Académique Documents
Professionnel Documents
Culture Documents
Instructeur : N. HAMANI
Email : n_hamani@esi.dz
Objectifs du Module
Titre du module: NAT pour IPv4
Objectif du Module: Configurer les services NAT sur le routeur de périphérie pour assurer
l'évolutivité des adresses IPv4.
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 2
3.1 – Introduction
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 3
Introduction
▪ le chiffrage dans ce tunnel au travers Internet et en utilisant l'authentification pour protéger les
données des tout accès non autorisé.
▪ La sécurité est une préoccupation lorsque l’on utilise un réseau public tel que Internet pour
conduire des activités d’affaires.
▪ Des réseaux Privés Virtuels (VPNs) sont utilisés pour assurer la sécurité des données au travers du
réseau Internet.
▪ Un VPN est utilisé pour créer un tunnel privé sur un réseau public.
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 4
Notions de base des VPN
Présentation des VPN
▪ Les entreprises utilisent
des VPN pour créer une
connexion sécurisée de
bout en bout sur des
réseaux tiers, comme
Internet ou des extranets.
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 5
Notions de base des VPN
Principe général des VPN
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 6
Notions de base des VPN
Principe général des VPN
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 7
Notions de base des VPN
Principe général des VPN
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8
Notions de base des VPN
Avantages des réseaux privés virtuels
▪ Réductions des coûts : Les VPN permettent aux entreprises d'utiliser le réseau
Internet pour la connexion des utilisateurs distants au site principal
▪ Compatibilité avec la technologie haut débit : Les VPN permettent aux travailleurs
mobiles et aux télétravailleurs de bénéficier d'une connectivité haut débit rapide,
comme la technologie DSL et le câble, pour accéder au réseau de leur entreprise
▪ Sécurité : Les VPN offrent un niveau de sécurité très élevé grâce à l'utilisation de
protocoles de chiffrement et d'authentification avancés qui protègent les données de
tout accès non autorisé.
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 9
Types de réseau privé virtuel
Type 1: de site à site
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 10
Types de réseau privé virtuel
Type 1: de site à site
▪ Les VPN site à site connectent entre eux des réseaux entiers,
▪ Les hôtes finaux envoient et reçoivent le trafic TCP/IP normal par l'intermédiaire d'une
« passerelle » VPN.
▪ La passerelle VPN envoie ensuite ce trafic sur Internet par le biais d'un tunnel VPN jusqu'à une
passerelle VPN homologue au niveau du site cible.
▪ Lors de la réception, la passerelle VPN homologue élimine les en-têtes, déchiffre le contenu et
relaie le paquet vers l'hôte cible au sein de son réseau privé.
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 11
Types de réseau privé virtuel
Type 2: VPN d'accès à distance
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 12
Types de réseau privé virtuel
Type 2: VPN d'accès à distance
▪ Prend en charge une architecture client-serveur, dans laquelle le client VPN (hôte distant) obtient un
accès sécurisé au réseau de l'entreprise par l'intermédiaire d'un périphérique de serveur VPN
(Routeur ou Firewall).
▪ Utilisés pour la connexion d'hôtes individuels devant accéder en toute sécurité au réseau de leur
entreprise via Internet.
▪ Il se peut qu'un logiciel client VPN doive être installé sur le périphérique final de l'utilisateur mobile.
Exemple : Cisco AnyConnect Secure Mobility Client.
▪ Lorsque l'hôte tente d'envoyer du trafic, le logiciel Cisco AnyConnect VPN Client encapsule et chiffre
ce trafic. Les données chiffrées sont ensuite envoyées via Internet vers la passerelle VPN située à la
périphérie du réseau cible.
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 13
3.2 – Tunnels GRE de site à site
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 14
Notions de base de l'encapsulation GRE (Generic Routing Encapsulation)
Présentation du protocole GRE (Generic Routing Encapsulation)
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 15
Configuration des tunnels GRE
Configuration de tunnel GRE 1. Créez une interface de tunnel.
