VPN Ipsec Securiday 2013

SECURINETS
Club de la Sécurité Informatique à l’INSAT
Dans le cadre de la 3ème édition

de la journée nationale de la sécurité informatique
SECURIDAY 2013
Cyber War
SECURINETS
Présente
Atelier : IPsec VPN
Formateurs: 1. soumaya KEBAILI

2. sonia MEJBRI
3. feten MKACHER
4. mohamed yessine BEN AMMAR
5. ismail KABOUBI
6.oussema NEJI
© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT

www.securinets.com
SECURIDAY 2013 - Cyber War
Date de création
Atelier : :27/04/2013
SECURINETS
Table des matières

Atelier : IPsec VPN........................................................................................................................... 1
I. Présentation de l’atelier : .......................................................................................................... 1
i. introduction générale : ...................................................................................................... 1
ii . Les services offerts par IPsec : ................................................................................... 2
II . Présentation des outils utilisés : ............................................................................................ 6
i. GNS3 ........................................................................................................................................... 6
ii. SDM :........................................................................................................................................... 7
iii. Wireshark : ............................................................................................................................... 7
iv. FileZilla: ...................................................................................................................................... 8
III. Topologie du réseau : ........................................................................................................ 9
IV. Configuration des outils : .................................................................................................. 9
i. ajout de la carte de bouclage : ................................................................................................. 9
ii. configuration du SDM : ......................................................................................................... 12
iii. configuration des routeurs : ............................................................................................... 13
iv . Configuration du VPN site à site: ........................................................................................ 14
V. Un scénario de test: ............................................................................................................... 16
VI. Conclusion : ........................................................................................................................ 26
© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page1

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
I. Présentation de l’atelier :
i. introduction générale :
Les tunnels VPN sont utilisés pour permettre la transmission sécurisée de données, voix et
vidéo entre deux sites (bureaux ou succursales).
Un réseau Vpn repose sur un protocole appelé "protocole de tunneling". Ce protocole permet de
faire circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre du tunnel pour
assurer la confidentialité des données transmises entre les deux sites. Ainsi, les utilisateurs ont
l'impression de se connecter directement sur le réseau de leur entreprise.
Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié l'émetteur et le
destinataire. Par la suite, la source chiffre les données et les achemine en empruntant Ce chemin
virtuel. Afin d'assurer un accès aisé et peu coûteux aux intranets ou aux extranets d'entreprise, les
réseaux privés virtuels d'accès simulent un réseau privé, alors qu'ils utilisent en réalité une
infrastructure d'accès partagée, comme Internet.
Les données à transmettre peuvent être prises en charge par un protocole différent d'Ip. Dans Ce
cas, le protocole de tunneling encapsule les données en ajoutant une en-tête. Le tunneling est
l'ensemble des processus d'encapsulation, de transmission et de désencapsulation.
Pour être considéré comme sécurisé, un VPN doit respecter les concepts de sécurité suivants:
- Confidentialité:
Les données ne peuvent pas être vues dans un format lisible.
Algorithmes typiques de chiffrement symétrique: DES, 3DES, AES, Blowfish
- Intégrité:
Les données ne peuvent pas être modifiées.
Algorithmes typiques de hachage: sha1, md5
- Authentification:
Les passerelles VPN s'assurent de l'identité de l'autre.
Algorithmes typiques: RSA, DH

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
Les deux types de VPN chiffrés sont les suivants :

