Académique Documents
Professionnel Documents
Culture Documents
Alain AUBERT
alain.aubert@univ-st-etienne.fr 0
VPN
Internet Firewall
Télétravailleur avec
sa BOX Siège
VPN social
WAN
1
VPN
Agence
1
Principe de fonctionnement d’un VPN
• VPN repose sur un principe de « Tunnelling »
— Permet de faire circuler les informations de façon cryptée d’un bout à l’autre
du tunnel
— Les utilisateurs distants ont l’impression de de se connecter directement sur le
réseau de leur entreprise
• Principe de tunneling:
— Consiste à créer un chemin virtuel après avoir identifié l’émetteur et le
destinataire
— La source chiffre (crypte) les données et les achemine en empruntant le
chemin virtuel 2
2
Contraintes d’un VPN
Key length:
- 56-bits Algorithmes de
Key length: chiffrement à clés
- 56-bits (3 times)
symétriques
Key lengths:
-128-bits
Diffie-Hellman DH7
-192 bits
-256-bits
Key length:
- 160-bits 5
3
Intégrité des données
• Algorithmes utilisés
Fonctions de
Hachage à sens
unique
Key length:
- 128-bits
Key length:
Diffie-Hellman - 160-bits) DH7
Diffie-Hellman DH7
4
Différents types de VPN
• 3 types de VPN:
• 3 types de VPN:
5
Différents types de VPN
• 3 types de VPN:
— L’Extranet VPN: une entreprise peut utiliser un VPN pour communiquer avec
ses clients ou ses partenaires
— Elle ouvre alors son réseau local. Dans ce cas il est nécessaire d’avoir une
authentification forte des utilisateurs ainsi qu’une trace des différents accès
— De plus, seule une partie des ressources sera partagée ce qui nécessite une
gestion rigoureuse des espaces d’échange
10
Protocoles utilisés
11
6
Protocoles IPsec
12
Protocoles IPsec
Authentication Header
R1 All data is in plaintext.
R2
13
7
Protocoles IPsec
• AH : Authentication header
1. The IP Header and data payload are hashed
IP Header + Data R2
Secret Hash
Key IP HDR AH Data
Authentication Data IP Header + Data
(00ABCDEF)
3. The new packet is
Internet
transmitted to the Hash
IPSec peer router Secret
Key
IP HDR AH Data
Recomputed Received
Hash = Hash
(00ABCDEF) (00ABCDEF)
R1
4. The peer router hashes the IP
2. The hash builds a new AH
header and data payload, extracts
header which is prepended
the transmitted hash and compares 14
to the original packet
Protocoles IPsec
• ESP : Encapsulation Security Payload
Internet
Router Router
IP HDR Data IP HDR Data
ESP ESP
New IP HDR ESP HDR IP HDR Data
Trailer Auth
Encrypted
Authenticated
• Provides confidentiality with encryption
• Provides integrity with authentication
15
8
Problématique des mécanismes de
cryptage
• Les protocoles sécurisés ont recours à des algorithmes de cryptage
et ont donc besoin de clés de chiffrement
• Problématique: gestion des clés, c’est-à-dire la génération, la
distribution, le stockage et la suppression de clés
• Cette gestion est dévolue à des protocoles spécifique de gestion de
clés, à savoir:
16
Internet
Site 1 Site 2
Policy 110
DES
MD5 Tunnel
Preshare
86400
DH1
router(config)#
crypto isakmp policy priority
Defines the parameters within the IKE policy
R1(config)# crypto isakmp policy 110
R1(config–isakmp)# authentication pre-share
R1(config–isakmp)# encryption des
R1(config–isakmp)# group 1
R1(config–isakmp)# hash md5
R1(config–isakmp)# lifetime 86400 17
9
Mise en œuvre sur routeur CISCO
Configuration de ISAKMP
18
Internet
Site 1 Policy 110
Preshare
Site 2
3DES Tunnel
SHA
DH2
43200
R2 must have an ISAKMP policy
configured with the same
parameters.
R1(config)# crypto isakmp policy 110 R2(config)# crypto isakmp policy 100
R1(config–isakmp)# authentication pre-share R2(config–isakmp)# authentication pre-share
R1(config–isakmp)# encryption 3des R2(config–isakmp)# encryption 3des
R1(config–isakmp)# group 2 R2(config–isakmp)# group 2
R1(config–isakmp)# hash sha R2(config–isakmp)# hash sha
R1(config–isakmp)# lifetime 43200 R2(config–isakmp)# lifetime 43200
19
10
Mise en œuvre sur routeur CISCO
Configuration de la clé partagée
router(config)#
crypto isakmp key keystring address peer-address
router(config)#
crypto isakmp key keystring hostname hostname
Parameter Description
This parameter specifies the PSK. Use any combination of alphanumeric characters
keystring up to 128 bytes. This PSK must be identical on both peers.
peer-
This parameter specifies the IP address of the remote peer.
address
This parameter specifies the hostname of the remote peer.
hostname This is the peer hostname concatenated with its domain name (for example,
myhost.domain.com).
