Connexion

VPN
site-à-site
 Sommaire

Introduction
Chapitre I : Généralités Sur Les Réseaux Privés et Virtuels
Introduction 1

1.
Historique 1
2.
Réseaux privés 7
3.
Réseau privé virtuel 7
3.1 Définition… 7

3.2 Rôle du réseau VPN 8

3.3 Principe général du VPN 8

3.4 Avantages et inconvénients des VPN 9

Conclusion 10

Chapitre II : Sécurité Au Niveau Du Réseau IP

Introduction
……………………………………………………………………………….
....11
1. Principes de sécurité 11
1.1 Exigences fondamentales 11
 1.2 Outils de sécurité 11

2. Cryptographie 12
2.1 Définition 12

2.2 Clé de cryptage 12

2.3 Cryptage et décryptage 13

A)

Cryptage symétrique 13

B)

Cryptage asymétrique 16

3. Certificat 19

3.1 Définition 19

3.2 Rôle du certificat 20

4. Signature numérique et non-répudiation des données 21

4.1 Rôle de la signature numérique 21

4.2 Hachage 22

5. Infrastructures à Clés Publiques (PKI) 24

Conclusion 26

Chapitre III : Réseaux Virtuels Privés VPN

Introductio n 27

1. Présentation générale d’IP sec (Internet Protocol Security )

27
1.1 Définitio n 27
1.2 Architecture protocolaire d’IP Se c 28
1.2.1

Protocoles AH (Authentication
Header ) 28
 1.2.2

Protocol ESP (Encapsulating Security

Payload ) 29
1.3 Différent modes d’IP Se c 29
1.3.1

Mode Transpor t 29

1.3.2

Mode Tunne l 30

1.4 Description des sous-protocole s 31

1.4.1

Notion d’association de sécurit é

31

1.4.2

Gestion des clefs et des associations

de sécurit é 32

1.4.2.1 ISAKP M 32
1.4.2.2 IKE (Internet Key Exchange ) 32

A) Phase 1 : Main Mode et Aggressive Mod e 33

B) Phase 2 : Quick Mod e 34

2. Réseau Privé Virtue l 35

2.1

Définitio n 35

2.2

Types des réseaux VP N 36

 2.2.1 VPN à accès distan t .37

2.2.2 VPN site-à-sit e 38

3. Configuration d’un VPN site-à-site avec CL I 39

3.1

Configuration du tunnel de la phase 1

d’IK E 41

3.2

Configuration de la phase 2 d’IK E

43

3.3

Application de la crypto ma p
44

Conclusio n 45

Chapitre IV : Création d’Un Tunnel IPSEC Site-à-Site ;

Mise Au Point Et
Application

Introductio n 46

1. Description du besoi n 46
➢ Policy 1 46

➢ Policy 2 46

➢ Policy 3 47
2. Schéma du réseau 47
3. Topologie d’application 47
4. Etapes de configuration 48
4.1

Etape 1 : Configuration de base

48
4.2

Etape 2 : Configuration du tunnel

IPSEC site-à-site 52
➢ Phase 1 : Négociation des policy 52

➢ Phase 2 : Paramètres de sécurisation du trafic intéressant

54

4.3

Etape 3 : Application de crypto map

55
4.4

Etape 4 : Test du fonctionnement du

tunnel IPSE C 58
Conclusion 60

Conclusion
 Liste des figures
Chapitre I :
Figure I.1 : Schéma de réseau VPN
Figure I.2 : Schéma de liaison VPN
Chapitre II :
Figure II.1 : Cryptage et décryptage
Figure II.2. Cryptographie symétrique
Figure II.3 : Encryptions avec 3 DES
Figure II.4 : Encryptions avec AES
Figure II. 5: Cryptographie à clé publique
Figure II.6: Serveur des clés publiques
Figure II.7 : Rôle de certificat
Figure II.8 : Envoi d’une signature avec un message
Figure II.9 : Vérification d’une signature a l’aide de l’hachage
Figure II.9 : Exemple de demande d'un certificat pour signer numériquement les e-mails de A

Chapitre III :
Figure III.1: Authentication Header
Figure III.2: Encapsulating Security Payload
Figure III.3 : Encapsulation AH en mode transport
Figure III.4 : Encapsulation de protocole ESP en mode tunnel
Figure III.5 : Exemple de tunnel sécurisé en mode tunnel
Figure III.7 : Négociation de la SA
Figure III.8 : Diagramme du déroulement d’une négociation IKE
Figure III.9 : Exemple d’un réseau VPN
Figure III.10 : Types des réseaux VPN
Figure III.11 : Réseau VPN client-à-site
Figure III.12 : Réseau VPN site-à-site
Figure III.13 : Processus d’établissement d’un tunnel IP Sec
Figure III.14 : Topologie d’un réseau

Figure III.15 : configuration de la phase 1 d’IKE sur le routeur R1

Figure III.16 : configuration de la phase 1 d’IKE sur le routeur R2
Figure III.17 : Configuration de la phase 2 d’IKE sur le routeur R1
Figure III.18 : Configuration de la phase 2d’IKE sur le routeur R2
Figure III.19 : Application de la crypto map sur le routeur R1
Figure III.20 : Application de la crypto map sur le routeur R2

Chapitre IV :
Figure IV.1 : Schéma du réseau

Figure IV.2 : Topologie capturé sur GNS3

Figure IV.3 : Configuration de base de routeur KF- Poste
Figure IV.4 : Configuration de base du routeur de la BN-Bank
Figure IV. 5: Résultat des commandes des tests sur le routeur KF- Poste
Figure IV.6 : Résultat des commandes des tests sur le routeur de BN-Bank
Figure IV.7 : Test Ping sur le routeur KF- Poste
Figure IV.8 : Test Ping sur le routeur de BN-Bank
Figure IV. 9 : Analyse du trafic par Wireshark
Figure IV.10 : Configuration de la phase I sur le routeur KF- Poste
Figure IV.11 : Configuration de la phase I sur le routeur de BN-Bank
Figure IV.12 : Configuration de la phase II sur le routeur KF- Poste
Figure IV.13 : Configuration de la phase II sur BN-Bank
Figure IV.14: Application de crypto map sur le routeur d’KF- Poste
Figure IV.15 : Application de crypto map sur le routeur de BN-Bank
Figure IV.16 : Paramètres de la crypto map KF- Poste
Figure IV.17 : Paramètres de la crypto map de BN-Bank
Figure IV.18 : Vérification des paramètres du tunnel sur le routeur KF- Poste
Figure IV.19 : Vérification des paramètres du tunnel sur le routeur de BN-Bank
Figure IV.20 : Capture du trafic avec Wireshark
Figure IV.21 : Test Ping entre les 172.30.0.0 et 10.1.2.0
Figure IV.22 : Test Telnet

Figure IV.23 : Cas d’espionnage sur le trafic Telnet

Introduction
Les réseaux d'entreprises sont des réseaux internes à une
organisation, toutes les liaisons entre machines appartiennent à
l'organisation. Ces réseaux sont de plus en plus souvent reliés à Internet
par l'intermédiaire d'équipements d'interconnexion. Il surviens ainsi
fréquemment que des entreprises éprouvent le besoin de communiquer
avec des filiales, des clients ou même du personnel géographiquement
écartés via internet.
Pour autant, les données transmises sur Internet sont largement
plus vulnérables que lorsqu'elles circulent sur un réseau interne à une
organisation car la route emprunté n'est pas défini à l'avance, Les
données de notification empruntent l'infrastructure de réseau public de
différents opérateurs. Ainsi, il est possible que sur le chemin parcouru,
le réseau soit écouté par un utilisateur indiscret ou même détourné. Il
n'est donc pas convenable de transmettre dans de telles conditions des
informations sensibles pour l'organisation ou l'entreprise.
La première solution pour répondre aux besoins de
communication sécurisée consiste à utiliser une liaison dédiée pour se
connecter à un réseau distant. Cependant, la plupart des entreprises ne
peuvent pas connecter deux réseaux locaux distants via des lignes
dédiées en raison de leur coût élevé. Donc, il est parfois nécessaire
d'utiliser Internet comme support de transmission.
Un bon compromis consiste à utiliser le protocole d'encapsulation
pour utiliser Internet comme moyen de transmission. En d'autres
termes, les données à envoyer sont encapsulées sous forme cryptée.
Cette solution est appelée "VPN de réseau privé virtuel"
Dans ce livre nous avons détaillé les différentes méthodes
permettant de sécuriser l’échange de données sensibles. Par
conséquent, nous avons géré les différentes étapes de la configuration
de tunnel VPN IPSEC de site à site entre KF -Post et BN-Bank. Et pour
cela, nous avons structuré notre travail en quatre chapitres organisés
comme suit :
 Le premier chapitre qui est intitulé « Généralités Sur Les Réseaux
Privés et Virtuels »
étudie les réseaux en général et définit les réseaux VPN et leurs avantages.

