Ccnp Securite VPN

VPN (Virtual Private Networks)
ccnp_cch
Sommaire
Prsentation des VPN
Scnarios VPN
Choix de technologies VPN VPN termes cls IPSec Prsentation du systme de cryptage de l'IOS Cisco Cryptage Technologies IPSec Taches de configuration IPSec
ccnp_cch
Prsentation des VPN
Un VPN transporte du trafic priv sur un rseau public en utilisant du cryptage et des tunnels pour obtenir: La confidentialit des donnes L'intgrit des donnes L'authentification des utilisateurs
Un rseau priv virtuel (VPN) est dfini comme une connectivit rseau dploye sur une infrastructure partage avec les mmes politiques de scurit que sur un rseau priv. Un VPN peut tre entre deux systmes d'extrmit ou entre deux ou plusieurs rseaux. Un VPN est construit en utilisant des tunnels et du cryptage. Un VPN peut tre construit au niveau de n'importe quelle couche du modle OSI. Un VPN est une infrastructure WAN alternative aux rseaux privs qui utilisent des lignes loues ou des rseaux d'entreprise utilisant Fame Relay ou ATM.
ccnp_cch
Prsentation des VPN
Un VPN transporte du trafic priv sur un rseau public en utilisant du cryptage et des tunnels pour obtenir: La confidentialit des donnes Intgrit des donnes L'authentification des utilisateurs
Les VPNs fournissent trois fonctions essentielles: - Confidentialit (cryptage) - L'metteur peut crypter les paquets avant de les transmettre dans le rseau. - Par ce moyen, si la communication est intercepte les donnes ne pourront pas tre lues. - Intgrit des donnes - Le rcepteur peut vrifier si les donnes n'ont pas t altres lors de leur passage dans le rseau. - Authentification - Le rcepteur peut authentifier la source du paquet, garantissant et certifiant la source de l'information.
ccnp_cch 4
Prsentation des VPN

Conventionnel
Site Central
VPN
Site Central
Frame Relay
Internet
Rseau Frame Relay Frame Relay Site distant Cot lev Peu flexible Gestion WAN Topologies complexes
Internet
Frame Relay Rseau Frame Relay Frame Relay
Tunnel VPN Site distant
Faible cot Plus flexible Gestion simplifie Topologie tunnel
Les principaux avantages sont: - Les VPNs amnent des cots plus faibles que les rseaux privs. - Les cots de la connectivit LAN-LAN sont rduits de 20 40 pourcent par rapport une ligne loue. . - Les VPNs offrent plus de flexibilit et d'volutivit que des architectures WAN classiques
ccnp_cch 5
Prsentation des VPN

Conventionnel
Site Central
VPN
Site Central
Frame Relay
Internet
Rseau Frame Relay Frame Relay Site distant Cot lev Peu flexible Gestion WAN Topologies complexes
Internet
Frame Relay Rseau Frame Relay Frame Relay
Tunnel VPN Site distant
Faible cot Plus flexible Gestion simplifie Topologie tunnel
Les principaux avantages sont: - Les VPNs simplifient les tches de gestion compar la l'exploitation de sa propre infrastructure de rseau. - Les VPNs fournissent des topologies de rseaux avec tunnels qui rduisent les taches de gestion. - Un backbone IP n'utilise pas les circuits virtuels permanents (PVCs) avec des protocoles orients connexion tels ATM et Frame Relay.
ccnp_cch 6
Prsentation des VPN

Rseau Virtuel Tunneling
Rseau Priv
Cryptage
Cryptage
Message Crypt
Dcryptage
Un rseau virtuel est cre en utilisant la capacit de faire transporter un protocole par un autre (Tunnel) sur une connexion IP standard. GRE (Generic Routing Encapsulation) et L2TP (Layer 2 Tunneling Protocol) sont deux mthodes de "tunneling" et sont toutes les deux configurables sur les routeurs Cisco. La troisime mthode, IPSec est galement configurable sur les routeurs Cisco. Un rseau priv assure la Confidentialit, l'Intgrit et l'Authentification. Le cryptage des donnes et le protocole IPSec permettent aux donnes de traverser Internet avec la mme scurit que sur un rseau priv.
ccnp_cch 7
Prsentation des VPN

Tunneling et Cryptage
Tunnel
Infos Cryptage

Message Crypt Dcryptage
Infos
Un tunnel est une connexion point point virtuelle Un tunnel transporte un protocole l'intrieur d'un autre Le cryptage transforme les informations en texte chiffr Le dcryptage restore les informations partir du texte chiffr
Bien que Internet ait offert de nouvelles opportunits aux entreprises, il a aussi cre une grande dpendance des rseaux et un besoin de protection contre une grande varit de menaces sur la scurit. La fonction principale d'un VPN est d'offrir cette protection avec du cryptage au travers d'un tunnel.
ccnp_cch 8
Prsentation des VPN

Tunnel
Infos Cryptage

Infos
Les tunnels fournissent des connexions logiques point point au travers d'un rseau IP en mode non-connect. Ceci permet d'utiliser des fonctionnalits de scurit amliores. Les Tunnels des solutions VPN emploient le cryptage pour protger les donnes pour qu'elles ne soient pas lisibles par des entits non-autorises et l'encapsulation multiprotocole si cela est ncessaire.
ccnp_cch 9
Prsentation des VPN

Tunnel
Infos Cryptage

Infos
Le cryptage assure que le message pourra pas tre lu et compris uniquement par le receveur Le cryptage transforme une information en un texte chiffr sans signification sous sa forme crypte. Le dcryptage restore le texte chiffr en information originale destine au receveur.
ccnp_cch 10
Scnarios VPN
Routeur Routeur PC Routeur/Concentrateur
Routeur plusieurs routeurs
PC Pare-Feu
ccnp_cch
11
Scnarios VPN
Partenaire Fournisseur
Entreprise
AAA
Oprateur B
Oprateur A
Agence
DMZ
Serveurs Web Serveur DNS Relais Mail SMTP

Utilisateur Mobile ou Tltravailleur Service Distant
Agence Rgionale
Un rseau bas uniquement sur des connexions fixes entre des sites d'entrprises tels que des agences locales ou rgionales avec un site central n'est plus suffisant aujourd'hui pour beaucoup d'entreprises. Des options de connexions avec des clients , des partenaires commerciaux dans un systme plus ouvert sont des ajouts aux connexions rseau standards.
ccnp_cch 12
Scnarios VPN
Accs Distants Clients DSL Cable
Tltravailleur Tltravailleur
Site Central
Sites Distants DSL Cable Modem
Site Central
POP
Internet
POP
Internet
POP
Intranet Extranet Business Extranet B to B
Mobile
Intranet
Il y a deux types d'accs VPN: - Initi par le client - Des utilisateurs distants utilisent des clients VPN pour tablir un tunnel scuris au travers d'un rseau d'oprateur avec une entreprise. - Initi par le serveur d'accs Rseau - Les utilisateurs distants se connectent un oprateur - Le serveur d'accs distant tablit un tunnel scuris vers le rseau priv de l'entreprise qui doit pouvoir supporter de multiples sessions distantes inities par un utilisateur.
ccnp_cch
13
Scnarios VPN
VPN initi par le client
Accs Distants Clients Site Central
DSL Cable
POP
Tltravailleur
Internet
POP
Mobile
Extranet Business
Les VPNs site site ont aussi deux fonctions principales:

- Les VPNs Intranet connectent des sites centraux d'entreprise, des sites distants, des agences au travers d'une infrastructure publique. - Les VPNs Extranets relient des clients, des fournisseurs, des partenaires commerciaux un intranet d'entreprise au travers d'une infrastructure publique.
ccnp_cch
14
Scnarios VPN
Accs Distants Clients
Site Central
DSL Cable
POP
Tltravailleur
Internet
POP
Mobile
Extranet Business
L' accs distant est cibl pour les utilisateurs mobiles ou les tltravailleurs.
Les entreprises supportaient les utilisateurs distants via des rseaux d'accs par appel. - Ce scnario ncessitait un appel payant ou un numro vert pour accder l'entreprise.
Avec l'arrive des VPNs, les utilisateurs mobiles peuvent se connecter leur oprateur pour accder l'entreprise via Internet quelque soit l'endroit ou ceux-ci se trouvent. Les accs distants VPN peuvent satisfaire les besoins des utilisateurs mobiles, des clients Extranet, des tltravailleurs, etc....
ccnp_cch
15
Scnarios VPN
Accs Distants Clients
Site Central
DSL Cable
POP
Tltravailleur
Internet
POP
Mobile
Extranet Business
Les VPNs Accs distant sont une extension des rseaux d'accs distants par appel. Les VPNs Accs distant peuvent se terminer sur des quipements frontaux tels que les routeurs Cisco, les pare-feu PIX ou les concentrateurs VPN. Les clients accs distant peuvent tre des routeurs Cisco et des clients VPN Cisco.
ccnp_cch 16
Scnarios VPN
VPN initi par le serveur d'accs
Site Central
Sites Distants DSL Cable Modem
POP
Tltravailleur
Internet
Intranet
Intranet
Extranet B to B
Un VPN site site peut tre utilis pour connecter des sites d'entreprise. Des lignes loues ou une connexion Frame Relay taient ncessaires mais aujourd'hui toutes les entreprises ont un accs Internet. Un VPN peut supporter des intranets de l'entrprise et des extranets des partenaires commerciaux Les VPNs site site peuvent tre construits avec des routeurs Cisco, des pare-feu PIX et des concentrateurs VPN.
ccnp_cch
17
Choix de technologies VPN

Cryptage dans plusieurs couches
SSH S/MIME Application Couches (5-7) SSL Couche Transport Couche Rseau IPSec
Couche Application
Rseau/ Transport Couches (3-4)

Physique/ Liaison Couches (1-2)
Cryptage Couche Liaison
Diffrentes mthodes pour la protection de VPN sont implmentes sur diffrentes couches. Fournir de la protection et des services de cryptographie au niveau de la couche application tait trs utilis dans le pass et l'est toujours pour des cas trs prcis.
ccnp_cch
18

Couche Application

L'IETF a un protocole bas sur des standards appel S/MIME ( Secure/Multipurpose Internet Mail Extensions) pour des applications VPNs gnres par diffrents composants d'un systme de communication. - Agents de transfert de message, passerelles,... Cependant, la scurit au niveau de la couche application est spcifique l'application et les mthodes de protection doivent tre implmentes chaque nouvelle application.
ccnp_cch
19

