Académique Documents
Professionnel Documents
Culture Documents
Les solutions de sécurité VPN deviennent plus importantes pour des sociétés commerciales
de PME. Un VPN est réseau privé construit dans une infrastructure réseau publique, telle
que l'Internet global. Un VPN étend un réseau privé entre les emplacements
géographiquement distincts de bureau. Il permet à un ordinateur hôte d'envoyer et recevoir
des données à travers les réseaux publics car elles étaient une partie intégrante du réseau
privé avec toute la fonctionnalité. Les VPN augmentent la Sécurité pour une organisation
distribuée, le facilitant pour que le personnel fonctionne de différents sites sans
compromettre le réseau. Les motivations pour utiliser le VPN sont les conditions requises
« virtualisent » une certaine partie des transmissions et de l'économie d'une organisation
des transmissions.
Il y a différentes topologies VPN : Hub and spoke, Point à point, et maillage complet. Ce
conseil intelligent couvre le site à site (Point à point) VPN, qui fournit une infrastructure
basée sur Internet pour étendre des ressources de réseau aux bureaux distants, aux
bureaux à domicile, et aux sites de partenaire commercial. Tout le trafic entre les sites est
chiffré utilisant le protocole de sécurité IP (IPsec), et des caractéristiques de réseau telles
que le routage, le Qualité de service (QoS), et le support de Multidiffusion sont intégrées.
Les routeurs de la gamme de Cisco rv fournissent les solutions VPN robustes et facilement
gérées aux sociétés conscientes des coûts de petite entreprise. Les organismes d'aide de
Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500 pour équilibrer la
Sécurité avec la productivité. Il combine le Pare-feu de l'inspection avec état le plus déployé
du secteur avec des services de sécurité réseau de la deuxième génération complets,
incluant : visibilité et contrôle granulaire des applications et les micro-applications, la sécurité
Web, les systèmes de prévention des intrusions (IPS), fortement l'accès distant sécurisé, et
d'autres.
Ce guide court décrit un exemple de la conception pour construire un site à site IPsec VPN
entre les routeurs de la gamme rv et les appliances de sécurité adaptable de la gamme une
ASA 5500 et fournit des exemples de configuration.
Périphériques applicables
• Routeurs VPN de gamme Cisco RV0xx
• Dispositifs de sécurité adaptatifs de la gamme Cisco ASA 5500
Version de logiciel
• 4.2.2.08 [routeurs VPN de gamme Cisco RV0xx]
Pré-configuration
L'image suivante affiche une implémentation d'échantillon d'un tunnel VPN de site à site
utilisant un routeur de Rv-gamme (site distant) et une ASA 5500 (bureau central).
Avec cette configuration un hôte dans le réseau du site distant de 122.166.12.x et un hôte
dans VLAN 1at que le bureau central peut communiquer les uns avec les autres sécurisé.
Fonctionnalités principales
Échange de clés Internet (IKE)
L'Échange de clés Internet (IKE) est le protocole utilisé pour installer une association de
sécurité (SA) dans la suite de protocole IPsec. Les constructions d'IKE sur le protocole et le
Protocole ISAKMP (Internet Security Association and Key Management Protocol) d'Oakley,
et emploie un échange de clé de Diffie-Hellman pour installer un secret partagé de session,
dont des clés cryptographiques sont dérivées. Une stratégie sécurisée pour chaque pair doit
être manuellement mise à jour.
IPSec (IPSec)
IPsec utilise des Services de sécurité cryptographiques pour protéger des transmissions au-
dessus des réseaux de Procotole IP (Internet Protocol). IPsec prend en charge
l'authentification de pair de niveau du réseau, l'authentification de l'origine des données,
l'intégrité des données, la confidentialité des données (cryptage), et la protection de
rediffusion. IPSec comporte beaucoup de Technologies et de méthodes de cryptage
composantes. Pourtant l'exécution d'IPSec peut être décomposée en cinq étapes principales
:
Étape 1." le trafic intéressant » initie le processus d'IPSec - le trafic est considéré intéressant
quand la stratégie de sécurité d'IPSec configurée dans les pairs d'IPSec commence le
processus d'IKE.