•VPN IPsec de site à site : Cette alternative aux réseaux étendus à relais de trames ou à ligne allouée
permet aux entreprises d'étendre les ressources réseau aux succursales, aux travailleurs à domicile et
aux sites de leurs partenaires.
•VPN d'accès distant : Ce type de VPN étend presque n'importe quelle application vocale, vidéo ou
de données au bureau distant, grâce à une émulation du bureau principal.
Les protocoles de tunnelisation:
L2F : développé par Cisco, il est désormais quasi-obsolète.
PPTP : développé par Microsoft.
L2TP : est l'aboutissement des travaux de l'IETF (RFC 3931) pour faire converger les fonctionnalités
de PPTP et L2F. Il s'agit d'un protocole de niveau 2 s'appuyant sur PPP.
Editer le fichier « services » sur «C:\Windows\System32\drivers\etc » pour voir les ports TCP/UDP
de chaque protocole
ii. Les services offerts par IPsec :
Le protocole " IPsec" est l'une des méthodes permettant de créer des VPN (réseaux privés virtuels),
c'est-à-dire de relier entre eux des systèmes informatiques de manière sûre en s'appuyant sur un
réseau existant, lui-même considéré comme non sécurisé. Le terme sûr a ici une signification assez
vague, mais peut en particulier couvrir les notions d'intégrité et de confidentialité. L'intérêt majeur
de cette solution par rapport à d'autres techniques (par exemple les tunnels SSH) est qu'il s'agit
d'une méthode standard (facultative en IPv4, mais obligatoire en IPv6), mise au point dans ce but
précis, décrite par différentes RFCs, et donc interopérable. Quelques avantages supplémentaires sont
l'économie de bande passante, d'une part parce que la compression des en-têtes des données
transmises est prévue par ce standard, et d'autre part parce que celui-ci ne fait pas appel à de trop
lourdes techniques d'encapsulation, comme par exemple les tunnels PPP sur lien SSH. Il permet
également de protéger des protocoles de bas niveau comme ICMP et IGMP, RIP, etc ...
www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
IPsec présente en outre l'intérêt d'être une solution évolutive, puisque les algorithmes de
chiffrement et d'authentification à proprement parler sont spécifiés séparément du protocole lui-
même. Elle a cependant l'inconvénient inhérent à sa flexibilité : sa grande complexité rend son
implémentation délicate. Les différents services offerts par le protocole IPsec sont ici détaillés. Les
manières de les combiner entre eux que les implémentations sont tenues de supporter sont ensuite
présentées. Les moyens de gestion des clefs de chiffrement et signature sont étudiés et les
problèmes d'interopérabilité associés sont évoqués. Enfin, un aperçu rapide de quelques
implémentations IPsec, en s'intéressant essentiellement à leur conformité aux spécifications est
donné.
AH (authentication header) :
AH est le premier et le plus simple des protocoles de protection des données qui font partie de la
spécification IPsec. Il est détaillé dans la Rfc 2402. Il a pour vocation de garantir :
• L'authentification : les datagrammes IP reçus ont effectivement été émis par l'hôte dont
l'adresse IP est indiquée comme adresse source dans les en-têtes.
• L'unicité (optionnelle, à la discrétion du récepteur) : un datagramme ayant été émis

légitimement et enregistré par un attaquant ne peut être réutilisé par ce dernier, les
attaques par rejeu sont ainsi évitées.
• L'intégrité : les champs suivants du datagramme IP n'ont pas été modifiés depuis leur
émission : les données (en mode tunnel, ceci comprend la totalité des champs, y compris les
en-têtes, du datagramme IP encapsulé dans le datagramme protégé par AH), version (4 en
IPv4, 6 en IPv6), longueur de l'en-tête (en IPv4), longueur totale du datagramme (en IPv4),
longueur des données (en IPv6), identification, protocole ou en-tête suivant (ce champ vaut
51 pour indiquer qu'il s'agit du protocole AH), adresse IP de l'émetteur, adresse IP du
destinataire (sans source routing).
En outre, au cas où du source routing serait présent, le champ adresse IP du destinataire a la valeur
que l'émetteur a prévu qu'il aurait lors de sa réception par le destinataire. Cependant, la valeur que
prendront les champs type de service (IPv4), indicateurs (IPv4), index de fragment (IPv4), TTL (IPv4),
somme de contrôle d'en-tête (IPv4), classe (IPv6), flow label (IPv6), et hop limit (IPv6) lors de leur
réception n'étant pas prédictible au moment de l'émission, leur intégrité n'est pas garantie par AH.
L'intégrité de celles des options IP qui ne sont pas modifiables pendant le transport est assurée, celle
des autres options ne l'est pas.
Attention, AH n'assure pas la confidentialité : les données sont signées mais pas chiffrées.
Enfin, AH ne spécifie pas d'algorithme de signature particulier, ceux-ci sont décrits séparément,
cependant, une implémentation conforme à la Rfc 2402 est tenue de supporter les algorithmes
MD5 et SHA-1.
ESP (encapsulating security payload)
ESP est le second protocole de protection des données qui fait partie de la spécification IPsec. Il est
détaillé dans la Rfc 2406. Contrairement à AH, ESP ne protège pas les en-têtes des datagrammes IP