Couche Application

Des standards au niveau de la couche transport ont eu beaucoup de succs Le protocole tel SSL (Secure Socket Layer) fournit de la protection, de l'authentification de l'intgrit aux applications bases sur TCP. SSL est communment utilis par les sites de e-commerce mais manque de flexibilit, n'est pas facile implmenter et dpend de l'application.
ccnp_cch 20

Couche Application

La protection aux niveau des couches basses du modle t aussi utilise dans les systmes de communication, spcialement par la couche liaison. - Cette protection au niveau de la couche liaison fournissait une protection indpendante du du protocole sur des les liaisons non-scurises. - La protection au niveau de la couche liaison cote cher car elle doit tre ralise pour chaque liaison. - Elle n'exclut pas l'intrusion au moyen de stations intermdiaires ou de routeurs et de plus est trs souvent propritaire.
ccnp_cch 21

Application Couches (5-7) Couche Rseau Rseau/ Transport Couches (3-4) Physique/ Liaison Couches (1-2) IPSec GRE L2F L2TP PPTP
Protocoles VPN
L2TP GRE IPSec
Description
Layer 2 tunneling Protocol Generic Routing Encapsulation Unternet Protocol Security
Standard
RFC 2661 RFC 1701 et 2784 RFC 2401
Un ensemble de technologies de couche rseau sont disponibles pour permettre le tunneling de protocoles au travers de rseaux pour raliser des VPNs. Les trois protocoles de tunneling les plus utiliss sont: - L2TP ( Layer 2 Tunneling Protocol) - GRE ( Generic Routing Encapsulation par Cisco) - IPSec (IP Security)
ccnp_cch 22

L2TP - Layer 2 Tunneling Protocol
Application Couches (5-7) Couche Rseau Rseau/ Transport Couches (3-4) IPSec L2F L2TP PPTP
GRE
Avant le standard L2TP (Aot 1999), Cisco utilisait L2F (Layer 2 Forwarding) comme protocole de tunneling propritaire. - L2TP est compatible avec L2F - L2F n'est pas compatible avec L2TP L2TP est une combinaison de Cisco L2F et Microsoft PPTP - Microsoft supporte PPTP dans les anciennes versions de Windows et PPTP/L2TP dans Windows NT/2000.
ccnp_cch
23

L2TP - Layer 2 Tunneling Protocol
Application Couches (5-7)
Couche Rseau
Rseau/ Transport Couches (3-4) Physique/ Liaison Couches (1-2)
IPSec
GRE
L2F L2TP PPTP
L2TP est utilis pour crer un VPDN (Virtual Private Dial Network) multiprotocole et indpendant du mdia. L2TP permet aux utilisateurs d'invoquer des politiques de scurit au travers de toute liaison VPN ou VPDN comme une extension de leur propre rseau interne. L2TP ne fournit pas de cryptage et peut tre supervis par un analyseur de rseau.
ccnp_cch
24

Cisco GRE (Generic Routing Encapsulation)
Ce protocole transpoteur multiprotocole encapsules IP, CLNP et tout autre paquet de protocole dans des tunnels IP. Avec le tunneling GRE, un routeur Cisco encapsule chaque extrmit les paquets de protocole avec un en-tte IP crant une liaison virtuelle point point avec l'autre routeur Cisco l'autre extrmit du rseu IP. En connectant des rseaux d'extrmit multiprotocoles avec un backbone IP, le tunneling IP permet l'expansion du rseau au travers du backbone IP. GRE ne fournit pas de cryptage et peut tre supervis par un analyseur de rseau.
25
ccnp_cch

IPSec (IP Security protocol)
IPSec est un bon choix pour scuriser les VPNs d'entreprise IPSEc est un cadre de standards ouverts qui fournissent la confidentialit, l'intgrit et l'authentification des donnes entre deux extrmits. IPSec fournit ces services de scurit en utilisant IKE (Internet Key Exchange) pour grer la ngociation de protocoles et d'algorithmes base sur une politique locale et de gnrer les cls d'authentification et de cryptage devant tre utilises par IPSec.
ccnp_cch
26

Choix de la meilleure technologie
Oui
Trafic Utilisateur
IP seul?
Non Utilisez un Tunnel GRE ou L2TP
Non
Unicast seul?
Oui
Utilisez un VPN IPSec
Slectionnez la meilleure technologie VPN pour fournir une connectivit rseau selon les besoins du trafic.
Le diagramme ci-dessus montre le processus de choix d'un tunneling de couche rseau bas sur les difrents scnarios de VPN.
ccnp_cch 27

Choix de la meilleure technologie
IPSEc est le meilleur choix pour scuriser des VPNs d'entreprise. - Malheureusement IPSec supporte uniquement le trafic IP unicast. - Si les paquets IP unicast doivent tre encapsuls dans un tunnel, l'encapsulation IPSec est suffisante et moins complique configurer et vrifier. Pour du tunneling multiprotocole ou IP multicast, utilisez GRE ou L2TP. - Pour des rseaux qui utilisent Microsoft, L2TP peut tre le meilleur choix. - A cause de son lien avec PPP, L2TP peut tre souhaitable pour des VPNs accs distant avec support multiprotocole. GRE est le meilleur choix pour des VPNs site site avec support multiprotocole. - GRE est galement utilis pour des tunnels de paquets multicast tels les protocoles de routage. - GRE encapsule tout trafic, quelque soit la source ou la destination. Ni L2TP, ni GRE supportent le cryptage des donnes ou l'intgrit des paquets. Utilisez IPSec en combinaison avec L2TP et/ou GRE pour obtenir le cryptage et l'intgrit IPSec.
ccnp_cch
28
VPN - Termes cls

Tunnel Cryptage/Dcryptage Cryptosystme Hashing Athentification Autorisation Gestion de cl Certificat
ccnp_cch
29
VPN - Termes cls

Tunnel
Infos Cryptage
Infos
Tunnel - Connexion virtuelle point point utilise dans un rseau pour transporter le trafic d'un protocole encapsul dans un autre protocole. Par exemple du texte crypt transport dans un paquet IP.
ccnp_cch
30
VPN - Termes cls

Tunnel
Infos Cryptage
Infos
Cryptage/Dcryptage - Le cryptage est un processus qui transforme une information en un texte chiffr qui pourra pas tre lu ou utilis par des utilisateurs non-autoriss. Le dcryptage restore le texte chiffr en information originale qui pourra tre lue et utilise par le rcepteur.
ccnp_cch
31
VPN - Termes cls

Tunnel
Infos Cryptage
Infos
Crypto systme - Systme qui ralise le cryptage/dcryptage, l'authentification utilisateur, le hachage, et le processus d'change de cls. Un crypto systme peut utiliser une des ces diffrentes mthodes selon la politique choisie en fonction des diffrents trafics de l'utilisateur.
ccnp_cch
32
VPN - Termes cls

Tunnel
Infos Cryptage
Infos
Hachage - Technologie d'intgrit des donnes qui utilise un algorithme pour convertir un message de longueur variable et une cl secrte en une seule chane de caractres de longueur fixe. L'ensemble message/cl et hash traversent le rseau de la source vers la destination. 0u la destination, le hash recalcul est compar avec le hash reu. Si les deux valeurs sont identiques, le message n'a pas t corrompu.
ccnp_cch
33
VPN - Termes cls

Authentification - Processus identification d'un utilisateur ou d'un processus tentant d'accder une ressource.
- L'authentification assure que l'individu ou le processus est bien celui qu'il prtend tre. - L'authentification n'attribut pas de droits d'accs Autorisation - Processus qui donne accs des ressources des individus ou des processus authentifis. Gestion de cls - Un cl est gnralement une squence binaire alatoire utilise pour excuter les oprations dans un cryptosystme.
- La gestion de cls est la supervision et le controle du processus par lequel les cls sont gnres, stockes, protges, transfres, charges, utilises et dtruites.
ccnp_cch
34
VPN - Termes cls
Service Autorit de Certificat - Partie tiers de confiance qui aide la scurisation des communications entre entits de rseau ou utilisateurs en crant et en affectant des certificats tels des certificats cls-publiques pour des besoin de cryptage. - Une autorit de certificat se porte garant du lien entre les termes de scurit du certificat. Optionnellement une autorit de certificat cre les cls de cryptage.
ccnp_cch
35
IPSEC
Protocoles et lments cls
Authentification Header (AH) Encapsulation Payload (ESP) Internet Key Exchange (IKE) Internet Security Association Key Management Protocol ( ISAKMP) Security Association (SA) Authentication, Authorization and Accounting (AAA) Terminal Access Controller Access Control System Plus (TACACS+) Remote Authentication Dial-In User Service (RADIUS)
ccnp_cch
36
IPSEC
En-tte IP En-tte IPSec Charge utile IP scuris
Internet ou Rseau Priv Bits 0 8

Payload Length
Sytme avec IPsec
16 RESERVED
31
Next Header
Security Parameters Index (SPI)
Sequence Number
Donnes authentifies (Variable)
En-tte IP Charge utile IP En-tte IP Charge utile IP
Routeur avec IPSec
AH (Authentication Header) - Protocole de scurit qui fournit l'authentification, l'intgrit des donnes et un service optionnel de dtection d'intrusion. AH est dans la charge utile du paquet.
ccnp_cch
37
IPSEC
IPv4
En-tte IP original TCP Donnes
(a) Paquet IP original

Authentifi Crypt En-tte En-tte IP original ESP Queue ESP Auth ESP
IPv4
TCP
Donnes
(b) Mode Transport

