Vous êtes sur la page 1sur 18

UNIVERSITE DE BANGUI REPUBLIQUE CENTRAFRICAINE

**********
Unité – Dignité – Travail

INSTITUT SUPERIEUR DE TECHNOLOGIE


****************
DEPARTEMENT DE GENIE INFORMATIQUE

EXPOSE SECURITE INFORMATIQUE


Options : Réseaux & Systèmes Informatiques et Informatique de Gestion

THEME :

Les Réseaux privés virtuels

(VPN)

Rédigés et présentés par : Sous la direction :


Tony Ulrich NGUEREZA Nadège NDASSIMBA
Prestige YAINDE Ingénieur en Réseaux & Systèmes
Franck NAMKOISSE
Nellie-vi LAMANDET

Année académique
2014-2015
Les réseaux privés virtuels (VPN)

SOMMAIRE

INTRODUCTION………………………………………………………….…………………………………………………………………………
I. FONCTIONNEMENT….………………………………………………………………….…………………………………………
II. INTERETS D’UTILISATION……………………………………………………………………………………………………….

III. LES PROTOCOLES DE TUNNELISATION…………………………………………………………………………………..


IV. CHOIX DE PROTOCOLE A UTILISER…………………………………………………………………………………………
V. LE PROTOCOLE IPSEC …………………….……………………………………………………………………………………..
VI. CONFIGURATION D’UN VPN SUR LES ROUTEURS CISCO AVEC « PACKET TRACERT »
EN UTILISANT IPSEC ………………………………………………………………………………………………….

CONCLUSION …………………………………………………………………………………………………………………………

Exposé sécurité informatique 2014-2015 Page 2


Les réseaux privés virtuels (VPN)

INTRODUCTION
Un réseau privé virtuel en anglais VPN (Virtual Private Network) est un tunnel sécurisé
permettant la communication entre deux entités y compris au travers de réseaux peu sûrs comme
peut l’être le réseau Internet. Cette technologie, de plus en plus utilisée dans les entreprises, permet
de créer une liaison virtuelle entre deux réseaux physiques distants de manière transparente pour les
utilisateurs concernés. Les données envoyées au travers de ces liaisons virtuelles sont chiffrées, ceci
garantit aux utilisateurs d’un VPN qu’en cas d’interception malveillante les données soient illisibles.

Quel est le fonctionnement et l’intérêt d’utilisation d’un VPN ?

De ce fait, nous allons parler dans un premier temps du fonctionnement d’un VPN, son intérêt
d’utilisation et les protocoles de tunnelisation.

Exposé sécurité informatique 2014-2015 Page 3


Les réseaux privés virtuels (VPN)

I. FONCTIONNEMENT
Un VPN repose sur un ou des protocoles, appelé protocoles de tunnelisation (ou
tunneling). Comme énoncé dans l’introduction, ce sont des protocoles permettant aux
données passant entre deux réseaux physiques d’être sécurisées par des algorithmes de
chiffrage. On utilise d’ailleurs le terme de « tunnel » pour mettre l’accent sur le fait qu’entre
l’entrée et la sortie d’un VPN les données sont chiffrées et protégées. Lorsqu’un VPN est
établi entre deux réseaux physiques, l’élément qui permet de chiffrer et de déchiffrer les
données du coté client (ou utilisateur) est nommé « Client VPN ». On appelle « Serveur VPN
» l’élément qui chiffre et qui déchiffre les données du côté de l’organisation.

Schéma de fonctionnement d’un VPN

Dans les faits, nous établissons une connexion sécurisée avec le serveur qui nous
propose le service VPN. Ce serveur VPN nous connecte sur Internet en masquant notre
adresse IP par son adresse IP.

L’adresse IP du client est changée par celle du serveur

Exposé sécurité informatique 2014-2015 Page 4


Les réseaux privés virtuels (VPN)

Une communication VPN peut donc être de client à serveur mais il est à prendre en
considération qu’elle peut aussi se faire de serveur à serveur.

