Escolar Documentos
Profissional Documentos
Cultura Documentos
2º Ano/ 1º Semestre
Ficha de Trabalho nº 10
1
Segurança Ficha 10 (2023/2024)
Tabela de endereçamento
Dispositiv Máscara de
o Interface Endereço IP Sub-Rede Gateway padrão Porta do Switch
R1
G0/0/0 10.1.1.1 255.255.255.252 N/D N/D
R2 G0/0/0 10.1.1.2 255.255.255.252 N/D N/D
R2
G0/0/1 10.2.2.2 255.255.255.252 N/D N/D
R3 G0/0/1 192.168.3.1 255.255.255.0 N/D S3 F0/5
R3
G0/0/0 10.2.2.1 255.255.255.252 N/D N/D
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1 S1 F0/6
PC-C NIC 192.168.3.3 255.255.255.0 192.168.3.1 S3 F0/18
Blank Line, No additional information
Objetivos
Histórico/Cenário
As VPNs podem fornecer um método seguro de transmissão de dados através de uma rede pública,
como a Internet. As conexões VPN podem ajudar a reduzir os custos associados às linhas alugadas. As
VPNs de site a site normalmente fornecem um túnel seguro (IPsec ou outro) entre uma filial e um
escritório central. Outra implementação comum da tecnologia VPN é o acesso remoto a um escritório
corporativo a partir de um local de teletrabalho, como um pequeno escritório ou escritório doméstico.
Neste laboratório, você construirá e configurará uma rede do multi-roteador, usará o Cisco IOS para
configurar um IPSec VPN do site a site, e então testará a VPN. O túnel IPsec VPN é de R1 a R3 através
do R2. OR2 atua como um pass-through e não tem conhecimento da VPN. O IPsec fornece transmissão
segura de informações confidenciais através de redes desprotegidas, como a Internet. O IPsec atua na
camada de rede e protegendo e autenticando pacotes IP entre os dispositivos IPsec participantes
(pares), tais como o Roteadores Cisco.
Nota: Os roteadores usados com laboratórios práticos são Cisco 4221 com uma versão 16.9.6 do Cisco
IOS XE (imagem universersalk9). Os switches usados nos laboratórios são Cisco Catalyst 2960+ com a
versão Cisco IOS 15.2 (7) (imagem lanbasek9). Outros roteadores, switches e versões do Cisco IOS
podem ser usados. De acordo com o modelo e a versão do Cisco IOS, os comandos disponíveis e a
saída produzida poderão variar em relação ao que é mostrado nos laboratórios. Consulte a Tabela de
resumo de interfaces dos roteadores no final do laboratório para saber quais são os identificadores de
interface corretos.
2
Segurança Ficha 10 (2023/2024)
Nota: Antes de começar, verifique se os roteadores e os comutadores foram apagados e não têm
configurações de inicialização.
Recursos necessários
3
Segurança Ficha 10 (2023/2024)
c. Crie uma conta admin01 local usando admin01pass para a senha. Use o algoritmo de hash tipo 9
(SCRYPT).
4
Segurança Ficha 10 (2023/2024)
d. Configure as linhas vty em R1 e R3 para usar o banco de dados local para login. O acesso remoto ao
Roteadores só deve ser permitido usando SSH. Configure as linhas vty para fazer logout após cinco
minutos de inatividade.
5
Segurança Ficha 10 (2023/2024)
Nota: Se você não pode executar este comando no roteador, você deve promover à imagem IOS
que inclui os serviços criptográficos da Cisco.
b. Estabeleça uma política ISAKMP e visualize as opções disponíveis.
Para permitir a negociação IKE Fase 1, você deve criar uma política ISAKMP e configurar uma
associação de par para essa política ISAKMP. Uma política ISAKMP define os algoritmos de
autenticação e criptografia e a função hash usada para enviar tráfego de controle entre os dois
valores-limite VPN. Quando uma associação de segurança ISAKMP foi aceita pelos pares IKE, a
fase 1 de IKE foi concluída. Os parâmetros da fase 2 de IKE serão configurados mais tarde.
Emita o comando crypto isakmp policy number global configuration mode no R1 para a política 10.
R1(config)# crypto isakmp policy 10
c. Veja os vários parâmetros IKE disponíveis usando a ajuda do Cisco IOS digitando um ponto de
interrogação (?).
R1(config-isakmp)# ?
ISAKMP commands:
authentication Set authentication method for protection suite
default Set a command to its defaults
encryption Set encryption algorithm for protection suite
exit Exit from ISAKMP protection suite configuration mode
group Set the Diffie-Hellman group
hash Set hash algorithm for protection suite
lifetime Set lifetime for ISAKMP security association
no Negate a command or set its defaults
6
Segurança Ficha 10 (2023/2024)
a. Cada endereço IP que é usado para configurar os pares IKE é referido igualmente como o endereço
IP de Um ou Mais Servidores Cisco ICM NT do valor-limite VPN remoto. Configurar a chave pré-
compartilhada do cisco123 no roteador R1. As redes de produção devem usar uma chave complexa.
Este comando aponta para o endereço IP remoto do peer R3 G0/0/0 .
R1(config)# crypto isakmp key cisco123 address 10.2.2.1
b. Configure the pre-shared key cisco123 on router R3. O comando para R3 aponta para o endereço IP
R1 S0/0/0.
R3(config)# crypto isakmp key cisco123 address 10.1.1.1
7
Segurança Ficha 10 (2023/2024)
b. Em R1 e R3, crie um conjunto de transformação com etiqueta R1-R3 e use uma transformação ESP
com uma cifra AES 256 com ESP e a função hash SHA. Os conjuntos de transformação devem
combinar em ambas as extremidades da VPN.
