Académique Documents
Professionnel Documents
Culture Documents
Une association de sécurité ou SA (Security Association) est une connexion logique unilatérale entre un
émetteur et un récepteur
➢ Ainsi, pour qu’une communication bilatérale entre deux systèmes IPSec soit possible il faut qu’’une
SA soit définie dans chaque direction.
SA #1
SA #2
Les SA sont identifiées uniquement par < Index de paramètre de sécurité, Adresse IP de destination,
Protocole de sécurité AH/ESP>
- Un Index de paramètre de sécurité appelé SPI (Security Parameter Index) qui est une valeur de 32
bits identifiant la SA de chaque paquet. Il se trouve dans l’en-tête sécurité du protocole
La Security Association Database (SAD) définit les paramètres associés avec chaque SA . Les paramètres
incluent selon l’implémentation :
- Un compteur de numéro de Séquence (Sequence Number Counter)
- Un indicateur d’overflow (Sequence Counter Overflow)
- Une fenêtre anti-rejeu (Anti-replay window)
- L’information AH (AH information, nécessaire pour implémenter AH)
- L’information ESP (ESP information, nécessaire pour implémenter ESP)
- La durée de vie de SA (SA Lifetime)
- Le mode de protocole IPSec (IPSec Protocol Mode)
- Le MTU sur le chemin (Path MTU)
Le trafic IP est rattaché à une SA spécifique utilisant la Security Policy Database (SPD)
Chaque entrée de SPD est définie par un ensemble de valeurs de champs des protocoles IP et des couches
supérieures, appelées des sélecteurs
Master Génie logiciel & Réseaux – 2ème Année 2022-2023
Ces sélecteurs qui déterminent une entrée SPD comprennent
- Adresse IP Source et Destination + netmask
- UserID
- Protocole de la couche Transport
- Ports Source et Destination
- IPv4 Type Of Service (TOS)
Il existe deux types de transformations de données pour IPSec : Authentification Header (AH) et
Encapsulating Security Payload (ESP).
Authentification Header (AH) : AH est utilisé pour assurer l’intégrité et l’authentification des paquets IP
- L’intégrité des données assure que des modifications non détectées du contenu d’un paquet en transit
ne sont pas possibles
- L’authentification permet à une extrémité d’authentifier la machine
- Un service de protection contre le rejeu doit être mis en œuvre par un système compatible IPSec
- Son utilisation est optionnelle
- AH est un en-tête séparé qui suit l’en-tête IP
- Il authentifie le plus de champs IP possibles (les champs ‘non mutables’)
- Ne passe pas le NAT
- AH est identifié par le numéro de protocole 51
Le format d’en- tête AH est le suivant :
ESP est utilisé pour permettre la confidentialité, l’intégrité des données et l’Authentification.
- Le champ ''Données Utilisateur'' est composé d’un nombre variable d’octets de données décrits par le
champ "En-tête suivant". Il est chiffré avec l’algorithme cryptographique sélectionné au cours de
l’établissement de la SA
- Auth ESP à partir de ESPv2
Comme avec AH, ESP peut être utilisé de deux manières différentes :
- Mode transport
- Mode tunnel
Master Génie logiciel & Réseaux – 2ème Année 2022-2023
IKE assure une gestion sécurisée des clés et l’échange des clés cryptographiques :
- Authentification des homologues IPSec
- Négociation des clés IPSec
- Négociation des associations de sécurité (SA) IPSec
- Les sessions ISAKMP utilisent UDP (source & destination port = 500)
✓ résultats de l’établissement d’une session ISAKMP sont des SAs ISAKMP bidirectionnelles
- Méthode d’échange des clefs ;
Master Génie logiciel & Réseaux – 2ème Année 2022-2023
- Méthode d’authentification des peers : clé partagée (pre-
shared Key) ou certificats numérique authentifié par une signature RSA et chiffrement ;
- L’algorithme principal de cette phase est DiffieHellman.
- Détermination de la politique ISAKMP ⇔ IPSEc SA : Pour qu’il y ait communication
IPSec possible, il faut que les 2 peers trouvent un accord sur une politique ISAKMP
commune. Une politique ISAKM contient :
✓ Algorithme d’encryption : DES / 3DES
✓ Algorithme de hachage : MD5/SHA-1
✓ IKE SA Life time = durée de vie des SA IKE : 86400 secondes au moins
Phase 2 d’IKE :
- Négociation des algorithmes IPSec = transformset : ESP DES, …
✓ Cette négociation est protégée grâce à la SA IKE prédéfinie
- Identification des peers par adresse IP ou nom ;
- Détermination des adresses IP des hôtes qui doivent communiquer en crypté ;
- Etablissement des IPSec SA soit de manière manuelle (pas conseillé), soit via IKE
(conseillé). Dans ce dernier cas, il faut spécifier ipsecisakmp.