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 16
Configuration des tunnels GRE
Configuration de tunnel GRE
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 17
3.3 – Les protocoles VPN
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 18
Les différents protocoles
Les différents protocoles
❑ PPTP
❑ L2TP
❑ Ipsec
❑ MPLS
❑ SSL
❑ TLS
❑ SSH
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 19
Les différents protocoles
PPTP : présentation
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 20
Les différents protocoles
PPTP : Sécurité
▪ PPTP permet le cryptage des données ainsi que leur compression. L’authentification
se fait grâce au protocole Ms-CHAP de Microsoft ou PAP,
▪ Chiffrement des données avec le protocole MPPE (Microsoft Point-to-Point
Encryption)
▪ Compression des données avec le protocole MPPC (Microsoft Point-to-Point
Compression)
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 21
Les différents protocoles
P2TP : Présentation
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 22
Les différents protocoles
IPSec : IP Security
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 23
Les différents protocoles
MPLS
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 24
Les différents protocoles
MPLS : application aux VPNs
Routeurs :
- P (Provider)
- Pe (Provider Edge)
- Ce (Customer Edge)
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 25
Les différents protocoles
SSL/TLS : Présentation
▪ Un VPN SSL est un type VPN qui utilise le protocole SSL (Secure Sockets Layer) ; ou, plus
souvent, son successeur, le protocole TLS (Transport Layer Security)
▪ Il permet d’établir une connexion VPN sécurisée d’accès à distance avec un navigateur web.
▪ Une connexion VPN SSL utilise un cryptage de bout en bout pour protéger les données
transmises entre le logiciel client et le serveur par lequel le client se connecte à l’internet en
toute sécurité
▪ sécuriser les sessions des utilisateurs qui accèdent à l’Internet depuis l’extérieur de l’entreprise
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 26
3.4 – Présentation d’IPsec
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 27
Sécurité de protocole Internet
Les VPN IPsec
▪ Les informations issues
d'un réseau privé sont
transportées en toute
sécurité sur un réseau
public.
▪ Cela permet d'obtenir
un réseau virtuel au lieu
d'utiliser une connexion
dédiée de couche 2.
▪ Pour rester privé, le
trafic est chiffré pour
que les données restent
confidentielles.
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 28
Sécurité de protocole Internet
Fonctions de IPsec
▪ IPsec est définit comment un VPN peut être configuré de manière sécurisée à l'aide du protocole Internet (IP).
▪ Il n'est lié à aucun algorithme de chiffrement, d'authentification et de sécurité spécifique, ni à aucune technologie
d'utilisation de clés.
▪ Il se base sur des algorithmes existants pour mettre en œuvre des communications sécurisées.
▪ Fonctionne au niveau de la couche réseau, en protégeant et en authentifiant les paquets IP entre les
équipements IPsec participants.
▪ Sécurise un chemin entre une paire de passerelles, une paire d’hôtes ou une passerelle et un hôte.
▪ Les implémentations du protocole IPsec possèdent un en-tête de couche 3 en texte clair, et ce, afin d'éviter tout
problème de routage.
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 29
Sécurité de protocole Internet
Les caractéristiques du protocole IPsec
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 30
Sécurité de protocole Internet
Services de sécurité IPsec
▪ Confidentialité (chiffrement) – chiffre les données avant de les transmettre à travers le réseau
▪ Intégrité des données – il vérifie que ces données n'ont pas été modifiées durant leur transfert, Si une
quelconque altération est détectée, le paquet est supprimé. Utilise une sommes de contrôle.
▪ Authentification – vérifie l'identité de la source des données envoyées, IPsec utilise le mécanisme IKE
(Internet Key Exchange) pour authentifier les utilisateurs et les périphériques.
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 31
Cadre IPsec
Confidentialité avec chiffrement
▪ Pour que la communication chiffrée fonctionne, l'expéditeur et le destinataire doivent connaître les
règles utilisées pour le codage du message d'origine.
▪ Ces règles se basent sur des algorithmes et des clés associées.
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 32
Cadre IPsec
Échange de clés Diffie-Hellman
▪ DH est une méthode d'échange sécurisé des clés utilisées pour chiffrer des données.
