acceso seguro pero limitado a la red corportiva desde cualquier ubicación utilizando para ello un navegador Web. La tecnologia SSL VPN puede ser utilizada de tres maneras posibles: Clientless SSL VPN, Thin-Client SSL VPN (Port Forwarding), and SSL VPN Client (SVC Tunnel Mode).Aqui nos centramos en la primera de ellas

Diagrama de Red

En este documento se utiliza esta configuración de la red:

webvpnasa1-1.gif

Continue reading “ASA Clientless SSL VPN (WebVPN)”

Cisco VPN SiteToSite con certificados y mscep

Os voy a poner un pequeño ejemplo de VPN site-to-site (voy a conectar las dos LAN) pero esta vez configurada con  certificados es decir voy a utilizar RSA en lugar de preshared keys.

Lo primero que tengo que hacer es montar una CA, en este caso una CA de Microsoft bajo Windows Server 2008 R2. En ella instalo los roles de Entidad de certificación, Inscripción web y NDES.

Continue reading “Cisco VPN SiteToSite con certificados y mscep”

DirectAccess

DirectAccess no es nada nuevo hoy en día. Esta semana en clase lo hemos estado probando virtualizando con Hyper-V los servidores y el resultado no ha sido del todo optimo.  No fue optimo porque tardaba bastante en obtener las ipV6 para el tunel y no siempre funcionaba bien, aunque en un par de laboratorios los montamos con y sin NAT y funcionaba perfectamente.

A mi personalmente no me gusta, y no me gusta por una cosa fundamentalmente. Dos ip publicas consecutivas al interfaz externo (ojo tiene que ser publicas), no lo veo muy practico sinceramente, teniendo en cuenta las diferentes formas de conexión VPN que te ofrece Windows Server 2008 R2, hablamos fundamentalmente de SSTP, pero tambien de L2TP y EAP.

Continue reading “DirectAccess”

CISCO ASA VPN sitio a sitio con PSK

La conexión VPN sitio a sitio con ASA no es muy distinta a la de un PIX o un router.
Pasos a dar:
1-Politica ISAKMP o IKE Phase1:

Authentication:PSK
Hash: MD5 oSHA
Encryption: DES,3DES,AES
Group: 1,2 o 5

2-IPSEC Transform set

3-Crypto ACL : Definicion de trafico interesante o iniciadores del tunel.

4-Definicion del Crypto Map

5-Aplicacion del Crypto Map al interfaz

Ejemplo:

asaConfiguracion del ASA A

 

Politica ISAKMP (IKE Phase1) 

ASA-A(config)#crypto isakmp policy 10

ASA-A(config-isakmp)#encryption des 

ASA-A(config-isakmp)#hash md5

ASA-A(config-isakmp)#authentication pre-share

ASA-A(config-isakmp)#group 2   

ASA-A(config-isakmp)#exit  

Clave compartida PSK

ASA-A(config)#crypto isakmp key office address 20.1.1.20

Lista de Acceso definiendo el trafico interesante

ASA-A(config)#access-list 100 permit ip host 20.1.1.10 host 20.1.1.20

Creacion del TransfromSet (IKE Phase2)

ASA-A(config)#crypto ipsec transform-set ts2 esp-des esp-md5-hmac

Creacion del Crypto Map

ASA-A(config)#crypto map imap 10 ipsec-isakmp 

ASA-A(config)# crypto map imap 10 match address 100   

ASA-A(config)# crypto map imap 10 set transform-set ts2

ASA-A(config)# crypto map imap 10 set peer 20.1.1.20 

Aplicamos el CryptoMap alinterfaz externo

ASA-A(config)# crypto map imap interface outside

 (Apply crypto map on outside interface)

ASA-A(config)# crypto isakmp enable outside

Configuration of ASA on side B 

ASA-B(config)#crypto isakmp policy 10

ASA-B(config-isakmp)#encryption des 

ASA-B(config-isakmp)#hash md5

ASA-B(config-isakmp)#authentication pre-share

ASA-B(config-isakmp)#group 2   

ASA-B(config-isakmp)#exit  

ASA-B(config)#crypto isakmp key office address 20.1.1.10

ASA-B(config)#access-list 100 permit ip host 20.1.1.20 host 20.1.1.10

ASA-B(config)#crypto ipsec transform-set ts2 esp-des esp-md5-hmac

ASA-B(config)#crypto map imap 10 ipsec-isakmp 

ASA-B(config)# crypto map imap 10 match address 100   

ASA-B(config)# crypto map imap 10 set transform-set ts2

ASA-B(config)# crypto map imap 10 set peer 20.1.1.10 

ASA-B(config)# crypto map imap interface outside 

ASA-B(config)# crypto isakmp enable outside

ASA-B(config)# ping 20.1.1.10

 

Cisco Tunnel GRE

 

Los tuneles GRE permiten enrutar a traves del tunel formando un tunel virtual con dos interfaces virtuales tunnel. Para formar el tunel ademas de definir los parametros tipicos de IPSEC como son:

IKE Phase 1:  isakmp policy

Autenticacion con PreShare

IKE Phase 2: transform set, crypto map y lista ACL trafico interesante.

En el interfaz tunnel defino la ip del mismo, asi como los extremos del tunnel, es decir el nombre del interfaz fisico por el que salgo y la ip del interfaz al que llego.

ciscovpn

Ejemplo de configuracion del POD1  en GRE:

!

hostname Router1

!

boot-start-marker

boot-end-marker

!

enable password cisco

!

no aaa new-model

!

resource policy

!

memory-size iomem 15

no network-clock-participate slot 1

no network-clock-participate wic 0

ip subnet-zero

ip cef

!