Le deuxième chapitre qui est intitulé « Sécurité Au Niveau Du

Réseau IP » est consacré à l’étude des différents types de cryptage qui
permettent de chiffrer les données entre deux sites VPN.
Le troisième chapitre qui est intitulé « Réseaux Privés Virtuels
VPN » détaille les différents protocoles qui assurent l’échange sécurisé
des données au niveau de la couche réseau.
Et enfin, le dernier chapitre qui est intitulé « Création d’Un
Tunnel IPSEC site-à-site, Mise Au Point Et Application » traitera les
différentes étapes de configuration et d’implémentation d’un réseau
VPN entre KF -Post et BN-Bank
Chapitre I Généralités Sur Les
Réseaux Privés et virtuels
Introduction
Avant l’arrivé des réseaux VPN, les entreprises se servaient de
réseaux privés pour communiquer avec des sites distants et d’autres
entreprises. Elles utilisaient des liaisons louées sécurisées mais coûteuses.
Ce chapitre présente brièvement l'histoire du réseau avant l'arrivée
du VPN, puis nous détaillerons les avantages du VPN, qui détermineront
le choix de notre application. dans le cadre de notre projet de licence.

1. Historique
Indéniablement, internet est rentré dans notre vie quotidienne. A
travers ce réseau informatique, tout le monde parallèle s'est développé:
les établissements commerciaux sont en plein essor, les services aux
particuliers, tels que les guides routiers pour nos voyages nous simplifient
bien la vie. Enfin. On en vient à échanger des données à travers des
programmes d'échange de fichiers et à « chater » entre internautes. De
tout cela, nous nous souviendrons qu'Internet est un véritable outil de
communication. A la fois, High Tech et démodé par sa technique,
internet n'a pas su évoluer dans l'utilisation de ses protocoles, la plupart
des protocoles utilisés ont plusieurs années d'existence et certains n'ont
pas été crée dans une optique ou le réseau prendrait une tel extension. De
cette façon, le mot de passe peut clairement traverser le réseau, et dans le
processus de transmission de plus en plus d'applications critiques
(sécurité) sur le réseau, il y a eu peu de développement.
Lorsque nous parlons de sécurité, cela fait référence aux pirates, virus,
vers, chevaux de Troie, etc. Ils ont utilisé le protocole, des failles dans le
système, en particulier le réseau n'a pas été développé dans une
perspective de "sécurité".
 Dans ce cas, Internet n'est pas destiné à être une zone de sécurité. La
plupart des données y circule à nue. Ensuite, nous utilisons des
algorithmes de chiffrement pour garder les données secrètes.
2.Réseaux privés
Les réseaux privés sont souvent utilisés dans les entreprises et stockent
souvent des données confidentielles au sein de l'entreprise. Pour des
raisons d'interopérabilité, les mêmes protocoles utilisés sur Internet sont
de plus en plus utilisés. On appelle alors ces réseaux privés « intranet » où
sont stockés des serveurs propres à l'entreprise tels que les serveurs de
partage de données. Pour garantir cette confidentialité, le réseau privé est
séparé logiquement du réseau internet. Habituellement, les ordinateurs en
dehors du réseau privé ne peuvent pas y accéder. L'inverse n'est pas
nécessairement correct, et les utilisateurs du réseau privé pourront accéder
au réseau Internet.

Réseau privé virtuel

1.1 Définition
Le VPN "Virtual Private Network" est une technologie qui permet à
une ou plusieurs stations distantes de communiquer de manière sécurisée
tout en utilisant une infrastructure commune. Ce type de liaison est apparu
suite à un besoin croissant des entreprises de relier les différents sites et de
façon simple et économique. Jusqu’à l’avènement des VPN, les sociétés
devaient utiliser des liaisons louées Le VPN démocratise ce type de lien.
La figure I.1 illustre un schéma de réseau VPN.

Figure I.1 : Schéma de réseau VPN

1.2 Rôle du réseau VPN
Le but d'un réseau privé virtuel est de « fournir aux utilisateurs et
administrateurs du système d'information des conditions d'exploitation,
d'utilisation et de sécurité à travers un réseau public identiques à celles
disponibles sur un réseau privée En d'autres termes, nous voulons
regrouper les réseaux privés et les séparer avec un réseau public (Internet)
pour faire sentir aux utilisateurs qu'ils ne sont pas séparés, tout en
maintenant l'aspect sécurisé qui est assuré par de la coupure logique au
réseau internet .

1.2 Principe général du VPN

Les réseaux VPN sont basés sur un protocole appelé "Tunnel Protocol".
Le protocole permet de diffuser les informations de l'entreprise d'un bout à
l'autre du tunnel de manière cryptée. Par conséquent, les utilisateurs ont
l'impression d'être directement connectés à leur réseau d'entreprise.
Figure I.2 : Schéma de liaison VPN
Le principe de la transmission par tunnel est qu'après avoir déterminé
l'expéditeur et le récepteur, un chemin virtuel est construit. La source
crypte ensuite les données et utilise ce chemin virtuel pour les acheminer.
Afin de fournir un accès pratique et peu coûteux aux intranets ou extranets
d'entreprise, les réseaux d'accès privés virtuels émulent les réseaux privés,
mais en fait ils utilisent infrastructure d'accès partagé, comme Internet.
Les données à transmettre peuvent être traitées via d'autres protocoles
IP. Dans ce cas, le
protocole de tunneling encapsule les données en ajoutant des en-têtes. Le
tunneling est l'ensemble des processus d'encapsulation, de transmission et
de décapsulation. [1]
Par conséquent, le VPN n'est qu'un concept, après cela, il dépend de la
cible que nous voulons utiliser, du niveau de sécurité, de la taille du
réseau, de l'authentification, du contrôle d'intégrité et du tunnel.

Plusieurs moyens techniques peuvent être utilisés et couplés pour mettre

en œuvre des VPN :
➢ Chiffrement : Utilisé pour que les données traversant le réseau ne
puissent pas être lues par une autre personne.
➢ Authentification : On veut garantir qu'a chaque instant de la
communication, on parle au bon interlocuteur Dans le cadre du
VPN, nous parlons de deux passerelles séparées par Internet.
➢ Contrôle d'intégrité: pour s'assurer que les données transférées entre contacts n'ont pas
été modifiées

1.3 Tunnel : le tunnel consiste à établir un canal entre deux points sans se
soucier des problématiques d'interconnexion (de façon transparente).
Nous couvrirons cet aspect important du VPN plus en détail.
1.4 Avantages et inconvénients des VPN
Nous pouvons citer les avantages et inconvénients suivants :
➢ Coût: Pour établir un VPN, vous devez d'abord avoir une
connexion Internet . Avec l'avènement de l'ADSL et du câble, toutes
les entreprises et les particuliers peuvent se permettre le
coût de cette connexion.
➢ Temps de mise en œuvre: Lorsqu'il existe une connexion Internet,
le temps de mise en œuvre du VPN dépend de la complexité de la
solution ou de la technologie choisie. Il peut aller de quelques jours à
quelques semaines en fonction de la complexité de l'environnement.
Cependant, vous pouvez ajouter le site à un VPN existant en
quelques heures. De plus, la
 mise en œuvre est sous le contrôle de l'entreprise.
➢ Performance: les performances VPN sont globalement liées aux
performances Internet . Il est donc impossible de garantir la bande
passante ou le temps de réponse entre deux sites interconnectés Au
contraire, les lignes louées ne sont pas touchées par ce problème.
➢ Sécurité: le VPN est basé sur une technologie de cryptage fiable,
et la génération et la mise en œuvre des clés de cryptage sont sous le
contrôle du propriétaire du VPN. Le niveau de confidentialité est
donc très élevé.

Conclusion
La sécurité est le point le plus important dans un réseau VPN, c'est un
point nécessaire pour prouver que nous choisissons ce type de réseau dans
notre cadre travail pour l’implémentation d’un tel réseau. Cette sécurité
est garantie par des algorithmes spécifiques et des protocoles.
Le déploiement d’un réseau VPN nécessite donc l’utilisation des
protocoles. Dans la plupart
Dans ce cas, le protocole "IPSEC" sera utilisé.
Dans les chapitres suivants, nous allons détailler les différents
protocoles et les mécanismes utilisés pour implémenter un réseau VPN.
Chapitre II Sécurité Au Niveau Du
Réseau IP

Introduction
Le bon fonctionnement du réseau VPN exige l’utilisation de plusieurs
outils afin de garantir des communications fiables, secrète et sûres.
Ce chapitre mentionne les exigences de sécurité et détaillera les
différentes méthodes utilisées afin de sécuriser l’échange des données
sur le réseau IP et d’empêcher les attaques pour assurer la
confidentialité, l’authentification et l’intégrité de données.

1. Principes de sécurité
1.1 Exigences fondamentales
La sécurité informatique est l’ensemble des moyens mis en œuvre
pour réduire les vulnérabilités des systèmes contre les menaces
accidentelles ou intentionnelles. Il convient donc d'identifier les
exigences fondamentales en sécurité informatique. Elles caractérisent le
besoin des utilisateurs de systèmes informatiques en terme de:
➢ Disponibilité : L'information sur le système doit être disponible
aux personnes autorisées.
➢ Confidentialité : L'information sur le système ne doit pas être
lue que par les personnes autorisées.
➢ Intégrité : L'information sur le système ne puisse être modifiée
que par les personnes autorisées.
1.2 Outils de sécurité
Le système de sécurité se construit à l'aide de nombreux outils
complémentaires et techniques. Un seul outil ne suffit pas; la sécurité
est assurée par l’utilisation correcte d'un ensemble d'outils à choisir à
paramétrer et/ou à développer en fonction des l'objectifs fixés.
 ➢ l'encryptions: Consiste à transformer les informations
électroniques au moyen d'un algorithme mathématique afin de
les rendre inintelligibles, sauf pour celui qui possède le moyen
(une clé) de les décoder.
➢ la signature électronique: c'est un code digital qui garantit
l'identité de la personne qui émet le message et assure la non-
répudiation et l'intégrité de l'envoi;
➢ le certificat: document électronique (carte d'identité) émis
par une autorité de certification (CA). Il valide l'identité des
interlocuteurs d'une transaction électronique, associe une
identité à une clé publique d'encryptions et fournit des
informations de gestion complémentaires sur le certificat et le
détenteur.

