Configuración PPP
-
Comandos de Configuración de PPP
-
Autenticación del PPP
Resumen
Se explica las opciones de configuración del PPP (Autenticación, Compresión, Detección de errores, Devolución de llamada PPP, Multienlace) así como los comando de configuración básica de PPP: encapsulation ppp.
Se verifica la configuración de PPP con el comando show interfaces serial y show ppp multilink.
Por último se detalla los protocolos de autenticación PPP: Protocolo de autenticación de contraseña (PAP) y Protocolo de autenticación de intercambio de señales (CHAP), junto con la configuración de la autenticación PPP.
Se detalla cómo configurar la encapsulación PPP en un enlace serial punto a punto. Además, se explica los comandos de configuración de protocolos de autenticación PPP.
Tabla de Contenido
1. Opciones de configuración del PPP
En la sección anterior, se presentaron las opciones configurables de LCP para satisfacer los requisitos específicos de las conexiones WAN. PPP puede incluir las siguientes opciones de LCP:
- Autenticación: los routers peers intercambian mensajes de autenticación. Las dos opciones de autenticación son: el protocolo de autenticación de contraseña (PAP, Password Authentication Protocol) y el protocolo de autenticación de intercambio de señales (CHAP, Challenge Handshake Authentication Protocol).
- Compresión: aumenta el rendimiento eficaz en las conexiones PPP al reducir la cantidad de datos que se deben transferir en la trama a través del enlace. El protocolo descomprime la trama al llegar a su destino. Dos protocolos de compresión disponibles en los routers Cisco son Stacker y Predictor.
- Detección de errores: identifica fallas. Las opciones de calidad y número mágico contribuyen a asegurar el establecimiento de un enlace de datos confiable y sin bucles. El campo de número mágico ayuda a detectar enlaces que se encuentran en una condición de loop back.
- Devolución de llamada PPP: la devolución de llamada PPP se usa para mejorar la seguridad. Con esta opción de LCP, un router Cisco puede funcionar como cliente o servidor de devolución de llamada. El comando es ppp callback [accept | request].
- Multienlace: esta alternativa proporciona balanceo de carga a través de las interfaces del router que PPP utiliza. El protocolo PPP multienlace, también conocido como MP, MPPP, MLP o multienlace, proporciona un método para propagar el tráfico a través de varios enlaces WAN físicos a la vez que proporciona la fragmentación y el rearmado de paquetes, la secuenciación adecuada, la interoperabilidad con varios proveedores y el balanceo de carga del tráfico entrante y saliente.
Cuando se configuran las opciones, se inserta el valor de campo correspondiente en el campo de opción de LCP.
2. Comando de configuración básica de PPP
2.1. Comando para habilitación de PPP en una interfaz
Para establecer PPP como el método de encapsulación que usa una interfaz serial, utilice el comando de configuración de interfaz encapsulation ppp.
El siguiente ejemplo habilita la encapsulación PPP en la interfaz serial 0/0/0:
R3# configure terminal R3(config)# interface serial 0/0/0 R3(config-if)# encapsulation ppp
El comando de interfaz encapsulation ppp no tiene ningún argumento. Recuerde que si no se configura PPP en un router Cisco, la encapsulación predeterminada para las interfaces seriales es HDLC.
En la Imagen 1, se muestra que los routers R1 y R2 se configuraron con una dirección IPv4 y una dirección IPv6 en las interfaces seriales. PPP es una encapsulación de capa 2 que admite varios protocolos de capa 3, incluidos IPv4 e IPv6.
2.2. Comandos de compresión de PPP
La compresión de software de punto a punto en las interfaces seriales se puede configurar después de que se habilita la encapsulación PPP. Dado que esta opción invoca un proceso de compresión de software, puede afectar el rendimiento del sistema.
En la Imagen 2, se muestra la sintaxis del comando compress.
Para configurar la compresión a través de PPP, introduzca los siguientes comandos:
R3(config)# interface serial 0/0/0 R3(config-if)# encapsulation ppp R3(config-if)# compress [ predictor | stac ]
2.3. Comando de control de calidad del enlace PPP
Recuerde que LCP proporciona una fase optativa de determinación de la calidad del enlace. En esta fase, LCP prueba el enlace para determinar si la calidad de este es suficiente para usar protocolos de capa 3.