Authentifi Crypt
IPv4
Nouveau En-tte IP
En-tte En-tte ESP IP original
TCP
Donnes
Queue ESP
Auth ESP
(c) Mode Tunnel
ESP (Ancapsulation Security payload) - Protocole de scurit qui fournit la confidentialit, l'ntgrit des donnes et des services de protection, deservices optionnels d'authentifiction de l'orogine des donnes et de dtection d'intrusion. ESP encapsule les donnes protger.
ccnp_cch
38
IPSEC
IPSec Routeur A IPSec Routeur B
IKE Tunnel IKE
IKE
IKE (Internet Key Exchange) - Protocole hybride qui implmente l'change de cls Oakley et l'change de cls Skeme dans le cadre de ISAKMP. Oakley et Skeme dfinissent chacun une mthode pour tablir un change de cls authentifi. Ceci inclut la construction de la charge utile, les informations transportes dans la charge utile, l'ordre dans lequel les cls sont traites et comment elles sont utilises.
ccnp_cch
39
IPSEC
Accs client SADB A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s
Backbone Oprateur
ISAKMP - (Internet Association and Key Management Protocol) - Un protocol cadre qui dfinit le format des charge utiles, les mcanismes d'implmentation d'un protocole d'chan,ge de cls et la ngociation d'une SA. SA (Security Association) - Ensemble de principes (politiques) et de cls utiliss pour protger l'information. La SA ISAKMP est la politique commune et les cls utilises par les extrmits qui ngocient dans ce protocole pour protger leur communication.
ccnp_cch 40
IPSEC
AAA (Authentication, Authorization and Accounting) - Services de scurite rseau qui fournissent un cadre de base au travers duquel un controle est activ sur les routeurs et les serveurs d'accs. Deux alternatives majeures pour AAA sont TACACS+ et RADIUS. TACACS+ (Terminal Access Controller Access Control System Plus) - C'est une application de scurit qui fournit une validation cantralise des utilisateurs qui tentent d'obtenir un accs un routeur ou un serveur d'accs. RADIUS (Remote Dial-In User Service) - Un systme client serveur distribu qui scurise les rseaux contre les accs non-autoriss.
ccnp_cch
41
Prsentation du systme de cryptage

Gestion de cls
Gestion Manuelle
Echange de cls sectes Diffie-Hellman Authentification
Echange de cls publiques Autorit de Certificats Fonctions de hachage
Cryptage
Symtrique Cl secrte: DES, 3DES, AES
Asymtrique Cl publique: RSA
MAC HMAC
(cl secrte) Signature numrique (cl publique)
SHA
MD5
Il a de nombreuses technologies de cryptage disponibles pour fournir de la confidentialit DES (Data Encryption Standard) crypte les paquets avec une cl d'une longueur de 56 bits. A sa cration dans les annes 1970, DES paraissait inviolable. Aujourd'hui avec de super-ordinateurs, le cryptage DES peut tre dcod en quelques jours.
ccnp_cch
42

Gestion de cls
Gestion Manuelle
Cryptage
MAC HMAC
SHA
MD5
3DES utilise une cl d'une longueur de 168 bits et excute trois oprations DES en squence.
3DES est 256 fois plus fiable que DES. AES (Advanced Encryption Standard) spcifie des cls de longueurs 128, 192 ou 256 bits pour crypter des blocs de 128, 192 ou 256 bits ( Les 9 combinaisons de tailles de cls et de tailles de blocs sont possibles). Cisco prvoit que AES sera disponible sur tous les produits Cisco qui les fonctionnalits IPSec DES/3DES tels les routeurs avec IOS, les PIX Cisco, les concentrateurs VPN Cisco et les clients VPN Cisco.
ccnp_cch 43

Gestion de cls
Gestion Manuelle
Cryptage
MAC HMAC
SHA
MD5
Plusieurs standards ont merg pour protger le secret des cls et faciliter le changement de ces cls. L'algorithme Diffie-Hellman implmente l'change de cls sans changer les cl relles. C'est l'algorithme le plus connu et le plus utils pour tablier des sessions de cls pour crypter des donnes.
ccnp_cch
44

Gestion de cls
Gestion Manuelle
Cryptage
MAC HMAC
SHA
MD5
Plusieurs techniques fournissent l'authentification dont MD5 (Message Digest 5) et SHA (Secure Hash Algorithm).
ccnp_cch
45
Cryptage
Cryptage symtrique
Cl secrte partage
Cl secrte partage
Infos Cryptage
Infos
Cryptage symtrique ou cryptage cl secrte Utilis pour de grands volumes de donnes. Durant l'change, les cls peuvent changer plusieurs fois. Cryptage asymtrique ou cryptage cl publique tel RSA demande beaucoup plus de ressources CPU aussi il est utilis uniquement pour l'change de cls.
ccnp_cch
46
Cryptage
Cryptage symtrique
Cl secrte partage
Cl secrte partage
Infos Cryptage
Infos
La caractristique la plus importante d'un algorithme de cryptogaphie est sa robustesse aux attaques de dcryptage. La scurit d'un crypto-systme ou le degr de difficult pour retrouver l'information originale est fonction de plusieurs variables. - Beaucoup de prcautions sont prises pour protger le secret de la cl. Dans la majorit des protocoles le secret de la cl utilise pour crypter est la base de la scurit.
ccnp_cch
47
Cryptage
Cryptage symtrique
Cl secrte partage
Cl secrte partage
Infos Cryptage
Infos
DES (Digital Encryption Standard) est un des standards de cryptage les plus utiliss. Les cls permettent de crypter et de dcrypter. 3DES (Triple DES) est une alternative DES qui prserve les investissements existants et rend les attaques de type "force-brute" plus difficiles. 3DES peut utiliser une, deux ou trois cls diffrentes.
ccnp_cch
48
Cryptage
Cryptage asymtrique
La cl prive est connue uniquement par le receveur La cl publique est connu par le public La distribution de la cl publique n'est pas scrte
Cl publique du receveur
Cl prive du receveur
Infos Cryptage
Message Crypt
Infos
Dcryptage
Cryptage asymtrique ou cl publique Le mme algorithme ou des algorithmes complmentaires peuvent tre utiliss pour crypter et dcrypter les donnes. Deux cls sont requises : Une cl publique et une cl prive. elles sont diffrentes mais elles sont lies par une relation mathmatique. Chaque extrmit doit avoir sa paire cl publique/cl prive ainsi des cls diffrentes seront utilises pour crypter et dcrypter.
ccnp_cch 49
Cryptage
Cryptage asymtrique
Cl publique du receveur Cl prive du receveur
Infos Cryptage
Infos
Les mcanismes utiliss pour gnrer les paires de cls sont complexes. Le rsultat de la gnration consiste en deux trs grands nombres alatoires.
Les deux nombres ainsi que leur produit doivent satisfaire des critres mathmatiques stricts pour garantir l'unicit de la paire cl publique/cl prive. Les algorithmes de crytage cl publique sony utilis typiquement pour des applications d'authentification incluant la signature numrique et la gestion de cls. Les algorithmes les plus connus sont les algorithmes RSA (Rivest, Shamir, Adleman) et El Gamal.
ccnp_cch
50
Cryptage
Echange de cls - Algorithme Diffie-Hellman
Ralise un change authentifi de cls Valeur prive XA Valeur publique YA
Routeur A
Valeur prive XB Valeur publique YB YB= gXB mod p YA

Routeur B
YA= gXA mod p
YB
XA
mod p = k
YB YA
XB
mod p = k
Un des aspects les plus importants dans la cration d'un VPN est l'change decls. L'algorithme Diffie-Hellman fournit un moyen deux utilisateurs, A et B, d'tablir une cl secrte partage que eux seuls connaissent. Cette cl secrte peut tre tablie mme si le canal de communication n'est pas scuris. Cette cl sera utilise pour crypter les donnes avec l'algorithme choisi par a et B. Les nombres partags sont "p" un nombre premier et "g" plus petit que "p" avec quelques restrictions.
ccnp_cch 51
Cryptage
Routeur A

Routeur B
YA= gXA mod p
YB
XA
mod p = k
YB YA
XB
mod p = k
A et B gnrent chacun un grand nombre alatoire qui est gard secret. L'algorithme Diffie-Hellman est maintenant excut. A et B excutent leurs calculs et changent les rsultats. Le rsultat final est un nombre K Un utilisateur qui connat "p" ou "g" ne peut calculer aisment la valeur secrte partage cause de la factorisation des grands nombres premiers.
ccnp_cch 52
Cryptage
Routeur A