Internet
Site 1 Site 2
R1(config)# crypto isakmp policy 110
R1(config–isakmp)# authentication pre-share
R1(config–isakmp)# encryption 3des
R1(config–isakmp)# group 2
R1(config–isakmp)# hash sha
R1(config–isakmp)# lifetime 43200
R1(config-isakmp)# exit
R1(config)# crypto isakmp key cisco123 address 172.30.2.2
R1(config)#
Note:
R2(config)# crypto isakmp policy 110
• The keystring cisco1234 matches. R2(config–isakmp)# authentication pre-share
R2(config–isakmp)# encryption 3des
• The address identity method is R2(config–isakmp)# group 2
specified. R2(config–isakmp)# hash sha
R2(config–isakmp)# lifetime 43200
• The ISAKMP policies are compatible.
R2(config-isakmp)# exit
• Default values do not have to be R2(config)# crypto isakmp key cisco123 address 172.30.1.2
configured. R2(config)#
21
11
Mise en œuvre sur routeur CISCO
Configuration du protocole Ipsec mis en
œuvre
router(config)#
crypto ipsec transform–set transform-set-name
transform1 [transform2] [transform3]]
Description
Command
This parameter specifies the name of the transform set
transform-set-name
to create (or modify).
Type of transform set. You may specify up to four
"transforms": one Authentication Header (AH), one
transform1,
Encapsulating Security Payload (ESP) encryption, one
transform2, transform3
ESP authentication. These transforms define the IP
Security (IPSec) security protocols and algorithms.
Note:
• Peers must share the
same transform set R2(config)# crypto isakmp key cisco123 address 172.30.1.2
settings. R2(config)#crypto ipsec transform-set OTHERSET esp-aes 128
R2(cfg-crypto-trans)# exit
12
Mise en œuvre sur routeur CISCO
Création d’un access list activant le VPN
entre les 2 sous réseaux
Site 1 Site 2
10.0.1.0/24 10.0.2.0/24
10.0.1.3 R1 R2 10.0.2.3
Internet
S0/0/0 S0/0/0
172.30.1.2 172.30.2.2
S0/1
24
Defines the name assigned to the crypto map set or indicates the name of the crypto
map-name
map to edit.
seq-num The number assigned to the crypto map entry.
ipsec-manual Indicates that ISAKMP will not be used to establish the IPsec SAs.
ipsec-isakmp Indicates that ISAKMP will be used to establish the IPsec SAs.
(Default value) Indicates that CET will be used instead of IPsec for protecting the
cisco
traffic.
(Optional) Specifies that this crypto map entry references a preexisting static crypto
dynamic map. If this keyword is used, none of the crypto map configuration commands are
available.
(Optional) Specifies the name of the dynamic crypto map set that should be used as 25
dynamic-map-name
the policy template.
13
Mise en œuvre sur routeur CISCO
Association de la configuration à
l’access list
Command Description
Used with the peer, pfs, transform-set, and security-association
set commands.
security-association
Sets SA lifetime parameters in seconds or kilobytes.
lifetime
match address [access- Identifies the extended ACL by its name or number. The value should match
the access-list-number or name argument of a previously defined IP-extended
list-id | name] ACL being matched.
26
R3
S0/0/0
172.30.3.2
14
Mise en œuvre sur routeur CISCO
Application de la CMAP à une interface
Site 1 Site 2
10.0.1.0/24 10.0.2.0/24
10.0.1.3 R1 R2
10.0.2.3
Internet
S0/0/0 S0/0/0
172.30.1.2 172.30.2.2
MYMAP
router(config-if)#
• Dépend étroitement
— du type de VPN (VPN d’accès, l’intranet VPN ou l’Extranet VPN)
— de la fréquence d’utilisation
29
15
Mise en œuvre LOGIGIEL de VPN
• Windows et les VPN
— Windows a été un des instigateurs de PPTP et a intégré très tôt dans ses
plateformes le outils permettant de mettre en œuvre les VPN
— Coté serveur, Windows 2003 intègre les outils permettant de mettre en œuvre
un VPN
— Coté client Windows XP intègre de façon native à travers un assistant la
création d’un réseau privé VPN
31
16