El comando ppp quality percentage asegura que el enlace cumpla con el requisito de calidad establecido; de lo contrario, el enlace queda inactivo.
Los porcentajes se calculan para las direcciones entrantes y salientes.
- La calidad de salida se calcula comparando la cantidad total de paquetes y bytes enviados con la cantidad total de paquetes y bytes que recibe el nodo de destino.
- La calidad de entrada se calcula comparando la cantidad total de paquetes y bytes recibidos con la cantidad total de paquetes y bytes que envía el nodo de destino.
Si el porcentaje de la calidad del enlace no se mantiene, el enlace se considera de baja calidad y se desactiva. El control de calidad del enlace (LQM) implementa un retraso de tiempo de modo que el enlace no rebote de un lado a otro.
El siguiente ejemplo de configuración controla los datos descartados en el enlace y evita que las tramas formen bucles, como se muestra en la Imagen 3:
R3(config)# interface serial 0/0/0 R3(config-if)# encapsulation ppp R3(config-if)# ppp quality 80
2.4. Comandos de PPP multienlace
El protocolo PPP multienlace (también conocido como MP, MPPP, MLP o multienlace) proporciona un método para propagar el tráfico a través de varios enlaces WAN físicos.
Además, el protocolo PPP multienlace proporciona la fragmentación y el rearmado de paquetes, la secuenciación adecuada, la interoperabilidad con varios proveedores y el balanceo de carga del tráfico entrante y saliente.
- MPPP permite fragmentar los paquetes y enviarlos simultáneamente a la misma dirección remota a través de varios enlaces punto a punto. Todos los enlaces físicos se activan en respuesta a un umbral de carga definido por el usuario.
- MPPP puede medir la carga solo en el tráfico entrante o solo en el tráfico saliente, pero no la carga combinada del tráfico entrante y saliente.
La configuración de MPPP requiere dos pasos, como se muestra en la Imagen 4.
Paso 1. Cree un grupo multienlace.
- El comando interface multilink number crea la interfaz de multienlace.
- En el modo de configuración de interfaz, se asigna una dirección IP a la interfaz de multienlace. En este ejemplo, se configuran direcciones IPv4 e IPv6 en los routers R3 y R4.
- La interfaz está habilitada para el protocolo PPP multienlace.
- Se asigna un número de grupo multienlace a la interfaz.
Paso 2. Asigne las interfaces al grupo multienlace.
Cada interfaz que forma parte del grupo multienlace tiene las siguientes características:
- Habilitada para la encapsulación PPP.
- Está habilitada para el protocolo PPP multienlace.
- Está vinculada al grupo multienlace mediante el número de grupo multienlace configurado en el paso 1.
3. Verificación de la configuración de PPP
Utilice el comando show interfaces serial para verificar la configuración de la encapsulación PPP o HDLC. El resultado del comando en la Imagen 5 muestra una configuración PPP.
Cuando configure HDLC, el resultado del comando show interfaces serial debe mostrar encapsulation HDLC. Cuando se configura PPP, también se muestran los estados de LCP y NCP. Observe que los protocolos NCP IPCP e IPV6CP están abiertos para IPv4 e IPv6, ya que el R1 y el R2 se configuraron con direcciones IPv4 e IPv6.
En la siguiente tabla, se resumen los comandos que se usan para verificar PPP.
Comandos | Descripción |
---|---|
show interfaces | Muestra estadísticas de todas las interfaces configuradas en el router. |
show interfaces serial | Muestra información sobre una interfaz serial. |
show ppp multilink | Muestra información sobre una interfaz PPP multienlace. |
El comando show ppp multilink verifica que el protocolo PPP multienlace esté habilitado en el R3, como se muestra en la Imagen 6.
El resultado indica la interfaz Multilink 1, los nombres de host de las terminales locales y remotas, y las interfaces seriales asignadas al grupo multienlace.
4. Protocolos de autenticación PPP
PPP define un protocolo LCP extensible que permite la negociación de un protocolo de autenticación para autenticar a los peers antes de permitir que los protocolos de capa de red transmitan por el enlace. RFC 1334 define dos protocolos para la autenticación, PAP y CHAP, los cuales se muestran en la Imagen 7.