Routeur B
YA= gXA mod p
YB
XA
mod p = k
YB YA
XB
mod p = k
Il est important de noter que A et B non pas de mthode pour s'identifier l'un avec l'autre. Cet change est vulnrable une attaque par un tiers qui s'insre dans l'change. L'authentification est ralise par l'utilisation d'une signature numrique dans les messages Diffie-Hellman changs.
ccnp_cch
53
Cryptage
Echange de cls - Hachage
Local
Message de longueur variable Payer JC Puce 50 et 22 cents Cl secrte partage
Distant
Message reu
Payer JC Puce 50 et 22 cents
Cl secrte partage
Fonction de Hachage Payer JC Puce 50 et 22 cents 4ehlDx67NM0p9 4ehlDx67NM0p9 Message + Hash
Fonction de Hachage
4ehlDx67NM0p9
Le hachage garantit l'intgrit du message
A l'extrmit locale, le message et un secret partag son transmis par un algorithme de hachage. Un algorithme de hachage est une formule qui convertit un message de longueur variable en une seule chaines de caractres de longueur fixe appele valeur "hash". Un algorithme de hachage est sens unique. Un meesage peut produire une valeur "hash" mais la valeur "hash" ne peut pas produire le message.
ccnp_cch 54
Cryptage
Local
Distant
Message reu Payer JC Puce 50 et 22 cents Cl secrte partage
Fonction de Hachage Payer JC Puce 50 et 22 cents
Fonction de Hachage
4ehlDx67NM0p9
4ehlDx67NM0p9 Message + Hash
4ehlDx67NM0p9
A l'extrmit distante, il y a un processus en deux tapes. D'abord le message reu et le secret partag sont transmis l'algorithme de hachage qui recalcule la valeur "hash". Ensuite le recepteur compare le "hash" calcul avec le "hash" reu avec le message. Si les deux valeurs de "hash" sont gales alors l'intgrit du message est garantie.
ccnp_cch 55
Cryptage
Local
Distant
Message reu Payer JC Puce 50 et 22 cents Cl secrte partage
Fonction de Hachage Payer JC Puce 50 et 22 cents 4ehlDx67NM0p9 4ehlDx67NM0p9 Message + Hash
Fonction de Hachage
4ehlDx67NM0p9
Les deux algorithmes de hachage les plus communs sont : - HMAC-MD5 - utilise une cl secrte de 128 bits. - A la sortie l'algorithme donne une valeur "hash" de 128 bits. - La valeur "hash" est ajout en fin de message et le tout est transmis vers l'autre extrmit. - HMAC- SHA1 - Utilise une cl secrte de 160 bits - A la sortie l'algorithme donne une valeur "hash" de 160 bits - La valeur "hash" est ajout en fin de message et le tout est transmis vers l'autre extrmit. HMAC-SHA1 est considr comme tant plus robuste que HMAC-MD5
ccnp_cch 56
Technologies IPSec
Prsentation IPSec
En-tte IP
AH
En-tte ESP
Donnes
En-Queue ESP
Le RFC 2401 dcrit la trame gnrale de l'architecture IPSec
Comme tous les mcanismes de scurit, le RFC 2401 aide la mise en oeuvre d'une politique de scurit.
La politique de scurit dfinit les besoins de scurit pour diffrentes connexions. Les connexions sont des sessions IP La trame gnrale de l'architecture IPSec fournit: Intgrit des donnes Authentification Confidentialit des donnes Associations de scurit Gestion des cls
ccnp_cch
57
Technologies IPSec
IPSec - Authentication Header (AH)
En-tte IP
AH
En-tte ESP
Donnes
En-Queue ESP
L'Authentification Header (AH) IP est utilis pour fournir l'intgrit, l'authentification de l'origine des donnes pour des paquets IP et fournit galement la dtection de l'intrusion d'un tiers dans l'change. Le service de dtection d'intrusion d'un tiers dans l'change est optionnel. Si celui-ci est ngoci et valid, il faut que le rcepteur teste les numros de squence. AH fournit l'authentification pour l'en-tte IP et TCP mais certains champs de l'en-tte changent au cours du transit dans le rseau.
AH ne peut pas fournir de protection complte de l'en-tte IP
ccnp_cch
58
Technologies IPSec
IPSec - Authentication Header (AH)
En-tte IP
AH
En-tte ESP
Donnes
En-Queue ESP
AH peut tre appliqu seul, en combinaison avec IP ESP ou de manire imbriquer au travers de l'utilisation du mode tunnel. Les services de scurit peuvent tre fournis entre une paire de hosts, une paire de passerelles de scurit ou entre une passerelle de scurit et un host.
ESP peut tre utilis pour fournir les mmes services plus la confidentialit (cryptage).
La diffrence principale entre les services d'authentification de AH et ESP est l'extension de la couverture. ESP ne protge pas les champs de l'en-tte IP moins que cet en-tte soit encapsul par ESP (Mode tunnel).
ccnp_cch
59
Technologies IPSec
IPSec - Encapsulation Security Payload (ESP)
En-tte IP
AH
En-tte ESP
Donnes
En-Queue ESP
L'en-tte ESP est insr aprs l'en-tte IP et avant l'en-tte de protocole de couche suprieure dans le mode transport ou avant un en-tte IP encapsul en mode tunnel. ESP est utilis pour fournir les services suivants: Confidentialit Authentification de l'origine des donnes Intgrit Service de dtection d'intrusion d'une tierce partie dans l'change
ccnp_cch
60
Technologies IPSec
En-tte IP
AH
En-tte ESP
Donnes
En-Queue ESP
L'ensemble des services fournis dpend des options slectionnes au moment de l'tablissement des associations de scurit et l'emplacement de l'implmentation. La confidentialit peut tre slectionne indpendamment des autres services. Cependant l'utilisation de la confidentialit sans intgrit/authentification, soit dans ESP ou sparment dans AH peut rendre certains trafics vulnrables des attaques actives.
ccnp_cch
61
Technologies IPSec
En-tte IP
AH
En-tte ESP
Donnes
En-Queue ESP
L'authentification de l'origine des donnes et l'intgrit sont des services joints et sont offerts en option conjointement avec la confidentialit optionnelle. Le service de dtection d'intrusion d'une tierce partie peut tre slectionn que si l'authentification de l'origine des donnes est slectionne et reste entirement la discrtion du receveur. Le service de dtection d'intrusion d'une tierce partie sera effectivement actif uniquement si le receveur teste les numros de squence. La confidentialit de trafic ncessite la slection du mode tunnel. Bien que la confidentialit et l'authentification soient optionnelles au moins une des deux doit tre slectionne.
ccnp_cch
62
Technologies IPSec
Mode Tunnel contre Mode Transport
PC
Mode Tunnel
Mode Transport En mode Transport les hosts d'extrmit ralisent l'encapsulation IPSec de leurs propres donnes ( host host) par consquent IPSec doit tre implment sur chacun des hosts. - L'application des points d'extrmit doit tre aussi une extrmit IPSec. En mode Tunnel les passerelles IPSec fournissent les services IPSec aux autres hosts dans des tunnels point point. Les hosts d'extrmit n'ont pas besoin d'avoir IPSec.
ccnp_cch
63
Technologies IPSec
PC
Mode Tunnel
Mode Transport
ESP et AH peuvent tre appliqus aux paquets IP de deux faons diffrentes: Le mode Transport fournit la scurit aux couches de protocoles suprieures. - Le mode Transport protge la charge utile du paquet mais garde l'adresse IP originale en clair. - L'adresse IP originale est utilise pour router les paquets sur Internet. - Le mode Transport ESP est utilis entre hosts.
ccnp_cch
64
Technologies IPSec
PC
Mode Tunnel
Mode Transport
ESP et AH peuvent tre appliqus aux paquets IP de deux faons diffrentes: Le mode Tunnel fournit la scurit pour tout le paquet IP. - Le paquet IP original est crypt - Le paquet crypt est encapsul dans un autre paquet IP. - L'adresse IP "outside" est utilise pour router les paquets sur Internet .
ccnp_cch
65
Technologies IPSec
Security Association (SA)
Backbone Oprateur
Les SAs ou Secutity Associations sont un concept de base trs important dans IPSec Elles reprsentent un contrat entre deux extrmits et dcrivent comment ces deux extrmits vont utiliser les srvices ede scurit IPSec pour protger le trafic. Les SAs contiennent tous les paramtres de scurit ncessaires pour scuriser le transport des paquets entre les deux extrmits et dfinissent la politique de scurit utilise dans IPSec.
ccnp_cch 66
Technologies IPSec
Accs client SADB A vers B ESP/DES/SHA-1 Keys K1,K2,K3,K4 lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s
Backbone Oprateur
Accs client SADB A vers B ESP/DES/SHA-1 Keys K1,K2,K3,K4 lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s
Les routeurs ont besoin de deux SAs pour protger le trafic entre les hosts A et B. L'tablisseemnt des SAs est un prrequis dans IPSec pour la protection du trafic. Quand les SAs appropries sont tablies, IPSec se rfre celles-ci pour obtenir tous les paramtres ncessaires la protection du trafic
Une SA doit mettre en vigueur la politique de protection en ces termes: Pour le trafic entre A et B, utilisez ESP 3DES avec les cls K1,K2 et K3 pour le cryptage de la charge utile, SHA-1 avec la cl K4 pour l'authentification.
ccnp_cch 67
Technologies IPSec
Backbone Oprateur
Les SAs contiennent des spcifications unidirectionnelles. les SAs sont spcifiques au protocole d'encapsulation (AH,ESP). Pour un flux de trafic donn, il y a une SA pour chaque protocole (AH, ESP) et pour chaque sens du trafic. Les quipements VPN stockent leurs SAs dans une base de donnes local appele la SA Database (SADB).
ccnp_cch 68
Technologies IPSec
Backbone Oprateur
Une SA contient les pramtres de scurit suivants: - L'algorithme Authentification/Cryptage, longueurs de cls et dures de vie des cls utilises pour protger les paquets. - Les cls de sessions pour l'authentification et le cryptage. - L'encapsulation IPSec (AH ou ESP) en mode tunnel ou transport.
- Une spcification du trafic rseau auquel s'applique la SA.

ccnp_cch 69
Technologies IPSec
Les cinq tapes d'IPSec
Host A
Routeur A Routeur B
Host B
1. Le Host A transmet des informations vers le Host B 2. Les routeurs A et B ngocient une session IKE Phase 1
IKE SA
IKE Phase 1
IKE SA
3. Les routeurs ngocient une session IKE Phase 2

IKE SA
IKE Phase 2
IKE SA
4. Les information sont changes via le Tunnel IPSec
5. Le tunnel IPSec est libr.
Le but d'IPSec est de protger des donnes avec les moyens de scurit appropris Le processus IPSec peut tre dcoup en cinq tapes
ccnp_cch 70
Technologies IPSec
Host A
Routeur A Routeur B
Host B
IKE SA
IKE Phase 1
IKE SA

IKE SA
IKE Phase 2
IKE SA
Etape 1 - Des informations transmettre initient le processus IPSec - Le trafic est dit "interressant" quand l'quipement VPN reconnat que les donnes doivent tre protges. Etape 2 - IKE Phase 1 authentifie les extrmits IPSec et ngocie les SAs IKE. - Ceci cre un canal scuris pour ngocier les SAs IPSec en Phase 2.
ccnp_cch 71
Technologies IPSec
Host A Host B
IKE SA
IKE Phase 1
IKE SA

IKE SA
IKE Phase 2
IKE SA
Etape 3 - La phase 2 IKE ngocie les paramtres des SAs IPSec et cre une correspondance entre les SAs IPSec des extrmits. - Ces paramtres de scurit sont changs pour protger les messages changs entre les extrmits. Etape 4 - Le transfert de donnes est effectu entre les extrmits IPSec sur la base des paramtres IPSEc et des cls stockes dans la base de donnes SA. Etape 5 - La libration du tunnel IPSec survient sur effacement au travers des SAs ou sur time out.
ccnp_cch 72
Technologies IPSec
Les cinq tapes d'IPSec - Comment IPSec utilise IKE
1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec 4. Un paquet est transmis du Routeur A vers le Routeur B protg par IPSec
IPSec Routeur A
IPSec Routeur B
IKE Tunnel IKE

2. IKE du Routeur A commence ngocier avec IKE du Routeur B.
IKE
3. La ngociation est termine. Le Routeur A et le Routeur B ont un ensemble de SAs en place.
IKE (Internet Key Exchange) amliore IPSec en fournissant des fonctions additionnelles, flexibilit et facilite la configuration d'IPSec. IKE est un protocole hybride qui implmente les changes de cls Oakley et Skeme dans le cadre ISAKMP (Internet Security Association and Key management) IKE fournit l'authentification pour les extrmits IPSec, ngocie les cls IPSec et les Associations de Scurit IPSec
ccnp_cch 73
Technologies IPSec
IPSec Routeur A
IPSec Routeur B
IKE Tunnel IKE