Étape 2. Phase 1 d'IKE - L'IKE authentifie des pairs d'IPSec et négocie l'IKE SAS pendant
cette phase, installant un canal de sécuriser pour négocier IPSec SAS dans la phase 2.
Étape 3. Phase 2 d'IKE - L'IKE négocie des paramètres d'IPSec SA et a installé IPSec
assorti SAS dans les pairs.
Étape 4. Transfert des données - Des données sont transférées entre les pairs d'IPSec
basés sur les paramètres d'IPSec et les clés enregistrées dans la base de données SA.
Étape 5. Arrêt de tunnel d'IPSec - IPSec SAS se terminent par la suppression ou en
chronométrant.
ISAKMP
Le Protocole ISAKMP (Internet Security Association and Key Management Protocol) sont
utilisés pour négocier le tunnel entre les deux points finaux. Il définit les procédures pour
l'authentification, la transmission, et la génération de clés, et est utilisé par le protocole d'IKE
pour permuter des clés de chiffrement et pour établir la connexion sécurisée.
Conseils de conception
Topologie VPN — Avec un site à site VPN, un tunnel sécurisé d'IPsec est configuré entre
chaque site et chaque autre site. Une topologie multisite est habituellement mise en
application comme maillage complet des tunnels VPN de site à site (c'est-à-dire, chaque site
a des tunnels établis à chaque autre site). Si aucune transmission n'est nécessaire entre les
bureaux distants, une topologie du hub-spoke VPN est utilisée pour réduire le nombre de
tunnels VPN (c'est-à-dire, chaque site établit un tunnel VPN seulement au bureau central).
Adressage IP BLÊME et DDNS — Le tunnel VPN doit être établi entre deux adresses IP
publique. Si les routeurs WAN reçoivent des adresses IP statiques du fournisseur de
services Internet (ISP), le tunnel VPN peut être mis en application directement utilisant les
adresses IP publique statiques. Cependant, la plupart des petites entreprises utilisent des
services Internet hauts débits rentables tels que le DSL ou le modem câble, et reçoivent des
adresses IP dynamiques de leurs ISP. En pareil cas, DDNS peut être utilisé pour tracer
l'adresse IP dynamique à un nom de domaine complet (FQDN).
Adressage IP de RÉSEAU LOCAL — L'adresse de réseau IP privée de RÉSEAU LOCAL de
chaque site devrait n'avoir aucune superposition. L'adresse de réseau IP par défaut de
RÉSEAU LOCAL à chaque site distant devrait toujours être changée.
Authentification VPN — Le protocole d'IKE est utilisé pour authentifier des homologues VPN
en établissant un tunnel VPN. Les diverses méthodes d'authentification d'IKE existent, et la
clé pré-partagée est la méthode la plus commode. Cisco recommande appliquer une clé pré-
partagée forte.
Chiffrement de VPN — Pour assurer la confidentialité des données transportées au-dessus
du VPN, des algorithmes de chiffrement sont utilisés pour chiffrer la charge utile des paquets
IP. DES,3DES, et AES sont trois normes de chiffrement communes. AES est considéré les
la plupart sécurisées une fois comparé au DES et au 3DES. Cisco recommande fortement
appliquer les bits AES-128 ou le cryptage plus élevé (par exemple, AES-192 et AES-256).
Cependant, plus l'algorithme de chiffrement est fort, plus traitant les ressources qu'il exige.
Conseils de configuration
Vous devrez savoir si votre ISP distribue une adresse IP dynamique ou si vous avez reçu un
IP statique. Habituellement l'ISP donnera un IP dynamique, mais vous devrez confirmer ceci
pour se terminer la configuration.