2. Cryptographie
2.1 Définition
Il s´agit de la science qui étudie les principes et méthodes
mathématiques appliqués à la sécurité de l'information dans des buts
bien précis tels que la confidentialité, l'intégrité des données, l
´authentification d'entités (personnes ou machines), et l'authentification
de l'origine des données.
La cryptographie tend donc à développer des techniques permettant
de stocker des informations sensibles et de les transmettre via des
réseaux non sécurisés (comme Internet) de telle sorte que ces données
ne puissent être lues ou modifiées que par les personnes autorisées.
2.2 Clé de cryptage
C ’ est une valeur utilisée dans un algorithme de cryptographie, afin
de chiffrer un texte. Il s´agit en fait d´un nombre complexe dont la taille
se mesure en bits. Plus la clé est grande, plus elle contribue à élever la
sécurité à la solution. Toutefois, c´est la combinaison d´algorithmes
complexes et de clés importantes qui assurent la garantie d´une solution
bien sécurisée.
 2.3 Cryptage et décryptage
On appelle « texte en clair » les données lisibles et compréhensibles
sans intervention spécifique. Le cryptage ou chiffrement est la méthode
permettant de dissimuler du texte en clair en masquant son contenu.
Cela consiste à transformer le texte en clair en un charabia inintelligible
appelé texte chiffré. Cette opération permet de s'assurer que seules les
personnes auxquelles les informations sont destinées pourront y
accéder. Le processus inverse de

transformation du texte chiffré vers le texte d'origine est appelé le

décryptage.
La Figure II.1 représente un exemple simplifié de l’opération de cryptage
et de décryptage. [2]

Figure II.1 : Cryptage et décryptage

Il existe deux familles de cryptage :

A) Cryptage symétrique
Cette méthode utilise une seule clé appelée clé privée (40 à 256 bits),
commune à l'expéditeur et au destinataire qui est indispensable pour
permettre à l'algorithme de crypter et décrypter les données. Pour cela,
l'algorithme utilise un codage en chaîne ou en bloc.
La figure III. 2 illustre le cas d’un cryptage symétrique. [3]
 Figure II.2. Cryptographie symétrique [4]

Avantage
Ce cryptage est simple et rapide. Il est particulièrement adapté à la
transmission de grandes quantités de données. [2]

Exemples de cryptographie symétrique

Nous citons ci dessous les algorithmes les plus utilisés dans le cryptage
symétrique.
• DES (Data Encryption Standard)

Il est défini par l'organisme américain NIST (National Institute of

Standards and Technology) utilisant des clés de 56 bit. DES découpe le
message en blocs de 64 bit avant de les encrypter. L'opération inverse,
le décryptage, est très rapide et largement répandue. La clé peut être
gardée totalement secrète ou générée lors de chaque nouvelle opération.
Le DES est basé sur des fonctions mathématique relativement simples,
il peut facilement être en application mais, il est vulnérable car la
longueur de sa clé est petite. [5]
• Triple DES ou 3DES
C’est l’application successive de trois passes dans l’algorithme DES
avec des clés différentes. La longueur de la clé est de 168 bits (3*56
bits). La figure II.3 illustre un exemple de cryptage avec 3DES :
 Figure II.3 : Encryptions avec 3 DES [4]

Etape 1 : le texte est encrypté avec la clé K1 de 56 bits.

Etape 2 : le texte est décrypté en utilisant la clé K2 de 56. Cette clé

(K2) ne correspond pas à la clé de décryptage de K1, donc le message
reste crypté.
Etape 3 : le texte sera encrypté une autre fois avec la clé K3 de 56 bits. [4]

Le 3DES est en phase de disparition également, à cause de sa lenteur

et son niveau de sécurité est peu performant.
• AES (Advanced Encryptions Standard)
C’est le résultat d'un appel à contribution mondial pour la définition
d'un algorithme de cryptage, appel issu de l'Institut National des
Standards et de la Technologie du gouvernement américain (NIST) en
1997 et terminé en 2000.
AES consomme peu de mémoire et est facile à implémenter. Il est
devenu le remplaçant de DES et 3DES. La norme AES offre trois
longueurs de clé : 128, 192 et 256 bits. Les tailles de clé plus élevées
offrant une complexité accrue de l'algorithme, ce qui augmente la
sécurité. La figure II.4 illustre un exemple de cryptage AES avec une
clé de 256 bits. [6]
 Figure II.4 : Encryptions avec AES [4]

Faiblesses des algorithmes symétriques

Ce système nécessite la connaissance de la clé par l'émetteur et par
le destinataire. C'est la transmission ou la distribution sécurisée de cette
clé entre les intervenants qui représente la faiblesse inhérente au
système. S'ils se trouvent à des emplacements géographiques différents,
ils devront faire confiance à une tierce personne ou un moyen de
communication sécurisé.

Toute personne interceptant la clé lors d'un transfert peut ensuite lire ou
modifier toutes les

informations cryptées ou authentifiées avec cette clé. Ainsi, La taille de

la clé est aussi déterminante ce qui facilite son « craquage ». [2]
Les coûts de transmission et de distribution sécurisée des clés avaient
limité son utilisation aux institutions disposant de moyens suffisants,
telles que gouvernements Et BN-Bank.
B) Cryptage asymétrique
Pour faire face aux problèmes liés à la distribution des clés dans le
cryptage à clé privée, en 1975 Whitfield Diffie et Martin Hellman ont
introduit la cryptographie à clé publique.

Principe de base
La cryptographie à clé publique est un procédé asymétrique utilisant
une paire de clés, une clé publique qui crypte des données, et une clé
privée ou secrète correspondante pour le décryptage.
Le principe est donc de distribuer la clé publique tout en conservant
la clé privée secrète. Tout utilisateur possédant une copie de la clé
publique pourra ensuite crypter des informations que seul le
propriétaire de la clé privée pourra déchiffrer.
Il faut également noter que si on crypte par la clé publique, le
décryptage, ne sera pas possible par l’utilisation de cette dernière (la clé
publique), seul la clé privée correspondante à la clé publique qui pourra
décrypter le message. Si nous cryptons un message avec une clé privé,
le message sera décrypté par la clé publique. [2]
Le cryptage asymétrique utilise des clés dont leur longueur varie entre
512 et 4096 bits.

C'est l'ensemble de ces constatations qui fait que l'on appelle ce système
« asymétrique ».

La figure II.5 nous montre un cas du cryptage asymétrique.

 Avantage

5: Cryptographie à clé publique [4]

La cryptographie à clé publique permet d'échanger des messages de

manière sécurisée sans aucun dispositif de sécurité annexe. Elle
garantie la confidentialité et l’authentification des données.
En effet l'expéditeur et le destinataire n'ont plus besoin de partager
des clés secrètes via une voie de transmission sécurisée. Les
communications impliquent uniquement l'utilisation de clés publiques
sans aucune clé privée à transmettre ou à partagée. [2]

Exemples de cryptage asymétrique

Les algorithmes les plus connus dans ce type de cryptage sont :
• Diffie-Hellman (également d'après le nom de ses inventeurs)
Le concept de cryptographie à clef publique a été inventé par
Whitfield Diffie et Martin Hellman en 1976, dans le but de résoudre le
problème de distribution des clefs posé par la cryptographie à clef
secrète. Ils sont le plus souvent basés sur des problèmes mathématiques
difficiles à résoudre, donc leur sécurité est conditionnée par ces
problèmes, sur lesquels on a maintenant une vaste expertise. Mais, si
quelqu’un trouve un jour le moyen de simplifier la

résolution d’un de ces problèmes, l’algorithme correspondant

s’écroulera.
Les groupes Diffie-Hellman permettent de déterminer la longueur des
nombres premiers de base utilisés durant le processus d'échange de clés.
La puissance cryptographique de n'importe quelle clé générée dépend,
en partie, de la puissance du groupe Diffie-Hellman sur lequel sont basés
les nombres premiers.
Le groupe 5 (élevé) est plus puissant (plus sécurisé) que le groupe 2
(moyen), qui est lui- même plus puissant que le groupe 1 (faible). Le
groupe 1 fournit 768 bits, le groupe 2 fournit 1024 bits et le groupe 5
fournit 1536 bits. On note que si des groupes non concordants sont
spécifiés sur les homologues, la négociation échoue. Nous ne pouvons
pas changer le groupe en cours de négociation. [7]

• RSA (d'après le nom de ses inventeurs, Ron Rivest, Adi Shamir et Leonard Adleman)

C’est le protocole le plus courant de cryptographie asymétrique. Il a

été inventé en 1977 par
Ron Rivest, Adi Shamir et Len Adleman, à la suite de la découverte de
la cryptographie à clé publique par Diffie et Hellman. [8]
Pour des clés suffisamment grandes (1024, 2048 et 4096 bits), la
technologie actuelle considère que RSA est sécurisé. Ce protocole est
facile à mettre en œuvre et flexible. Il est beaucoup utilisé dans le e-
commerce (paiement en ligne, etc..).

