Institut Suprieur dInformatique

Travaux Pratiques Scurit Informatique

Les VPN IPSec sous Windows
Date : Lundi 11 et mardi 12 dcembre 2006

Pr-requis :
Pour raliser ce TP, il faut avoir :
- Une plateforme de rseau local quipe par des PC Windows (2000 ou XP) en rseau.
- Un analyseur de protocoles : IRIS (www.eEye.com), ou Sniffer Pro et ou Ethereal, ou autres
- La documentation daide : fichier Config IPSec sous Windows.
Travail demand :
1/ Vrifier le bon fonctionnement des PC Windows en rseau. (Cblage, protocole TCP/IP, adressage, ping, )
2/ Lancer votre analyseur de protocole en mode capture.
3/ Gnrer des requtes ICMP (avec des ping ou avec un autre outil type FrameIP ou autres, )
4/ Capturer le trafic ICMP et observer la structure de la trame.
Est-ce que le trafic ICMP est en clair ? ou est ce quil est chiffr ?
Sauver ce trafic dans un fichier sur disque dur.
5/ Configurer vos PCs pour prendre en considration le protocole IPSec. (Suivez les instructions dans la documentation
daide la configuration de IPSec sous Windows).
6/ Pendant votre manipulation de IPSec, appliquer IPSec pour le chiffrement du trafic ICMP.
7/ Une fois la configuration de IPSec est termine, faites des ping sur des machines distantes et observez le trafic avec
votre analyseur de protocoles.
8/ Alors quest ce que vous observez ?
Est ce que le trafic est en clair ?
9/ Travaillez maintenant en binme.
Reconfigurer IPSec, changer les cls, les algorithmes de chiffrement,
Choisir par exemple de travailler avec le protocole AH, ou le protocole ESP.
Attention : Pour pouvoir chiffrer et dchiffrer, les tudiants doivent se mettre daccord sur les cls, les algorithmes,

Configuration de IPsec entre deux terminaux sous Windows

Nous allons expliquer la procdure afin de mettre en uvre Ipsec en mode transport entre deux terminaux Windows.
Cette procdure est effectuer sur chacun des deux postes.
Dmarrer => Excuter => taper mmc => cliquer sur le bouton OK

La fentre suivante apparat (console mmc)

Ajout du composant logiciel de la stratgie de scurit IP

Menu Console => cliquer sur Ajouter/supprimer un composant logiciel enfichable

La fentre suivante apparat

Cliquer sur le bouton Ajouter

La fentre suivante apparat

Slectionner dans la liste Gestion de la stratgie de la scurit du protocole IP => cliquer sur Ajouter
La fentre suivante apparat

Slectionner Ordinateur local => cliquer sur Terminer

Cliquer sur le bouton Fermer de la fentre suivante

Cliquer sur le bouton OK de la fentre suivante

La console MMC contient maintenant le composant de Stratgie de Scurit IP

Cration dune nouvelle stratgie de scurit IP

Cliquer (bouton droit) sur Stratgie de Scurit IP => cliquer sur Crer une stratgie de scurit IP

Entrez le nom de la stratgie de scurit IP (ex : Stratgie de scurit BERYTECH)

Cliquer sur le bouton Suivant

Dcocher la case intitule Activer la rgle de rponse par dfaut

Cliquer sur le bouton Suivant

Cocher la case intitule Modifier les proprits

Cliquer sur le bouton Terminer

Configuration de la nouvelle stratgie de scurit IP

Cration dune nouvelle rgle

Cliquer sur le bouton Ajouter

Cliquer sur le bouton Suivant

Cochez la case intitule Cette rgle ne spcifie aucun tunnel

Cliquer sur le bouton Suivant

Slectionner le type de rseau. (ex : Toutes les connexions rseau)

Cliquer sur le bouton Suivant

Slectionner la mthode dauthenfication (ex : cl pr-partage : 123456789)
Nota : Pour utiliser le protocole Kerberos V5, il faut que les deux ordinateurs soient membre dun domaine.

Cliquer sur le bouton Suivant

Cration dune nouvelle liste de filtre IP

Cliquer sur le bouton Ajouter

Entrez le nom de la liste de filtre IP (ex : Filtre BERYTECH)

Cliquer sur le bouton Ajouter

Cration dun filtre IP

Cliquer sur le bouton Suivant

Slectionner Mon adresse IP comme adresse source du trafic IP

Cliquer sur le bouton Suivant

Slectionner Une adresse IP spcifique comme adresse de destination du trafic IP => Saisir ladresse IP de lautre terminal Windows
(ex : 172.16.207.26)
Nota : Ce paramtre est le seul qui diffre entre les deux configurations des terminaux Windows.

Cliquer sur le bouton Suivant

Slectionner un type de protocole IP (ex : ICMP)

Cliquer sur le bouton Suivant

Cliquer sur le bouton Terminer

Cliquer sur le bouton Fermer

Slectionner la liste de filtre cre (ex : Filtre BERYTECH)

Cliquer sur le bouton Suivant

Slectionner laction de filtrage Exiger la scurit

Nota : Le bouton Modifier permet daccder aux proprits qui recensent les diffrentes mthodes de scurit

Cliquer sur le bouton Suivant

Cliquer sur le bouton Terminer

Rcapitulatif de la configuration
Cette fentre est disponible lorsque lon souhaite modifier les proprits dune stratgie de scurit.
Fentre Proprits de la Stratgie de Scurit BERYTECH => Onglet Rgles

Cliquer sur le bouton Modifier

Onglet Liste de filtre IP

Onglet Action de filtrage

Onglet Mthodes dauthentification

Onglet Paramtres du tunnel

Onglet Type de connexion

Fentre Proprits de la Stratgie de Scurit BERYTECH => Onglet Gnral

Cliquer sur le bouton Avanc pour paramtrer lchange des cls

Cliquer sur le bouton Mthodes pour paramtrer les mthodes de scurit

Attribution de la Stratgie de scurit IP dfinie

Cliquer (bouton droit) sur la Stratgie de scurit dfinie (ex : Stratgie de scurit BERYTECH) => cliquer sur Attribuer