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
utilisés pour transmettre la communication. Seules les données sont protégées. En mode transport, il
assure :
La confidentialité des données (optionnelle) : la partie donnée des datagrammes IP transmis

est chiffrée.
L'authentification (optionnelle, mais obligatoire en l'absence de confidentialité) : la partie

données des datagrammes IP reçus ne peut avoir été émise que par l'hôte avec lequel a lieu
l'échange IPsec, qui ne peut s'authentifier avec succès que s'il connaît la clef associée à la
communication ESP. Il est également important de savoir que l'absence d'authentification nuit
à la confidentialité, en la rendant plus vulnérable à certaines attaques actives.
• L'unicité (optionnelle, à la discrétion du récepteur).
• L'integrité : les données n'ont pas été modifiées depuis leur émission.
En mode tunnel, ces garanties s'appliquent aux données du datagramme dans lequel est encapsulé le
trafic utile, donc à la totalité (en-têtes et options inclus) du datagramme encapsulé. Dans ce mode,
deux avantages supplémentaires apparaissent:
• Une confidentialité, limitée, des flux de données (en mode tunnel uniquement, lorsque la
confidentialité est assurée) : un attaquant capable d'observer les données transitant par un lien
n'est pas à même de déterminer quel volume de données est transféré entre deux hôtes
particuliers. Par exemple, si la communication entre deux sous-réseaux est chiffrée à l'aide d'un
tunnel ESP, le volume total de données échangées entre ces deux sous-réseaux est calculable
par cet attaquant, mais pas la répartition de ce volume entre les différents systèmes de ces
sous-réseaux.
• La confidentialité des données, si elle est demandée, s'étend à l'ensemble des champs, y
compris les en-têtes, du datagramme IP encapsulé dans le datagramme protégé par ESP).
Enfin, ESP ne spécifie pas d'algorithme de signature ou de chiffrement particulier, ceux-ci sont décrits
séparément, cependant, une implémentation conforme à la Rfc 2406 est tenue de supporter
l'algorithme de chiffrement DES en mode CBC, et les signatures à l'aide des fonctions de hachage
MD5 et SHA-1.
Implantation d'IPsec dans le datagramme IP
La figure 1 montre comment les données nécessaires au bon fonctionnement des formats AH et ESP
sont placées dans le datagramme IPv4. Il s'agit bien d'un ajout dans le datagramme IP, et non de
nouveaux datagrammes, ce qui permet un nombre théoriquement illimité ou presque
d'encapsulations IPsec : un datagramme donné peut par exemple être protégé à l'aide de trois
applications successives de AH et de deux encapsulations de ESP.
La gestion des clefs pour Ipsec : Isakmp et Ike
Les protocoles sécurisés présentés dans les paragraphes précédents ont recours à des algorithmes
cryptographiques et ont donc besoin de clefs. Un des problèmes fondamentaux d'utilisation de la

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
cryptographie est la gestion de ces clefs. Le terme "gestion" recouvre la génération, la distribution, le
stockage et la suppression des clefs.
IKE (Internet Key Exchange) est un système développé spécifiquement pour Ipsec qui vise à fournir
des mécanismes d'authentification et d'échange de clef adaptés à l'ensemble des situations qui
peuvent se présenter sur l'Internet. Il est composé de plusieurs éléments : le cadre générique Isakmp
et une partie des protocoles Oakley et Skeme. Lorsqu'il est utilisé pour Ipsec, IKE est de plus
complété par un "domaine d'interprétation" pour Ipsec.
Isakmp (Internet Security Association and Key Management Protocol)
Isakmp a pour rôle la négociation, l'établissement, la modification et la suppression des associations