Faiblesse du cryptage asymétrique

Les données cryptées en utilisant le cryptage asymétrique présentent
l’inconvénient d’être bien plus lents que les algorithmes à clef secrète
et peuvent mettre jusqu'à 1000 fois plus de temps pour être
décryptées par rapport au cryptage symétrique. C'est pour cette raison
que très souvent, les deux cryptages sont utilisés simultanément : le
cryptage asymétrique (plus sécurisé) permet d'échanger la clé privée
utilisée par le cryptage symétrique (comme DES, 3DES ou AES) entre
les deux hôtes après quoi le cryptage symétrique (plus rapide) est alors
utilisé. Dans ce cas la clé privée est appelée « clé de session ».
La distribution des couples des clés (privé et public) fait aussi besoin d’un
utilitaire qui sert à
générer les couples des clés, c’est ce qu’on l’appel un serveur des clés.

Serveur des clés

Le cryptage asymétrique se basé sur une couple des clés. Le serveur
de clés génère ces paires de clés pour résoudre le problème de
distribution des clés. La figure II.6 représente le rôle d’un serveur des
clés.
 Figure II.6: Serveur des clés publiques

Le serveur de clés publiques va générer à la demande de B un couple

de clé publique / clé privée. Il transmettra la clé privée à B et partagera
à tout le monde la clé publique. Le cryptage sera fait comme nous
avons expliqué dans le paragraphe précédent. [9]

3. Certificat
3.1 Définition
Un certificat est un document électronique, résultat d’un traitement
fixant les relations qui existent entre une clef publique, son propriétaire
(une personne, une application, un site) et l’application pour laquelle il
est émis :
❖ Pour une personne ; il prouve l’identité de la personne au même
titre qu’une carte d’identité, dans le cadre fixé par l’autorité de
certification qui l’a validé
❖ Pour une application ; il assure que celle-ci n’a pas été détournée de
ses fonction
❖ Pour un site ; il offre la garantie lors d’un accès vers celui-ci que
l’on est bien sur le site

auquel on veut accéder.

 Le certificat est signé (au sens signature électronique) ; on effectue
une empreinte du certificat à l’aide d’un algorithme d’hachage (MD5
par exemple) et on chiffre l’empreinte obtenue.
3.2 Rôle du certificat
Un certificat numérique permet, lors d'un cryptage asymétrique, de
garantir lorsque cela s'avère nécessaire, l'identité des différents
intervenants. Prenons l'exemple de l'envoi d'un message crypté de
manière asymétrique entre deux utilisateurs. La figure II.7 illustre
l’exemple.

Figure II.7 : Rôle de certificat

Dans ce cas, A veut transmettre des informations confidentielles à C

. Il va donc récupérer auprès du serveur de clés publiques la clé de
cryptage qu'il pense être celle de C . Malheureusement, sans certificat
(donc sans carte d'identité) l'identité du propriétaire de la clé publique
n'est pas garantie. A va donc crypter le message avec la clé publique
qu'il pensera être celle de C mais qui appartiendra en réalité à B le
pirate. B n'aura donc plus qu'à récupérer le message et pourra le
décrypter sans aucun problème avec sa propre clé privée.
Dans le cas de l'utilisation d'un certificat numérique, A se serait aperçu
que la clé publique ne pouvait pas appartenir à C et n'aurait donc pas
transmis son message.
4. Signature numérique et non-répudiation des
données
Parmi les problèmes auxquels s’attaque la cryptographie, on trouve
l’authentification de l’origine des données et l’intégrité; lorsque l’on
communique avec une autre personne au travers d’un canal peut sur, on
aimerait que le destinataire puisse s’assurer que le message émane bien
de l’auteur auquel il est attribué et qu’il n’a pas été altéré pendent le
transfert. [9]
4.1 Rôle de la signature numérique
La signature numérique est un procédé qui permet de s'assurer que
l'émetteur d'un message est bien celui qu'il prétend être. Dans la suit,
une figure II.8 explique l’envoi d’une signature.

Figure II.8 : Envoi d’une signature avec un message.

La personne A envoie un message à la personne B et le signe de son

nom. Malheureusement un pirate, C , intercepte le message signé par A
et le modifie. Il laisse la signature de A et le renvoie à B . B pensera
donc lorsqu'il recevra le message, que c'est A qui lui a envoyé.
La signature électronique seule ne suffit donc pas. Il a fallu mettre en
place un système plus élaboré : la non-répudiation des données. Pour
ne plus que le message puisse être modifié à l'insu du destinataire, la
signature du message dépendra du contenu du message. Ainsi, en cas
de modification de la moindre des données, la signature ne
correspondra plus à celle initialement prévue. Pour cela nous utilisons
le hachage. [9]

4.2 Hachage
L’hachage est un mécanisme qui consiste à calculer, à partir d’un
message initial une empreinte de taille fixe et inférieure au message
initial, en appliquant une transformation mathématique sur ce dernier.
Cette fonction traite une entrée de longueur variable (dans ce cas, un
message pouvant contenir des milliers ou des millions de bits), afin
d'obtenir en sortie un élément de longueur fixe appelée « valeur hash »
En cas de modification des données (même d'un seul bit), la fonction de
hachage garantit la production d'une «valeur hash » différente, ce qui
garantit l’intégrité d’un texte transmis.
La figure II.9 représente les différentes étapes d’envoi et de
vérification de signature numérique que nous venons de citer :

Figure II.9 : Vérification d’une signature a l’aide de l’hachage.

 A : chiffre le texte avec la clé publique de B et l’envoie. Il garanti
ainsi la confidentialité du document. Ensuite il calcule le message
haché qui le chiffre avec sa clé privée et l’envoi à
B. De son coté B déchiffre le message reçu par sa clé privée et calcule
son haché, puis déchiffre

par la clé publique de A le deuxième message et le compare avec le

haché qu’il a calculé. En cas d’égalité l’intégrité du message et la non-
répudiation ont été garantis.
Les types de hachage les plus utilisées sont :

MD5 (Message Digest 5)

C’est une fonction de hachage cryptographique qui permet d'obtenir
l'empreinte numérique d'un fichier (un message ). Il a été inventé par
Ronald Rivest en 1991.
MD5 calcule son empreinte numérique à partir d'un fichier
numérique (une séquence de 32 caractères sur 128 bits ou
hexadécimal), probablement deux fichiers différents donnent deux
empreintes différentes.
Cet algorithme est désormais considéré comme non sûr pour usage
cryptographique ; une équipe de Chinois a pu démontrer que l’on peut
reproduire à partir d’une empreinte e1 (calculée à partir d’un message
X), un nouveau message (Y) capable de produire une empreinte e2
identique à e1. Ce qu’on appelle une collision complète (dans un
contexte peu sécurisé puisque le second message n’a pas été trouvé de
manière aléatoire…)

Il n’empêche qu’il est encore fortement utilisé pour vérifier

l’empreinte des fichiers téléchargés sur Internet, pour le cryptage de
mot de passe sur les sites Web (fonctions PHP disponibles).
Exemple
 SHA-1 (Secure Hash Algorithm 1)

C’est une fonction de hachage cryptographique conçue par la

National Security Agency des États-Unis (NSA) en 1995, et publiée par
le gouvernement des États-Unis comme un standard

fédéral de traitement Information (National Institute of Standards and

Technology (NIST) Federal Information Processing Standard. Elle
produit un résultat appelé « hash » de 160 bits au lieu de 128 bits pour
MD5.
L'algorithme est inclus dans d'autres protocoles (tels que IP SEC)
pour protéger les informations sensibles. L’adaptation et l’utilisation de
SHA-1 dans les organisations privés et commercial a été encouragé par
FIPS PUB (federal information processing standard publication) 180-1.
Mais reste parmi les algorithmes peu sûrs car il était cassé par des
scientifiques chinois
qu’auraient découvert une faiblesse dans cet algorithme.

SHA-2 (SHA-224, SHA-256, SHA-384, SHA-512)

Pour développer le SHA-1, le NIST a publié quatre autres fonctions

de hachage de la famille SHA. Chacune des ces fonction a une
longueur de clé différente. Collectivement, ils sont connus comme
SHA-2. Chacune de ces variantes individuelles est nommée d'après sa
longueur de clé (en bits): SHA-224, SHA-256, SHA-384 et SHA-512.
Les trois derniers ont d'abord été publiés en 2001 dans le projet de
traitement de l'information publication norme fédérale (FIPS PUB)
180-2.
 Une étude en 2003 a montré que l’algorithme n’avait pas la fragilité
des algorithmes rencontrés sur MD5 et SHA-1.