!

no ip dhcp use vrf connected

ip dhcp excluded-address 10.0.1.1 10.0.1.12

!

ip dhcp pool POD1_INSIDE

network 10.0.1.0 255.255.255.0

default-router 10.0.1.2

!

!

no ip ips deny-action ips-interface

no ip domain lookup

!

no ftp-server write-enable

!

!

!

username sdm privilege 15 password 0 sdm

!

!

!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key cisco1234 address 172.30.2.2

!

!

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

!

crypto map SDM_CMAP_1 1 ipsec-isakmp

description Tunnel to172.30.2.2

set peer 172.30.2.2

set transform-set ESP-3DES-SHA

match address 100

!

!

!

interface Tunnel0

ip address 172.16.1.1 255.255.255.0

ip mtu 1420

tunnel source FastEthernet0/1

tunnel destination 172.30.2.2

tunnel path-mtu-discovery

crypto map SDM_CMAP_1

!

interface FastEthernet0/0

description inside

ip address 10.0.1.2 255.255.255.0

duplex auto

speed auto

!

interface FastEthernet0/1

description outside

ip address 172.30.1.2 255.255.255.0

duplex auto

speed auto

crypto map SDM_CMAP_1

!

router eigrp 1

network 10.0.0.0

network 172.16.1.0 0.0.0.255

network 172.30.0.0

no auto-summary

no eigrp log-neighbor-changes

!

ip classless

!

ip http server

ip http authentication local

no ip http secure-server

!

access-list 100 remark SDM_ACL Category=4

access-list 100 permit gre host 172.30.1.2 host 172.30.2.2

access-list 100 remark LAN to LAN

access-list 100 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255

!

!

control-plane

!

!

!

!

line con 0

line aux 0

line vty 0 4

privilege level 15

password cisco

login local

transport input telnet ssh

!

!

end



Cisco Pix – VPN acceso remoto

Aunque los Cisco PIX estan en desuso y estan siendo sustituidos por los ASA, la verdad esq ue todavia estan presentes en muchos sitios como firewalls. El siguiente video muestra los pasos para la configuracion de un Cisco PIX utilizando la herramineta grafica ASDM del mismo.

httpv://www.youtube.com/watch?v=YuDbHCZwzlM

El video no esta mal, y sirve como introducion a proximos post de configuracion de VPN en PIX. En esos post os pondre soluciones con ASDM y con linea de comandos.


SSTP VPN Acceso Remoto

VPN SSTP es un  nuevo tipo de VPN de acceso remoto que permite una conexion VPN por SSL de HTTPS, o lo que es lo mismo encapsula trafico PPP sobre un canal SSL. Esto le permite atravesar Firewalls donde las conexiones VPN por PPTP o L2TP esten prohibidas. SSTP utilizara el puerto 443 para atravesar los firewalls y a traves de SSL tenemos cifrado,  autenticacion y negociacion de claves.

El funcionamiento es el siguiente:

Cuando un usuario en un equipo con Server 2008 o Vista SP1 inicia una conexion VPN SSTP sucede lo siguiente:

1.  EL cliente SSTP client establece una conexion TCP con el servidor SSTP entre un puerto dinamico del cliente y el puerto 443 del servidor.

2.   El cliente  SSTP envia un SSL Client-Hello , indicando que el cliente quiere crear una sesion SSL con el servidor.

3.   EL servidor  SSTP envia su certificado de maquina al cliente.

4.   El Cliente SSTP valida el certificado de equipo, determina el metodo de cifrado para la sesion SSL, genera una clave para la misma y cifra esta con la clave publica del certificado del servidor SSTP, y a continuacion lo envia al servidor.

5.   El servidor  SSTP descifra la clave de sesion SSL mandada por el cliente con su clave privada. Todas las comunicaciones posteriores se realizan ya con la nueva clave negociada.

6.   El cliente  SSTP envia una peticion de HTTP sobre SSL al servidor de SSTP.

7.   El cliente SSTP negocia un tunel SSTP con el servidor SSTP.

8.   El cliente SSTP negocia una conexion PPP con el servidor SSTP .Esta negociacion incluye  las credenciales de autenticacion del usuario, el metodo de autenticacion y la configuracion de IPv4 e IPv6.

9.   El cliente SSTP comienza a enviar trafico IPv4 o IPv6 sobre el enlace PPP.

Aqui os dejo un Step-By-Step de Microsoft Paginas Blancas.

Acceso Remoto por SSTP VPN


Vista-Iniciar sesion en un dominio Microsoft a traves de una conexion VPN

Para Inciar sesion en Windows Vista en un dominio de Microsoft utilizando una conexion VPN de acceso remoto a un dominio de Microsoft, debemos inicialmente el configurar dicha conexion como disponible para cualquier usuario. Si no lo hemos hecho en un principio cuando se creo, lo que hay que hacer es hacer como si nos fueramos a conectar y en la pantalla donde me pide usuario y contraseña marcar la casilla .

Pantalla configuracion Inicial:

vpn1

vpn2

Una vez echo esto cuando os ponéis a iniciar sesión si le dais al botón Otro usuario os aparece en el lado derecho un pequeño icono con dos pequeños PC, le dais y os pide la autenticación para la VPN y listo.