de sécurité et de leurs attributs. Il pose les bases permettant de construire divers protocoles de
gestion des clefs (et plus généralement des associations de sécurité). Il comporte trois aspects
principaux :
• Il définit une façon de procéder, en deux étapes appelées phase 1 et phase 2 : dans la
première, un certain nombre de paramètres de sécurité propres à Isakmp sont mis en place,
afin d'établir entre les deux tiers un canal protégé ; dans un second temps, Ce canal est utilisé
pour négocier les associations de sécurité pour les mécanismes de sécurité que l'on souhaite
utiliser (AH et Esp par exemple).
• Il définit des formats de messages, par l'intermédiaire de blocs ayant chacun un rôle précis et
permettant de former des messages clairs.
•Il présente un certain nombre d'échanges types, composés de tels messages, qui permettant
des négociations présentant des propriétés différentes : protection ou non de l'identité, perfect
forward secrecy...
Isakmp est décrit dans la Rfc 2408.
Ike (Internet Key Exchange)
IKE utilise Isakmp pour construire un protocole pratique. Il comprend quatre modes :
 •Le mode principal (Main mode)

 •Le mode agressif (Aggressive Mode)
 •Le mode rapide (Quick Mode)
 •Le mode nouveau groupe (New Groupe Mode)
Main Mode et Aggressive Mode sont utilisés durant la phase 1, Quick Mode est un échange de phase
2. New Group Mode est un peu à part : Ce n'est ni un échange de phase 1, ni un échange de phase 2,
mais il ne peut avoir lieu qu'une fois qu'une SA Isakmp est établie ; il sert à se mettre d'accord sur un
nouveau groupe pour de futurs échanges Diffie-Hellman.

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
II. Présentation des outils utilisés :

Dans l’atelier qui suit on va voir comment configurer un tunnel VPN site à site et utiliser le logiciel
SDM pour visualiser son état via une interface graphique. Pour cela nous avons besoin des logiciels
suivants :
i. GNS3
Le logiciel GNS3 est en fait une interface graphique pour l’outil sous-jacent Dynamips qui permet
l’émulation de machines virtuelles Cisco. Il est nécessaire d’insister sur le terme émulation, dans la
mesure où ces machines s’appuient sur les véritables IOS fournis par Cisco et leur confèrent donc
l’intégralité des fonctionnalités originales.
Ce logiciel peut donc être opposé à PacketTracer, qui est un simulateur fourni par Cisco dans le cadre
de son programme académique, et qui est donc limité aux seules fonctionnalités implémentées par
les développeurs du logiciel. Les performances des machines ainsi créées ne sont bien entendu pas
équivalentes à celles des machines physiques réelles, mais elles restent amplement suffisantes pour
mettre en œuvre des configurations relativement basiques et appréhender les concepts de base des
équipements Cisco. A l’heure actuelle, seules certaines plateformes de routeurs sont émulées ainsi
que les plateformes PIX et ASA qui sont les Firewalls de la gamme Cisco. De simples commutateurs
Ethernet sont émulés, et permettent notamment l’interconnexion du Lab virtuel ainsi crée avec un
réseau physique

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
Cette solution pourra donc être choisie pour la mise en place de labos virtuels, notamment dans le
cadre de la préparation des premières certifications Cisco telles que le CCNA, mais nécessitera une
machine avec de bonnes ressources pour émuler plusieurs équipements en simultané .Pour tout
autre renseignement sur le produit ou son téléchargement, vous pouvez vous rendre directement sur
la page www.gns3.net. Concernant les IOS, il vous faudra un compte CCO pour télécharger les IOS
souhaités depuis le site de Cisco.
ii. SDM :
Le Security Device Manager Cisco ® (SDM) est un dispositif intuitif, basé sur les Outils web de gestion
intégrée dans les routeurs d'accès Cisco IOS. Cisco SDM simplifie l'utilisation des routeur s et la
configuration de la sécurité grâce à des assistants intelligents, permettant aux clients déployer
configurer et surveiller un routeur d'accès Cisco ,rapidement et facilement, nécessitant pas des
connaissances du logiciel d'interface de ligne de commande Cisco IOS (CLI).
Cisco SDM permet aux utilisateurs de configurer facilement Cisco IOS fonctions de sécurité logicielles
sur Cisco et accéder à des routeurs sur une base par appareil de l'appareil, tout en permettant une
gestion proactive par la surveillance des performances. Pour le déploiement d'un nouveau routeur
ou l'installation de Cisco SDM sur un routeur existant, les utilisateurs peuvent désormais configurer
et surveiller à distance Cisco 830, 1700, 2600XM, 3600 et 3700 routeurs de la gamme sans utiliser le
logiciel Cisco IOS de l'interface de ligne de commande(CLI).
Le logiciel Cisco IOS CLI est un moyen efficace de configuration du routeur, mais nécessite une grand
niveau de compétence et d'expertise.
iii. Wireshark :
WireShark (anciennement Ethereal) est un outil d'analyse des trames réseau. L'application a été
renommée car le développeur principal a changé de société : le nom Ethereal appartient à sa société
précédente, il n'a donc pu continuer le projet sous le même nom...

