Ecole Supérieure Africaine des Technologies

de l’Information et de la Communication

Centre d’excellence de l’IUT en

Cyber Sécurité

SOMMAIRE

EXAMEN
I-Travail à faire

THEME : II- Réalisation des différentes tâches

TP2 : SECURITE DES RESEAUX UTILISATION
VOYAGE CULTUREL A L’IVOIRIENNE

D’IPSEC AVEC DES ROUTEURS CISCO

III-Bibliographie
 LISTE DES FIGURES
Figure 1: Topologie à réaliser..........................................................................................................................4
Figure 2: Topologie du réseau.........................................................................................................................9
Figure 3: Envoi de messages puis capture avec Wireshark.............................................................................9
Figure 4: Resumé de la capture WireShark...................................................................................................10
Figure 5: Vérification du fonctionnement du routage..................................................................................10
Figure 6: Vérification des ping......................................................................................................................11
Figure 7: Capture WireShark DANI_1 et DANI_2..........................................................................................12
Figure 8 : Configuration transform-set.........................................................................................................13
Figure 9: Configuration crypto map..............................................................................................................14
Figure 10: Configuration de IPSec.................................................................................................................14
Figure 11: Capture du trafic IPSec par WireShark.........................................................................................15
Figure 12: Trafic entre DANI_1 et DANI_2....................................................................................................15

LISTE DES TABLEAUX

Tableau 1: Configuration de SA ISAKMP........................................................................................................5

Tableau 2: Etapes de la configuration de SA IKE............................................................................................6
Tableau 3: Configuration des paramètres de base pour transform-set.........................................................6
Tableau 4: Etapes de configuration des paramètres IPSec(transform-set)....................................................7
Tableau 5:Etapes de configuration de Crypto map........................................................................................8

I. Travail à faire
Cet exercice a pour but de mettre en œuvre les différentes phases de configuration d’un routeur
Cisco pour la mise en place d’un tunnel IPSec entre deux réseaux locaux via deux routeurs Cisco.
IPSec sera paramétré en mode de gestion automatique des clés basés sur le sous-protocole
ISAKMP de IKE. Dans un premier temps nous verrons le plan d’adressage et des configurations
réseau pour l’utilisation d’IPSec ensuite nous mettrons en pratique tous ces configurations à travers
plusieurs simulations.

1. Plan d’adressage

Nous considérons la topologie donnée ci-dessous, à mettre en place avec Cisco Parket Tracer. Le
trafic que nous sécuriserons correspond aux données échangées entre les deux sous-réseaux
192.168.1.0 (y) et 192.168.2.0 (z), à l’aide de IPSec (peer) utilisant les deux interfaces des routeurs
en 10.10.10.1 (A=1) et 10.10.10.2 (B=2).
Nous réaliserons également la configuration d’IPSec sur les deux routeurs en mode automatique
avec un secret pré-partagé via le protocole ISAKMP. Les critères de configuration d’IPSec à
mettre en place sont :
Chiffrement et authentification avec le protocole ESP, Mode tunnel,
Les algorithmes de chiffrement et d’authentification sont DES et MD5. Une fois le tunnel IPSec
mis en place, nous lancerons des ping entre les deux machines et visualisez les SA établies ainsi
que certaines informations de l’échange.

Figure 1: Topologie à réaliser

2. Plan de configuration
La configuration d’IPSec s’effectue généralement en suivant les étapes ci-dessous: 1.
Configuration de la politique d’ISAKMP de la phase 1 (algorithmes, clés, durée de vie du tunnel
ISAKMP se trouveront à la suite de la ligne de configuration commençant par crypto isakmp) ; 2.
Configuration de la SA IPSec de la phase 2 (protocoles AH/ESP, algorithmes, durée de vie du
tunnel IPSec se trouveront à la suite de la ligne de configuration commençant par crypto ipsec) ; 3.
Description d’une carte de cryptage (crypto map) rassemblant les paramètres des deux phases,
l’extrémité du tunnel et la définition du trafic à sécuriser, en utilisant la ligne de configuration
commençant par crypto map.
NB : Les configurations des deux routeurs doivent être cohérentes et symétriques l’une par rapport
à l’autre.

