Vous êtes sur la page 1sur 16

2

TP8

UC
Sécurité
Réseaux

C.
Sommaire

TI
Objectifs du
TP8

N
TP

.
Configuration Configuration d’un VPN

ux
d’un VPN
LAN to LAN

a
Tests et

se
Vérification

Ré
Dr. N. Benlahrache
ité
ur

Master 1 G.L., Faculté NTIC, Constantine2


c
Sé

Janvier 

1/16 Sécurité Réseaux TP8


2
TP8

UC
Sécurité
Réseaux

C.
Sommaire

TI
1 Objectifs du TP
Objectifs du

N
TP

.
Configuration

ux
d’un VPN

a
Tests et

se
Vérification
2 Configuration d’un VPN
Ré
ité
cur
Sé

3 Tests et Vérification

2/16 Sécurité Réseaux TP8


Objectifs du TP :

2
TP8

UC
Sécurité
Réseaux Configuration d’un routeur pour assurer une communication sécurisée,

C.
Sommaire
Configuration d’un tunnel VPN entre deux Sites (Lan to Lan),

TI
Objectifs du

N
TP
Apprendre à spécifier les différents protocoles de sécurisation et définir

.
Configuration

ux
d’un VPN une stratégie (en terme de map) afin d’assurer l’authentification,

a
Tests et l’intégrité et la confidentialité des communications entre deux sites.

se
Vérification

Ré
ité
cur
Sé

3/16 Sécurité Réseaux TP8


Configuration

2
TP8
Pour pouvoir sécuriser la voie de la communication entre deux sites distants,

UC
Sécurité
Réseaux on peut avoir recours à l’usage des protocoles et mécanismes de cryptologie et

C.
Sommaire
chiffrement tel que le protocole IPsec qui à son tour utilise (pour des besoins

TI
Objectifs du
différents) d’autres protocoles tels que :

N
TP
ESP : pour protéger les données transmises,

.
Configuration

ux
d’un VPN AES (Advanced Encryption Standard) Pour la confidentialité, nous

a
Tests et utiliserons 128 bits,

se
Vérification

Ré
SHA-1 pour l’intégrité,
Pour l’authentification, nous utiliserons la clé pré-partagée le group 2
ité

pour Diffie-Helman
ur
c

Méthode de distribution de clés pour le système CISCO est ISAKMP (


Sé

Internet Security Association and Key Management Protocol).

Attention !
La configuration d’un routeur pour assurer un VPN est longue et complexe ;
cela dit il est important de suivre minutieusement les étapes et les indications
données.

4/16 Sécurité Réseaux TP8


Configuration

2
TP8

UC
Sécurité 1 Il faut démarrer par la vérification que votre routeur supporte les mesures
Réseaux
de sécurité nécessaires pour le VPN par la commande :

C.
Sommaire - R1#Show version

TI
Objectifs du

N
TP

.
Configuration

ux
d’un VPN

a
Tests et

se
Vérification

Ré
ité
ur

Si vous avez cette ligne (en jaune), il faut alors activer cette option de
c
Sé

sécurité par :
- R1#license boot module c2900 technology-package securityk9

5/16 Sécurité Réseaux TP8


2
TP8

UC
Sécurité
2 Il faut ensuite enregistrer la nouvelle configuration puis rebooter (ou faire
Réseaux
un reload) au routeur pour qu’il prenne en charge le module de sécurité

C.
Sommaire spécifié. Puis vérifier avec la même commande pour avoir cette ligne :

TI
Objectifs du

N
TP

.
Configuration

ux
d’un VPN

a
Tests et

se
Vérification

Ré
ité
ur

Conseil :
c
Sé

Utiliser dès le départ, un routeur cisco de la catégorie c2900.

6/16 Sécurité Réseaux TP8


Configuration (suite)

2
TP8

UC
Sécurité 3 Configuration de la NAT sur le routeur Wilaya1, en prenant le soin de
Réseaux
bloquer l’accès pour le réseau local distant (via une ACL).