Il existe d’autres types d’utilisation des VPN :

L'intranet VPN : qui est utilisé pour relier deux intranets entre eux. Ce type de VPN est utile
pour les entreprises possédant plusieurs sites distants. Le plus important avec ce type de
VPN est de garantir la sécurité et l'intégrité des données.

L’extranet VPN : là aussi utilisé par les entreprises car elles peuvent utiliser ce type de VPN
pour communiquer avec ses clients. Dans les faits, elle ouvre son réseau local à ses clients ou
à ses partenaires. Dans ce cadre, il est fondamental que l'administrateur du VPN puisse
tracer les clients sur le réseau et gérer les droits de chacun sur celui-ci.

II. INTERETS D’UTILISATION


Un VPN permet d'accéder à des ordinateurs distants comme si l'on était connecté au
réseau local. On peut ainsi avoir un accès au réseau interne (réseau d'entreprise, par
exemple). Il dispose généralement aussi d'une passerelle permettant d'accéder à l'extérieur,
ce qui permet de changer l'adresse IP source apparente de ses connexions. Cela rend plus
difficile l'identification et la localisation approximative de l'ordinateur émetteur par le
fournisseur de service. Cependant, l'infrastructure de VPN (généralement un serveur)

Exposé sécurité informatique 2014-2015 Page 5


Les réseaux privés virtuels (VPN)

dispose des informations permettant d'identifier l'utilisateur. Cela permet aussi de


contourner les restrictions géographiques de certains services proposés sur Internet.

Voici les raisons permettant d’utiliser les VPN :

 La sécurité :

Un VPN rajoute une couche de sécurité entre votre ordinateur et internet.

En effet, en utilisant un VPN, ce n’est plus votre ordinateur qui est la cible d’attaque,
mais le serveur VPN et les VPN sont généralement très bien sécurisés pour éviter que leurs
serveurs ne tombent suite à une attaque.

 Préserver son anonymat

En utilisant un VPN, ce n’est plus votre adresse IP qui est connu des sites que vous
visitez, mais l’adresse IP de votre VPN. Du coup, les sites ne peuvent plus savoir dans quel
pays vous êtes, ni quel est votre navigateur internet, la résolution de votre écran, etc. Il faut
tout de même penser à vider les cookies de votre navigateur avant de vous connecter à un
site, sinon celui ci sera capable de se souvenir de vous.

 Se sécuriser lors de connexion à des Wifi publiques

Lorsque vous vous connecter à des réseaux wifi publiques genre gares, aéroport, etc.
vous pouvez facilement devenir la cible de gens voulant récupérer vos infos. Il ne faut pas
oublier que vous êtes tous sur la même borne wifi, et qu’il est très facile de sniffer les
données transitant sur le réseau. Un VPN peut empêcher cela car la connexion entre vous et
le VPN se fait de manière chiffrée. De ce fait personne ne peut récupérer vos données
sensibles comme vos mots de passes, code de carte bancaire, etc.

- Contourner la censure gouvernementale dans certains pays

Lorsque l’on parle de censure, la plupart d’entre nous pensent automatiquement à la


Chine. Ce pays est en effet extrêmement censuré. Mais beaucoup d’autres pays censurent
également, mais cela peut être extrêmement dérangeant pour nous. Quel horreur de ne pas
pouvoir utiliser facebook, twitter, google, gmail, youtube, etc. Tous ces outils qui nous
permettent de rester en contact avec le monde. En utilisant le VPN il nous sera facile de
contourner cette censure puisqu’il suffira de choisir dans les réglages du VPN un pays dans
lequel les services que vous voulez utiliser ne sont pas censurés.

- Contourner le blocage de géolocalisation par IP de certains sites internet

Mettons, par exemple, que nous voulions accéder aux vidéos de chaines étrangères
comme « Hulu » sans être basé aux États-Unis, nous nous rendrons vite comptes que les
vidéos ne veulent pas se lancer, et qu’un message nous dit que nous ne somme pas dans la
bonne zone géographique. Ces chaines bloquent l’accès à leur service aux résidents de leur
pays uniquement. Nous allons donc devoir utiliser un VPN pour changer notre adresse IP en
une adresse IP du pays désiré et là, notre vidéo s’affichera sans souci.