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
Wireshark est un analyseur multi plateformes de protocoles réseaux ou « packet sniffer » classique.
Son utilité principale est d'examiner les données qui transitent sur un réseau ou de chercher des
données ou un fichier sur un disque. L'outil est utilisable sur plusieurs plateformes : Windows (*.exe),
Linux (.deb), OS X (*.dmg).
Wireshark examine les données d'un réseau en direct et peut également faire une capture des
différentes communications pour pouvoir y travailler dessus à un autre moment. Wireshark propose
notamment de voir les "dissector tables" directement depuis la fenêtre principale. L'application peut
exporter des objets au format SMB ou encore afficher le code BPF compilé pour les filtres de
captures. Enfin, Wiresharksupporte une multitude de protocoles comme ADwin, Appache Etch, JSON,
ReLOAD ou encore Wi-Fi P2P (Wi-Fi Direct).
iv. FileZilla:
FileZilla propose un client FTP libre et simple d'utilisation qui permettra aux débutants comme aux
utilisateurs confirmés de se connecter à distance sur un serveur afin d'y télécharger des fichiers.
Cette application particulièrement riche en fonctionnalités supporte le glisser-déposer, les protocoles
SSL et SSH et permet de reprendre les mises à jour et téléchargements interrompus y compris pour
les fichiers de taille conséquente (supérieurs à 4 Go).
Grâce au gestionnaire de sites intégré, vous pouvez accéder plus rapidement aux adresses auxquelles
vous vous connectez de façon régulière. Dans la nouvelle mouture de FileZilla on retrouve de
nouvelles fonctionnalités, notamment l'affichage de la quantité de données transférées et le temps
de transfert dans la fenêtre de log. FileZilla dispose également d'un accès plus rapide à la fonction de
limitation de vitesse des transferts et ajoute le support du bouton retour arrière sur les souris qui en
disposent. Enfin FileZillapropose un rafraîchissement de l'interface avec des icônes mises au goût du
jour.

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
III. Topologie du réseau :
IV. Configuration des outils :
i. ajout de la carte de bouclage :

Lors de la création d’un lab sous GNS3, il peut être intéressant d’interconnecter la machine hôte du
logiciel GNS3 avec la topologie virtuellement créée. Pour ce faire, il est nécessaire de créer une
interface virtuelle et de l’intégrer à la topologie.
L’interface virtuelle n’est en fait qu’une simple Loopback. Voici la procédure pour l’implémenter :

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
• Ajout de Matériel :
• Cocher “Installer le matériel que je sélectionne manuellement dans la liste”
• Sélectionner “Carte réseau”

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
• Choisir le fabricant “Microsoft” puis la carte réseau intitulée “Carte de bouclage Microsoft”
•Terminer l’installation :
Cette procédure a pour effet de créer une interface réseaux dans le menu “Connexions réseaux”.
Afin de l’interconnecter avec la topologie réseau
En faisant un clic droit sur ce nuage, puis en sélectionnant “Configurer”, il va être possible de
sélectionner l’interface réseau à utiliser dans l’onglet “NIO Ethernet” (en l’occurrence notre interface
Loopback créée). La fin de la configuration reste la même que celle d’une configuration réelle. Il suffit
de configurer une adresse IP sur l’interface Loopback, et d’en mettre une autre dans le même sous-
réseau pour le routeur virtuel qu’on cherche joindre depuis son PC.

