Scribd Logo
Importer

Bienvenue sur Scribd !

  • TP - IRT3 SRS - Securisation Du Tunnel GRE Avec IKEv1

    Transféré par

    Teguebzanga Zida
    25 vues8 pages

    Titre original

    TP - IRT3 SRS - Securisation du tunnel GRE avec IKEv1

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    25 vues8 pages

    TP - IRT3 SRS - Securisation Du Tunnel GRE Avec IKEv1

    Transféré par

    Teguebzanga Zida

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 8

    LES VPN IRT3-ESGIS 2021

    SECURISATION DU TUNNEL GRE


    AVEC IPSEC-IKEV1

    I. Topologie

    Page 1 sur 8
    LES VPN IRT3-ESGIS 2021

    II. Objectifs

    Dans ce TP, il s’agit de sécuriser le tunnel créé dans le TP3 a l’aide du protocole IKEv1
    dans un déploiement IPSec.
    Ce tunnel sera sécurisé et tout le trafic qui y transitant sera chiffré.
    Le TP comprend trois parties :
    • La configuration du IPSec coté Kodjovi ;
    • La configuration du IPSec coté Ocam ;
    • Les tests.

    Avant de commencer, clonez le TP sur le GRE comme indiqué dans nos échanges.
    Renommez le clone en « GRE-IPSEC-IKEV1 ».

    Lancez ce nouveau lab.

    Vous serez obligés de configurer a nouveau les paramètres IP des PC (PC1 et PC2) et
    des Serveurs (WWW et WEB-INTERNE).

    III. Configuration IPSec-IKEv1 Kodjovi

    Le protocole IKEv1 est un peu vieillot et il a déjà son successeur depuis quelques années.
    Il permet de faciliter l’échange des clés entre les équipements qui désirent établir une
    liaison sécurisée. Il est utile pour la mise en place du SA de la phase I.
    Pour sécuriser le tunnel GRE sur le routeur KODJOVI-RT01, il faut :
    • Configure ISAKMP ;
    • Configurer IPSec ;
    • Appliquer la configuration au tunnel.

    1. Configuration ISAKMP

    Dans la phase I, vous devez créer une politique ISAKMP et fournir un mot de passe pour
    le ou les pairs distants.

    Page 2 sur 8
    LES VPN IRT3-ESGIS 2021

    Sur KODJOVI-RT01réalisez les configurations :


    crypto isakmp policy 10
    encryption aes 128
    authentication pre-share
    group 5
    hash sha
    lifetime 3600
    exit
    crypto isakmp key 0 esgis1234 address 87.0.0.254

    Nous avons créé la politique No 10.


    Le chiffrement utilisé est AES a 128 bits.
    L’authentification entre les routeurs se fera par mot de passe (pre-share).
    Le groupe Diffie Helmann est le group 5 et le tunnel a une durée de vie de 3600 secondes
    après quoi il sera renégocié.
    Pour l’intégrité, nous allons utiliser la fonction de hachage SHA.
    Le routeur KODJOVI-RT01 a un homologue 87.0.0.254 avec lequel il peut établir un SA a
    la condition que ce dernier ait le mot de passe esgis1234.

    2. Configuration IPSec

    Il s’agit de définir ici les crypto-systèmes qui vont permettre le chiffrement des SA de la
    phase II. La phase II va créer deux SA unidirectionnels, un en inbound et l’autre en
    outbound, pour le transport des données sur le tunnel.
    crypto ipsec transform-set KODJOVI_TS esp-aes 128 esp-sha-hmac
    exit
    crypto ipsec profile KODJOVI_PROF
    set transform-set KODJOVI_TS
    exit

    Le transform-set définit les paramètres cryptographiques de la phase II.


    Nous avons créé un profile IPSec (KODJOVI_PROF) qui permet de regrouper toutes les
    configurations sous un seul profile. Ce profile sera ensuite appliqué au tunnel.

    Page 3 sur 8
    LES VPN IRT3-ESGIS 2021

    3. Application du profile au tunnel

    En appliquant le profile IPSec au tunnel GRE créé précédemment, nous terminions la


    sécurisation du GRE coté Kodjovi.
    interface tunnel 100
    tunnel protection ipsec profile KODJOVI_PROF

    IV. Configuration IPSec-IKEv1 Ocam

    Sur RTR_OCAM réalisez les configurations :


    crypto isakmp policy 10
    encryption aes 128
    authentication pre-share
    group 5
    hash sha
    lifetime 3600
    exit
    crypto isakmp key 0 esgis1234 address 37.0.0.254
    !
    crypto ipsec transform-set OCAM_TS esp-aes 128 esp-sha-hmac
    exit
    crypto ipsec profile OCAM_PROF
    set transform-set OCAM_TS
    exit
    interface tunnel 100
    tunnel protection ipsec profile OCAM_PROF

    Page 4 sur 8
    LES VPN IRT3-ESGIS 2021

    V. Vérifications

    1. Le SA ISAKMP

    Vérifiez qu’une association de sécurité ISAKMP est créée. Allez sur le routeur OCAM-
    RT02 et faites :
    show crypto isakmp sa

    2. Les SA IPSec

    Vérifiez les associations de sécurité IPSec. Allez sur le routeur OCAM-RT02 et faites :
    show crypto ipsec sa
    Cette commande permet d’afficher :
    • Les SA IPSec ;
    • Les statistiques des paquets sur le tunnel.

    A ce stade, aucun paquet n’a encore transité sur le tunnel.

    Page 5 sur 8
    LES VPN IRT3-ESGIS 2021

    3. La connectivité

    Sur OCAM-RT02, faites un test de connectivité avec le serveur WEB-INTERNE de


    Kodjovi :
    ping 10.0.2.100

    Arrêtez le ping

    Page 6 sur 8
    LES VPN IRT3-ESGIS 2021

    Vérifiez les associations de sécurité IPSec :


    show crypto ipsec sa

    Maintenant, vous constatez que des paquets transitent sur le tunnel. Des paquets sont
    chiffrés, déchiffrés et vérifiés.

    4. Capture des paquets

    Vous pouvez capturer les paquets avec WireShark.


    Autrement, allez sur le routeur KODJOVI-RT01 et rentrez la commande suivante :
    debug crypto engine packets
    Puis, sur le PC2, lancez une session sur le WEB-INTERNE (10.0.2.100)

    Page 7 sur 8
    LES VPN IRT3-ESGIS 2021

    Retournez sur le routeur KODJOVI-RT01. Vous avez ce contenu qui vous montre
    comment les paquets http sont chiffrés.

    Page 8 sur 8

    Vous aimerez peut-être aussi