Practica Calificada 2

Erick Israel Meza Tineo – U22302325

Configuracion VPN en router CAPITAL:

Router(config-if)#no shutdown

Router(config-if)#

%LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up

Router(config-if)#exit

Router(config)#interface Serial0/0/1

Router(config-if)#ip address 209.165.200.230 255.255.255.0

Router(config-if)#ip address 209.165.200.230 255.255.255.252

Router(config-if)#no shutdown

Router(config-if)#

%LINK-5-CHANGED: Interface Serial0/0/1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up

Router(config-if)#exit

Router(config)#ip route 0.0.0.0 0.0.0.0 s0/0/1

%Default route without gateway, if not a point-to-point interface, may impact performance

Router(config)#

Router(config)#license boot module c1900 technology-pack securityk9

PLEASE READ THE FOLLOWING TERMS CAREFULLY. INSTALLING THE LICENSE OR

LICENSE KEY PROVIDED FOR ANY CISCO PRODUCT FEATURE OR USING SUCH

PRODUCT FEATURE CONSTITUTES YOUR FULL ACCEPTANCE OF THE FOLLOWING

TERMS. YOU MUST NOT PROCEED FURTHER IF YOU ARE NOT WILLING TO BE BOUND

BY ALL THE TERMS SET FORTH HEREIN.

Use of this product feature requires an additional license from Cisco,

together with an additional payment. You may use this product feature

on an evaluation basis, without payment to Cisco, for 60 days. Your use

of the product, including during the 60 day evaluation period, is

subject to the Cisco end user license agreement

http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html

If you use the product feature beyond the 60 day evaluation period, you

must submit the appropriate payment to Cisco for the license. After the

60 day evaluation period, your use of the product feature will be

governed solely by the Cisco end user license agreement (link above),

together with any supplements relating to such product feature. The

above applies even if the evaluation license is not automatically

terminated and you do not receive any notice of the expiration of the

evaluation period. It is your responsibility to determine when the

evaluation period is complete and you are required to make payment to

Cisco for your use of the product feature beyond the evaluation period.

Your acceptance of this agreement for the software features on one

product shall be deemed your acceptance with respect to all such

software on all Cisco products you purchase which includes the same

software. (The foregoing notwithstanding, you must purchase a license

for each software feature you use past the 60 days evaluation period,

so that if you enable a software feature on 1000 devices, you must

purchase 1000 licenses for use past the 60 day evaluation period.)

Activation of the software command line interface will be evidence of

your acceptance of this agreement.

ACCEPT? [yes/no]: yes

% use 'write' command to make license boot config take effect on next boot

Router(config)#: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL: Module name = C1900 Next

reboot level = securityk9 and License = securityk9

copy run start

% Invalid input detected at '^' marker.

Router(config)#end

Router#

%SYS-5-CONFIG_I: Configured from console by console

Router#copy run start

Destination filename [startup-config]?

Building configuration...

[OK]

Router#reload

Proceed with reload? [confirm]

System Bootstrap, Version 15.1(4)M4, RELEASE SOFTWARE (fc1)

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 2010 by cisco Systems, Inc.

Total memory size = 512 MB - On-board = 512 MB, DIMM0 = 0 MB

CISCO1941/K9 platform with 524288 Kbytes of main memory

Main memory is configured to 64/-1(On-board/DIMM0) bit mode with ECC disabled

Readonly ROMMON initialized

program load complete, entry point: 0x80803000, size: 0x1b340

program load complete, entry point: 0x80803000, size: 0x1b340

IOS Image Load Test

___________________

Digitally Signed Release Software

program load complete, entry point: 0x81000000, size: 0x2bb1c58

Self decompressing the image :

########################################################################## [OK]

Smart Init is enabled

smart init is sizing iomem

TYPE MEMORY_REQ

HWIC Slot 0 0x00200000 Onboard devices &

buffer pools 0x01E8F000

-----------------------------------------------

TOTAL: 0x0268F000

Rounded IOMEM up to: 40Mb.