Exposé sécurité informatique 2014-2015 Page 6


Les réseaux privés virtuels (VPN)

- Contourner les bridages de sites

Le bridage de site est quelque chose dont on entend beaucoup parler. On entend par
bridage, le fait de ne pas bloquer complètement un site, mais de le rendre partiellement
accessible, voir tellement lent que le service deviendra inutilisable. C’est un fait, Free bride
Youtube, en réduisant la vitesse de réception des données, ce qui empêche une utilisation
correcte de Youtube. Les chargements sont lents, très lents, les vidéos saccades, voir même
carrément ne charge pas. Les VPN sont donc aussi utilisés dans ce cas là, pour contourner ce
genre de bridage.

III. LES PROTOCOLES DE TUNNELISATION


La technologie du VPN implique des cryptages de données et le concept de
Tunneling. Ce dernier est un processus qui établit et maintient des connexions logiques
entre des réseaux sur internet. Ce tunnel de connexion nécessite la transmission de paquet
de données entre le client et le serveur VPN. Mais avant le transfert, les paquets de données
sont encryptés dans un protocole de VPN. Il existe plusieurs types de protocoles VPN et
chacun possède ses avantages et inconvénients.

Nous vous donnons un petit récapitulatif sur les caractéristiques de chaque protocole VPN
pour que vous puissiez choisir selon vos besoins en sécurité et en facilité d’utilisation.

PPTP (Point to Point Tunneling Protocol):

PPTP est une extension du protocole PPP (Point to Point Protocol) qui était un standard pour
les connexions via les modems. Il fonctionne sur la couche 2 du modèle OSI. Bien que le PPTP crée un
tunnel VPN, il ne fournit aucun cryptage. Les connexions PPTP peuvent être sécurisées en utilisant le
protocole PPP de Microsoft (MPPE) qui utilise la norme de cryptage RSA RCQ en 128 bits. L’un des
avantages du PPTP par rapport aux autres est qu’il supporte la plupart des plateformes incluant
Windows, Mac OS, Linux, les OS mobile, etc. Pour la connexion, le PPTP nécessite une
authentification. Il est assez rapide et possède une sécurité en 128 bits. Le niveau de sécurité est
faible comparé aux autres. Cela lui permet d’être plus rapide que d’autres normes qui utilisent un
cryptage plus lourd. Le port TCP 1723 est le port utilisé par défaut. Le PPTP n’est pas le protocole
VPN le plus stable, notamment si on l’utilise sur des connexions instables. Par ailleurs, il a des
problèmes de compatibilité avec le GRE (Une routine standard d’encapsulation) ainsi que certains
routeurs. L’implémentation Microsoft du PPTP possède de sérieux problèmes de sécurité. Le
MSCHAP-v2 est vulnérable contre les attaques de type dictionnaire (Bruteforce) et l’algorithme RC4
est aussi vulnérable face aux attaques de type Bit-Flipping. Microsoft lui-même recommande de
mettre à jour vers le L2TP qui protège mieux la confidentialité des connexions. Le PPTP est sans
doute le protocole le plus polyvalent, car il est compatible avec Windows, Mac OS, Linux, l’iOS
d’Apple, Android.

L2TP/IPSec (Layer 2 Tunneling Protocol/Internet Protocol Security):

Le L2TP/IPSec est un protocole avancé de Tunneling qui supporte les VPN. On le


recommande comme une alternative au PPTP parce que celui-ci crypte mieux ses données. Le
protocole L2TP ne fournit pas de cryptage ou d’authentification, mais il exploite la norme IPSec qui