C.
Sommaire
Activer isakmp et spécifier les valeurs et les paramètres pour tous les

TI
4
Objectifs du
protocoles utilisés :

N
TP
- R1(config)#crypto isakmp enable

.
Configuration

ux
d’un VPN
- R1(config)#crypto isakmp policy 10

a
Tests et
- R1(config-isakmp)#encryption aes

se
Vérification

Ré
- R1(config-isakmp)#authentication pre-share
- R1(config-isakmp)#hash sha
ité
- R1(config-isakmp)#group 2
ur

- R1(config-isakmp)#lifetime 86400
c
Sé

7/16 Sécurité Réseaux TP8


Configuration (suite)

2
TP8

UC
Sécurité 5 Configuration des propriétés de ISAKMP
Réseaux
- R1(config)#crypto isakmp key 0 address ”addr-IP-site-Local”

C.
Sommaire - R1(config)#crypto ipsec transform-set VPNSET esp-aes

TI
Objectifs du esp-sha-hmac

N
TP
- R1(config)#crypto ipsec security-association lifetime seconds 3600

.
Configuration

ux
d’un VPN
Maintenant, il faut autoriser le site distant à communiquer avec le

a
6
Tests et

se
Vérification
site local via cette ACL spécifique :
Ré
- R1(config)# ip access-list extended VPN
ité
- R1(config-ext-nacl)#permit ip ”addr-IP-site-Local” ”masque1”
”addr-IP-site-distant” ”masque2”
ur
c
Sé

8/16 Sécurité Réseaux TP8


2
TP8

UC
Sécurité
7 Ré-assemblage des différents éléments créés jusqu’au là pour faire une
Réseaux
stratégie (cryptomap) qui va être placée sur l’interface de sortie du

C.
Sommaire routeur local :

TI
Objectifs du

N
TP - R1(config)#crypto map VPNMAP 10 ipsec-isakmp
- R1(config-crypto-map)#set peer ”@-IP-interface-de sortie pour le site

.
Configuration

ux
d’un VPN
distant”

a
Tests et
- R1(config-crypto-map)#set transform-set VPNSET

se
Vérification

Ré
- R1(config-crypto-map)#match address VPN
- R1(config-crypto-map)#exit
ité
- R1(config)#interface ”nom-interface-locale”
ur

- R1(config-if)#crypto map VPNMAP


c
Sé

8 Refaire les étapes de 1 à 7 pour l’autre routeur distant en prenant le soin


de bien accorder les noms et les adresses par rapport au routeur local.

9/16 Sécurité Réseaux TP8


Pour ce cas de figure :

2
TP8

UC
Sécurité
Réseaux

C.
Sommaire

TI
Objectifs du

N
TP

.
Configuration

ux
d’un VPN

a
Tests et

se
Vérification

Ré
ité
ur
c
Sé

Figure – Réseau à réaliser

10/16 Sécurité Réseaux TP8


Vérification

2
TP8

UC
Sécurité
9 Si la configuration est correctement faite, vous aurez les informations sur
Réseaux le nombre de paquets échangés encryptés et décryptés avec la

C.
Sommaire
commande :

TI
Objectifs du
- R1#show ipsec crypto isa (encadrées sur la figure suivante) :

N
TP

.
Configuration

ux
d’un VPN

a
Tests et

se
Vérification

Ré
ité
ur
c
Sé

11/16 Sécurité Réseaux TP8


Vérification

2
TP8

UC
Sécurité
Réseaux

C.
Sommaire

TI
Objectifs du

N
TP

.
Configuration

ux
d’un VPN

a
Tests et

se
Vérification

Ré
ité
cur
Sé

Figure – PDU allant de laptop0 à Server0


12/16 Sécurité Réseaux TP8
Vérification

2
TP8

UC
Sécurité
Réseaux

C.
Sommaire

TI
Objectifs du

N
TP

.
Configuration

ux
d’un VPN

a
Tests et

se
Vérification

Ré
ité
cur
Sé

Figure – PDU allant de laptop0 à Server0, arrivée au routeur Wilaya2


13/16 Sécurité Réseaux TP8
Vérification

2
TP8

UC
Sécurité
Réseaux

C.
Sommaire

TI
Objectifs du

N
TP

.
Configuration

ux
d’un VPN

a
Tests et

se
Vérification

Ré
ité
cur
Sé

Figure – PDU allant de laptop0 à Server0, arrivée au routeur WAN


14/16 Sécurité Réseaux TP8
Vérification

2
TP8

UC
Sécurité
Réseaux

C.
Sommaire

TI
Objectifs du

N
TP

.
Configuration

ux
d’un VPN

a
Tests et

se
Vérification

Ré
ité
cur
Sé

Figure – PDU allant de laptop0 à Server0, arrivée au routeur Wilaya1


15/16 Sécurité Réseaux TP8
Vérification

2
TP8

UC
Sécurité
Réseaux

C.
Sommaire

TI
Objectifs du

N
TP

.
Configuration

ux
d’un VPN

a
Tests et

se
Vérification

Ré
ité
cur
Sé

Figure – PDU allant de laptop0 à Server0, arrivée au Server0


16/16 Sécurité Réseaux TP8