✓ Ces IPSec SA sont périodiquement renégociées afin d’augmenter le niveau de sécurité ;
✓ On peut forcer le fait que les clefs de sessions IPSec seront nouvelles à
chaque fois, ou simplement dérivées des clefs négociées en IKE Phase 1.
- Le contenu d’une IPSec SA est le suivant :
✓ Adresse IP du peer d’en face ;
✓ Identifiant du VPN (SPI = Security Parameter Index)
✓ Algorithme IPSec : AH / ESP + rien ou HMACMD5/HMCSHA1 ;
✓ Mode (Tunnel ou Transport) :
✓ Clef de session
1.2.1 Objectif
Mettre en œuvre les différentes phases de configuration d’un routeur Cisco pour la mise en place
d’un tunnel IPSec entre deux réseaux locaux via deux routeurs Cisco.
Soit la topologie donnée ci-dessous. Le trafic à sécuriser correspond aux données échangées entre
les deux réseaux 192.168.2.0/24 (Agence HongKong) et 10.10.0.0/16 (Agence Abidjan), les hôtes
IPSec (peer) possédant les deux interfaces series en 1.1.1.1/28 (ABIDJAN) et 2.2.2.1 (Hong Kong).
Master Génie logiciel & Réseaux – 2ème Année 2022-2023
IKE (Internet Key Exchange) va se charge d’établir les contextes de sécurisation entre chaque peer
IPsec
Le mécanisme de keepalive IKE, propriétaire CISCO, permet de s’assurer que le peer IPsec distant
avec lequel on a établi un tunnel est disponible/ Le keepalive permet de garantir un temps maximal
de remontée des tunnels IPsec après le crash d’un peer IPsec distant.
1.5 Génération d’une bi-clé RSA sur le routeur (clé privée + clé publique)
ABIDJAN(config)#
HONGKONG(config)#
1.6 Apprendre les clés publiques des autres routeurs (routeurs peers)
(config-pubkey-key)# quit
// fin de la saisie de la clé publique du peer en question
(config-pubkey-key)# ^Z
Cette opération est à répéter autant de fois que le routeur a de routeurs peers avec lesquels il va
établir des communications IPsec.
Maintenant que les tunnels peuvent etre initialisés par IKE, IPSec prend la suite de IKE : il chiffre
les données utilisateur, grâce aux contextes négociés par IKE. Quatre étapes sont nécessaires pour
configurer IPSec.
Il faut une crypto map (un seul nom) mais avec autant d’entrées qu’il ya de peers IPsec distants.
Chaque entrée est différenciée par un numéro d’instance différent.
Dans le cas où un routeur possède deux peers distants IPSec, la crypto map nommée MAMAP aura
la structure suivante :
2.5.2 Modifier la durée de vie du SA IPSec pour une crypto map précise
Au début de chaque communication, IKE et IPSec vont négocier des contextes (SA). Ils vont
prendre en compte les différents paramètres avec lesquels ils peuvent fonctionner.
Une SA prend 20 secondes pour être établie sur un C2500 et un C3640. Il faut 10 secondes sur
un C4700 et un C7200. Ce qui veut dire que le premier échange sécurisé ne sera pas immédiat :
au moins 10 secondes de retard. Ensuite, une fois que la SA est initialisée, les échanges ne
souffrent plus de ce décalage.
Pour tester une configuration IPsec, on peut amorcer la SA en générant des PING étendus.
Attention, pour initialiser la SA, il faut spécifier une adresse source et une adresse destination
qui soient susceptibles d’être chiffrées, donc qui correspondent à la crypto access-list. On utilise
pour cela la commande ping étendue avec une adresse destination et une adresse source qui
matchent la crypto access-list.
3.1 Pour s’assurer que les tunnels IPsec sont montés et que le trafic est correctement traité
(authentifié ou chiffré), on dispose de la commande :
Les compteurs indiquent le nombre de parquets qui sont traits par IPsec.
Master Génie logiciel & Réseaux – 2ème Année 2022-2023
En cas de messages d’erreurs IPsec, le problème le plus probable est une erreur dans la
définition des access-lists. Vérifier alors la commande
Les deux commandes suivantes permettent d’effacer tous les contextes IKE et IPsec qui ont été
crées sur les deux routeurs peers :
On peut suivre le déroulement de la montée des tunnels IPsec avec les debugs suivants :
Master Génie logiciel & Réseaux – 2ème Année 2022-2023