Exposé sécurité informatique 2014-2015 Page 7


Les réseaux privés virtuels (VPN)

fournit un système de cryptage acceptable. L’IPSec supporte deux modes de cryptage, le Transport
et le Tunneling. Le cryptage utilise une clé de 256 bits. Windows installera par défaut le VPN sur le
protocole PPTP. Cependant, nous vous recommandons d’installer aussi le L2TP/IPSEC. Et l’installation
de ce protocole VPN est très facile. La vitesse du L2TP/IPSec est similaire au PPTP. En fait, on ne voit
quasiment aucune différence entre les deux. Le L2TP/IPSec utilise le port UDP 500 pour l’échange des
clés. Le port 50 est utilisé pour le cryptage via l’IPSec et le port UDP 1701 est utilisé pour la
configuration initiale du L2TP. Enfin, le port UDP 4500 est utilisé pour le transfert NAT. On peut
facilement bloquer le L2TP/IPSec parce qu’il se base uniquement sur des protocoles et des ports
fixes. La norme SSTP pour le L2TP/IPSec est disponible pour Linux et Windows. Ce protocole VPN est
stable dans la plupart des cas. Il faut juste s’assurer que le serveur et le client supportent le transfert
NAT pour éviter les problèmes. Le L2TP/IPSec est considéré comme un protocole assez sécurisé. Son
cryptage est meilleur que celui du PPTP. On peut l’utiliser sur la plupart des systèmes. Il est
également compatible avec des appareils tels que l’iPad ou les Smartphones récents.

L’OpenVPN :

L’OpenVPN est un protocole Open Source qui est utilisé pour les VPN basé sur le SSL. Il
permet aux réseaux de se connecter entre eux de manière sécurisée en utilisant des clés secrètes
partagées, des certifications ou des noms d’utilisateurs ou des mots de passe. Il utilise la librairie
OpenSSL pour crypter les données. L’OpenSSL est une implémentation Open Source des langages de
développement qui ont étés spécialement conçus pour les protocoles SSL et TLS (Transport Layer
Security). En général, l’OpenVPN n’est pas inclut par défaut dans les systèmes d’exploitation. Mais
son installation est facile sur toutes les plateformes. Il donne toute sa puissance quand on l’utilise
avec le mode UDP. Il est rapide et stable même avec des connexions lentes et pour des serveurs qui
sont situés sur de grandes distances. Il peut fonctionner sur n’importe quel port TCP ou UDP. Il peut
être configuré pour utiliser le port TCP 443 qui permet de passer les pare-feux. C’est un protocole
très stable sur les réseaux sans-fils ou cellulaire qui sont fréquemment saturés. Le mode TCP de
l’OpenVPN est pour les connexions TCP qui sont très instables. Et si vous l’utilisez quand même, vous
allez souffrir d’une perte de vitesse. L’OpenVPN est aussi sécurisé que le L2TP/IPSec. Il n’y a rien à
craindre du moment qu’on utilise le cryptage de type AES (Application Environment Services). Il peut
aussi utiliser l’authentification HMAC (Haching Message Authentication) pour renforcer la sécurité.
De nos jours, l’OpenVPN est compatible avec la plupart des plateformes. Ainsi, il est disponible sur
Windows, Mac, Linux et même les mobiles Android via des applications tierces.

SSTP :

Le SSTP est un tunnel VPN qui applique un transfert sécurisé sur des connexions L2TP
ou PPP via un canal SSL 3.0. Le SSTP est uniquement utilisé pour les connexions de clients à
distance et il ne supporte pas les tunnels VPN pair à pair. Le SSTP utilise le SSL pour
permettre la transmission des données et le cryptage. En utilisant le canal SSL sur le port TCP
443, le SSTP peut passer sur les serveurs proxy et les pare-feux les plus fréquents. Le SSTP
est le protocole VPN le plus stable. Cependant, il est difficile à installer pour les novices. Mais
une fois qu’il est installé, alors on n’aura plus à le toucher par la suite. La vitesse du SSTP est
similaire au PPTP. Le seul problème est que cela prend plus de temps pour établir une
connexion avec le SSTP. Le SSTP utilise le port TCP 443 pour transmettre les données. C’est
un excellent protocole VPN. Il est plus stable que le L2TP ou le PPTP. Cependant, il est

