Vous êtes sur la page 1sur 36

Implementation des

Réseaux Privés Virtuels


VPN

INPTIC-2020
Terminologie
VPN
Cryptosystème

• C’est un système pour réaliser le (dé)chiffrement,


l’authentification de l’utilisateur, le hachage et des processus
d'échange des clés.
• Un système de chiffrement peut utiliser l'une des nombreuses
méthodes différentes, en fonction de la politique destinée à
diverses situations relatives aux trafic utilisateurs.
Encryption / Decryption

• Le chiffrement transforme l'information (texte clair) en cryptogramme


qui n'est pas lisible par des utilisateurs non autorisés.
• Le décryptage transforme le texte chiffré en texte clair, le rendant
lisible par les utilisateurs autorisés.
• Algorithmes de cryptage populaires:
– DES
– 3DES
– AES
Authentication / Hashing

• Garantit l'intégrité du message en utilisant un algorithme pour


convertir un message de longueur variable et une clé secrète partagée
en une chaîne unique de longueur fixe.
• Les méthodes de hachage les plus populaires sont:
– SHA (Cisco default)
– MD5
Non-repudiation

• Est la capacité à prouver qu’une transaction a eu lieu.


– Semblable à un package signé reçu d'une
société de transport.
• Ceci est très important dans les transactions financières et les
transactions de données similaires.
Diffie-Hellman Key Exchange

• Comment les dispositifs de (dé)cryptage obtiennent la clé


secrète partagée?
– La méthode la plus simple est l'échange de clé
publique Diffie-Hellman.
• Utilisé pour créer une clé secrète partagée sans connaissance
préalable.
• Cette clé secrète est requise par:

– The encryption algorithm (DES, 3DES, AES)


– The authentication method (MD5 and SHA-1)
Pre-Shared Key

• Identifie un parti communiquant lors d'une négociation de phase


1 IKE.
• La clé doit être pré-partagée avec un autre parti avant que les
routeurs pairs ne puissent communiquer.
IPsec - Internet Protocol
Security
• Un «cadre» de normes ouvertes, élaborées par l'IETF, pour
créer un tunnel sécurisé sur le réseau IP.
– Elle énonce les règles pour les communications
sécurisées.
• IPsec n'est pas lié à un cryptage spécifique ou à des algorithmes
d'authentification, technologie de chiffrement, ou des algorithmes
de sécurité.
IPsec Protocol Framework
Crypto Map
• Une entité Cisco IOS de configuration qui effectue deux
fonctions principales.

– Tout d'abord, il sélectionne les flux de données


qui ont besoin d'un traitement de sécurité.
– Deuxièmement, il définit la politique de ces flux
et le partage vers qui le trafic doit aller.
• Une carte de chiffrement (crypto map) est appliquée à une
interface.
SA - Security Association

• Est un contrat entre deux parties indiquant quels sont les paramètres
de sécurité, tels que des clés et des algorithmes qui serons utilisés.
• Un Security Parameter Index (SPI) identifie chaque SA établie.
Noms de Cryptographie
• Alice et Bob
– Sont des noms couramment utilisés en cryptographie.
– C’est mieux que d’utiliser Personne A et B.
– Généralement Alice veut envoyer un message à Bob.
• Carol ou Charlie
– Un 3ème participant dans les communications.
• Dave est un 4ème participant, et ainsi de suite par ordre alphabétique.
• Eve
– Un espion, généralement un attaquant passif.
– Elle peut écouter les messages, mais ne peut pas les modifier.
• Mallory ou Marvin ou Mallet
– Un utilisateur malveillant qui est plus difficile à contrôler.
– Il peut modifier et remplacer les messages, rejouer les anciens msgs, etc.