 Configuration d’IKE

Le protocole IKE (Internet Key Exchange ) a pour mission de sécuriser une connexion. Avant
qu’une transmission IPsec soit réalisable, IKE se charge d’authentifier les deux parties tentant de
se connecter au réseau informatique sécurisé, en échangeant les clés partagées.

Pour configurer IKE, il faut réaliser les taches ci-après :Activation ou désactivation d’IKE ;
Configuration de la politique d’IKE (phase 1) ;
Configuration de l’authentification mutuelle par clé pré-partagée.

 Activation ou desactivation de IKE

IKE est activé par défaut. Il est activé globalement pour toutes les interfaces sur le routeur. Si IKE
est désactivé, vous devrez faire les configurations suivantes sur les hôtes IPSec :
-Router (config)# no crypto isakmp enable désactive IKE.
-Router (config)# crypto isakmp enable active IKE.

 Configuration des paramètres de la SA ISAKMP

Nous devons créer une politique d'IKE à chaque hôte IPSec : une combinaison des paramètres de
sécurité à employer ; le tableau ci-dessous indique la liste de ces paramètres. Elle indique quels
paramètres de sécurité seront employés pour protéger les négociations suivantes et précise
également comment les deux hôtes IPSec seront authentifiés.

Tableau 1: Configuration de SA ISAKMP

 Ci-après les étapes nécessaires à la configuration des paramètres de SA IKE :

Tableau 2: Etapes de la configuration de SA IKE

A l’issue de cette négociation, un tunnel sécurisé (phase 1 du protocole IKE) est établi. Désormais,
la politique de sécurité de phase 2 (SA IPSec) sera négociée à travers ce tunnel ISAKMP.

 Configuration de l’authentification par la clé pré-partagée

Pour configurer les clés pré-partagées, vous devez utiliser la commande ci-dessous sur chaque hôte
IPSec qui utilise des clés pré-partagées dans sa politique d'IKE, et ceci en mode de configuration
globale :
Router(config)# crypto isakmp key clé address addresse_distante

 Configuration des paramètres IPsec (transform-set)

Une fois la négociation de la phase 1 faite, vous devez configurer les paramètres de négociation
pour la phase 2. Il s’agit de définir une transformation qui explicite les algorithmes IPSec (AH
et/ou ESP) nécessaires pour la mise en œuvre du tunnel IPSec. Le tableau ci-dessous définit la liste
des transformations disponibles. Le nom de la transformation est suivi de la commande crypto
ipsec transform-set. Les transform-sets doivent être identiques aux deux routeurs :

Tableau 3: Configuration des paramètres de base pour transform-set

Ci-après les étapes de configuration des paramètres IPSec (transform-set) :

Tableau 4: Etapes de configuration des paramètres IPSec(transform-set)

 Configuration de la crypto map

La carte de cryptage (ou crypto map) permet de lier les SA négociées et la politique de sécurité (SP
Security Policy). En d’autres termes, elle permet de renseigner :
- Quel trafic devrait être protégé par IPSec ;
- Utiliser les listes d'accès
- L’autre extrémité du tunnel vers lequel le trafic IPSec devrait être envoyé ;
- L'adresse locale à employer pour le trafic d'IPSec ;
- Lier la carte de cryptage à une interface du routeur
- Quelle sécurité d'IPSec devrait être appliquée à ce trafic (transform-sets).
Pour créer les différentes entrées de la carte de cryptage, qui emploieront IKE pour établir les
associations de sécurité, procédez comme suit en suivant les étapes du tableau ci-après:

Tableau 5:Etapes de configuration de Crypto map

  Configuration de la liste d’accès
l faut configurer une liste d’accès qui définit le trafic à sécuriser. Ces listes d'accès sont différentes
des ACL qui déterminent quel trafic à expédier ou bloquer sur une interface. C'est l’entrée de la
crypto map référençant la liste d'accès qui décide si le traitement d'IPSec est appliqué au trafic en
fonction de l’action (permit et/ou deny) définie dans la liste d'accès.
Remarque: Si vous voulez définir divers traitement d’IPSec (par exemple, uniquement de
l’authentification pour un certain trafic, authentification et chiffrement pour tout autre trafic), vous
devez créer deux listes d'accès différentes associés aux deux types de trafic. Ces différentes listes
d'accès sont alors employées dans différentes cryptos map qui indiquent différentes politiques
d'IPSec.