Exposé sécurité informatique 2014-2015 Page 8


Les réseaux privés virtuels (VPN)

largement supérieur à ces deux derniers quand il s’agit de sécurité et de cryptage. Les clients
SSTP sont authentifiés durant les phases SSL ou PPP. Il utilise le PPP pour supporter la
plupart des méthodes d’authentification telle qu’EAP-LTS ou MS-CHAP. Le SSTP est
disponible pour Linux, BSD et Windows. Cependant, il n’est pas supporté par les versions
antérieures à Windows Vista. Notons aussi qu’on ne peut pas l’utiliser avec des mobiles.

IV. CHOIX DE PROTOCOLE A UTILISER


Le choix d’un protocole dépend de sa vitesse, compatibilité des systèmes d’exploitation, son
niveau de sécurité, etc. Voici le tableau qui nous permet de choisir le protocole à utiliser :

PPTP L2TP/IPSec OpenVPN SSTP


PPTP est un bon Le L2TP/IPSec est L’OpenVPN est Le SSTP est un
protocole, mais un excellent sans doute le superbe
sans plus. En fait, protocole VPN, protocole VPN le protocole VPN. Il
vous devez le notamment si plus populaire. Il est très stable et
choisir si vous vous utilisez un est gratuit et son niveau de
privilégiez la VPN sur des Open Source et il cryptage est
vitesse et la mobiles. Sa possède tout ce supérieur à tous
facilité sécurité est qu’il faut pour les autres. Son
d’installation. optimale et il est bénéficier d’une seul problème est
Mais concernant facile à installer. sécurité qu’on ne peut pas
la sécurité, on maximale. l’utiliser avec tous
peut dire que le les appareils qui
PPTP est le plus supportent le
vulnérable des VPN. Mais à part
protocoles VPN. cette exception,
le SSTP fournira
une performance
exceptionnelle à
tous les niveaux.

D’après le tableau on voit que le protocole L2TP/IPSec remplit beaucoup de conditions citées ci-
dessus dans ce cas dans la suite de notre travail nous allons l’utiliser pour faire nos travaux pratiques
sous « Packet tracert »

V. LE PROTOCOLE IPSEC
A. Généralité
IPSEC (Internet Protocol Security) est un ensemble de protocoles normalisés et
standardisés par l’IETF (Internet Engineering Task Force) pour la confidentialité, l’intégrité et
l’authentification pour les échanges sur le réseau Internet. IPSec a été principalement conçu

Exposé sécurité informatique 2014-2015 Page 9


Les réseaux privés virtuels (VPN)

pour sécuriser le protocole IPv6, mais la lenteur de déploiement de ce dernier a imposé une
adaptation d’IPSec à l’actuel protocole IPv4. Le protocole IPsec peut être utilisé pour la
création des réseaux privés virtuels (VPN). L’apport majeur de cette technique par rapport à
d’autres solutions est qu’il s’agit d’une méthode standard conçue dans cet objectif précis,
décrite par différentes RFCs (Request For Comment), et donc interopérable. Cette méthode
présente les avantages suivants :

• L’économie de bande passante, car la compression des en-têtes des données transmises
est prévue par ce standard, de plus, ce dernier ne fait pas appel à de trop lourdes techniques
d’encapsulation, comme les tunnels PPP sur lien SSH (Secure Shell).

• La protection des protocoles de bas niveau comme ICMP (Internet Control Message
Protocol) et IGMP (Internet Group Management Protocol), RIP(Routing Information
Protocole), etc.

• L’évolution continue d’IPSec, vu que les algorithmes de chiffrement et d’authentification


sont spécifiés séparément du protocole lui-même. Cette solution présente néanmoins un
inconvénient majeur: sa grande complexité rend son implémentation délicate.