5.Infrastructures à Clés Publiques (PKI)

L’utilisation de la cryptographie a clef publique a grande échelle
nécessite de pouvoir gérer des listes importantes de clef publiques, pour
des entités souvent réparties dans un réseau. Pour cela, on a recourt à
des infrastructures a clefs publiques (Public Key Infrastructure, PKI),
système de gestion des clefs publiques prévus pour une utilisation a
grande échelle.
Une PKI (Public Key Infrastructure), aussi appelée IGC
(Infrastructure de Gestion de Clés) est une infrastructure réseau qui a
pour but final de sécuriser les échanges entre les différents composants
d'un réseau.
Cette infrastructure se compose de quatre éléments essentiels :
• Une Autorité d'Enregistrement (Registration Authorities) : c'est
cette autorité qui aura

pour mission de traiter les demandes de certificat émanant des

utilisateurs et de générer les
• couples de clés nécessaires (clé publique et clé privée). Son rôle
peut s'apparenter à la préfecture lors d'une demande de carte
d'identité.
• Une Autorité de Certification (Certification Authorities) : elle
reçoit de l'Autorité d'Enregistrement les demandes de certificats
accompagnées de la clé publique à certifier. Elle va signer à l'aide
de sa clé privée les certificats, un peu à la manière de la signature
de l'autorité sur une carte d'identité. Il s'agit du composant le plus
critique de cette infrastructure en raison du degré de sécurité requis
par sa clé privée.
• Une Autorité de Dépôt (PKI Repositories) : il s'agit de l'élément
chargé de diffuser les certificats numériques signés par la CA sur le
réseau (privé, Internet, etc.).
 • Les utilisateurs de la PKI : ce sont les personnes effectuant des
demandes de certificat mais aussi ceux qui souhaitent vérifier
l'identité d'un certificat qu'ils ont reçu.
La figure II.9 les étapes d’obtention d’un certificat a l’aide d’un PKI :

Figure II.9 : Exemple de demande d'un certificat pour signer numériquement les e-mails de
A

Lorsque l'Autorité de Certification reçoit une demande de certificat

par l'intermédiaire de

l'Autorité d'Enregistrement, elle doit générer un certificat. Pour prouver

que le certificat émane réellement de cette CA , il doit être signé avec
la clé privée de l'Autorité de Certification. Cela

signifie que si un utilisateur arrive à se procurer cette clé privée, il

pourrait créer des certificats numériques valides en générant lui-même
le couple de clés. Il pourrait donc signer et décrypter l'intégralité des
données circulant. Il est donc primordial d'assurer la sécurité et la
confidentialité de la clé privée de l'Autorité de Certification. [9]

Conclusion
 Les outils que nous avons étudiés dans ce chapitre permettent de
protéger les données contre toute interception non désirable ou
changement du contenu. Le chapitre suivant traite des protocoles
nécessaires pour transporter ces données au sein d’un réseau non fiable
(Internet).
Chapitre III Réseaux virtuels
Privés VPN
Introduction
Le VPN s'appuie sur divers protocoles pour protéger et gérer la sécurité
de l'échange.
données entre différents points du réseau.
Dans ce chapitre, nous allons détailler les différents protocoles qui
garantissent la fiabilité des données. Ainsi, nous allons faire une étude
sur les deux types de connexion VPN. Par la suite, nous allons
configurer un réseau VPN site-à-site à l’aide de la ligne de commande
CLI .

1) Présentation générale d’IP sec (Internet Protocol

Security)
1.1 Définition
Il s'agit d'un ensemble de protocoles normalisés par l'Internet
Engineering Task Force (IETF), qui peuvent fournir des services de
sécurité des données au niveau de la couche réseau. Il présente
l’avantage d’être à la fois commun aux normes Ipv4 et Ipv6. Ces
protocoles ont pour but d'établir une communication sécurisée entre des
entités séparées par un réseau non sécurisé comme Internet. La sécurité
de cette communication est garantie par le fait qu’IP sec présente ces
différents services ci-dessous :
Authentification aux deux extrémités: cette authentification mutuelle
permet à chacun de vérifier l'identité de ses contacts.
L’authenticité des données : IP Sec permet de s'assurer, pour chaque
paquet échangé, qu'il a bien été émis par la bonne machine et qu'il est
bien à destination de la seconde machine.
L’intégrité : Grâce aux algorithmes de hachage implémenté dans IP
Sec, ce dernier permet de vérifier si les données ont subi des
transformations au cours de route.
Empêcher l'écoute clandestine et l'analyse du trafic: IP Sec peut
crypter les adresses IP réelles de la source et de la destination ainsi que
tous les en-têtes IP . C'est le mode de tunneling, qui empêche tout
attaquant à l'écoute de déduire des informations sur les identités réelles
des extrémités du tunnel.

Confidentialité: un service où l'interprétation des données est

impossible si ce n'est pas le destinataire. La fonction de cryptage
fournit ce service en convertissant des données intelligibles (texte brut)
en données incompréhensibles (cryptées).
Protection contre la relecture: service qui empêche les attaques, y
compris le renvoi de paquets valides précédemment interceptés sur le
réseau pour obtenir ce paquet à entrer dans le réseau. Ce service est
assuré par la présence d’un numéro de séquence.
Gestion des clés : mécanisme de négociation de la longueur des clés de
chiffrement entre
deux éléments IPSEC et d’échange de ces clés. [10]

1.2 Architecture protocolaire d’IP Sec

Pour sécuriser l’échange du trafic IP, Le protocole IPSEC fait appel
à deux mécanismes que nous citons comme suit :
1.2.1 Protocoles AH (Authentication Header)
Le protocole AH (Authentication Header, RFC2402) est conçu pour
assurer l’intégrité des données et l’authentification de l’origine des
datagrammes sans chiffrement des données . Son principe est
d’ajouter au datagramme classique un champ supplémentaire
permettant à la réception de vérifier l’authenticité des données incluses
dans le datagramme. AH s'applique aux situations où la confidentialité
n'est pas requise ou autorisée. La figure III.1 suivante illustre
l’encapsulation AH : [1]
 Figure III.1: Authentication Header

1.2.2 Protocol ESP (Encapsulating Security Payload, RFC 2406)

Ce mécanisme est différent de celui d’AH. En effet, il utilis
e les mécanismes
d’encapsulation et de chiffrement des données. Donc, le protocole
ESP assure, en plus des
En mode tunnel, fonctions assurées par AH, confidentialité des données
et protection partielle pour l'analyse du trafic. Pour ces raisons, ce
protocole est le plus utilisé.
La figure III.2 explique l’encapsulation du protocole ESP :

Figure III.2: Encapsulating Security Payload

1.3 Différent modes d’IP Sec

Les mécanismes précédents peuvent être utilises seuls ou combines
pour obtenir les fonctions de sécurité désirées. En effet il existe deux
modes d’IP sec pour les utiliser:
1.3.1 Mode Transport
En mode transmission, les données sont acquises au niveau de la
couche 4 (couche transport) du modèle OSI. Avant de les transmettre à
la couche IP, chiffrez-les et signez-les. Ce mode se situe entre deux
hôtes du réseau local. La figure III.3 ci-dessous représente
l’encapsulation du protocole AH dans ce mode:

Figure III.3 : Encapsulation AH en mode transport

Le mode transport est relativement facile à mettre en œuvre.

Cependant, le défaut présenté par

ce mode, est que, étant donné que le mécanisme s’applique au

niveau de la couche transport, il n’y a pas de masquage d’adresse. C’est
pourquoi un deuxième mode peut être mis en œuvre, c’est le mode
tunnel.

1.3.2 Mode Tunnel

Le mode tunnel est utilisé entre deux passerelles de sécurité (routeur,
firewall, ...). Il encapsule la totalité du paquet IP dans un nouveau
 paquet d’IP Sec. La figure III.4 explique l’encapsulation d’un paquet
avec le protocole ESP.

Figure III.4 : Encapsulation de protocole ESP en mode tunnel

La figure III.5 illustre un exemple d’envoie d’un paquet entre les

réseaux A et B, si on envoie un paquet de réseau A vers le réseau B ;
l'adresse de la source sera celle du l’interface sérié de la passerelle A
(172.16.72.1), et l’adresse de destination sera celle de l’interface sérié
de la passerelle B (172.16.72.254).

Figure III.5 : Exemple de tunnel sécurisé en mode tunnel

Dans ce mode, un attaquant capable d’observer les données
transitant par un lien ne peut pas

déterminer quel volume de données est transféré entre deux hôtes

particuliers.
1.4 Description des sous-protocoles
 Les protocoles présentés dans les paragraphes précédents ont recours
à des algorithmes cryptographiques et ont donc besoin de clefs. L'un
des problèmes fondamentaux de l'utilisation
du chiffrement est la gestion de ces clés. Le terme "gestion" recouvre
la génération, la
distribution, le stockage et la suppression des clefs. Afin de gérer ces
applications, IP Sec a recours à la notion d’association de sécurité
(Security Association, SA).
1.4.1 Notion d’association de sécurité
Une association de sécurité IP Sec est une connexion qui fournit des
services de sécurité au trafic qu’elle transporte. On peut aussi la
considérer comme une collection de données décrivant l’ensemble des
paramètres associés à une communication donnée.
SA est unidirectionnel; par conséquent, la protection des deux
directions de la communication traditionnelle nécessite deux
associations, une dans chaque direction. Les services de sécurité sont
fournis par l’utilisation soit de AH soit de ESP. Si AH et ESP sont
appliqués au trafi

c problématique, deux SA seront créées. Ce fait, chaque association

est identifie de manière unique à l’aide d’un triplet compose de :

L’adresse de destination des paquets.

L’identifiant d’un protocole de sécurité (AH ou ESP).

Un index des paramètres de sécurité (Security Paramétrer

Index, SPI). SPI est un bloc de 32 bits qui est écrit en texte
clair dans l'en-tête de chaque paquet échangé. Le choix est fait
par le destinataire.