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
ii. configuration du SDM :

étape 1 : Activer le HTTP et HTTPS serveurs sur votre routeur en entrant les commandes suivantes
en mode de configuration globale:
site1# configure terminal

Entrez les commandes de configuration, une par ligne. Terminez avec CNTL / Z.
site1 (config)# ip http server
site1(config)# ip http secure-server
site1(config)# ip http authentication local
site1 (config)# ip http timeout-policy idle 600 life 86400 requests 10000
étape 2 : Créer un compte utilisateur défini avec un niveau de privilège 15 (activer privilèges). Entrez
la commande suivante en mode de configuration globale, en remplacement de nom d'utilisateur et mot
de passe avec les chaînes que vous souhaitez utiliser:
site1(config)# username username privilege 15 secret 0 password
Par exemple, si vous avez choisi le nom d'utilisateur admin et le mot de passe cisco!123, vous devez
entrer ce qui suit:
site1(config)# username admin privilege 15 secret 0 cisco!123
Vous utiliserez ce nom d'utilisateur et mot de passe pour vous connecter à Cisco SDM.
étape 3 : Configurez SSH et Telnet pour la connexion locale et le niveau de privilège 15. Utilisez les
commandes suivantes:
site1(config)# line vty 0 4
site1 (config-line)# privilege level 15
www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
site1 (config-line)# login local

site1(config-line)# transport input telnet ssh
site1(config-line)# exit
étape 4 : Attribuer une adresse IP au port Fast Ethernet. elle sera utilisée pour accéder à ce routeur
site1(config)#interface fastethernet 0/0
site1(config-if)#ip address 192.168.111.1 255.255.255.0
site1 (config-if)#no shutdown
iii. configuration des routeurs :

Le routeur ISP :
ISP#configure terminal
ISP(config)#interface f1/0
ISP(config-if)# ip address 10.10.10.2 255.255.255.0
ISP(config-if)# no shutdown
ISP(config-if)# exit
ISP(config)#interface f1/1
ISP(config-if)# ip address 172.16.1.1 255.255.255.0
ISP(config-if)# no shutdown
ISP(config-if)# exit
ISP(config)# ip route 172.16.2.0 255.255.255.0 f1/1 172.16.1.2
ISP(config)# ip route 192.168.2.0 255.255.255.0 f1/0 10.10.10.1
ISP(config)#end
Le routeur Site1 :
Site1#configure terminal
Site1 (config)#interface f1/1
Site1 (config-if)# ip address 10.10.10.1 255.255.255.0
Site1 (config-if)# no shutdown
Site1 (config-if)# exit
Site1 (config)#interface loopback 0
Site1 (config)#interface fastethernet1/0
Site1 (config)#ip route 0.0.0.0 0.0.0.0 f1/1 10.10.10.2
Site1 (config)#end
Le routeur Site2 :
Site2 (config)#interface f1/0

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
Site2 (config-if)# no shutdown

Site2 (config)#interface loopback 0
Site2(config-if)# ip address 172.16.2.1 255.255.255.0
Site2 (config)#ip route 0.0.0.0 0.0.0.0 serial 0/0 172.16.1.1
Site2 (config)#end
iv. Configuration du VPN site à site:
 3DES – Est un procédé de cryptage utilisé pour la phase 1.

 Sha – Est l'algorithme de hachage
 Pre-share - Utilisation d’une Clé pré-partagée comme méthode d'authentification
 Groupe 2 – L’algorithme d’échange de clef Diffie-Hellman est utiliser
 86400 – Est la durée de vie de la clé de session. Elle est exprimée en kilo-octets (après
x quantité de trafic, modifier la clé) ou en secondes. La valeur définie est la valeur par défaut.
Pour configurer le protocole IPSec on a besoin de configurer les éléments suivants dans l'ordre:
- Créer une ACL étendue
- Créer l’IPSec Transform
- Créer la Crypto Map
- Appliquer crypto map à l'interface publique
Ajouter les lignes suivantes pour chaque routeur :
Sur le routeur Site1 :
1ère étape : configurer le transform-set

Site1(config)# crypto ipsec transform-set TSTEST esp-3des esp-sha-hmac
Site1(cfg-crypto-trans)#exit
2ème étape : créer votre crypto-map