▪ Les algorithmes DH permettent à deux parties d'établir une clé secrète partagée utilisée par des
algorithmes de chiffrement et de hachage.
▪ Le système DH fait aujourd'hui partie de la norme IPsec.
▪ Les algorithmes de chiffrement tels que DES, 3DES et AES, ainsi que les algorithmes de hachage MD5
et SHA-1 nécessitent une clé secrète partagée symétrique pour la réalisation des tâches de chiffrement
et de déchiffrement.
▪ L'algorithme DH spécifie une méthode d'échange de clé publique qui permet à deux homologues d'établir
une clé secrète partagée qu'ils sont les seuls à connaître, bien qu'ils communiquent sur un canal non
sécurisé.
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 33
Cadre IPsec
Échange de clefs Diffie-Hellman
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 34
Cadre IPsec
Intégrité avec les algorithmes de hachage
▪ L'intégrité et l'authentification du trafic VPN sont gérés par des algorithmes de hachage.
▪ Un hachage (Message Digest), est un nombre généré à partir d'une chaîne de texte.
▪ L'expéditeur d'origine génère un hachage du message et l'envoie avec le message lui-même.
▪ Le destinataire analyse le message ainsi que le hachage, génère un autre hachage à partir du
message reçu, puis compare les deux hachages.
▪ S'ils sont identiques, le destinataire peut être raisonnablement sûr de l'intégrité du message d'origine.
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 35
Cadre IPsec
Intégrité avec les algorithmes de hachage(suite)
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 36
Cadre IPsec
Authentification IPsec
▪ Le périphérique situé à l'autre extrémité du tunnel VPN doit être authentifié avant que le chemin de
communication ne puisse être considéré comme étant sécurisé.
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 37
Cadre IPsec
Authentification Ipsec (suite)
PSK Il existe 2 méthodes d’authentification :
▪ Une clé secrète devant être partagée entre les deux parties par le biais d'un canal sécurisé
avant son utilisation.
▪ Utilisent des algorithmes cryptographiques à clé .
▪ Une clé PSK est entrée manuellement dans tous les homologues et sert à les authentifier.
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 38
Cadre IPsec
Cadre du protocole IPsec
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 39
Cadre IPsec
Cadre du protocole Ipsec (suite)
Le cadre IPsec comporte quatre éléments constitutifs de base qui doivent être sélectionnés :
▪ Cadre du protocole IPsec – Les choix possibles sont des combinaisons des technologies ESP et AH. De
manière réaliste, les options ESP ou ESP+AH sont presque toujours sélectionnées, car la méthode AH elle-
même ne permet pas le chiffrement.
▪ Confidentialité (en cas du protocole IPsec avec ESP) – DES, 3DES ou AES. L'algorithme AES est
fortement recommandé.
▪ Intégrité – Garantit que le contenu n'a pas été modifié lors du transit par le biais de l'utilisation
d'algorithmes de hachage (MD5 et SHA).
▪ Authentification – représente la manière selon laquelle les périphériques sont authentifiés à chaque
extrémité du tunnel VPN (PSK ou RSA).
▪ Groupe d'algorithmes DH – Représente la manière selon laquelle une clé secrète partagée est établie
entre des homologues, DH24 est celui qui offre le plus de sécurité.
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 40
Cadre IPsec
Cadre du protocole Ipsec (suite)
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 41
8.4 – Configuration d’un VPN
site à site
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 42
Configuration IPsec
Configurer IKE
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 43
Configuration IPsec
Paramètres ISAKMP
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 44
Configuration IPsec
Configurer IKE
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 45
Configuration IPsec
Configurer IKE
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 46
Configuration IPsec
Configurer IKE
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 47
Configuration IPsec
Configuration de transform set
Les différentes crypto ipsec transform-set possibles
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 48
Configuration IPsec
Configuration de transform set
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 49
Configuration IPsec
Configuration de la crypto ACL
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 50
Configuration IPsec
Application de la crypto MAP
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 51
Configuration IPsec
Application de la crypto MAP
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 52
Configuration IPsec
Application de la crypto MAP
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 53