Cisco IOS Security: GETVPN

      No Comments on Cisco IOS Security: GETVPN

Cisco IOS Security: GETVPN

Hace algunos días un ex compañero tenia algunas dudas sobre GETVPN una tecnología de VPN muy poco vista … y es por eso que a continuación veremos de que trata y como configurarlo.

GETVPN o Group Encrypted Transport VPN es una tecnología VPN túnel inferior o sea que no utiliza túneles la cual proporciona seguridad de extremo a extremo para el tráfico de red en un modo nativo y mantenimiento la inteligencia de la red como conexiones full-mesh, routing, QOS. GETVPN Utiliza la capacidad de la red de núcleo para poder enrutar y replicar los paquetes entre diferentes sitios dentro de la empresa. Por lo tanto, es en gran medida adecuado para una empresa que se encuentre corriendo sobre una MPLS. También es adecuado para encriptar tráfico multicast. Una implementación de  GETVPN tiene esencialmente tres componentes que son los siguientes:

  • Key Server (KS)
  • Group Member (GM)
  • Group Domain of Interpretation (GDOI)

Los GM realizan las tareas de encriptación y desencriptación del tráfico y el KS distribuye la llave de encriptación hacia todos los miembros del grupo. Debido a que todos los GM usan la misma llave, cualquier GM puede desencriptar el tráfico encriptado por otro GM. GDOI es un protocolo usado entre el KS y los GM.GDOI no depende de nadie más que de IKE o la fase1 para proteger la distribución de claves,, al igual que con las VPN IPSec tradicionales es posible utilizar métodos como claves pre compartidas o también PKI para la autenticación de IKE. GDOI implementa dos llaves de encriptación diferentes; Key Encryption key (KEK) es utilizada para asegurar el plano de control, mientras que la llave utilizada para la encriptación de datos es la Traffic Encryption Key (TEK).

Ahora a revisar la configuración con el siguiente escenario, en donde tenemos un KS con IP 10.0.1.2, dos GM (R1 y R2) y enrutamiento OSPF en toda la red. Los host poseen la IP 192.168.1.10 y 192.168.2.10 respectivamente.

getvpn-diag

Configuración del KEY Server

Configuración de la fase 1 o perfil de ISAKMP o IKEv1 con la clave pre compartida

ks1

Configuración del perfil IPSec o fase 2 con su respectivo transform-set

ks2

Configuración del dominio de encriptación el cual especifica el tráfico que debe ser protegido

ks3

Generación de las llaves RSA que serán usadas para la autenticación Rekey

ks4

Configuración del crypto GDOI

ks5

Configuración y aplicación del crytpo map a la interface designada

ks6

Configuración del miembro de grupo (GM) R1 y R2

Configuración de la fase 1 o perfil de ISAKMP o IKEv1 con la clave pre compartida

gm1

Configuración del crypto GDOI

gm2

Configuración y aplicación del crytpo map a la interface designada

gm3

Se puede observar que al momento de aplicar el crypto map  a la interface, empieza el proceso de registro contra el key server 10.0.1.2

gm4

Con esto tenemos configurados nuestro KS y los dos GM por lo cual nos falta realizar las pruebas, procedemos con generar un ping entre los host, a continuación los resultados.

verificación de los security association

ts1

Verificación de la información del KS

ts2

Verificación del grupo GDOI

ts3

Bueno estimados, con esto concluimos la parte de ‘Cisco IOS Security: GETVPN‘, espero que una vez más haya sido de su agrado 😀