R1(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac
R1(cfg-crypto-trans)# exit
c. Você pode igualmente mudar a vida da associação de segurança IPsec do padrão de 3600
segundos. No R1 e no R3, defina a vida da associação de segurança IPsec a 30 minutos, ou 1800
segundos.
R1(config)# crypto ipsec security-association lifetime seconds 1800
8
Segurança Ficha 10 (2023/2024)
Pergunta:
O IPsec avalia se as listas de acesso são espelhadas como uma exigência para negociar sua
associação de segurança?
Digite suas respostas aqui.
b. Use o comando match address <access-list> para especificar qual lista de acesso define qual
tráfego criptografar.
R1(config-crypto-map)# match address 101
c. Para ver a lista de possíveis comandos set que você pode fazer com um mapa de criptografia, use a
função de ajuda.
R1(config-crypto-map)# set ?
identity Identity restriction.
ip Interface Internet Protocol config commands
isakmp-profile Specify isakmp Profile
nat Set NAT translation
peer Allowed Encryption/Decryption peer.
pfs Specify pfs settings
reverse-route Reverse Route Injection.
security-association Security association parameters
transform-set Specify list of transform sets in priority order
d. É necessário definir um IP de peer ou nome de host. Defina-o para a interface de endpoint VPN
remota do R3 usando o seguinte comando.
R1(config-crypto-map)# set peer 10.2.2.1
e. Use o comando set transform-set tag para codificar o conjunto de transformação a ser usado com
este par. Defina o tipo de sigilo de encaminhamento perfeito usando o comando set pfs type e
modifique o tempo de vida da associação de segurança IPsec padrão com o comando set security-
association lifetime seconds seconds .
R1(config-crypto-map)# set pfs group24
9
Segurança Ficha 10 (2023/2024)
10
Segurança Ficha 10 (2023/2024)
a. Use o comando show crypto map indicar os mapas de criptografia que serão aplicados ao roteador.
R1# show crypto map
Crypto Map IPv4 "CMAP" 10 ipsec-isakmp
Peer = 10.2.2.1
Extended IP access list 101
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
Current peer: 10.2.2.1
Security association lifetime: 4608000 kilobytes/900 seconds
Responder-Only (Y/N): N
PFS (Y/N): Y
DH group: group24
Mixed-mode : Disabled
Transform sets={
R1-R3: {esp-256-aes esp-sha-hmac},
}
Interfaces using crypto map CMAP:
GigabitetherNet0/0
11
Segurança Ficha 10 (2023/2024)
GigabitetherNet0/0
Nota: A saída destes comandos show não muda se o tráfego interessante atravessa a conexão.
Você testa vários tipos de tráfego na próxima tarefa.
interface: Gigabitethernet0/0/0
Crypto map tag: CMAP, local addr 10.1.1.1
inbound ah sas:
12
Segurança Ficha 10 (2023/2024)
outbound ah sas
Pergunta:
Por que nenhum SAs foi negociado?
Digite suas respostas aqui.
Pergunta:
Foi criada uma SA para esses pings? Explique.
Digite suas respostas aqui.
e. Emita o comando debug ip ospf hello. Você deve ver pacotes de saudação OSPF passando entre
R1 e R3.
R1# debug ip ospf hello
OSPF hello events debugging is on
R1#
*Apr 7 18:04:46.467: OSPF: Send hello to 224.0.0.5 area 0 on GigabitEthernet0/1
from 192.168.1.1
*Apr 7 18:04:50.055: OSPF: Send hello to 224.0.0.5 area 0 on Serial0/0/0 from
10.1.1.1
*Apr 7 18:04:52.463: OSPF: Rcv hello from 10.2.2.2 area 0 from Serial0/0/0 10.1.1.2
*Apr 7 18:04:52.463: OSPF: End of hello processing
*Apr 7 18:04:55.675: OSPF: Send hello to 224.0.0.5 area 0 on GigabitEthernet0/1
from 192.168.1.1
*Apr 7 18:04:59.387: OSPF: Send hello to 224.0.0.5 area 0 on Serial0/0/0 from
10.1.1.1
*Apr 7 18:05:02.431: OSPF: Rcv hello from 10.2.2.2 area 0 from Serial0/0/0 10.1.1.2
*Apr 7 18:05:02.431: OSPF: End of hello processing
Pergunta:
Um SA foi criado entre R1 e R3? Explique.
13
Segurança Ficha 10 (2023/2024)
Perguntas:
Por que um SA foi criado entre R1 e R3 desta vez?
Digite suas respostas aqui.
i. Ping do PC-A ao PC-C e emita então o comando show crypto ipsec sa.
Pergunta:
Quantos pacotes foram transformados entre R1 e R3?
Digite suas respostas aqui.
interface: Gigabitethernet0/0/0
Crypto map tag: CMAP, local addr 10.1.1.1
14
Segurança Ficha 10 (2023/2024)
inbound ah sas:
outbound ah sas
Pergunta:
Que outros tipos de tráfego resultariam em uma formação de SA e estabelecimento de túneis?
Digite suas respostas aqui.
15
Segurança Ficha 10 (2023/2024)
Reflexão
O tráfego no link Gigabit Ethernet entre PC-A e a relação R1 G0/0 seria cifrado pelo túnel IPsec VPN do
site a local? Explique.
Digite suas respostas aqui.
16