- PAP es un proceso bidireccional muy básico. No hay cifrado. El nombre de usuario y la contraseña se envían en texto no cifrado. Si se acepta, se permite la conexión.
- CHAP es más seguro que PAP. Implica un intercambio de tres vías de un secreto compartido.
La fase de autenticación de una sesión PPP es optativa. Si se utiliza, se autentica el peer después de que LCP establece el enlace y elige el protocolo de autenticación. Si se utiliza, la autenticación ocurre antes de que comience la fase de configuración del protocolo de capa de red.
Las opciones de autenticación requieren que la parte del enlace que llama introduzca la información de autenticación. Esto contribuye a asegurar que el usuario tenga permiso del administrador de red para realizar la llamada. Los routers pares intercambian mensajes de autenticación.
4.1. Protocolo de autenticación de contraseña (PAP)
Una de las diversas características de PPP es que realiza la autenticación de capa 2 además de otras capas de autenticación, de cifrado, de control de acceso y de procedimientos de seguridad generales.
Inicio de PAP
PAP proporciona un método simple para que un nodo remoto establezca su identidad mediante un enlace bidireccional. PAP no es interactivo.
Cuando se utiliza el comando ppp authentication pap, se envía el nombre de usuario y la contraseña como un paquete de datos LCP, en lugar de que el servidor envíe una solicitud de inicio de sesión y espere una respuesta.
Una vez que PPP completa la fase de establecimiento del enlace, el nodo remoto envía repetidamente un par de nombre de usuario y contraseña a través del enlace hasta que el nodo receptor lo confirma o finaliza la conexión.
Finalización de PAP
En el nodo receptor, un servidor de autenticación que permite o deniega la conexión verifica el nombre de usuario y la contraseña. Se devuelve un mensaje de aceptación o rechazo al solicitante.
PAP no es un protocolo de autenticación seguro. Mediante PAP, las contraseñas se envían a través del enlace en texto no cifrado, y no existe protección contra los ataques de reproducción o los ataques repetidos de prueba y error. El nodo remoto tiene el control de la frecuencia y la temporización de los intentos de inicio de sesión.
No obstante, hay momentos en los que se justifica el uso de PAP. Por ejemplo, a pesar de sus limitaciones, PAP se puede utilizar en los siguientes entornos:
- Una gran base instalada de aplicaciones cliente que no admiten CHAP
- Incompatibilidades entre las distintas implementaciones de CHAP de los proveedores
- Situaciones en las que una contraseña de texto no cifrado debe estar disponible para simular un inicio de sesión en el host remoto
4.2. Protocolo de autenticación de intercambio de señales (CHAP)
Una vez que se establece la autenticación con PAP, no se vuelve a autenticar. Esto deja la red vulnerable a los ataques. A diferencia de PAP, que autentica solo una vez, CHAP realiza desafíos periódicos para asegurar que el nodo remoto siga teniendo un valor de contraseña válido. El valor de contraseña varía y cambia de manera impredecible mientras existe el enlace.
Una vez completa la fase de establecimiento del enlace PPP, el router local envía un mensaje de desafío al nodo remoto:
El nodo remoto responde con un valor calculado mediante una función de hash unidireccional, que suele ser la síntesis del mensaje 5 (MD5), según la contraseña y el mensaje de desafío:
El router local compara la respuesta con su propio cálculo del valor de hash esperado. Si los valores coinciden, el nodo de inicio reconoce la autenticación. Si el valor no coincide, el nodo de inicio finaliza la conexión de inmediato.
CHAP proporciona protección contra los ataques de reproducción mediante el uso de un valor de desafío variable que es exclusivo e impredecible.
Como la comprobación es única y aleatoria, el valor hash resultante también es único y aleatorio. El uso de comprobaciones reiteradas limita el tiempo de exposición ante cualquier ataque.
5. Encapsulación y proceso de autenticación del PPP
El diagrama de flujo de la Imagen 13 se puede utilizar para ayudar a comprender el proceso de autenticación PPP al configurar este protocolo. El diagrama de flujo proporciona un ejemplo visual de las decisiones lógicas que toma PPP.
- Por ejemplo, si una solicitud de PPP entrante no requiere autenticación, PPP avanza al siguiente nivel. Si una solicitud de PPP entrante requiere autenticación, se puede autenticar con la base de datos local o un servidor de seguridad.