2.
Gestion des clefs et des associations de sécurité
 Comme nous l’avons mentionné au paragraphe précédent, les SA
contiennent tous les paramètres nécessaires à IP Sec, notamment les
clefs utilisées. La gestion des clefs pour IP Sec n’est liée aux autres
mécanismes de sécurité de IP Sec que par le biais des SA. Une SA peut
être

configurée manuellement dans le cas d’une situation simple, mais la

règle générale utilise un protocole spécifique qui permet la négociation
dynamique des SA et notamment l’échange des clefs de session. Le
protocole de négociation des SA développé pour IP Sec s’appelle
ISAKMP ( Internet Security Association and Key Management
Protocol). [1]
1.4.2.1 ISAKPM (Internet Security Association and Key Management Protocol)
ISAKMP est un protocole décrit dans la RFC 2408 . Il a pour rôle la
négociation, l'établissement, la modification et la suppression des
associations de sécurité et de leurs attributs. Ce protocole pose les bases
permettant de construire divers protocoles de gestion des clefs (et plus
généralement des associations de sécurité).
ISAKMP est en fait inutilisable seul : c’est un cadre générique qui
permet l’utilisation de plusieurs protocoles d’échange de clef et qui
peut être utilise pour d’autres mécanismes de
sécurité que ceux de IP Sec. Dans le cadre de la standardisation de IP
Sec, ISAKMP est associé a une partie des protocoles SKEME et
Oakley pour donner un protocole final du nom d’IKE (Internet Key
Exchange).

1.4.2.2 IKE (Internet Key Exchange)

Le protocole IKE permet de gérer les échanges ou les associations
entre protocoles de sécurité. Il a pour objectif dans un premier temps
d'établir un premier tunnel entre les deux

machines (le tunnel IKE), que l'on pourra qualifier de "tunnel

administratif" ; C'est la phase 1 du protocole IKE. Ce tunnel est dit
administratif car il ne sert pas à la transmission des données utilisateur;
il est utilisé pour gérer les tunnels secondaires, leurs créations, le
rafraîchissement des clés... etc. La phase 2 du protocole IKE consiste à
établir autour du tunnel secondaire un deuxième tunnel nécessaire pour
la transmission des données utilisateur entre les 2 machines. Ce
protocole comprend quatre modes :
Le mode principal (Main mode)

Le mode agressif (Aggressive Mode)

Le mode rapide (Quick Mode)

Le mode nouveau groupe (New Groupe Mode)

Le mode principal et le mode actif sont utilisés dans la phase 1, et le

mode rapide est l'échange de phase 2 . Le nouveau mode groupe est un
peu différent: ce n'est ni un échange de phase 1 ni un échange de phase
2, mais cela ne se produit pas qu'une fois une SA ISAKMP est établie (
Une SA ISAKMP est un canal sécurisé sur lequel IKE négocie les
numéros de clé des datagrammes IP); il sert à se mettre d'accord sur un
nouveau groupe pour de futurs échanges Diffie-Hellman. [1]
A) Phase 1 : mode principal et mode actif
IKE utilise et négocie les attributs suivants dans la phase 1:
algorithme de chiffrement,
fonction de hachage, méthode d'authentification et groupe Diffie-
Hellman.
À la fin de la phase 1, trois clés seront générées: une pour le
chiffrement, une pour l'authentification et une autre pour dériver
d'autres clés. Leur calcul implique la fonction de hachage sélectionnée
pour ISAKMP SA et dépend du mode d'authentification sélectionné.

La figure III.7 illustre un exemple de négociation de SA. [1]

 Figure III.7 : Négociation de la SA

B) Phase 2 : Quick Mode

En raison des éléments négociés à l'étape 1, l'authenticité et la
confidentialité des messages échangés à l'étape 2 sont protégées.
L'authenticité des messages est assurée par l'ajout d'un bloc Hash après
l'en-tête ISAKMP et la confidentialité est assurée par le chiffrement de
l'ensemble
des blocs du message.
Quick Mode est utilisé pour la négociation de SA pour des protocoles
de sécurité donnés comme IP Sec. Chaque négociation produit en fait
deux SA, une SA dans chaque direction de communication.

Au final, le déroulement d'une négociation IKE suit le

diagramme de la figure
III.8 suivante :
 Figure III.8 : Diagramme du déroulement d’une négociation IKE [1]

2. Réseau Privé Virtuel

2.1 Définition
Le VPN (Virtual Private Network) est un service qui permet d'établir
des connexions sécurisées privées sur un réseau public comme
l'Internet. Le VPN est réalisé avec les techniques d'encryptions et
d'authentification, en assurant la qualité de services requise. Le VPN
permet d'économiser une connexion directe coûteuse entre les
différents sites de l'entreprise, l'accès Internet est utilisé pour le conseil
traditionnel et pour son réseau privé. La figure III.9 ci-dessous illustre
un exemple d’un VPN.
 Figure III.9 : Exemple d’un réseau VPN

2.2 Types des réseaux VPN

Pour garantir la sécurité des connexions entre sites distants en
utilisant les réseaux publics pour limiter les coûts de communication,
de plus en plus d'entreprises fait des réseaux privés virtuels, La
topologie de ces réseaux diffère selon les demandés de communication
de l’entreprise.
Les types les plus connus sont la connexion site-à-site et client-à-
site. La figure III.10 explique ces différents types.
 Figure III.10 : Types des réseaux VPN

2.2.1 VPN à accès distant

Aujourd’hui, les VPN sont la meilleure solution pour assurer les
connexions accès distant à moindre coût. En effet, en permettant aux
entreprises d’utiliser Internet via des fournisseurs d’accès pour
favoriser l’échange d’informations entre des PC distants et le siège de
l’entreprise par exemple, le déploiement Les solutions VPN évitent les
connexions téléphoniques point à point coûteuses. Il s'agit d'une
solution idéale, qui peut fournir une connexion haut débit sécurisée aux
personnes en transit, aux travailleurs à distance ou aux heures
supplémentaires, et en bénéficier via le Câble et les lignes DSL.

La figure II.11 illustre ce type de réseau VPN.

 Figure III.11 : Réseau VPN client-à-site [11]

2.2.2 VPN site-à-site

Les VPN site-à-site sont l’un des types d’infrastructure WAN (réseau
étendu). Ils remplacent et améliorent les réseaux privés existants en
utilisant les lignes louées, les protocoles de relais de trame (Frame
Relay) ou le mode ATM (mode de transfert asynchrone) Connectez les
sites distants et les succursales à la société mère. Le VPN de site à site
ne change pas fondamentalement les exigences du WAN privé, telles
que la prise en charge de divers protocoles, la haute fiabilité ou une
évolutivité optimale.
Au lieu de cela, ils répondent à ces exigences tout en réduisant les
coûts inhérents à ces infrastructures et en offrant une plus grande
flexibilité. Les VPN site-à-site peuvent utiliser les technologies de
transport les plus répandues aujourd’hui, telles que le réseau public
Internet ou les réseaux des fournisseurs d’accès, via le tunneling et le
cryptage afin d’assurer la confidentialité des données et la qualité de
service (Q o S) pour la fiabilité du transport. La figure III.21 montre
une architecture d’un réseau VPN site-à-site.
 Figure III.12 : Réseau VPN site-à-site [11]

3) Configuration d’un VPN site-à-site avec CLI ( Line Command

Interface)

Après que nous avons traité le concept d’IP Sec, nous passons
maintenant à la configuration d’un VPN site-à-site en utilisant le
protocole IP Sec. Le tunnel IP Sec peut être configuré par

l’utilisant de l’outil graphique SDM (Security Device Manager) ou

par l’utilisation de la ligne de commande CLI.

Dans le cadre de notre travail nous nous intéressons à la configuration

du VPN par
l’utilisation de la ligne de commande CLI.

Le processus de l'établissement, le maintien et la déconnexion du

VPN site-à-site passe par cinq étapes primaires.la figure III.13 illustre
ce processus :
 Figure III.13 : Processus d’établissement d’un tunnel IP Sec [4]

Etape 1 : Dans une connexion où il y différents types du trafic, la première

étape pour faire
un VPN est l’identification du trafic à crypter.
Etape 2 : les deux routeurs négocient l’association de sécurité (SA)
utilisée dans le tunnel de la phase 1 du protocole IKE. Il est nommé
aussi par le tunnel d’ ISAKMP .
Etape 3 : Le tunnel de la phase 2 d'IKE est négocié, installé et protégé
grâce au tunnel de la phase 1 d'IKE. Ce tunnel est également connu
comme un tunnel d'IP Sec.
Etape 4 : après que le tunnel protégé d’IP sec est établi, le trafic
intéressant le traverse.

