Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Crear un nuevo artículo
1023
Visitas
5
ÚTIL
0
Comentarios

Creación de VPN Sitio a Sitio con Certificados Digitales

Julio E. Moisa
VIP
VIP

‎07-26-2019 06:04 PM - editado ‎08-06-2019 03:56 PM

Buen día,

Por este medio deseo compartir un documento sobre la creación de VPN sitio a sitio en routers utilizando certificados digitales.

 

Saludos,

Cisco VPN Sitio-a-Sitio con Certificado Digital

1.png

Las VPNs o Virtual Private Networks han sido soluciones o conexiones que hemos venido utilizando por mucho tiempo, para transmitir y proteger información a través de redes propias o externas que se encuentran entre sitios remotos, y también con el fin de evitar ciertos tipos de ataques como por ejemplo Man-In-The-Middle.


Existen muchos tipos de VPNs: Sitio-a-Sitio, GETVPN, EZVPN, RA VPN, FlexVPN, etc. Todos los tipos de VPN funcionan muy bien y se les puede aplicar métodos de autenticación para fortalecer la protección de los datos que pasan a través de sus túneles; estos métodos son aplicados junto con IPSec:
- Pre-shared-key
- Certificado digital


Pre-Shared-Key es un tipo de autenticación comúnmente utilizada, pero cuenta con poca escalabilidad, ya que se deben configurar manualmente la llave en cada dispositivo que participara en la conexión VPN. Aplicar este tipo de autenticación es menos complicado y puede ser sugerido para pocas conexiones de VPN.


Certificados digitales es tipo de autenticación escalable, cuenta con un mecanismo centralizado donde los certificados se encuentran en un dispositivo conocido como: autoridad certificada (CA), este puede ser un servidor, firewall o incluso un router que cuente con el licenciamiento o capacidades correctas. Los dispositivos que conforman la conexión VPN deben poder tener conectividad con el servidor CA para obtener a través de los certificados toda la información para autenticación, a estos certificados se les puede aplicar tiempo de caducidad para optimizar la protección.


Basado en lo que hemos conversado previamente, procederemos a realizar nuestra configuración basada en la siguiente topología:

2.png

La topología cuenta una nube central que si se desea simular puede ser un router que interconecte a R1, R2 y el servidor CA.
R1 y R2 serán los routers que crearán la conexión VPN y protegerán la comunicación entre la LAN1 y LAN2.


Ambos routers tendrán conectividad al servidor CA para poder obtener el certificado con la información sobre la autenticación a utilizar en la fase 1.

 

CONFIGURACIONES
Configuración del servidor CA y R1 – R2
Asumiendo los routers se encuentran ya pre-configurados, iniciaremos con la configuración del servidor CA y R1 – R2. Las loopbacks 0 representaran las redes LAN.
Pre configuraciones:

R1
interface Loopback0
ip address 172.16.0.1 255.255.255.0
interface Ethernet0/0
ip address 140.0.0.2 255.255.255.252
ip route 0.0.0.0 0.0.0.0 140.0.0.1


R2
interface Loopback0
ip address 192.168.10.1 255.255.255.0
interface Ethernet0/0
ip address 150.0.0.2 255.255.255.252
ip route 0.0.0.0 0.0.0.0 150.0.0.1


Servidor-CA
interface Ethernet0/0
ip address 70.70.70.2 255.255.255.252
ip route 0.0.0.0 0.0.0.0 70.70.70.1

 

Si desea continuar leyendo el documento, por favor revisé el archivo adjunto aquí.

Vista previa de archivo
941 KB
Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:

Navegue y encuentre contenido personalizado de la comunidad

Videos de Seguridad Blogs de Seguridad Otros Eventos de Seguridad
Customers Also Viewed These Support Documents