Site1(config)#crypto map TST_CMAP 1 ipsec-isakmp
Site1(config-crypto-map)# description VPN to Site_02 172.16.2.0
Site1(config-crypto-map)#set peer 172.16.1.2
Site1(config-crypto-map)# set transform-set TSTEST
Site1(config-crypto-map)#match address VPN_TO_SITE_02
Site1(config-crypto-map)#exit
3ème étape : créer votre policy-map

Site1(config)#crypto isakmp policy 1
Site1(config-isakmp)# encryption 3des
Site1(config-isakmp)#authentication pre-share
Site1(config-isakmp)#group 2
Site1(config-isakmp)#exit

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
4ème étape : créer votre pre-share key

Site1(config)# crypto isakmp key cisco!123 address 172.16.1.2
5ème étape : Classifier votre trafic et activer la cypto-map sur l’nterface serial 0/0
Site1(config)#ip access-list extended VPN_TO_SITE_02
Site1(config-ext-nacl)# remark Rule For VPN Access
Site1(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 172.16.2.0 0.0.0.255
Site1(config-ext-nacl)#exit
Site1(config)#interface serial 0/0
Site1(config-if)# crypto map TST_CMAP <- Activation de la crypto-map
Site1(config-if)#end
Sur le routeur Site2 :
1ère étape : configurer le transform-set

Site2(config)# crypto ipsec transform-set TSTEST esp-3des esp-sha-hmac
Site2(cfg-crypto-trans)#exit
2ème étape : créer votre crypto-map

Site2(config)#crypto map TST_CMAP 1 ipsec-isakmp
Site2(config-crypto-map)# description VPN to Site_01 192.168.2.0
Site2(config-crypto-map)#set peer 10.10.10.1
Site2(config-crypto-map)# set transform-set TSTEST
Site2(config-crypto-map)#match address VPN_TO_SITE_01
Site2(config-crypto-map)#exit
3ème étape : créer votre policy-map

Site2(config)#crypto isakmp policy 1
Site2(config-isakmp)# encryption 3des
Site2(config-isakmp)#authentication pre-share
Site2(config-isakmp)#group 2
Site2(config-isakmp)#exit
4ème étape : créer votre pre-share key

Site2(config)# crypto isakmp key cisco!123 address 10.10.10.1
5ème étape : Classifier votre trafic et activer la cypto-map sur l’nterface serial 0/0
Site2(config)#ip access-list extended VPN_TO_SITE_01
Site2(config-ext-nacl)# remark Rule For VPN Access
Site2(config-ext-nacl)#permit ip 172.16.2.0 0.0.0.255 192.168.2.0 0.0.0.255
Site2(config-ext-nacl)#exit
Site2(config)#interface serial 0/0
Site2(config-if)# crypto map TST_CMAP <- Activation de la crypto-map
Site2(config-if)#end

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
V. Un scénario de test:
i. Utilisation du SDM. :
Dans cette partie on va utiliser le SDM pour accéder au routeur Site1 et visualiser l’état de notre
VPN.
Pour cela :
•Ajouter une carte de bouclage Microsoft dans votre pc et donner la une adresse ip du même sous-
réseau que l’interface Fastethernet 1/0 du routeur Site1. Si non vous pouvez utiliser les cartes
VMware avec une machine virtuelle au lieu de votre pc.
•Affecter cette carte au nuage GNS3 (le pc SDM sur la maquette).
•Tester la connectivité entre la machine SDM et votre routeur. Vérifier vos firewalls si le test échoue.
•Lancer le SDM et attribuer l’adresse ip du routeur (192.168.111.1):

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
•choisir le nom d'utilisateur admin et le mot de passe cisco!123 :
•Authentification au SDM :

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
•L’état de notre VPN , IPsec est UP :
•Le statut de notre VPN :

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
ii. test de ping :
Après configuration, on peut tester d’envoyé des données entre les deux pc qui se trouvent
dans 2 sites distant, on peut voir que le ping et les données passent
•Après l'installation du logiciel filezilla, on établit la connexion coté serveur :
•on peut ajouter désormais un utilisateur :

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
• attribution d'un login au nouvel utilisateur "souu" :
•Après avoir ajouté un utilisateur, il faut indiquer la liste des répertoires et des fichiers à
partager :

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
• Ajout d'un nouvel utilisateur :