Cependant, le trafic non intéressant est transmis en dehors de la

protection du tunnel d'IP sec.
Etape 5 : lorsque la transmission du trafic intéressant est terminé ou
l’association de sécurité
est supprimée, le tunnel va se fermer. [4]

La configuration par la ligne de commande suit les étapes suivantes :

❖ Définir les paramètres de l’association de sécurité utilisée durant

le tunnel de la phase 1

d’IKE (tunnel ISAKMP). Cette configuration est nommée une «

ISAKMP Policy ».
❖ Définir les paramètres utilisés dans le tunnel de la phase 2 d’IKE
(tunnel d’IP Sec).
Cette configuration est appelée « transform-set ».
❖ Créer une liste de contrôle d’accès (ACL) afin d’identifier le
trafic intéressant que l’on doit protéger et l’envoyer dans le tunnel
d’IP Sec.
❖ Créer une crypto map qui groupe logiquement les paramètres
identifiés dans les étapes et les points précédents à une paire d’IP
sec. La crypto map devrait alors être appliquée à l'interface
appropriée.
❖ Créer un ACL complémentaire pour bloquer le trafic non
intéressant de passer entre les périphériques terminaux d’un VPN.
[4]
3.1 Configuration du tunnel de la phase 1 d’IKE
Pour illustrer la configuration d’un tunnel VPN site-à-site, nous
considérons un scenario qui utilise la topologie de la figure III.14 ci-
dessous. Le but de ce scenario est de permettre au trafic de circuler en
tout sécurité entre le réseau 10.1.1.0/24 (connecté directement au
routeur R1) et le réseau 192.168.0.0/24 (connecté directement au
routeur R2).

Figure III.14 : Topologie d’un réseau [4]

 Pour commencer la configuration, on doit spécifier les paramètres de
ISAKMP. La figure
III.15 illustre la configuration de la phase 1 sur le routeur R1, et la
figure III.16 la configuration sur le routeur R2.

Figure III.15 : configuration de la phase 1 d’IKE sur le routeur R1

Figure III.16 : configuration de la phase 1 d’IKE sur le routeur R2

Dans ce mode, la commande de pré-partage d'authentification

spécifie que la clé partagée (chiffrement symétrique) sera utilisée pour
l'authentification. La commande hash sha spécifie que l’algorithme
SHA sera utilisé par cette association de sécurité d’ISAKMP (SA). La
commande encryption aes 128 montre que l’algorithme d’encryptions
est l’AES avec une longueur de clé de 128 bits. La commande group 2
spécifie qu’un algorithme Diffie Hellman de groupe 2 (1024 bits) sera
utilisé pour l’échange sécurisé des clés partagées. Finalement dans cette
partie de configuration, la durée de la SA est définie pour un jour
(86400 seconds) avec la commande lifetime 86400. Après, en mode de
configuration privilégie, la commande crypto isakmp key cisco
address IP adresse définie la clé partagée cisco pour communiquer
avec l’autre routeur. [4]

3.2 Configuration de la phase 2 d’IKE

Le tunnel de la phase 2 d'IKE est négocié et installé en utilisant le
tunnel sécurisé de la phase 1 d'IKE. Les figures III.17 et III.18 ci-
dessous montrent la syntaxe de configuration d’un tunnel de la phase 2
d'IKE, en se basant sur la topologie représentée précédemment sur la
figure III.14.

Figure III.17 : Configuration de la phase 2 d’IKE sur le routeur R1

 Figure III.18 : Configuration de la phase 2d’IKE sur le routeur R2

Un ensemble de transformation appelé MYSET est créé avec la

commande crypto ipsec transform-set MYSET esp-aes esp-sha-
hmac. Le paramètre esp-aes spécifie l’algorithme aes pour
l’encryptions, et le paramètre esp-sha-hmac spécifie l’algorithme de
l’hachage (Intégrité des données) qui sera utilisé. Chaque exemple
contient un ACL numéroté par 101, qui spécifie le trafic qui doit être
protégé par le tunnel d’IP Sec. En remarquant que le tunnel d’IP Sec
protège tout le trafic entre le réseau 10.1.1.0/24 et le réseau
192.168.0.0/24 . Après, une crypto map est

créée avec la commande crypto map nom de crypto map 10 ipsec-

isakmp. Dans le mode de configuration de la crypto map, la commande
set peer adresse ip de peer spécifie l’adresse IP de la paire de l’IP Sec
(l’adresse IP de l’autre routeur).
La commande match address 101 associe le ACL précédemment
créé 101 à la crypto map, et l'ensemble de transformation (MYSET) est
lié avec la crypto map en employant la commande set transform-set
MYSET. [4]

3.2 Application de la crypto map

La crypto map a besoin d’être appliquée sur une interface de routeur
afin d’activer le tunnel d’IP Sec. Toujours, dans le même scenario, les
exemples des figures III.19 et III.20 illustrent l’application de la crypto
map sur les deux interfaces des routeurs R1 et R2 :
 Figure III.19 : Application de la crypto map sur le routeur R1

Figure III.20 : Application de la crypto map sur le routeur R2

Dans ces deux exemples, nous avons passé en mode de configuration

d'interface pour appliquer la crypto map. Après, nous entrons la
commande crypto map nom de la carte pour appliquer la crypto map
que nous avons créés sur l’interface approprié. Nous avons aussi
configuré une route statique pour permettre l’échange de données entre
les deux réseaux avec la commande ip route.

Conclusion
Le protocole IPSEC est un protocole standard qui est utilisé pour
construire des tunnels virtuels et fiables qui servent à transporter le
trafic secret entre des sites bien précis.
Dans le chapitre qui suit, nous allons utiliser les concepts appris dans
ce chapitre pour réaliser un VPN IPSEC site à site entre KF- Poste et
BN-Bank.
Chapitre I V : Création d’Un
Tunnel IPSEC Site-à-Site Mise
Au Point Et Application
Introduction
KF- Poste échange des informations très sensibles avec BN-Bank.
Pour cela, elle cherche une méthode qui assure la fiabilité et la
confidentialité de ces informations.
Dans ce chapitre, nous allons créer un tunnel VPN IPSEC site à site
entre la KF- Poste et BN-Bank basé sur l'émulateur pour assurer la
sécurité de la transaction GNS3 et Wireshark pour faire des analyse du
trafic.

1. Description du besoin
KF- Poste et BN-Bank espèrent créer entre elles un tunnel IP Sec de
site à site pour assurer l'échange de toutes les données transmises entre
elles. Pour cela, elles ont négocié trois Policy primaires pour établir le
tunnel IP Sec .
Policy 1:

❖ Utilisez l'authentification par clé pré-partagée (pre-share Key).

❖ Utilisez l'algorithme AES 256 bits pour le chiffrement.
❖ Utilisation de SHA pour assurer l’intégrité.
❖ Utilisez Diffie Hellman Group 5 (1536 bits) pour dériver d'autres clés par la suite.

❖ Vingt quatre heures pour la modification de la clé "durée de vie = 86400 secondes"

Policy 2 :

❖ Use d’une authentification à clé partagée.

 ❖ Use l’algorithme 3DES (168 bits) pour l’encryptions des données.
❖ Use de SHA pour assurer l’intégrité.
❖ Use de groupe 2 de Diffie Hellman (1024 bits).
Le changement de clé se fera toutes les 12 heures "durée de vie = 43200
secondes"

Policy 3 :
❖ Use d’une authentification à clé partagée.
❖ Use du l’algorithme DES (56 bits) pour l’encryptions.
❖ Utilisation de MD5 pour assurer l’intégrité.
❖ Utilisation de groupe 1 de Diffie Hellman (768 bits) .
❖ Modifiez "durée de vie = 21600 secondes" pendant toutes les six
heures.

Schéma du réseau
Comme KF- Poste partage des transactions confidentielles et secrètes,
nous utiliserons un plan d'adresse différent du plan de production
La figure IV.1 illustre le schéma du réseau qu’on va l’utiliser.
 BN-Bank

Figure IV.1 : Schéma du réseau

2. Topologie d’application
GNS3 est un émulateur qui fournit des avantages supplémentaires. Il
s’agit d’un outil qui fournit des équipements réseau virtuels (comme
un routeur). Les systèmes d’exploitation de ces
équipements virtuels sont installés sur la machine qu’on veut
l’utiliser (pc par exemple) au lieu d’un boitier d’équipement réel.
La figure IV.2 ci-dessous illustre une image de topologie que nous avons
capturée sur GNS3.
 Figure IV.2 : Topologie capturé sur GNS3

La topologie contient deux routeurs CISCO de type 2600. Chacun

de ces routeurs utilise un système d’exploitation IOS (Internetwork
Operating System) version 12.4 semblable aux ceux utiliser en
production. Les deux routeurs sont reliés entre eux par un câble, en
utilisant les interfaces fastethernet 0/0 de chacun d’eux. Les réseaux
10.1.1.0 /24 et 10.1.2.0/24 sont reliés directement aux routeurs KF-
Poste et BN-Bank successivement par l’interfaces fastethernet 0/1 .
Dans les paragraphes suivants, nous allons traiter en détail la
configuration de ces routeurs pour qu’ils puissent supporter le tunnel
VPN IPSEC site-à-site.

3. Etapes de configuration
1.
Etape 1 : Configuration de base
Cette partie contient la configuration de base pour protéger les
routeurs contre tout accès interdit. Ainsi, on va attribuer les adresses
aux interfaces des routeurs et configurer un routage statique pour que
les hôtes des deux réseaux puissent se connecter entre eux. Et pour
cela, on utilise la ligne de commande CLI tels que les figures IV.3 et
IV.4 l’expliquent sur le routeur KF- Poste et BN-Bank successivement.
 Figure IV.3 : Configuration de base de routeur KF- Poste .
Figure IV.4 : Configuration de base du routeur de la BN-Bank .