 Application des crypto map aux interfaces

Il faut lier la crypto map ainsi définie à une interface du routeur par laquelle le trafic d'IPSec
passera. Tout trafic arrivant ou sortant de cette interface est comparé avec le trafic à sécuriser
défini dans une liste d’accès: s’il y a correspondance ce dernier est traité. Pour appliquer une
crypto map à une interface:
Router (configif)# crypto map map-name

II. Réalisation des différentes tâches

1) A l’aide de CISCO PARKET TRACER mettre en place le réseau de la page 1 et associer les
adresses IP, qu’il
comporte, aux interfaces concernées en considérant A=C=E=1 et B=D=F=2.
Ci-après une image du schema de l’exercice.
 Figure 2: Topologie du réseau

2) Configuration du routage OSPF sur les deux routeurs, avec les commandes suivantes :

router ospf 100

log-adjacency-changes

3) Lancer Wireshark pour capturer le traffic entre les deux routeurs.

Figure 3: Envoi de messages puis capture avec Wireshark

Nous avons filtré le trafic avec les protocles IPsec et ICMP pour qu’on puisse bien apercevoir les
aspects de la configuration du tunnel.
 Figure 4: Resumé de la capture WireShark

4) Verifier que le routage fonctionne avec la commande :

sh ip route :

Figure 5: Vérification du fonctionnement du routage

Puis vérification que le ping marche entre les deux PC:

 Figure 6: Vérification des ping

Les ordinateurs DANI_1 et DANI_2 sont effectivement connectés.

Regardons la capture du trafic avec WireShark :
 Figure 7: Capture WireShark DANI_1 et DANI_2

5) Configurons IPSec sur les deux routeurs en se basant sur l’exemple ci-dessous :

Configuration du routeur R1:

- crypto isakmp policy 1
- authentication pre-share
- lifetime 86400
- exit
- crypto isakmp key BONJOUR address 10.10.10.2
- crypto ipsec transform-set MATS esp-aes esp-sha-hmac
- crypto map MAMAP 10 ipsec-isakmp
- set peer 10.10.10.2
- set transform-set MATS
- match address 110
- exit
- access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
- interface S2/0
- crypto map MAMAP

6) Visualisons la configuration IPSec des routeurs à l’aide des commandes suivantes et

comprendre ce qui est affiché
 show crypto ipsec transform-set

Figure 8 : Configuration transform-set

 show crypto map

 Figure 9: Configuration crypto map

 show crypto ipsec sa

Figure 10: Configuration de IPSec

7) Visualisation du trafic capturé par Wireshark, les échanges permettant la mise en place de IPSec
entre les routeurs.
 Figure 11: Capture du trafic IPSec par WireShark

8)Effectuons des ping entre les PC et voir le trafic capturé par Wireshark.

Figure 12: Trafic entre DANI_1 et DANI_2

 III. Bibliographie

1- https://www.journaldunet.fr/web-tech/dictionnaire-du-webmastering/1445282-ike-
protocole-informatique-definition-et-presentation-detaillee/#:~:text=Qu'est%2Dce%20que
%20le,en%20%C3%A9changeant%20des%20cl%C3%A9s%20partag%C3%A9es.
2- https://fr.wikibooks.org/wiki/S%C3%A9curit%C3%A9_des_syst
%C3%A8mes_informatiques/S%C3%A9curit%C3%A9_informatique/
Chiffrement_de_flux_et_VPN
3- https://www.google.com/search?
q=isakmp&rlz=1C1RLNS_frCI998CI998&oq=isakmp&aqs=chrome..69i57j0i13i512l9.28
89j0j7&sourceid=chrome&ie=UTF-8