IKE
Le tunnel IKE protge les ngociations de SA. Le Mode de configuration IKE autorise une paserelle tlcharger une adresse IP vers le client . ceci faisant partie de la ngociation IKE. L'adresse IP fournie par la passerelle au client IKE est utilise comme une IP "interne" encapsule dans IPSec.
Cette adresse IP connue peut tre controle par la politique (policy) IPSec.
ccnp_cch 74
Technologies IPSec
IPSec Routeur A
IPSec Routeur B
IKE
Tunnel IKE
IKE
Le Mode de configuration IKE est implment dans les images IOS Cisco IOSec. En utilisant le Mode de configuration IKE, un serveur d'accs Cisco peut tre configur pou tlcharger une adresse IP vers un client comme faisant partie de la transaction IKE. IKE ngocie automatiquement les SAs IPSec et active les communications scurises par IPSec sans une pr-configuration manuelle fastidieuse.
ccnp_cch 75
Technologies IPSec
IPSec Routeur A
IPSec Routeur B
IKE
Tunnel IKE
IKE
IKE a les avantages suivants:
- Elimine la configuration manuelle des paramtres de scurit IPSec dans des crypto maps chaque extrmit. - Permet de spcifier une dure de vie pour les SAs. - Permet le changement de cls pendant les sessions IPSec. - Autorise IPSec fournir les services de dtecton d'intrusion d'un tiers. - Permet le support d'Autotrit de Certification pour une implmentation IPSec volutive. - Permet l'authentification dynamique des extrmits.
ccnp_cch 76
Technologies IPSec
Les diffrentes technologies implmentes pour l'usage d'IKE sont: - DES (Data Encryption Standard) utilis pour crypter les donnes. IKE implmente le standard DES-CBC 56 bits avec Explivit IV (Initialization Vector). - 3DES. Cryptage 168 bits - CBC (Cipher Bloc Chaining) requiert l'utilisation d'un vecteur d'initialisation (IV). Le vecteur d'initialisation est donn dans le paquet IPSec. - Diffie-Hellman est un protocol de cryptage cl publique qui permet deux parties d'tablir un secret partag sur un canal de communication non-scuris. Diffie-Hellman est utilis dans IKE pour tablir les sessions de cls. Les groupes Diffie-Hellman 768-bits et 1024-bits sont supports. - MD5 (Message Digest 5), variante HMAC, est un algorithme de hachage utilis pour authentifier les donnes. HMAC est une variante qui donne un niveau supplmentaire de hachage.
- SHA (Secure Hash Algorithm), variante HMAC, est un algorithme de hachage utilis pour authentifier les donnes. HMAC est une variante qui donne un niveau supplmentaire de hachage.
- Signatures RSA et cryptage RSA -- RSA est un protocole de cryptage cl publique dvelopp par Ron Rivest, Adi Shamir et Leonard Adleman. Les signatures RSA fournissent la non rpudiation tendis RSA est utilis pour le cryptage.
ccnp_cch 77
Technologies IPSec
IPSec Routeur A
IPSec Routeur B
IKE
IKE
Tunnel IKE
2. IKE du Routeur A commence ngocier avec IKE du Routeur B. 3. La ngociation est termine. Le Routeur A et le Routeur B ont un ensemble de SAs en place.
Le protocole IKE utilise les certificats X.509v3 quand l'authentification requiert des cls publiques. Ce support de certificat permet l'volution du rseau en fournissant l'quivalent d'une carte d'identification numrique chaque quipement. Quand deux quipements veulent communiquer, ils changent leurs certificats pour prouver leur identit. Ceci limine le besoin d'changer manuellement des cls publiques avec chaque extrmit ou de spcifier manuellement une cl partage chaque extrmi.
ccnp_cch 78
Technologies IPSec
IOS
Le trafic est choisi avec les listes d'accs Cryptage?
Oui Non
Transmettre sur interface
access-list 1XX permit
IPSec
Un par IPSec SA (entre extrmits) SA IPSec?
Non
Oui
Cryptage du paquet et transmission
crypto ipsec transform-set crypto map name
Cls
Oui Ngocie les SAs IPSec avec SA ISAKMP
ISAKMP/Oakley
Un par ISAKMP SA (entre extrmits)
SA IKE?
Non
crypto crypto crypto crypto
isakmp policy isakmp identity key generate key public-chain
Authentification avec CA?
Non
Ngocie les SAs ISAKMP avec l'extrmit
CA Authentification Un par paire de cls prive/publique
Oui Rcupre la cl publique du CA Rcupre le certificat pour sa propre cl publique.
crypto crypto crypto crypto
ca ca ca ca
identity authenticate enroll crl request
IPSec dans l'IOS Cisco traite les paquets comme le montre la figure ci-dessus Le processus prsume que les cls prives et publiques ont dj t crees et qu'il existe au moins une liste de controle d'accs.
ccnp_cch 79
Technologies IPSec
Les listes d'accs appliques une interface et les crypto map sont utlises par l'IOS Cisco pour slectionner le trafic qui doit tre protg (crypt).
L'IOS Cisco vrifie si les associations de scurit IPSec (SA) ont t tablies. Si les SAs ont dj t tablies par configuration manuelle avec les commandes crypto ipsec transform-set et crypto map ou par IKE, le paquet est crypt sur la base de la "policy" spcifie dans la crypto map et transmis sur l'interface. Si les SAs ne sont pas tablies, l'IOS Cisco vrifie si une SA ISAKMP a t configure et active. Si la SA ISAKMP a t active, cette SA ISAKMP dirige la ngociation de la SA IPSec avec la "polict" ISAKMp configure par la commande crypto isakmp policy.
Le paquet est crypt par IPSec et transmis sur l'interface.
ccnp_cch
80
Technologies IPSec
Si la SA ISAKMP n'a pas t active, l'IOS Cisco vrifie si l'autorit de certification a t configure pour tablir une ISAKMP policy.
Si l'authentification de la CA (Certification Authority) a t configure avec les diffrentes commandes crypto ca, le routeur utilise les cls publique/prive configures prcdemment, rcupre le certificat public de la CA, un certificat pour sa propre cl publique, utilise la l pour ngocier une SA ISAKMP qui son tour est utilise pou ngovier une SA IPSEC. Le paquet est crypt puis transmis.
ccnp_cch
81
Taches de configuration IPSec
Tache 1 - Prparer IPSec Dterminer la IKE policy (IKE Phase 1) Dterminer la IPSec policy (IKE Phase 2) Vrifier la configuration courante S'assurer que le rseau fonctionne sans cryptage S'assurer que les listes de controle d'accs sont compatibles avec IPSec. Tache 2 - Configurer IKE Valider ou Dvalider IKE Crer les IKE policies configurer les "pre-shared" cls Configurer l'identit ISAKMP Vrifier la configuration IKE
Tache 3 - Configurer IPSec Configurer les suites "transform-set" Configurer les paramtres globaux IPSec Crer les crypto ACLs Crer les crypto ACLs utilisants les listes d'accs tendues Crer les crypto maps. Configurer les IPSec crypto maps Tache 4 - Tester et Vrifier IPSec
L'utilisation de cls IKE "pre-shared" pour l'authentification de sessions IPSec est relativement aise mais n'est pas trs volutive pour un grand nombre de clients IPSec. Le processus de configuration de cls IKE "pe-shared" dans l'IOS Cisco consiste en quatre taches principales.
ccnp_cch
82

Tache 1 - Prparation IKE et IPSec
Tache 1 - Prparer IPSec Dterminer la IKE policy (IKE Phase 1) Dterminer la IPSec policy (IKE Phase 2) Vrifier la configuration courante - show running-configuration - show crypto isakmp policy - show crypto map S'assurer que le rseau fonctionne sans cryptage. (ping) S'assurer que les listes de controle d'accs sont compatibles avec IPSec. - show access-lists Tache 2 - Configurer IKE Tache 3 - Configurer IPSec Tache 4 - Tester et Vrifier IPSec La configuration du cryptage IPSec peut tre complique Crer un plan d'action avant de configurer correctement le cryptage IPSec est obligatoire la premire fois afin de minimiser les erreurs de configuration. Commencez par dfinir une politique de scurit IPSec base sur la politique gnrale de scurit de l'entreprise.
ccnp_cch 83

Tache 1 - Prparation IKE et IPSec - Dterminer la "IKE Policy " (IKE Phase 1)
Dterminer les dtails suivants de la IKE policy Phase 1: Mthode de distribution des cls Mthode d'authentification Adresses IP et noms de hosts des extrmits IPSec IKE policy Phase 1 pour toutes les extrmits - Algorithme de Cryptage - Algorithme de Hachage - Dure de vie des SAs IKE But: Minimiser les incohrences de configuration.
Configurer IKE est compliqu Dterminer d'abord les dtails de la policy IKE pour valider la mthode d'authentification choisie et la configurer. Un plan d'action dtaill vite les configurations non-apprpries.
ccnp_cch
84

Tache 1 - Prparation IKE et IPSec - Paramtres "IKE Policy " (IKE Phase 1)
Paramtre Algorithme de cryptage Algorithme de hachage Mthode d'authentification Echange de cls Dure de vie SA IKE Fiable DES MD5 Pre-Share Diffie-Hellman Groupe 1 86400 seconds Trs fiable 3-DES SHA-1 Cryptage RSA Signature RSA Diffie-Hellman Groupe 2 Moins de 86400 secondes
Une IKE "policy" dfinit une combinaison de paramtres de scurit utiliss pendant la ngociation IKE.
Un groupe de "policies" cre une ensemble de "policies" qui permet aux extrmits IPSec d'tablir des sessions IKE et d'tablir des SAs avec une configuration minimale. Le tableau ci-dessus montre un exemple possible de combinaisons de paramtres IKE pour une policy. Les ngociations IKE dovent tre protges aussi la ngociation IKE commence par l'agrment par chaque extrmit d'une politique (policy) IKE commune Cette politique indique quels sont les paramtres IKE qui vont servir protger les changes IKE suivants.
ccnp_cch 85

Paramtre Algorithme de cryptage Algorithme de hachage Mthode d'authentification Echange de cls Identificateur de groupe Diffie-Hellman
Valeur DES 3-DES SHA-1, variante HMAC MD5, variante HMAC Pre-shared cls Cryptage RSA Signatures RSA 768-bit Diffie-Hellman ou 1024-bit Diffie-Hellman
Mot-cl des 3des sha md5 pre-share rsa-encr rsa-sig 1 2
Valeur par dfaut 768-bit Diffie-Hellman 86400 secondes ou un jour 768-bit Diffie-Hellman
768-bit Diffie-Hellman
ISAKMP - Dure de vie des SAs tablies
Toutes valeurs possibles
86400 secondes ou un jour.
Dfinir les paramtres de la IKE policy
ccnp_cch
86

