Scribd Logo

Langue

Importer

Bienvenue sur Scribd !

VPN Site-To-Site (Mode de Compatibilité)

Transféré par

Moulaye Saleh
25 vues42 pages

Titre original

VPN site-to-site [Mode de compatibilité]

Copyright

© © All Rights Reserved

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Signaler ce document

Droits d'auteur :

© All Rights Reserved
Signaler comme contenu inapproprié
25 vues42 pages

VPN Site-To-Site (Mode de Compatibilité)

Transféré par

Moulaye Saleh

Droits d'auteur :

© All Rights Reserved
Signaler comme contenu inapproprié
sur 42

Sécurité

1
Ahmed Youssef Khlil
Problématique et objectif du travail

Entreprise multi-sites : est une entreprise qui s'étend


au-delà d'un seul local.
Il s'avère nécessaire d'interconnecter les réseaux LANs
de ces différentes académies pour constituer un réseau
étendu, c’est pour quoi nous avons misé sur l’utilisation
du réseau VPN implémenter dans une technologie
WAN.

2
Problématique et objectif du travail

L'entreprise considère l‘Internet plus stratégique que


jamais. Il est dès lors important de la protéger par des
mesures appropriées et de détecter au plus tôt les
problèmes de sécurité qui pourraient la menacer.
Les réseaux privés virtuels sur Internet sont une
alternative intéressante aux réseaux longue distance
traditionnels.
Dans ce contexte, on comprend évidemment la
nécessité de sécuriser fortement les échanges de
données privées qui se transitent par un réseau public.
33
Qu’est ce que un réseau WAN ?

Le réseau WAN est un réseau de transmission de données qui desservent des utilisateurs dans une vaste région géographique et qui utilise la plupart du temps les moyens de transmission fournis par les opérateurs télécom.

4
Le Réseau Privé Virtuel VPN

VPN = Virtual Private Network


Technologie réseau permettant de construire un réseau privé à
l'intérieur d'une infrastructure publique.
Privé : les échanges transitant par ce réseau sont confidentiels
pour les autres utilisateurs du réseau public.
Virtuel : le réseau privé ainsi créé n'est pas matérialisé par des
liens physiques.

5
Le Réseau Privé Virtuel VPN

Un VPN est une infrastructure WAN alternative aux


réseaux privés qui utilisent des lignes louées ou des
réseaux d'entreprise utilisant Frame Relay, ATM…

6
Le réseau privé virtuel VPN
Protocoles de tunnelisation

Le réseau VPN repose sur un protocole appelé « protocole de


tunneling ». Ce protocole permet de faire circuler les
informations de l’entreprise de façon cryptée d’un bout à
l’autre du tunnel. Ainsi, les utilisateurs ont l’impression de se
connecter directement sur le réseau de leur entreprise.
Le principe de tunnelisation consiste à construire un chemin
virtuel après avoir identifié l’émetteur et le destinataire. Par la
suite, la source chiffre les données et les achemine en
empruntant Ce chemin virtuel.

7
Le réseau privé virtuel VPN

Nous pouvons classer les protocoles de tunnelisation en trois


catégories :
Les protocoles de niveau 2 comme PPTP, L2TP et L2F.
Les protocoles de niveau 3 comme IPSec ou MPLS.
Les protocoles de niveau 4 comme SSL et SSH.

8
Le réseau privé virtuel VPN
Un VPN site à site peut être utilisé pour connecter des sites
d'entreprise.
Des lignes louées ou une connexion Frame Relay étaient
nécessaires mais aujourd'hui toutes les entreprises ont un
accès Internet.
Un VPN peut supporter des intranets de l‘entreprise et des
extranets des partenaires commerciaux
Les VPNs site à site peuvent être implémenté avec des
routeurs Cisco, des pare-feu PIX, des concentrateurs VPN et
des machines Linux OpenVPN.