C) Le Group Setup distant configure le point final et le trafic réseau distants pour que le
routeur recherche. Écrivez l'IP statique de la passerelle distante pour établir la connexion
dans le domaine d'adresse IP de passerelle. Écrivez alors le sous-réseau permis sur le VPN
du site distant (le RÉSEAU LOCAL de bureau central).
Remarque: Veillez à sauvegarder les configurations avant de naviguer à partir de cette page
!
Alternativement, vous pouvez utiliser les sous-réseaux eux-mêmes, mais dans de plus
grandes réalisations il est plus facile d'utiliser des objets et des groupes d'objets.
Étape 3. Configuration de tunnel d'IPSec (authentification de Phase 2)
Ici nous configurerons le « jeu de transformations » et le groupe de tunnel, qui installeront
l'authentification de Phase 2. Si vous installez le Phase 2 pour être différent que le Phase 1,
vous aurez un transform-set différent. Ici l'ESP-aes définit le cryptage et l'ESP-SHA-hmac
définit les informations parasites.
L'ordre de groupe de tunnels configure les informations de tunnel de connexion-particularité,
comme la clé pré-partagée. Utilisez l'IP de public du pair distant comme nom de groupe de
tunnels.
b) Ensuite nous configurerons le groupe local, mêmes qu'avant. Configurez ceci pour
seulement UN des sous-réseaux qui ont besoin d'accès. Nous aurons une entrée de tunnel
pour 122.166.12.x et un autre pour le sous-réseau 122.166.13.x.
c) Configurez maintenant le site distant, de nouveau suivant la même procédure comme ci-
dessus.
d) Configurez le cryptage pour le Phase 1 et le 2le mêmes que pour le premier tunnel.
Configurer l'ASA
Maintenant nous modifierons la configuration sur l'ASA. Cette configuration est
incroyablement simple. Vous pouvez utiliser la même configuration comme ci-dessus,
pendant qu'elle utilise toutes les mêmes configurations de cryptage, avec seulement une
modification mineure. Nous devons étiqueter le trafic supplémentaire en tant que
« intéressant » pour que le Pare-feu l'envoie au-dessus du VPN. Puisque nous employons
une liste d'accès afin d'identifier le trafic intéressant, tout que nous devons faire est de
modifier cette liste d'accès.
Étape 1. Pour commencer, supprimez la vieille liste d'accès, ainsi nous pouvons modifier les
objets dans l'ASA. Utilisez « non » la forme de la commande de retirer des configurations
dans le CLI.
Étape 2. Une fois que l'ACL est retiré, nous voulons créons de nouveaux objets pour les
nouveaux sous-réseaux impliqués (vous assumant n'ont pas déjà fait ceci en établissant ces
sous-réseaux). Nous voulons également les rendre plus descriptifs.
Basé sur notre configuration VLAN ci-dessous :
Nous avons besoin d'un groupe d'objets pour le réseau interne principal (192.168.10.x) et le
réseau d'ingénierie (192.168.20.x). Configurez les objets de réseau comme ainsi :
Étape 3. Maintenant que les objets de réseau appropriés ont été configurés, nous pouvons
configurer la liste d'accès pour étiqueter le trafic approprié. Vous voulez vous veiller pour
avoir une entrée de liste d'accès pour les deux réseaux derrière l'ASA aux deux sous-
réseaux distants. Le résultat final devrait ressembler à ceci.
Étape 4. Maintenant, parce que nous avons supprimé la vieille liste d'accès, nous devons la
réappliquer au crypto map utilisant la même commande qu'avant :
Vérifiez la connexion
Et voilà. votre tunnel devrait être opérationnel maintenant. Initiez la connexion et vérifiez
l'état utilisant la commande de crypto « isakmpsa d'exposition » sur l'ASA.
Sur la Rv-gamme l'état sera affiché dans VPN > page récapitulative.
Visualisez un vidéo lié à cet article…