B. Fonctionnement
Lors de l'établissement d'une connexion IPsec, plusieurs opérations sont effectuées :

- Échange des clés


 un canal d'échange de clés, sur une connexion UDP depuis et vers le port 500
ISAKMP (Internet Security Association and Key Management Protocol). Le protocole
IKE (Internet Key Exchange) est chargé de négocier la connexion. Avant qu'une
transmission IPsec puisse être possible, IKE est utilisé pour authentifier les deux
extrémités d'un tunnel sécurisé en échangeant des clés partagées. Ce protocole
permet deux types d'authentifications, PSK (Pre-Shared Key ou secret partagé) pour
la génération de clefs de sessions et RSA (Rivest Shamir Adleman) à l'aide de
certificats. Ces deux méthodes se distinguent par le fait que l'utilisation d'un
certificat signé par une tierce-partie appelée Autorité de certification(CA) assure la
non-répudiation. Tandis qu'avec l'utilisation de clefs RSA, une partie peut nier être à
l'origine des messages envoyés. IPsec utilise une association de sécurité (Security
association) pour dicter comment les parties vont faire usage de AH (Authentication
Header) et de l'encapsulation de la charge utile d'un paquet.
 Une association de sécurité (SA) est l'établissement d'information de sécurité
partagée entre deux entités de réseau pour soutenir la communication protégée.
Une SA peut être établie par une intervention manuelle ou par ISAKMP.
 ISAKMP est défini comme un cadre pour établir, négocier, modifier et supprimer des
SA entre deux parties. En centralisant la gestion des SA, ISAKMP réduit la quantité de
fonctionnalité reproduite dans chaque protocole de sécurité. ISAKMP réduit

Exposé sécurité informatique 2014-2015 Page 10


Les réseaux privés virtuels (VPN)

également le nombre d'heures exigé par l'installation de communications, en


négociant tous les services simultanément.

- Transfert des données

Un ou plusieurs canaux de données par lesquels le trafic du réseau privé est véhiculé,
deux protocoles sont possibles :

 le protocole n° 51, AH fournit l'intégrité et l'authentification. AH authentifie les


paquets en les signant, ce qui assure l'intégrité de l'information. Une signature
unique est créée pour chaque paquet envoyé et empêche que l'information soit
modifié.
 le protocole n° 50, ESP (Encapsulating Security Payload), en plus de l'authentification
et l'intégrité, fournit également la confidentialité par l'entremise de la cryptographie.

C. Mode de fonctionnement
IPsec fonctionne dans un mode transport hôte à hôte ou bien dans un mode tunnel
réseau.

- Le mode transport :

Dans le mode transport, ce sont uniquement les données transférées (la partie payload du
paquet IP) qui sont chiffrées et/ou authentifiées. Le reste du paquet IP est inchangé et de ce
fait le routage des paquets n'est pas modifié. Néanmoins, les adresses IP ne pouvant pas
être modifiées sans corrompre le hash de l'en-tête AH généré par IPsec, pour traverser un
NAT il faut avoir recours à l'encapsulation NAT-T. Le mode transport est utilisé pour les
communications dites hôte à hôte (Host-to-Host).

- Le mode tunnel

En mode tunnel, c'est la totalité du paquet IP qui est chiffré et/ou authentifié. Le paquet est
ensuite encapsulé dans un nouveau paquet IP avec un nouvel en-tête IP. Au contraire du
mode transport, ce mode supporte donc bien la traversée de NAT quand le protocole ESP est
utilisé. Le mode tunnel est utilisé pour créer des réseaux privés virtuels (VPN) permettant la
communication de réseau à réseau (exemple entre deux sites distants), d'hôte à réseau
(exemple accès à distance d'un utilisateur) ou bien d'hôte à hôte (exemple messagerie
privée.)