Paramtre Algorithme de cryptage Algorithme de hachage Mthode d'authentification Echange de cls Dure de vie SA IKE Fiable DES MD5 Pre-Share Diffie-Hellman Groupe 1 86400 seconds Trs fiable 3-DES SHA-1 Cryptage RSA Signature RSA Diffie-Hellman Groupe 2 Moins de 86400 secondes
Paramtres de la IKE policy - Slectionner une valeur pour chaque paramtre ISAKMP. Il a cinq paramtres dfinir dans chaque IKE policy tel que le dcrit le tableau ci-dessus.
ccnp_cch
87

Tache 1 - Prparation IKE et IPSec - Dterminer IPSec (IKE Phase 2)
Dterminer les dtails suivants de la IKE policy phase 2: Algorithmes et paramtres IPSec pour une scurit et des performances optimales. Transformations et si ncessaire Transform set Dtails sur l'extrmit IPSec Adresse IP et applications protger SAs Manuelles ou inities par IKE But: Minimiser les incohrences de configuration.
Une IPSec policy dfinit une combinaison de paramtres IPSec utiliss pendant la ngociation IPSec. La planification de IPSEc IKE phase 2 est une autre tape importante avant de configure IPSec sur un routeur.
ccnp_cch
88

Tache 1 - Prparation IKE et IPSec - IPSec Transforms supports par l'IOS Cisco
Le logiciel IOS Cisco supporte les transformations IPSec suivantes: CentralA(config)#crypto ipsec transform-set transform set-name ah-md5 hmac AH - HMAC MD5 transform ah-sha hmac AH - HMAC SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-des ESP transform using DES cipher (56 bits) esp-md5 hmac ESP transform using HMAC - MD5 auth esp-sha hmac ESP transform using HMAC - SHA auth esp-null ESP transform w/o cipher
ccnp_cch
89

CentralA(config)#crypto ipsec transform -set transform set-name ah-md5 hmac AH - HMAC MD5 transform ah-sha hmac AH - HMAC SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-des ESP transform using DES cipher (56 bits) esp-md5 hmac ESP transform using HMAC - MD5 auth esp-sha hmac ESP transform using HMAC - SHA auth esp-null ESP transform w/o cipher
AH (Authentication Header) - AH est rarement utilis car l'authentification est maintenant disponible avec les transforms esp-md5-hmac et esp-sha-hmac . - AH n'est pas compatible avec NAT ou PAT
ccnp_cch
90

CentralA(config)#crypto ipsec transform -set transform set-name
ah-md5 hmac AH - HMAC MD5 transform ah-sha hmac AH - HMAC SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-des ESP transform using DES cipher (56 bits) esp-md5 hmac ESP transform using HMAC - MD5 auth esp-sha hmac ESP transform using HMAC - SHA auth esp-null ESP transform w/o cipher
Transform esp-des esp-3des
Description Transform ESP utilisant DES 56 bits Transform ESP utilisant 3DES 168 bits
esp-md5-hmac
esp-shs-hmac esp-null
Transform ESP avec l'authentification MD5 HMAC utilise avec une transform esp-des ou esp-3des pour fournir l'intgrit des paquets ESP
Transform ESP avec l'authentification SHA HMAC utilise avec une transform esp-des ou esp-3des pour fournir l'intgrit des paquets ESP Transform ESP sans cryptage. Peut tre utilise en combinaison avec esp-md5-hmac ou esp-sha-hmac si on veut l'authentification sans cryptage.
Attention: Ne jamais utiliser esp-null dans un environnement de production car les flux de donnes ne seront pas protgs.
ccnp_cch 91

CentralA(config)#crypto ipsec transform -set transform set-name ah-md5 hmac AH - HMAC MD5 transform ah-sha hmac AH - HMAC SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-des ESP transform using DES cipher (56 bits) esp-md5 hmac ESP transform using HMAC - MD5 auth esp-sha hmac ESP transform using HMAC - SHA auth esp-null ESP transform w/o cipher Type de Transform Combinaisons autorises
Transform AH En choisir une

Transform ESP Transform ESP Authentification Transform En choisir une Compression IP Transform
ah-md5-hmac-AH avec MD5 (variante HMAC) algorithme d'authentification ah-SHA-hmac-AH avec SHA (variante HMAC) algorithme d'authentification
esp-des-ESP avec DES-56bits algorithme de cryptage esp-3des-ESP avec DES-168bits algorithme de cryptage esp-null-null algorithme de cryptage esp-md5-hmac-ESP avec MD5 (variante HMAC) algorithme d'authentification esp-sha-hmac-ESP avec SHA (variante HMAC) algorithme d'authentification compression comp-lzs-ip avec l'algorithme LZS.
L'IOS Cisco empche l'entre de combinaisons invalides ou non-autorises.

ccnp_cch 92

Tache 1 - Prparation IKE et IPSec - Exemple IPSec Policy
Host A Routeur A Internet
10.0.1.3 E0/1 172.30.1.2 Policy Transform set Peer hostname Peer IP address Hosts crypter Type de trafic crypter Etablissement des SAs Host A ESP-DES, Tunnel RouteurB 172.30.2.2 10.0.1.3 TCP ipsec-isakmp 10.0.2.3
Host B Routeur B
E0/1 172.30.2.2
Host B ESP-DES, Tunnel RouteurA 172.30.1.2 10.0.2.3 TCP ipsec-isakmp
La figure ci-dessus montre un exemple des details de la politique de cryptage IPSec qui sera utilise dans les exmples dee ce document.
ccnp_cch
93

Tache 1 - Prparation IKE et IPSec - Identifier les extrmits IPSec
Routeur Cisco
Utilisateur distant avec le client VPN Cisco
Cisco PIX Pare-feu
Autres constructeurs voisins IPSec
Concentrateur VPN Cisco
Serveur CA
Un point important pour dterminer la politique IPSec est l'identification l'extrmit IPSec avec laquelle le routeur Cisco va communiquer. L'extrmit doit supporter IPSec tel qu'il est spcifi dans les RFCs supports par l'IOS Cisco.
ccnp_cch 94

Tache 1 - Prparation IKE et IPSec - Etape 3 : Vrifier la configuration courante
E0/1 172.30.1.2
Host B Routeur B
E0/1 172.30.2.2
Routeur# show running-config Affiche la configuration courante pour voir les policies IPSec existantes Routeur# show crypto isakmp policy Affiche les policies IKE phase 1 par dfaut et configures Routeur# show crypto map Affiche les crypto maps configures Routeur# show crypto ipsec transform-set Affiche les "transforms set"configurs
ccnp_cch 95

Commande : show crypto isakmp policy
RouterA#show crypto isakmp policy Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys) hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman Group: #1 (768 bit) lifetime: 86400 seconds, no volume limit
Utilisez la commande show crypto isakmp policy pour examiner les policies IKE
ccnp_cch
96

Commande : show crypto map
RouterA#show crypto map Crypto Map "mymap" 10 ipsec-isakmp Peer = 172.30.2.2 Extended IP access list 102 access-list 102 permit ip host 172.30.1.2 host 172.30.2.2 Current peer: 172.30.2.2 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ mine, }
La commande show crypto map est trs utile pour examiner les crypto maps dj configures.
ccnp_cch
97

Commande : show crypto map
RouterA#show crypto ipsec transform-set mine Transform set mine: { esp-des } will negotiate = { Tunnel, },
Utilisez la commande show crypto ipsec transform-set mine pour examiner les transform sets dj configurs.
Utilisez les transform sets dj configurs pour gagner une configuration plus rapide.
ccnp_cch
98

Tache 1 - Prparation IKE et IPSec - Etape 4 : Vrifier le fonctionnement du rseau
RouteurA#ping 172.30.1.2
Cisco Routeur B 172.30.2.2
Utilisateur distant avec le client VPN Cisco
Cisco PIX Pare-feu
Cisco Routeur B 172.30.1.2

Autres constructeurs voisins IPSec
Concentrateur VPN Cisco
Serveur CA
ccnp_cch
99

Tache 1 - Prparation IKE et IPSec - Etape 5: Assurez-vous que les ACLs sont compatibles avec IPSec
IKE AH ESP Routeur A Internet
E0/1 172.30.1.2 E0/1 172.30.2.2
Site 1
Site 2 Routeur B
RouterA#show access-lists access-list 102 permit ah host 172.30.2.2 host 172.30.1.2 access-list 102 permit esp host 172.30.2.2 host 172.30.1.2 access-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp
Assurez-vous que les protocoles 50, 51 et UDP port 500 ne sont pas bloqus sur les interfaces utilises par IPSec.
ccnp_cch
100

Tache 2 - Configurer IKE
Tache 1 - Prparer IPSec Tache 2 - Configurer IKE Etape 1 - Valider ou dvalider IKE - crypto isakmp enable Etape 2 - Crer les IKE policies - crypto isakmp policy Etape 3 - Configurer ISAKMP - crypto isakmp identity Etape 4 - Configurer les Pre-shared cls - crypto isakmp key Etape 5 - Vrifier la configuration IKE - show crypto isakmp policy Tache 3 - Configurer IPSec Tache 4 - Tester et Vrifier IPSec
ccnp_cch
101

Tache 2 - Configurer IKE - Etape 1: Valider IKE
10.0.1.3 172.30.1.2 172.30.2.2
Host B Routeur B
10.0.2.3
RouteurA(config)# [no] crypto isakmp enable RouteurA(config)#crypto isakmp enable
Cette commande valide ou dvalide globalement IKE sur un routeur IKE est valid par dfaut IKE est valid globalement pour toutes les interfaces du routeur Une liste ce controle d'accs peut tre utilise pour bloquer IKE sur une interface particulire.
ccnp_cch
102

Tache 2 - Configurer IKE - Etape 2: Crer les "IKE Policies"
Host A Host B
Routeur A
Internet
10.0.1.3 172.30.1.2
Routeur B
10.0.2.3 172.30.2.2
RouteurA(config)#crypto isakmp policy priority

Dfinit une policy IKE qui est un ensemble de paramtres utiliss lors de la ngociation IKE. Enchaine sur le mode de commande isakmp
RouteurA(config)#crypto isakmp policy 110 L'tape majeure suivante dans la configuration die ISAKMP est de dfinir une suite de policies ISAKMP.
Le but de cette dfinition est d'tablir une liaison ISAKMP entre deux extrmits IPSec.
ccnp_cch
103