9
VPN IPSec

IPSec protocole de niveau 3


Création de VPN sûr basé forcément sur IP.
Permet de sécuriser les applications mais également toute la
couche IP.
Les rôles d’IPSec :
Authentification
Confidentialité
Intégrité
Le contrôle d’accès
La protection contre le rejeu.
10
IPSec
Les modes de fonctionnement d ’IPSec :

Le mode transport est utilisé pour créer une communication entre


deux hôtes qui supportent IPSec. Une SA est établie entre les deux
hôtes. Les entêtes IP ne sont pas modifiées et les protocoles AH et
ESP sont intégrés entre cette entête et l'entête du protocole
transporté. Ce mode est souvent utiliser pour sécuriser une
connexion Point-To-Point.

Alors que mode tunnel, est utilisé pour encapsuler les datagrammes
IP dans IPSec. La SA est appliquée sur un tunnel IP.
Ainsi, les entêtes IP originales ne sont pas modifiés et un entête
propre à IPSec est crée. Ce mode est souvent utilisé pour créer des
tunnels entre réseaux LAN distant. Effectivement, il permet de relier
deux passerelles étant capable d'utiliser IPSec sans perturber le trafic
IP des machines du réseau qui ne sont donc pas forcément prête à
utiliser le protocole IPSec.
11
IPSec
Différence entre ces 2 modes :
Le mode transport protège uniquement le contenu du paquet IP sans
toucher à l’en-tête, ce mode n’est utilisable que sur les équipements
terminaux (postes clients, serveurs).
Le mode tunnel permet la création de tunnels par “encapsulation” de
chaque paquet IP dans un nouveau paquet. Ainsi, la protection porte sur
tous les champs des paquets IP arrivant à l’entrée d’un tunnel, y compris
sur les champs des en-têtes (adresses source et destination par exemple).
Ce mode est celui utilisé par les équipements réseau (routeurs, gardes-
barrières...).

12
IPSec
Permet de sécuriser l'échange de données au niveau de la couche réseau.
Basé sur de mécanismes de sécurité :
AH vise à identifier l’identité des extrémités de façon certaine. Il gère:
L’intégrité, L’authentification et la protection contre le rejeu
Il ne gère pas la confidentialité : les données sont signées mais pas cryptées

13
IPSec
ESP a pour but de chiffrer les données contenues dans un paquet IP, il
fournit la confidentialité, l‘intégrité des données et l'authentification de
l'origine des données.
ESP encapsule les données à protéger.

14
IPSec

ISAKMP
Un protocol cadre qui définit le format des charge utiles, les mécanismes
d'implémentation d'un protocole d'échange de clés et la négociation d'une
sa.
IKE
Un protocole orienté connexion chargé de négocier la connexion. Avant
qu'une transmission IPSec puisse être possible, IKE est utilisé pour
authentifier les deux extrémités d'un tunnel sécurisé en échangeant des
clés partagées.

15
IPSec

Algorithmes de cryptage symétrique (ou chiffrement):

• DES, AES, 3DES.

Algorithmes d'Authentification (ou de hachage):

• HMAC-MD5.
• HMAC-SHA .

16
Mise en œuvre (1/2)

Nous devons configurer et tester la connectivité entre les deux sites


17 avant d’implémenter la sécurité
Mise en œuvre (2/2)
Etant donné la complexité de mise en place et de configuration d’IPSEC,
nous allons aborder uniquement la méthode concernant la configuration
pour les routeurs Cisco et en utilisant comme méthode
d’authentification les clefs pré-partagées.
Tout d’abord il faut s’assurer que le routeur en question dispose de cette
option pour cela il suffit de taper en mode configuration « crypto» si la
commande validé alors le routeur fait l’IPSec sinon il faut télécharger
Cisco IOS version 12.4(20)T1-Advenced IP services.
Pour le mettre en place on a choisi de configurer le routeur DK en mode
commande et le routeur SLT en mode graphique.