Il existe des commandes différentes pour tester le succès de la

configuration. Parmi ces commandes, la commande show ip route qui
affiche les routes vers les réseaux distants, et la
La commande show ip interface brief affiche l'adresse affectée à
l'interface et son état (actif ou fermé)
La figure IV.5 affiche le résultat de ces commandes sur le routeur KF-
Poste et la figure IV.6 celui du routeur de BN-Bank .
Figure IV. 5: Résultat des commandes des tests sur le routeur KF- Poste
 Figure IV.6 : Résultat des commandes des tests sur le routeur de BN-Bank.
Après le test de la configuration, et pour confirmer que la
configuration est bonne, nous allons

faire des tests Ping ( commande qui fait appel au protocole ICMP).
Cette commande montre si
les paquets sont transmis entre les deux réseaux et affiche le
pourcentage du succès de l’envoie. Les figures IV.7 et IV.8 suivantes
illustrent le résultat de cette commande sur le routeur KF- Poste et BN-
Bank.

Figure IV.7 : Test Ping sur le routeur KF- Poste

 Figure IV.8 : Test Ping sur le routeur de BN-Bank

Pour voir plus de détail sur le trafic qui circule entre ces deux
réseaux, on utilise l’utilitaire Wireshark pour capturer les paquets
échangés entre les deux routeurs. La figure IV.9 illustre un

exemple de capture Wireshark.

Figure IV. 9 : Analyse du trafic par Wireshark

Nous remarquons que le trafic échangé est en clair, donc il est

possible qu’un pirate situé entre
ces deux réseaux (man in the middle) peut intercepter les données.
Afin de protéger les données contre tout type d’espionnage ou
d’attaques, on configure un tunnel VPN IPSEC site-à-site entre les
routeurs KF- Poste et BN-Bank.
4.2 Etape 2 : Configuration du tunnel IPSEC site-à-site
Cette étape consiste à configurer les deux phases du protocole IKE.

➢ Phase 1 : Négociation des policy

Durant cette phase, nous allons faire une négociation des paramètres
( SA ) nécessaires pour établir le premier canal sécurisé (ISAKMP)
entre les deux sites. Ce canal a pour objectif de garantir l’échange
secret des clés utilisées dans la deuxième phase pour crypter les
données

confidentielles. Les figures IV.10 et IV.11 illustrent la configuration sur

les routeurs KF- Poste et BN-Bank successivement.
Figure IV.10 : Configuration de la phase I sur le routeur KF- Poste .
 Figure IV.11 : Configuration de la phase I sur le routeur de BN-Bank .

➢ Phase 2 : Paramètres de sécurisation du trafic intéressant

Maintenant, nous allons négocier les paramètres de sécurité qui
interviendront pour le transfert des données applicatives (le paquet IP
qui devait être transmis, et qui est à l'origine de l'établissement d'une
SA). Les échanges de cette étape sont sécurisés grâce au canal
ISAKMP qu’on a créé dans la phase précédente. Les figures IV.12 et
IV.13 montrent la configuration de ces paramètres sur KF- Poste et BN-
Bank.
Figure IV.12 : Configuration de la phase II sur le routeur KF- Poste .

Figure IV.13 : Configuration de la phase II sur BN-Bank .

 Cette configuration sépare l'algorithme de chiffrement AES pour
garantir la confidentialité et le hachage SHA pour garantir l'intégrité
des données (esp-aes esp-sha-hmac). Par conséquent, configurez l'ACL
(liste de contrôle d'accès) pour spécifier le trafic intéressant que nous
voulons chiffrer. Dans notre cas, nous voudrons crypter toutes les
données transmises entre le réseau

10.1.1.0 et 10.1.2.0 comme montre la figure précédente .

4.3 Etape 3 : Application de crypto map

Cette étape consiste à établir la crypto map qu’on a configuré sur
l’interface du routeur qui convient. dans notre cas, nous appliquons
cette crypto map sur l’interface fastethernet 0/0 de chaque routeur tel
qu’explique les figures IV.14 et IV.15 ci-dessous.

Figure IV.14: Application de crypto map sur le routeur KF- Poste .

Figure IV.15 : Application de crypto map sur le routeur de BN-Bank .

 Pour voir les informations de la
crypto map qu’on a configuré, on utilise la commande
show crypto map . Comme montre la figure IV.16 ci-dessous, cette commande affiche le nom

de la crypto map, l’adresse IP de l’autre extrémité du tunnel, la liste

d’accès (ACL) qui précise le trafic qui doit être crypté, la durée limitée
pour reproduire une nouvelle association de sécurité SA , le nom de
transform-set et l’interface sur quelle la crypto map a été appliquée.
Dans la figure IV.16 on a appliqué cette commande sur le routeur KF-
Poste.

Figure IV.16 : Paramètres de la crypto map KF- Poste .

 Le résultat de l’application de la même commande sur le routeur de
BN-Bank est illustré dans la figure IV.17 suivante :

Figure IV.17 : Paramètres de la crypto map de BN-Bank .

Après l’établissement du tunnel IPSEC, On peut vérifier ces

paramètres en utilisant les commandes crypto engine connection
active. Les figures IV.18 et IV.19 suivantes représentent un test de
configuration à l’aide de la commande crypto engine connection
active sur le routeur KF- Poste et BN-Bank successivement.

Figure IV.18 : Vérification des paramètres du tunnel sur le routeur KF- Poste .
 Figure IV.19 : Vérification des paramètres du tunnel sur le routeur de BN-Bank .

4.5 Etape 4 : Test du fonctionnement du tunnel IPSEC

Le trafic qui traverse le tunnel IP SEC doit être crypté et invisible.
Toutefois, Les paquets transmis sont encapsulés dans un nouveau
paquet d’IPSEC. Dans notre cas, les paquets échangés entre les réseaux
10.1.1.0 et 10.1.2.0 portent les adresses des interfaces fastethernet 0/0
comme des adresses source et destination. Pour tester le
fonctionnement du tunnel, on fait des tests Ping sur les deux routeurs
en utilisant les adresses des interfaces fastethernet 0/1 de chacun d’eux
comme des adresses source et destination et on capture le trafic avec
Wireshark comme illustre la figure IV.20 ci-dessous.

Figure IV.20 : Capture du trafic avec Wireshark

 Comme le montre cette figure, le type et les adresses de l’origine du
paquet sont tous masqués. Cependant, le trafic échangé entre autres
entités de réseau qui n’appartient pas à la liste d’accès ( ACL) ne
présente aucun masquage d’adresse ou d’information. Pour plus
d’explication, on fait des tests Ping et Telnet entre le réseau 172.30.0.0
et le réseau 10.1.2.0 et on capture le trafic qui circule à l’aide de
Wireshark comme illustre la figure IV. 21et la figure IV.22.

Figure IV.21 : Test Ping entre les 172.30.0.0 et 10.1.2.0

Figure IV.22 : Test Telnet

Dans la suite, on applique la commande Telnet sur le routeur KF-
Poste en utilisant
l’interface fastethernet 0/0 qui porte l’adresse 172.30.0.1 comme
source du Telnet pour accéder à distance au routeur de BN-Bank. Cette
adresse n’appartient pas à l’ACL qu’on a configuré précédemment; les
données ne traversent pas le tunnel sécurisé d’IPSEC. Donc, les pirates
peuvent intercepter tous ce qui est échangé entre les deux extrémités.
La figure IV.23 illustre un cas d’espionnage sur des informations Telnet
lorsqu’un administrateur est en cours d’accès à distance au routeur de
BN-Bank .

Figure IV.23 : Cas d’espionnage sur le trafic Telnet

Conclusion

Différents protocoles sont utilisés pour établir le tunnel IP SEC, et

des paramètres importants doivent être configurés en fonction des
commandes que nous avons pour protéger la sécurité de ce tunnel cité
dans ce chapitre.
Nous avons donc mis au point une application réelle avec différents test et
essais.
Conclusion
A travers ce Travail, nous avons vu un aperçu des différentes
possibilités afin de déployer un réseau VPN, et particulièrement la
solution que représente IP Sec. Nous avions en effet pour objectif de
donner les concepts qui tournent autour de cette solution et de montrer
un exemple de déploiement. Mais également que le terme de VPN ne se
référencie pas uniquement qu'à la solution IP Sec. Bien entendu, cette
solution est la plus utilisée et constitue une référence. Cependant, le
VPN est avant tout un concept et ne spécifie rien sur ses moyens.
Ainsi, s'achève notre étude sur les réseaux VPN. Nous réalisons
que derrière ce concept, il existe plusieurs protocoles, technologies et
architectures pour les déployer. Néanmoins, le choix d'une solution
pour un VPN dépendra évidement de l'utilisation qu’on veut faire et de
l'investissement financier de l’entreprise.
QUEL AVENIR POUR LES VPN IP ?
Le VPN à pris une dimension proportionnelle au développement
d'internet. A l'origine pour déployer les réseaux privés, une nouvelle
utilisation voit le jour aujourd'hui avec l'arrivée des technologies sans
fil. En effet, dès les premières mises en place du 802 11 (WIFI) , on
nous à démontré ses failles en matière de confidentialité et de sécurité.
Un risque parmi d'autres et plusieurs, est de voir ses données transitant
dans le réseau, être lues par un « homme du milieu ». Ses problèmes de
sécurité posent une grande problématique quand des données sensibles
sont communiquées. La solution VPN offre la possibilité de garantir ce
type de sécurité, puis nous pouvons envisager la possibilité de
combiner le confort et la sécurité du réseau sans fil des données que
nous voulons transmettre.
.