Tache 2 - Configurer IKE - Etape 2: Crer les "IKE Policies" avec la commande crypto isakmp
10.0.1.3
Host B
Routeur B
10.0.2.3
172.30.1.2
Policy 110 DES MD5 Pre-Share 86400
172.30.2.2
RouteurA(config)#crypto isakmp policy priority

Dfinit les paramtres dans la policy 110 RouteurA(config)#crypto isakmp policy 110 RouteurA(config-isakmp)#authentication pre-share RouteurA(config-isakmp)#encryption des RouteurA(config-isakmp)#group1 RouteurA(config-isakmp)#hash md5 RouteurA(config-isakmp)#lifetime 86400
La commande isakmp policy invoque le mode de configuration ISAKMP (config-isakmp) dans lequel les paramtres ISAKMP sont configurs.
ccnp_cch 104

Tache 2 - Configurer IKE - Etape 2: Crer les "IKE Policies" avec la commande crypto isakmp
Mot-cl Valeurs acceptes Valeurs par dfaut Description
des
sha md5 rsa-sig rsa-encr pre-share 1 2 -
DES-CBC 56 bits
SHA-1(variante HMAC) MD5 (variante HMAC) Signatures RSA Cryptage RSA Lcs "pre-shared" Diffie-Hellman 768 bits Diffie-Hellman 1024 bits Toutes valeurs possibles en secondes
des
sha rsa-sig
Algorithme de cryptage
Intgrit du message Mthode d'authentification d'une extrmit Paramtres d'change de cls.
1 86400 secondes (un jour)
Si un de ces paramtres n'est pas spcifi pour la policy, la valeur par dfaut sera utilise pour ce paramtre.
ccnp_cch
105

Tache 2 - Configurer IKE - Etape 2: "IKE Policy ngotiation"
Host A
Routeur A Internet
10.0.1.3 172.30.1.2 crypto isakmp policy 100 - hash md5 - authentication pre-share crypto isakmp policy 200 - hash sha - authentication rsa-sig crypto isakmp policy 300 - authentication pre-share 172.30.2.2
Host B Routeur B
10.0.2.3
crypto isakmp policy 100 - hash md5 - authentication pre-share crypto isakmp policy 200 - hash sha - authentication rsa-sig crypto isakmp policy 300 - authentication pre-share
Les deux premires policies peuvent tre ngocies avec succs par la troisime Une correspondance est trouve quand les deux policies des deux extrmits contiennent les mmes paramres pour le cryptage, l'authentification, le hachage et diffie-Hellman et quand la policy de l'extrmit distante spcifie une dure de vie gale ou infrieure la policy locale.
ccnp_cch 106

Tache 2 - Configurer IKE - Etape 3: Configurer ISAKMP Identity
10.0.1.3
Host B Routeur B
10.0.2.3
172.30.1.2
172.30.2.2
routeur(config)#crypto isakmp identity {address | hostname}

address Fixe l'identit ISAKMP avec l'adresse IP de l'interface qui est utilise pour communiquer avec l'extrmit distante durant la ngociation ISAKMP. Cette mthode est utilise quand il y a une seule interface utilise et que l'adresse IP est connue.
Fixe l'identit ISAKMP avec le nom de host concatn avec le nom de domaine. Cette mthode doit tre utilise s'il y a plusieurs interfaces utilises pour la ngociation ISAKMP ou si l'adresse IP de l'interface n'est pas connue. ( adresse affecte dynamiquement)
hostname
Les extrmits IPSec s'authentifient mutuellement pendant la ngociation ISAKMP en utilisant les cls "pre-shared" et l'identit ISAKMP. L'identit ISAKMP peut tre l'adresse IP de l'interface du routeur ou le nom de host. L'IOS Cisco utilise l'identit par adresse IP par dfaut.
ccnp_cch 107

Tache 2 - Configurer IKE - Etape 4: Configurer les "pre-shared keys"
10.0.1.3
Host B Routeur B
10.0.2.3 172.30.2.2
172.30.1.2 Pre-shared cl Cisco1234
routeur(config)#crypto isakmp key keystring address peer-address routeur(config)#crypto isakmp key keystring hostname hostname routeur(config)#crypto isakmp key Cisco1234 address 171.30.2.2 Configurez une cl d'authentification "pre-shared" avec la commande crypto isakmp key en mode de configuration global. Cette cl doit tre configure chaque fois que des cls "pre-shared" sont spcifies dans policy ISAKMP.
ccnp_cch 108

Tache 2 - Configurer IKE - Etape 4: Configurer les "pre-shared keys"
10.0.1.3 172.30.1.2 Pre-shared cl Cisco1234 172.30.2.2
Host B
Routeur B
10.0.2.3
RouterA(config)#crypto isakmp key cisco1234 address 172.30.2.1 RouterA(config)#crypto isakmp policy 110 RouterA(config-isakmp)#hash md5 RouterA(config-isakmp)#authentication pre-share RouterB(config)#crypto isakmp key cisco1234 address 172.30.1.1 RouterB(config)#crypto isakmp policy 110 RouterB(config-isakmp)#hash md5 RouterB(config-isakmp)#authentication pre-share
ccnp_cch 109

Tache 2 - Configurer IKE - Etape 5: Vrifier la configuration IKE
10.0.1.3 172.30.1.2 172.30.2.2
Host B Routeur B
10.0.2.3
RouterA#show crypto isakmp policy Protection suite of priority 110 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit
ccnp_cch 110

Tache 3 - Configurer IPSec
Tache 1 - Prparer IPSec Tache 2 - Configurer IKE Tache 3 - Configurer IPSec Etape 1 - Configurer les "transform suites" - crypto ipsec transform-set Etape 2 - Configurer les dures de vie globales des IPSec SAs - crypto ipsec security-association lifetime Etape 3 - Crer les crypto ACLs utilisant les listes d'accs tendues - crypto map Etape 4 - Configurer les crypto maps IPSec Etape 5 - Appliquer les crypto maps aux interfaces - crypto map map-name Tache 4 - Tester et Vrifier IPSec
ccnp_cch
111

Tache 3 - Configurer IPSec Etape 1: Configurer les "transforms set"
10.0.1.3 172.30.1.2 Mine esp-des Tunnel Routeur(config)#crypto ipsec transform-set transform-set-name transform1 [transform2 [transform2 [transform3]] Routeur(cfg-crypto-trans)# RouteurA(config)#crypto ipsec transform-set mine des 172.30.2.2
Host B Routeur B
10.0.2.3
Un "transform set" est une combinaison de transforms individuels IPSec qui promulgue une politique de scurit pour le trafic. Durant la ngociation ISAKMP IPSec SA qui se produit dans IKE phase 2 en mode rapide, les extrmits agrent l'utilisation d'un "transform set" pour protger un flux de trafic particulier.
ccnp_cch 112

Tache 3 - Configurer IPSec Etape 1: "transform set negotiation"
10.0.1.3 172.30.1.2
transform-set 10 esp-3des tunnel transform-set 20 esp-3des, esp-md5-hmac tunnel transform-set 30 esp-3des, esp-sha-hmac tunnel
Host B Routeur B
10.0.2.3 172.30.2.2
transform-set 40 esp-3des tunnel
transform-set 50 esp-3des, ah-sha-hmac tunnel transform-set 60 esp-3des, esp-sha-hmac tunnel
OK
Les "transform sets" sont ngocis durant IKE phase 2 en mode quick en utilisant des transform sets dej configurs. Plusieurs transform sets peuvent tre configurs avant de spcifier un plusieurs transform sets dans une crypto map. Configurez les "transforms" du plus scuris au moins scuris comme l"indique la policy. Le transform set dfini dans la crypto map est utilis dans la ngociation IPSec SA pour protger le flux spcifi dans l'ACL de la crypto map.
ccnp_cch 113

Tache 3 - Configurer IPSec Etape 2: Configurer les dures de vies globales des SA IPSec
10.0.1.3 172.30.1.2 172.30.2.2
Host B Routeur B
10.0.2.3
Routeur(config)#crypto ipsec security-association lifetime { seconds seconds|kilobytes kilobytes} RouteurA(config)# crypto ipsec security-association lifetime 86400
Les dures de vie des SAs IPSec sont ngocies dans IKE phase2 Les dures de vie des SAs IPSec dans les crypto map outrepassent les dures de vie globales des SAs IPSec.
ccnp_cch
114

Tache 3 - Configurer IPSec Etape 2: But des "Crypto ACLs"
Host A
Routeur A Internet
10.0.1.3 172.30.1.2
Trafic sortant
Cryptage Non IPsec Trafic entrant Elimine IPSec non-crypt
Autorise IPSec crypt Non IPSec
Les listes d'accs en sortie indiquent quel flux de donnes doit tre protg par IPSec Les listes d'accs en entre filtrent et limine le trafic qui aurait du tre protg par IPSec.
ccnp_cch
115

Tache 3 - Configurer IPSec Etape 3: Crer "Crypto ACLs" avec les listes d'accs tendues
10.0.1.3 172.30.1.2 10.0.1.0 Cryptage 172.30.2.2
Host B Routeur B
10.0.2.3
10.0.2.0
Routeur(config)#access-list access-list-number [dynamic dynamic-name [timeou-minutes]] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log]
RouteurA(config)#access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255

Les crypto ACLs identifie quel trafic doit protg (crypt)
ccnp_cch
116

Tache 3 - Configurer IPSec Etape 3: Configurer "Crypto ACLs" avec des extrmits symtriques
10.0.1.3 172.30.1.2 172.30.2.2
Host B Routeur B
10.0.2.3
RouteurA(config)#access-list 101 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
RouteurB(config)#access-list 101 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
ccnp_cch
117

Tache 3 - Configurer IPSec Etape 3: But des "Crypto maps"
Les crypto maps relient les diffrentes parties configures pour IPSec dont: Le trafic devant tre protg par IPSec et un ensemble de SAs L'adresse locale utiliser pour le trafic IPSEc
L'adesse de destination du trafic protg par IPSec

Le type IPSec appliquer ce trafic La mthode d'tablissement des SAs, soit manuellement soit avec RSA D'autres paramtres ncessaires pour dfinir une SA IPSec
ccnp_cch
118

