Académique Documents
Professionnel Documents
Culture Documents
de l’Information et de la Communication
SOMMAIRE
EXAMEN
I-Travail à faire
I. Travail à faire
Cet exercice a pour but de mettre en œuvre les différentes phases de configuration d’un routeur
Cisco pour la mise en place d’un tunnel IPSec entre deux réseaux locaux via deux routeurs Cisco.
IPSec sera paramétré en mode de gestion automatique des clés basés sur le sous-protocole
ISAKMP de IKE. Dans un premier temps nous verrons le plan d’adressage et des configurations
réseau pour l’utilisation d’IPSec ensuite nous mettrons en pratique tous ces configurations à travers
plusieurs simulations.
1. Plan d’adressage
Nous considérons la topologie donnée ci-dessous, à mettre en place avec Cisco Parket Tracer. Le
trafic que nous sécuriserons correspond aux données échangées entre les deux sous-réseaux
192.168.1.0 (y) et 192.168.2.0 (z), à l’aide de IPSec (peer) utilisant les deux interfaces des routeurs
en 10.10.10.1 (A=1) et 10.10.10.2 (B=2).
Nous réaliserons également la configuration d’IPSec sur les deux routeurs en mode automatique
avec un secret pré-partagé via le protocole ISAKMP. Les critères de configuration d’IPSec à
mettre en place sont :
Chiffrement et authentification avec le protocole ESP, Mode tunnel,
Les algorithmes de chiffrement et d’authentification sont DES et MD5. Une fois le tunnel IPSec
mis en place, nous lancerons des ping entre les deux machines et visualisez les SA établies ainsi
que certaines informations de l’échange.
2. Plan de configuration
La configuration d’IPSec s’effectue généralement en suivant les étapes ci-dessous: 1.
Configuration de la politique d’ISAKMP de la phase 1 (algorithmes, clés, durée de vie du tunnel
ISAKMP se trouveront à la suite de la ligne de configuration commençant par crypto isakmp) ; 2.
Configuration de la SA IPSec de la phase 2 (protocoles AH/ESP, algorithmes, durée de vie du
tunnel IPSec se trouveront à la suite de la ligne de configuration commençant par crypto ipsec) ; 3.
Description d’une carte de cryptage (crypto map) rassemblant les paramètres des deux phases,
l’extrémité du tunnel et la définition du trafic à sécuriser, en utilisant la ligne de configuration
commençant par crypto map.
NB : Les configurations des deux routeurs doivent être cohérentes et symétriques l’une par rapport
à l’autre.
Configuration d’IKE
Le protocole IKE (Internet Key Exchange ) a pour mission de sécuriser une connexion. Avant
qu’une transmission IPsec soit réalisable, IKE se charge d’authentifier les deux parties tentant de
se connecter au réseau informatique sécurisé, en échangeant les clés partagées.
Pour configurer IKE, il faut réaliser les taches ci-après :Activation ou désactivation d’IKE ;
Configuration de la politique d’IKE (phase 1) ;
Configuration de l’authentification mutuelle par clé pré-partagée.
A l’issue de cette négociation, un tunnel sécurisé (phase 1 du protocole IKE) est établi. Désormais,
la politique de sécurité de phase 2 (SA IPSec) sera négociée à travers ce tunnel ISAKMP.
Pour configurer les clés pré-partagées, vous devez utiliser la commande ci-dessous sur chaque hôte
IPSec qui utilise des clés pré-partagées dans sa politique d'IKE, et ceci en mode de configuration
globale :
Router(config)# crypto isakmp key clé address addresse_distante
La carte de cryptage (ou crypto map) permet de lier les SA négociées et la politique de sécurité (SP
Security Policy). En d’autres termes, elle permet de renseigner :
- Quel trafic devrait être protégé par IPSec ;
- Utiliser les listes d'accès
- L’autre extrémité du tunnel vers lequel le trafic IPSec devrait être envoyé ;
- L'adresse locale à employer pour le trafic d'IPSec ;
- Lier la carte de cryptage à une interface du routeur
- Quelle sécurité d'IPSec devrait être appliquée à ce trafic (transform-sets).
Pour créer les différentes entrées de la carte de cryptage, qui emploieront IKE pour établir les
associations de sécurité, procédez comme suit en suivant les étapes du tableau ci-après:
1) A l’aide de CISCO PARKET TRACER mettre en place le réseau de la page 1 et associer les
adresses IP, qu’il
comporte, aux interfaces concernées en considérant A=C=E=1 et B=D=F=2.
Ci-après une image du schema de l’exercice.
Figure 2: Topologie du réseau
2) Configuration du routage OSPF sur les deux routeurs, avec les commandes suivantes :
Nous avons filtré le trafic avec les protocles IPsec et ICMP pour qu’on puisse bien apercevoir les
aspects de la configuration du tunnel.
Figure 4: Resumé de la capture WireShark
sh ip route :
5) Configurons IPSec sur les deux routeurs en se basant sur l’exemple ci-dessous :
7) Visualisation du trafic capturé par Wireshark, les échanges permettant la mise en place de IPSec
entre les routeurs.
Figure 11: Capture du trafic IPSec par WireShark
8)Effectuons des ping entre les PC et voir le trafic capturé par Wireshark.
1- https://www.journaldunet.fr/web-tech/dictionnaire-du-webmastering/1445282-ike-
protocole-informatique-definition-et-presentation-detaillee/#:~:text=Qu'est%2Dce%20que
%20le,en%20%C3%A9changeant%20des%20cl%C3%A9s%20partag%C3%A9es.
2- https://fr.wikibooks.org/wiki/S%C3%A9curit%C3%A9_des_syst
%C3%A8mes_informatiques/S%C3%A9curit%C3%A9_informatique/
Chiffrement_de_flux_et_VPN
3- https://www.google.com/search?
q=isakmp&rlz=1C1RLNS_frCI998CI998&oq=isakmp&aqs=chrome..69i57j0i13i512l9.28
89j0j7&sourceid=chrome&ie=UTF-8