• Walter
– Un protecteur de Alice et Bob en fonction du protocole
utilisé.
VPNs
Conventional Private Networks
Virtual Private Networks
VPNs
• Un réseau privé virtuel (VPN) offre la même connectivité réseau
pour les utilisateurs distants que sur ​un réseau privé, mais via
une infrastructure publique.
• Les services VPN pour la connectivité réseau comprennent:

– Authentication
– Data integrity
– Confidentiality
Characteristiques des VPNs

Caractéristique Objet
Authentification Uniquement les émetteurs et appareils autorisés peuvent
entrer dans le réseau
Confidentialité des données Protège les données des espions (spoofing)
Intégrité des données Garantit qu’aucune altération ou modification ne se produit
Concepts des VPN
• Un VPN sécurisé est une combinaison de concepts:

INPTIC-2020
Encapsulation des Packets
VPN

• ‘Carrier’ protocole (porteuse)


- Protocole sur lequel l’information transite
(Frame Relay, ATM, MPLS)

• Protocole d’encapsulation
- Protocole qui est enveloppé autour des données originales
(GRE, IPsec, L2F, PPTP, L2TP)

• ‘Passenger’ protocole (de voyage)


- Protocole via lequel les données originales ont été envoyées
(IPX, AppleTalk, IPv4, IPv6)
Encapsulation des Packets
VPN
Topologies
VPN
2 Types de VPNs
• VPN de site à site:

– VPN Intranet: connecter le siège social, les bureaux


distants et les succursales via une infrastructure
publique.
– Extranet VPN: faire une liaison clients, fournisseurs,
partenaires ou les communautés d'intérêts vers un
Intranet d'entreprise via une infrastructure publique.

• VPN d'accès distant:

– Connexion sécurisée des utilisateurs distants vers


Site-to-Site VPNs
Site-to-Site VPNs
Remote Access VPNs
Remote Access VPNs
Remote Access VPNs
GRE
Tunnel
Layer 3 Tunneling

• Il y a 2 protocoles de tunneling site-to-site populaires:


– Cisco Generic Routing Encapsulation (GRE)
– IP Security Protocol (IPsec)
Yes
User Traffic IP Only?
• Quand utiliser GRE et / ou IPsec?

No

No Yes
Unicast
Use GRE Tunnel Use IPsec VPN
Only?
Generic Routing Encapsulation
(GRE)
• GRE peut encapsuler n'importe quel autre type de paquet.

– Utilise IP pour créer une liaison virtuelle point-à-


point entre les routeurs Cisco
– Supports multi-protocoles (IP, CLNS, ..) et tunneling
IP multicast (et donc les protocoles de routage)
– LeGRE
mieux
header = 24adapté
de charge en plus
bytes pour les VPN site à site multi-
protocole
– RFC 1702 et RFC 2784
Optional GRE Extensions
• GRE peut éventuellement contenir un ou plusieurs de ces champs:
– Tunnel checksum
– Tunnel key
– Tunnel packet sequence number
• Des ‘keepalives’ GRE peuvent être utilisés pour suivre l'état du tunnel
Generic Routing Encapsulation
(GRE)
• GRE ne prévoit pas de cryptage!
– Il peut être monitoré avec un analyseur de
protocole.
• Toutefois, GRE et IPSec peuvent être utilisés ensemble.

• IPsec ne supporte pas multicast / broadcast et donc ne fait pas suivre


les paquets de protocole de routage.
– Cependant IPsec peut encapsuler un paquet
GRE qui encapsule le trafic de routage (GRE
sur IPsec).
5 etapes pour Configurer un
Tunnel GRE
1. Créer une interface de tunnel: interface tunnel 0
2. Attribuer une adresse IP au tunnel.
3. Identifier l'interface de tunnel source: tunnel source
4. Identifier la destination du tunnel: tunnel destination
5. (Facultatif) Identifier le protocole à encapsuler dans le tunnel GRE: tunnel
mode gre ip
– Par défaut, GRE est tunnelé dans un paquet IP.
5 etapes pour Configurer un
Tunnel GRE
R1(config)# interface tunnel 0
R1(config–if)# ip address 10.1.1.1 255.255.255.252
R1(config–if)# tunnel source serial 0/0
R1(config–if)# tunnel destination 209.165.200.225
R1(config–if)# tunnel mode gre ip
R1(config–if)#

R2(config)# interface tunnel 0


R2(config–if)# ip address 10.1.1.2 255.255.255.252
R2(config–if)# tunnel source serial 0/0
R2(config–if)# tunnel destination 209.165.201.1
R2(config–if)# tunnel mode gre ip
R2(config–if)#
Exemple Tunnel GRE

Vous aimerez peut-être aussi