Tache 3 - Configurer IPSec Etape 3: Paramtres des "Crypto maps"
10.0.1.3 172.30.1.2 172.30.2.2
Host B Routeur B
10.0.2.3
Trafic crypt Interface ou sous-interface de routeur Les crypto maps dfinissent: La liste d'accs utiliser Les extrmits distantes du VPN Les transforms sets utiliss La mthode de gestion des cls La dure de vie des associations de scurit
ccnp_cch
119

Tache 3 - Configurer IPSec Etape 4: Configurer les "Crypto maps" IPSec
10.0.1.3 172.30.1.2 172.30.2.2
Host B Routeur B
10.0.2.3
Routeur(config)#crypto map map-name seq-num ipsec-manual Routeur(config)#crypto map map-name seq-num ipsec-isakmp [dynamic dynamic-map-name] RouteurA(config)#crypto map mymap 110 ipsec-isakmp Un numro de squence diffrent par extrmit De multiples extrmits peuvent tre spcifies dans un seule crypto map pour redondance Une crypto map par interface
ccnp_cch 120

Tache 3 - Configurer IPSec Etape 4: Exemple de ommandes crypto map
Host A
Routeur A Internet
10.0.1.3 172.30.1.2 172.30.3.2
Routeur B
172.30.2.2
Host B
10.0.2.3
Routeur C RouteurA(config)#map mymap 110 ipsec-isakmp RouteurA(config-crypto-map)#match address 110 RouteurA(config-crypto-map)#set peer 172.30.2.2 RouteurA(config-crypto-map)#set peer 172.30.3.2 RouteurA(config-crypto-map)#set pfs group1 RouteurA(config-crypto-map)#set transform-set mine RouteurA(config-crypto-map)#set security association lifetime 86400
ccnp_cch
121

Tache 3 - Configurer IPSec Etape 5: Appliquer les "Crypto maps" aux interfaces
Host A Host B
Routeur A
Internet
10.0.1.3 172.30.1.2
Routeur B
10.0.2.3 172.30.2.2
mymap
Routeur(config-if)#crypto map map-name
RouteurA(config)#interface ethernet0/1 RouteurA(config-if)#crypto map mymap
ccnp_cch
122

Tache 3 - Configurer IPSec Etape 5: Exemples de configuration IPSec
10.0.1.3 172.30.1.2 172.30.2.2
Host B Routeur B
10.0.2.3
RouteurA#show running-config crypto ipsec transform-set mine esp-des ! crypto map mymap 10 ipsec-isakmp set peer 172.30.2.2 set transform-set mine match address 110 ! interface Ethernet0/1 ip address 172.30.1.2 255.255.255.0 no ip directed broadcast crypto map mymap ! access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
RouteurB#show running-config crypto ipsec transform-set mine esp-des ! crypto map mymap 10 ipsec-isakmp set peer 172.30.1.2 set transform-set mine match address 110 ! interface Ethernet0/1 ip address 172.30.2.2 255.255.255.0 no ip directed broadcast crypto map mymap ! access-list 110 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
ccnp_cch 123

Tache 4 - Tester et vrifier IPSec
Tache 1 - Prparation pour IKE et IPSec Tache 2 - Configurer IKE Tache 3 - Configurer IPSec Tache 4 - Tester et Vrifier IPSec Affiche les policies IKE configures - show crypto isakmp policy ( show isakmp policy sur un PIX) Affiche les transform sets configurs - show crypto ipsec transform-set Affiche les associations de scurit - show crypto isakmp sa (show isakmp sa sur un PIX) Affiche l'tat courant des SAs IPSec - show crypto ipsec sa Affiche les crypto maps configurs - show crypto map Valide debug pour les vnements IPSec - debug crypto ipsec
Valide debug pour les vnements ISAKMP - debug crypto isakmp

ccnp_cch 124

Tache 4 - Tester et vrifier IPSec - Commande show crypto isakmp policy
10.0.1.3
172.30.1.2 172.30.2.2
Host B Routeur B
10.0.2.3
RouteurA#show crypto isakmp policy Protection suite of priority 110 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: pre-share Diffie-Hellmen-group: #1 (768bit) Lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellmen-group: #1 (768bit) Lifetime: 86400 seconds, no volume limit
ccnp_cch
125

Tache 4 - Tester et vrifier IPSec - Commande show crypto ipsec transform-set
Host A Host B
Routeur A
Internet
10.0.1.3 172.30.1.2
Routeur B
10.0.2.3 172.30.2.2
RouteurA#show crypto ipsec transform-set Transform set mine: { esp-des} will negotiate = {Tunnel, },
Affiche les transforms sets courants et dfinis

RouteurA#show crypto isakmp sa dest src state 172.30.2.2 172.30.1.2 QM_IDLE
conn-id 47
slot 5
Affiche les associations de scurit ISAKMP
ccnp_cch
126

Tache 4 - Tester et vrifier IPSec - Commande show crypto ipsec sa
10.0.1.3 172.30.1.2 172.30.2.2
Host B
Routeur B
10.0.2.3
RouteurA#show crypto ipsec sa interface: Ethernet0/1 Crypto map tag: mymap, local addr. 172.30.1.2 local ident (addr/mask/prot/port): (172.30.1.2/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (172.30.2.2/255.255.255.255/0/0) Current peer: 172.30.2.2 PERMIT, flags={origin_is_acl} #pkts encaps: 21, #pkts encrypt: 21, #pkts digest 0 #send errors 0 #rec errors 0 Local crypto endpt: 172.30.1.2, remote crypto endpt: 172.30.2.2
ccnp_cch
127

Tache 4 - Tester et vrifier IPSec - Commande show crypto map
10.0.1.3
172.30.1.2 172.30.2.2
Host B Routeur B
10.0.2.3
RouteurA#show crypto map Crypto Map "mymap" 10 ipsec-isakmp Peer - 172.30.2.2 Extended IP access list 202 Acces-list 102 permit ip host 172.30.1.2 host 172.30.2.2 Current peer: 172.30.2.2 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N) : N Transform sets={ mine, }
ccnp_cch
128

Tache 4 - Tester et vrifier IPSec - Commandes clear
Routeur# Routeur# Routeur# Routeur# clear clear clear clear crypto crypto crypto crypto sa sa peer <IP address | peer name> sa map <map name> sa entry <destination address protocol spi>
Efface les associations de scurit IPSec dans la base de donnes du routeur PIX# PIX# PIX# PIX# clear clear clear clear [crypto] [crypto] [crypto] [crypto] ipsec ipsec ipsec ipsec sa sa peer <IP address | peer name> sa map <map name> sa entry <destination address protocol spi>
Efface les associations de scurit IPSec ou IKE sur un PIX
ccnp_cch
129

Tache 4 - Tester et vrifier IPSec - Commandes debug crypto
Routeur#debug crypto ipsec Affiche les messages debug pour tous les vnements IPSec
Routeur#debug crypto isakmp Affiche les messages debug pour tous les vnements ISAKMP
ccnp_cch
130

Tache 4 - Tester et vrifier IPSec - Commandes debug crypto
RouteurA#debug crypto ipsec Crypto IPSEC debugging is on RouteurA#debug crypto isakmp Crypto ISAKMp debugging is on RouteurA# *Feb 20 08:08:06.556 PST: IPSEC(sa-request): , (key eng. msg.) src= 172.30.1.2, dest= 172.30.2.2, src_proxy= 10.0.1.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.0.2.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-md5-hmac , lifedur= 3600s and 4608000kb, spi= 0x0(0), conn-id= 0, keysize=0, flags=0x4004 ! Le trafic interessant entre Site1 et Site2 active ISAKMP Main Mode. *Feb 20 08:08:06.556 PST: ISAKMP (4): beginning Main Mode exchange
ccnp_cch
131

Tache 4 - Tester et vrifier IPSec - Messages d'erreur du systme de cryptage pour ISAKMP
%CRYPTO-6-IKMP_SA_NOT_AUTH: Cannot accept Quick Mode exchange from %151 is SA is not authenticated!
Message d'erreur indiquant que la SA ISAKMP avec l'extrmit distante n'a pas t authentifie.
%CRYPTO-6-IKMP_SA_NOT_OFFERED: Remote peer %151 responded with attribute [chars] not offered or changed Message d'erreur indiquant une erreur de protection des ngociations entre les extrmits ISAKMP.
ccnp_cch
132

Langue

Bienvenue sur Scribd !

Ccnp Securite VPN

Transféré par

Informations du document

Description :

Date du transfert

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Description :

Droits d'auteur :

Formats disponibles

Ccnp Securite VPN

Transféré par

Description :

Droits d'auteur :

Formats disponibles

Titres liés

VPN (Virtual Private Networks)

Prsentation des VPN

Prsentation des VPN

Prsentation des VPN

Frame Relay Rseau Frame Relay Frame Relay

Tunnel VPN Site distant

Faible cot Plus flexible Gestion simplifie Topologie tunnel

Prsentation des VPN

Frame Relay Rseau Frame Relay Frame Relay

Tunnel VPN Site distant

Faible cot Plus flexible Gestion simplifie Topologie tunnel

Prsentation des VPN

Prsentation des VPN

Message Crypt Dcryptage

Prsentation des VPN

Message Crypt Dcryptage

Prsentation des VPN

Message Crypt Dcryptage

Routeur plusieurs routeurs

Serveurs Web Serveur DNS Relais Mail SMTP

Sites Distants DSL Cable Modem

Les VPNs site site ont aussi deux fonctions principales:

Accs Distants Clients

Sites Distants DSL Cable Modem

Choix de technologies VPN

Rseau/ Transport Couches (3-4)

Cryptage Couche Liaison

Cryptage Couche Liaison

Choix de technologies VPN

Rseau/ Transport Couches (3-4)

Cryptage Couche Liaison

Cryptage Couche Liaison

Choix de technologies VPN

Rseau/ Transport Couches (3-4)

Cryptage Couche Liaison

Cryptage Couche Liaison

Choix de technologies VPN

Rseau/ Transport Couches (3-4)

Cryptage Couche Liaison

Cryptage Couche Liaison

Choix de technologies VPN

Choix de technologies VPN

Physique/ Liaison Couches (1-2)

Choix de technologies VPN

L2F L2TP PPTP

Choix de technologies VPN

Choix de technologies VPN

Choix de technologies VPN

Non Utilisez un Tunnel GRE ou L2TP

Utilisez un VPN IPSec

Choix de technologies VPN

VPN - Termes cls

VPN - Termes cls

Message Crypt Dcryptage

VPN - Termes cls

Message Crypt Dcryptage

VPN - Termes cls