- Como se muestra en el diagrama de flujo, si la autenticación es correcta, avanza al siguiente nivel; en cambio, si se produce una falla de autenticación, se desconecta y se descarta la solicitud de PPP entrante.
5.1. Configuración de la autenticación PPP
Para especificar el orden en que se solicitan los protocolos CHAP o PAP en la interfaz, utilice el comando de configuración de interfaz ppp authentication. Utilice la versión no de este comando para deshabilitar esta autenticación.
ppp authentication {chap | chap pap | pap chap | pap} [if-needed] [list-name | default] [callin]
Parámetro | Descripción |
---|---|
chap | Habilita CHAP en una interfaz serial. |
pap | Habilita PAP en una interfaz serial. |
chap pap | Habilita CHAP y PAP y realiza la autenticación de CHAP antes que la de PAP. |
pap chap | Habilita CHAP y PAP y realiza la autenticación de PAP antes que la de CHAP. |
if-needed (optativo) | Usado con TACACS y XTACACS. No realice la autenticación CHAP o PAP si el usuario ya ha proporcionado la autenticación. Esta opción está disponible sólo en interfaces asíncronas. |
list-name (optativo) | Usado con AAA/TACACS+. Especifica el nombre de una lista de métodos de autenticación TACACS+ para usar. Si no se especifica ningún nombre de lista, el sistema utiliza el valor predeterminado. Las listas se crean con el comando aaa authentication ppp. |
default (optativo) | Usado con AAA/TACACS+. Se crea con el comando aaa authentication ppp. |
callin | Especifica la autenticación sólo en las llamadas entrantes (recibidas). |
Comprobación de Identidad
Después de habilitar la autenticación CHAP o PAP, o ambas, el router local requiere que el dispositivo remoto compruebe su identidad antes de permitir que fluya el tráfico de datos. Esto se hace de la siguiente manera:
- La autenticación PAP requiere que el dispositivo remoto envíe un nombre y una contraseña para compararlos con una entrada coincidente en la base de datos de nombres de usuario local o en la base de datos remota TACACS/TACACS+.
- La autenticación CHAP envía un desafío al dispositivo remoto. El dispositivo remoto debe cifrar el valor del desafío con un secreto compartido y devolver el valor cifrado y su nombre al router local en un mensaje de respuesta. El router local utiliza el nombre del dispositivo remoto para buscar el secreto correspondiente en el nombre de usuario local o la base de datos remota TACACS/TACACS+. Utiliza el secreto que buscó para cifrar el desafío original y verificar que los valores cifrados coincidan.
Se puede habilitar tanto PAP como CHAP. Si ambos métodos están habilitados, se solicita el primer método especificado durante la negociación del enlace. Si el peer sugiere usar el segundo método o simplemente rechaza el primero, se debe probar con el segundo método.
5.2. Configuración de PPP con autenticación
El procedimiento descrito en la tabla explica cómo configurar la encapsulación PPP y los protocolos de autenticación PAP y CHAP. La configuración correcta es fundamental, ya que CHAP y PAP utilizan estos parámetros para autenticar.
Configuración de la autenticación PAP
En la Imagen 14, se muestra un ejemplo de configuración de autenticación PAP bidireccional. Ambos routers se autentican entre sí, por lo que los comandos de autenticación PAP se reflejan.
El nombre de usuario y la contraseña PAP que envía cada router deben coincidir con los especificados con el comando username name password password del otro router.
PAP proporciona un método simple para que un nodo remoto establezca su identidad mediante un enlace bidireccional. Esto se realiza solo en el establecimiento del enlace inicial. El nombre de host en un router debe coincidir con el nombre de usuario que el otro router configuró para PPP. Las contraseñas también deben coincidir. Para especificar los parámetros de nombre de usuario y contraseña, utilice el siguiente comando: ppp sent-username name password password.
Configuración de la autenticación CHAP
CHAP verifica periódicamente la identidad del nodo remoto mediante un protocolo de enlace de tres vías. El nombre de host en un router debe coincidir con el nombre de usuario que configuró el otro router.
Las contraseñas también deben coincidir. Esto ocurre en el establecimiento del enlace inicial y se puede repetir en cualquier momento después de que se estableció el enlace.
Finalmente, en la Imagen 1, se muestra un ejemplo de una configuración CHAP.