Using 6 percent iomem. [40Mb/512Mb]

Restricted Rights Legend

Use, duplication, or disclosure by the Government is

subject to restrictions as set forth in subparagraph

(c) of the Commercial Computer Software - Restricted

Rights clause at FAR sec. 52.227-19 and subparagraph

(c) (1) (ii) of the Rights in Technical Data and Computer

Software clause at DFARS sec. 252.227-7013.

cisco Systems, Inc.

 170 West Tasman Drive

San Jose, California 95134-1706

Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1(4)M4, RELEASE SOFTWARE
(fc2)

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 1986-2012 by Cisco Systems, Inc.

Compiled Thurs 5-Jan-12 15:41 by pt_team

Image text-base: 0x2100F918, data-base: 0x24729040

This product contains cryptographic features and is subject to United

States and local country laws governing import, export, transfer and

use. Delivery of Cisco cryptographic products does not imply

third-party authority to import, export, distribute or use encryption.

Importers, exporters, distributors and users are responsible for

compliance with U.S. and local country laws. By using this product you

agree to comply with applicable laws and regulations. If you are unable

to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:

http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to

export@cisco.com.

Cisco CISCO1941/K9 (revision 1.0) with 491520K/32768K bytes of memory.

Processor board ID FTX152400KS

2 Gigabit Ethernet interfaces

2 Low-speed serial(sync/async) network interface(s)

DRAM configuration is 64 bits wide with parity disabled.

255K bytes of non-volatile configuration memory.

249856K bytes of ATA System CompactFlash 0 (Read/Write)

Press RETURN to get started!

Router>ip local pool P

%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, chang

Router>

Router>ip local PoolVPN 192.168.2.100 192.168.2.115

% Invalid input detected at '^' marker.

Router>en

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#ip local PoolVPN 192.168.2.100 192.168.2.115

% Invalid input detected at '^' marker.

Router(config)#ip local pool PoolVPN 192.168.2.100 192.168.2.115

Router(config)#aaa new-model

Router(config)#aaa authentication login UserVPN local

Router(config)#aaa authorization network GroupVPN local

Router(config)#username uservpn secret ciscovpn

Router(config)#crypto isakmp policy 100

Router(config-isakmp)#encrypt aes 256

Router(config-isakmp)#hash sha

Router(config-isakmp)#authentication pre-share

Router(config-isakmp)#group 5

Router(config-isakmp)#lifetime 3600

Router(config-isakmp)#exit

Router(config)#crypto iskmp client config

% Invalid input detected at '^' marker.

Router(config)#crypto isakmp client config

% Incomplete command.

Router(config)#crypto isakmp client config group GroupVPN

Router(config-isakmp-group)#key ciscogroupvpn

Router(config-isakmp-group)#pool PoolVPN

Router(config-isakmp-group)#exit

Router(config)#crypto ipsec transform-set SetVPN esp-aes esp-sha-hmac

Router(config)#crypto dynamic-map DynamicVPN 100

Router(config-crypto-map)#set transform-set SetVPN

Router(config-crypto-map)#reverse-route

Router(config-crypto-map)#exit

Router(config)#crypto map StaticMap client configuration address respond

Router(config)#crypto map StaticMap client authentication list UserVPN

Router(config)#crypto map StaticMap client isakmp authorization list GroupVPN

% Invalid input detected at '^' marker.

Router(config)#crypto map StaticMap isakmp authorization list GroupVPN

Router(config)#crypto map StaticMap 20 ipsec-isakmp dynamic DynamicVPN

Router(config)#int s0/0/1
Router(config-if)#crypto map StaticMap

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Parametros de conexion

Conexión a servidor desde provincia a Capital

 1. Explique la información técnica de la infraestructura de interconexión actual con que cuenta la
empresa, de acuerdo a la lectura indicada contextualice.

En el caso que plantea la lectura, la empresa se encuentra en un proceso de transformación digital que
busca mejorar su infraestructura tecnológica para garantizar la transmisión segura de información,
incluyendo datos e imágenes, entre sus 487 oficinas registrales y notariales a nivel nacional.