Exposé sécurité informatique 2014-2015 Page 11


Les réseaux privés virtuels (VPN)

D. Algorithmes cryptographiques
Pour que les réalisations d'IPsec fonctionnent, elles doivent avoir un ou plusieurs
algorithmes
rithmes de sécurité en commun. Les algorithmes de sécurité utilis utilisés pour une
association de sécurité ESP ou AH sont déterminés par un mécanisme de négociation, tel
que Internet Key Exchange (IKE). Les algorithmes de chiffrement et d'authentification pour
IPsec encapsulant le protocole ESP et AH sont :

- HMAC-SHA1-96 96 (RFC 2404)


- AES-CBC
CBC (RFC 3602)
- Triple DES-CBC
CBC (RFC 2451)

VI. CONFIGURATION D’UN VPN SUR LES ROUTEURS CISCO


AVEC « PACKET
PACK TRACERT » EN UTILISANT IPSEC

Voici le schéma du réseau à configurer

Exposé sécurité informatique 2014-2015 Page 12


Les réseaux privés virtuels (VPN)

- Configuration de base
Nous commençons par configurer notre PC et notre serveur en leur attribuant la bonne
configuration réseau (adresse, masque, passerelle). Ensuite la configuration des deux routeurs en
mode CLI :

Routeur R1 :
On commence par le nom d’hôte :

Router>enable
Router#configure terminal
Router(config)#hostname R1

Nous configurons ensuite les adresses IP des deux interfaces :

R1(config)#interface FastEthernet 0/0


R1(config-if)#ip address 192.168.0.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface FastEthernet 0/1
R1(config-if)#ip address 10.0.0.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#exit

Routeur R2 :

Le nom d’hôte :

Router>enable
Router#configure terminal
Router(config)#hostname R2

Nous configurons ensuite les adresses IP des deux interfaces :

R2(config)#interface FastEthernet 0/0


R2(config-if)#ip address 10.0.0.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface FastEthernet 0/1
R2(config-if)#ip address 172.16.0.1 255.255.0.0
R2(config-if)#no shutdown
R2(config-if)#exit

Nos interfaces sont maintenant configurées, il nous reste à configurer le routage sur les deux
routeurs. On a choisi de faire du routage statique.

Exposé sécurité informatique 2014-2015 Page 13


Les réseaux privés virtuels (VPN)

En mode de configuration des interfaces sur le routeur 1:

R1(config)#ip route 172.16.0.0 255.255.0.0 10.0.0.2


10.0.0 Ou une route par défaut

R1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2

En mode de configuration des interfaces sur le routeur 2:

R2(config)#ip
(config)#ip route 192.168.0.0 255.255.255.0 10.0.0.1 Ou une route par défaut

R2(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1

On teste si tout fonctionne. Depuis le PC on essaie de pinger le serveur :

Voila tout fonctionne correctement donc le routage marche bien. Passons à la configuration
du VPN

- Configuration du VPN

Routeur R1 :

On active ensuite les fonctions crypto du routeur

R1(config)#crypto isakmp enable

Pour qu’il y ait communication IPSec possible, il faut que les 2 peers trouvent un accord sur
une politique ISAKMP commune. Une politique ISAKMP contient: l’Algorithme d’encryption,
l’Algorithme de hachage,le
,le groupe Diffie-Hellman
Diffie Hellman et la durée de vie du chiffrement de la clé.

R1(config)#crypto isakmp policy 10


R1(config-isakmp)#authentication
isakmp)#authentication pre-share
pre
R1(config-isakmp)#encryption
isakmp)#encryption 3des
R1(config-isakmp)#hash
isakmp)#hash md5
R1(config-isakmp)#group
isakmp)#group 5
R1(config-isakmp)#lifetime
fetime 3600
R1(config-isakmp)#exit
isakmp)#exit

Exposé sécurité informatique 2014-2015 Page 14


Les réseaux privés virtuels (VPN)

Ensuite nous devons configurer la clef :


R1(config)#crypto isakmp key mot_de_passe address 10.0.0.2

Configurons les options de transformations des données (transform set):

Le transform set est l’association d’une méthode de chiffrement et d’authentification. Cette


phase va permettre durant l’établissement d’une association (basée sur ISAKMP) de se
mettre d’accord durant les échanges afin de fixer la méthode de sécurisation des données.
Les paramètres du transform set devront être les mêmes des deux côtés. Le transform set
va permettre de sécuriser les flux déterminés à partir d’une access-list associée à une crypto
map.