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
•Configuration de l'adresse ip de la machine du serveur comme suit :
•Configuration de l'adresse ip de la machine cliente comme suit :

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
•il faut tester la connexion entre les deux machines, en utilisant la commande ping :
•Accès cote serveur : il faut taper dans le navigateur l'adresse indiquée ci-dessous pour
pouvoir accéder au serveur :

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
•Authentification requise : login + mot de passe de l'utilisateur
•choisir un fichier à enregistrer :

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
iii . Sniffing Wireshark :
Pour conclure on effectue « sniffing » pour voir ce qui se passe sur votre architecture grâce
à l’intégration du logiciel wireshark dans GNS3, pour cela rien de plus simple, faire un clic-
droit sur le lien que vous voulez analyser et cliquer sur « Start capturing » :
Vous devez ensuite choisir dans la liste proposée l’interface que vous souhaitez analyser.
Une fois choisie, dans la partie « Capture » de GNS3 apparaît votre première capture, faîtes
un clic-droit dessus pour lancer wireshark, vous pourrez ainsi analyser le trafic sur cette
interface :

www.securinets.com
Date de création
Atelier : :27/04/2013
SECURINETS
 les données passent à tarvers le tunnel VPN ipsec précedemmant crée et elles sont cryptées :
VI. Conclusion :
Que ce soit une IPSec ou VPNSSL, le bon choix dépend en définitive des besoins d'accès
distant de votre entreprise : VPN IPSec est conçu pour le site à site VPN ou d'accès à distance à partir
d'un petit nombre fini de contrôles actifs de l'entreprise .Si ce sont les besoins primaires de votre
entreprise, IPSec effectue ces fonctions tout à fait bien.

www.securinets.com

VPN Ipsec Securiday 2013

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

VPN Ipsec Securiday 2013

Transféré par

Droits d'auteur :

Formats disponibles

SECURINETS

Club de la Sécurité Informatique à l’INSAT

Dans le cadre de la 3ème édition

Atelier : IPsec VPN

Formateurs: 1. soumaya KEBAILI

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT

Table des matières

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page1

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page1

Les deux types de VPN chiffrés sont les suivants :

ii. Les services offerts par IPsec :

• L'unicité (optionnelle, à la discrétion du récepteur) : un datagramme ayant été émis

ESP (encapsulating security payload)

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page3

La confidentialité des données (optionnelle) : la partie donnée des datagrammes IP transmis

L'authentification (optionnelle, mais obligatoire en l'absence de confidentialité) : la partie

• L'unicité (optionnelle, à la discrétion du récepteur).

Implantation d'IPsec dans le datagramme IP

La gestion des clefs pour Ipsec : Isakmp et Ike

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page4

Isakmp (Internet Security Association and Key Management Protocol)

Isakmp a pour rôle la négociation, l'établissement, la modification et la suppression des associations

Isakmp est décrit dans la Rfc 2408.

Ike (Internet Key Exchange)

 •Le mode principal (Main mode)

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page5

II. Présentation des outils utilisés :

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page6

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page7

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page8

III. Topologie du réseau :

IV. Configuration des outils :

i. ajout de la carte de bouclage :

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page9

• Cocher “Installer le matériel que je sélectionne manuellement dans la liste”

• Sélectionner “Carte réseau”

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page10

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page11

ii. configuration du SDM :

site1# configure terminal

site1 (config-line)# login local

iii. configuration des routeurs :

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page13

Site2 (config-if)# no shutdown

iv. Configuration du VPN site à site:

 3DES – Est un procédé de cryptage utilisé pour la phase 1.

Sur le routeur Site1 :

1ère étape : configurer le transform-set

2ème étape : créer votre crypto-map

3ème étape : créer votre policy-map

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page14

4ème étape : créer votre pre-share key

Sur le routeur Site2 :

1ère étape : configurer le transform-set

2ème étape : créer votre crypto-map

3ème étape : créer votre policy-map

4ème étape : créer votre pre-share key

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page15

•Lancer le SDM et attribuer l’adresse ip du routeur (192.168.111.1):

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page16

•choisir le nom d'utilisateur admin et le mot de passe cisco!123 :

© Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l’INSAT Page17

•L’état de notre VPN , IPsec est UP :

•Le statut de notre VPN :