Su infraestructura actualmente está dividida por zonas geográficas y compuestas por grupos de oficinas
que manejan grandes números de transacciones. Esto permite una implementación gradual y controlada
de la nueva infraestructura tecnológica para asegurar una adaptación efectiva de los procesos, hasta el
momento, están interconectadas el 88% de las oficinas, es decir, 430 de las 487 en total. Esto indica que
la mayoría de las oficinas registrales y notariales ya están conectadas de alguna manera. La
interconexión ha permitido que los procesos de certificación de trámites tengan garantía jurídica, lo que
sugiere que la infraestructura tecnológica actual garantiza la integridad y la autenticidad de los datos y
documentos involucrados en estos procesos legales, además, permite realizar backup a la información a
nivel de base de datos. Esto es fundamental para asegurar la disponibilidad de los datos en caso de fallos
en la red o en los servidores locales.

En la lectura se hace énfasis en la implementación de una conexión segura especialmente en casos que
involucran trámites bancarios, donde se requiere una conexión directa y constante con entidades
bancarias con transmisiones cifradas y medidas de seguridad adecuadas, para esto se tiene planeado
implementar una VPN a nivel de la capital. Esto se plantea como una solución para las oficinas que no
están interconectadas y que experimentan problemas. Una VPN proporcionaría una conexión segura y
privada a través de Internet para estas oficinas.

2. Explique la situación actual de las oficinas en lo concerniente a los dispositivos de interconexión,

de acuerdo a la lectura indicada contextualice.

Según la lectura, hasta ahora se ha logrado conectar el 88% de las oficinas de la empresa, lo que implica
que la mayoría de las 487 oficinas registradas y notariales en todo el país ya están interconectadas de
alguna manera. Sin embargo, no se ofrece información detallada sobre los dispositivos o tecnologías
utilizados para esta interconexión, el 12% restante de las oficinas sin conexión se ubica principalmente
en distritos o provincias. Estas 57 oficinas (11 registradas y 46 notariales) carecen de la misma
infraestructura de conexión que las ya conectadas, lo que podría generar dificultades en la prestación de
servicios y en la actualización de datos y procesos. Para abordar esta brecha en la interconexión, la
empresa necesita implementar una VPN en la capital, aunque no se proporciona información específica
sobre los dispositivos a utilizar en esta implementación. No obstante, se destaca que esta solución es
fundamental para las oficinas que aún no están interconectadas.
 3. Establecer las políticas de seguridad, operatividad y mantenimiento de la plataforma de la VPN,
a ser implementadas en el centro de datos.

Políticas de Seguridad:

Se empleará el protocolo AAA con el fin de asegurar una autenticación robusta y la autorización de
usuarios. El acceso a la VPN requerirá autenticación de dos factores (2FA), se establecerán directrices
para contraseñas sólidas y se exigirá el cambio periódico de las mismas. Las contraseñas serán
resguardadas de manera segura y se aplicarán técnicas de hash para su protección.

Todo el tráfico de la VPN será encriptado mediante protocolos seguros como IPsec o SSL/TLS. Se
emplearán certificados digitales para garantizar la autenticación del servidor VPN y la integridad de los
datos, además, se instalarán firewalls en el perímetro de la red para supervisar el flujo de datos
entrantes y salientes.

Se configurarán políticas de filtrado de paquetes para bloquear el tráfico no autorizado. Se llevarán a

cabo actualizaciones periódicas de firmas de amenazas para proteger contra ataques conocidos, se
mantendrá un registro exhaustivo de todas las actividades en la VPN. Revisiones periódicas de los
registros se efectuarán para detectar actividades sospechosas.

Políticas de operatividad:

La VPN estará en funcionamiento 24/7, se implementará redundancia en servidores y dispositivos para

asegurar la continuidad del servicio, también, se mantendrá una lista actualizada de usuarios
autorizados, revocando el acceso de inmediato cuando sea necesario y se efectuarán copias de
seguridad regulares de la configuración de la VPN y de las políticas de seguridad.