R1(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac

Il faut configurer une liste d’accès qui définit le trafic à sécuriser.

R1(config)#access-list 101 permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.255.255

Notez qu’ici le masque est écrit en inverse (exemple 255 => 0 et 0 => 255)

Nous configurons ensuite la crypto map qui va associer l’access-list, le traffic, et la destination :

La carte de cryptage (ou crypto map) permet de lier les SA négociées et la politique de
sécurité (SP : Security Policy). En d’autres termes, elle permet de renseigner :

- L’autre extrémité du tunnel vers lequel le trafic IPSec devrait être envoyé ;
- L’adresse locale à employer pour le trafic d’IPSec ;
- Quelle sécurité d’IPSec devrait être appliquée à ce trafic (transform-sets) ;
- Durée de vie de du tunnel IPSec ;

R1(config)#crypto map nom_de_map 10 ipsec-isakmp


R1(config-crypto-map)#set peer 10.0.0.2
R1(config-crypto-map)#set transform-set 50
R1(config-crypto-map)#set security-association lifetime seconds 900
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#exit

La configuration de R1 est presque terminée nous devons appliquer la crypto map sur
l’interface de sortie : dans notre cas FastEthernet 0/1.

R1(config)#interface FastEthernet 0/1


R1(config-if)#crypto map nom_de_map

Un message nous indique que la crypto map fonctionne.

Exposé sécurité informatique 2014-2015 Page 15


Les réseaux privés virtuels (VPN)

Voila la configuration du routeur 1 est terminée passons au routeur 2

Routeur R2 :

On active ensuite les fonctions crypto du routeur

R2(config)#crypto isakmp enable

La politique ISAKMP (l’Algorithme d’encryption, l’Algorithme de hachage, le groupe Diffie-


Hellman et la durée de vie du chiffrement de la clé).

R2(config)#crypto isakmp policy 10


R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#hash md5
R2(config-isakmp)#group 5
R2(config-isakmp)#lifetime 3600
R2(config-isakmp)#exit

Ensuite nous devons configurer la clef :


R2(config)#crypto isakmp key mot_de_passe address 10.0.0.1

Configurons les options de transformations des données (transform set):

R2(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac

Il faut configurer une liste d’accès qui définit le trafic à sécuriser.

R2(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.0.0 0.0.0.255

Nous configurons ensuite la crypto map qui va associer l’access-list, le traffic, et la destination :

R2(config)#crypto map nom_de_map 10 ipsec-isakmp


R2(config-crypto-map)#set peer 10.0.0.1
R2(config-crypto-map)#set transform-set 50
R2(config-crypto-map)#set security-association lifetime seconds 900
R1(config-crypto-map)#match address 101
R2(config-crypto-map)#exit

Appliquons la crypto map sur l’interface de sortie : dans notre cas FastEthernet 0/0.

R2(config)#interface FastEthernet 0/0


R2(config-if)#crypto map nom_de_map

Exposé sécurité informatique 2014-2015 Page 16


Les réseaux privés virtuels (VPN)

Vérification
On réalise un ping pour voir si la communication n’est pas coupée :

Nous vérifions les informations retournées par le VPN sur R1 :

R1#show crypto ipsec transform-set


transform

Nous vérifions la map vpn pour rappel on a nommé « nom_de_map » :

R1#show crypto map

On vérifie les opérations d’IPsec :

R1#show crypto ipsec sa

Pour finir on vérifie les opérations d’Isakmp :

R1#show crypto isakmp sa

Voila en tout comment configure un VPN sous “packet tracert”

Exposé sécurité informatique 2014-2015 Page 17


Les réseaux privés virtuels (VPN)

CONCLUSION
En somme nous pouvons conclure qu’un réseau privé virtuel permet de créer une
liaison virtuelle entre deux réseaux physiques distants de manière transparente pour
les utilisateurs concernés.

Exposé sécurité informatique 2014-2015 Page 18