18
Les étapes de mise en place d’IPSec

La mise en place d’IPSec s’effectue en six étapes :

1 - Définir la politique ISAKMP


2 - Créer une transform-set
3 - Créer la clef partagée
4 - Mettre en place les ACLs
5 - Créer une crypto map
6 - Appliqué la crypto map sur l’interface de sortie

19
1) La configuration en mode commande du
routeur Dakar

20
La politique ISAKMP
1 - Définir la politique ISAKMP en précisant :

Le numéro de la politique
La méthode d’authentification des équipements
L’algorithme de chiffrement utilisé
L’algorithme de hachage pour créer des empreintes
Le groupe Diffie-Hellman pour l’échange de clef

Dakar (config)# crypto isakmp policy 10


Dakar (config-isakmp)# authentication pre-share
Dakar (config-isakmp)# encryption 3des
Dakar (config-isakmp)# hash sha
Dakar (config-isakmp)# group 5
Dakar (config-isakmp)# lifetime 64000

21
La création de la transform-set

2 - Création de la Transform-set en donnant :

Le nom de la transform set


l’algorithme de chiffrement
l’algorithme de hachage pour la création d’empreinte
le mode à utilisé

Dakar (config)#crypto ipsec transform-set TRAN1 esp-3des esp-sha-hmac


Dakar (config)#mode tunnel

22
Le secret partagé

3 - Création de la clef partagée

Dakar (config)#crypto isakmp key 6 sidi address 192.168.1.1

Avec 192.168.1.1 l’adresse du site SLT distant .

23
Les contrôles accès

4 - Mise en place des ACLs

Le trafic a chiffré qui peut/doit emprunter le VPN, nous allons autoriser le trafic
depuis le site DK vers le site SLT.

Dakar (config)#access-list 101 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255

24
La configuration de la Crypto map

5 - Créer une crypto map avec :

Un nom qui sera le nom de notre crypto map


l’adresse de notre(s) correspondant(s)
Le (s) nom (s) de la transform-set associé
l’ACL qui lui est associé

Dakar (config)#crypto map CRYPTOVPN 10 ipsec-isakmp


Dakar (config-crypto-map)#set peer 192.168.1.1
Dakar (config-crypto-map)#set transform-set TRAN1
Dakar (config-crypto-map)# match address 101

25
L’application de la crypto map

6 - Appliqué la crypto map sur l’interface de sortie.

Dakar (config)#interface serial 0/0/0


Dakar (config-if)#crypto map CRYPTOVPN

26
2) La configuration en mode graphique du
routeur SLT

27
L’accès à notre routeur

La configuration en mode graphique via l’utilitaire SDM


SLT(config)#username youssef privilege 15 password 0 passer
On active le serveur http avec : SLT(config)#ip http server
On précise aussi que l’authentification sur ce serveur utilisera ce compte locale :
SLT(config)#ip http authentication local
On tape URL :http://adresse-interface dans notre cas : 10.20.20.1

28
Les informations à propos de notre routeur

29
Mise en place de VPN site à site

30
La configuration étape par étape

31
La connexion VPN et l’authentification

32
Les paramètres du tunnel

33
La transformation des données

34
Le flux à protégé par le tunnel

35
La crypto map

36
Test de connectivité

37
L’état du trafic

38
Le statut de VPN

39
Le rapport VPN

40
Conclusion et perspectives
IPSec est un système très complet qui peut répondre à beaucoup
de besoins en matière de sécurité et s’adapter à de nombreuses
situations. Sa conception en fait un système très sûr et sa nature
de norme garantit l’interopérabilité entre les équipements de
différents fournisseurs.
on a pu se rendre compte des limites de ce protocole et en
particulier, de trois d’entre elles.
Premièrement, lorsque l’on rajoute un site qui doit communiquer
avec le site central, il est nécessaire de modifier la configuration
de ce site central. Cela présente non seulement un problème
pratique de maintenance (intégrer une modification conséquente
dans la configuration d’un équipement en production), la
configuration du site central peut devenir illisible à partir de
quelques dizaines de sites distants.
41
Conclusion et perspectives
Deuxièmement: pour relier un nombre N de sites, nous devons
configurer N(N-1)/2 tunnels, et modifier les configurations de N
routeurs.
Pour palier à ces deux problèmes nous recommandons d’utiliser Les
VPNs IPSec multipoints dynamiques (Dynamic Multipoint VPN,
DMVPN) qui permettent de déployer rapidement un grand nombre
de sites de manière sécurisée.
Troisièmement: si nous avons plus de dix sites, il est recommandé
d’utiliser l’authentification par certificats numériques en mettant en
place un serveur de certificats qui va générer des certificats aux
routeurs. Nous pouvons aussi installer un serveur radius pour gérer
la base de données des accès.

42

Vous aimerez peut-être aussi