Políticas de mantenimiento:

Se aplicarán parches y actualizaciones de seguridad de manera periódica para mantener los sistemas
seguros., se implementará un sistema de monitoreo para supervisar el rendimiento y la seguridad de la
VPN junto con una configuración de alertas para notificar posibles problemas o intentos de acceso no
autorizado y para fortalecer y asegurar el funcionamiento de estas políticas se llevarán a cabo pruebas
regulares de continuidad y recuperación en caso de desastres para garantizar la disponibilidad de la VPN
en caso de fallos.

4. Explique las actividades para la implementación (adquisición y configuración del hardware) de la

VPN en la infraestructura de red para las oficinas.
Para esta nueva implementación se debe realizar por etapas, ya que requiere una previa planificación
para su implementación, pruebas y puesta en marcha

 Planificación y Diseño:
1. Evaluar las demandas de la entidad, que incluyen la cantidad de usuarios, la extensión de las
oficinas y las previsiones de tráfico necesarias.
2. Elegir la tecnología VPN más idónea, ya sea IPsec o SSL/TLS, basándose en los
requerimientos de seguridad y el desempeño requerido.
3. Elaborar un diseño de la infraestructura de red que englobe servidores VPN, componentes
de red, servidores AAA de autenticación y cortafuegos.
4. Definir la configuración de la red, teniendo en cuenta la ubicación de los servidores VPN y
los dispositivos perimetrales.

 Adquisición de Hardware:
1. Adquirir los servidores VPN, dispositivos de red como routers y switches, servidores AAA
para la autenticación, autorización y auditoría, así como los dispositivos de seguridad
perimetral, como firewalls, es esencial.
2. Es importante verificar que el hardware cumpla con los estándares de rendimiento y
seguridad definidos en la etapa de planificación.

 Configuración de Servidores VPN:

1. Realizar la configuración de los servidores VPN utilizando la tecnología seleccionada, como
la configuración de un servidor VPN IPsec o un servidor VPN SSL/TLS.
2. Definir políticas de seguridad que abarquen aspectos como la encriptación de datos, los
procedimientos de autenticación y las reglas de acceso.
3. Establecer la configuración de certificados digitales con el fin de asegurar la autenticación
del servidor y la integridad de los datos.

 Configuración de Dispositivos de Red:

1. Realizar la configuración de los dispositivos de red, como routers y switches, de manera que
dirijan el tráfico de la VPN de manera apropiada.
2. Definir directrices de firewall y políticas de filtrado de paquetes en los dispositivos de
seguridad perimetral con el propósito de salvaguardar el acceso a la VPN.

 Configuración de Servidores AAA:

 1. Configurar los servidores AAA, como servidores RADIUS o TACACS+, para administrar la
autenticación y la autorización de los usuarios de la VPN.
2. Definir políticas de acceso y roles de usuario en los servidores AAA.

 Tests y validaciones:
1. Ejecutar pruebas exhaustivas en la VPN para asegurarse de su funcionamiento óptimo.
2. Verificar la autenticación, autorización y el cifrado de datos.
3. Simular diversos escenarios de uso para evaluar el rendimiento y la seguridad de la VPN.

 Documentación y Capacitación:
1. Elaborar documentación detallada que incluya los procedimientos de configuración y las
políticas de seguridad de la VPN.
2. Realizar capacitación al personal de TI y a los usuarios finales sobre el uso seguro de la VPN.

 Prueba Piloto:
1. Realizar una implementación piloto en un entorno controlado o en una oficina de prueba
para evaluar el rendimiento y abordar problemas antes de implementar en todas las
oficinas.

 Implementación en PRD:
1. Ampliar la configuración de la VPN a todas las oficinas de la organización, siguiendo las
mejores prácticas y la configuración validada durante la fase piloto.

 Monitoreo y Mantenimiento Continuo:

1. Establecer un sistema de monitoreo constante para supervisar el rendimiento y la seguridad
de la VPN.
2. Realizar actualizaciones de hardware y software según sea necesario y gestione parches de
seguridad.