PFE VPN Ipsec

LOGO
YOUR SITE HERE

Stage de fin de formation
1
VPN / IP sec
LOGO
YOUR SITE HERE
Plan
Introduction
Activits du tibco
Prsentation de lorganisme daccueil
Organisation interne
tude de la meilleure architecture
configuration VPN IP sec
Conclusion
Systme informatique du tibco
Architectures et solutions
prsentation sur VPN
Configuration par commandes
2
VPN / IP sec
LOGO
YOUR SITE HERE
3

VPN / IP sec
LOGO
YOUR SITE HERE
Organisme daccueil: tibco Maroc
Tche : tude et implmentation dun VPN IP sec pour
facilite la communication et renforce la scurit des donnes
se voit et toute personne trangre au rseau ne peut accder
l'information transfr entre les deux site tibco (Maroc et
France )
un logiciel de virtualisation VMWARE .
un Simulator GNS3
une IOS dun routeur Cisco c 3640 (compatible avec IP
Sec)
une meilleure topologie possible.
Configuration des routeurs

4
Introduction
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN / IP sec
LOGO
YOUR SITE HERE
5

VPN / IP sec
LOGO
YOUR SITE HERE
Tches et Activits

Tibco est cr en 1985 autour des mtiers de la
tlcommunication et de linstallation la maintenance la
construction des sites la supervision et la scurit
informatique.

6 6
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN / IP sec
Introduction
LOGO
YOUR SITE HERE
7

Ses activits dans les domaines des tlcommunications
et de linformatique ont donc volu dans lobjectif de
fournir une rponse adapte ses clients .donc Le
groupe Tibco est reconnu aujourdhui comme un
acteur notable dans la fourniture de services manags
auprs des oprateurs et quipementiers tlcoms .
7 7
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN / IP sec
Tches et Activits
Introduction
LOGO
YOUR SITE HERE
8 8 8
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion

Organisation interne
VPN / IP sec
Introduction
LOGO
YOUR SITE HERE
9 9 9 9
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN / IP sec
Introduction
Dpartement
informatiques du tibco
Les Taches du service informatique
Les Administration du rseau.
Coordination des services
Gestion de la scurit du systme informatique
Formation des utilisateurs.
Gestion du parc des machines installes.
Dpannage hardware.
Edition des documents en central.
Sauvegarde des donnes et du systme.
Ralise linventaire des matriels et logiciels
informatique.
Les quipes des interventions et de la maintenance

LOGO
YOUR SITE HERE
10 10 10 10 10
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN / IP sec
Introduction
Systme informatiques du
tibco

fonctionnalits
Les utilisateurs internes et externes
utilisent le rseau pour accder aux
services publis.

Le rseau est utilis par les services pour
changer des donnes.

LOGO
YOUR SITE HERE
11
VPN / IP sec
LOGO
YOUR SITE HERE

Architecture rseau de la socit

12 12

Architectures et Solutions

12 12
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN / IP sec
Introduction
LOGO
YOUR SITE HERE

Systme informatiques du tibco

Stratgie de scurit

Pour augmenter la scurit ; le rseau est
dcompos en :

Partie prive : rseau interne.
Partie public : partie visible par lextrieur.
dans cette partie on va implment notre VPN IP
sec entre les deux site tibco .
Zone dmilitarise (DMZ) : (serveur web, serveur
de messagerie).
13 13
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN / IP sec
Introduction
LOGO
YOUR SITE HERE
14 14 14 14 14


solution Propose
14 14
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Mise en place
du PIX 515E
Conclusion
VPN /IP sec
Introduction La socit Tibco dispose deux sites gographiquement loigns
(Maroc & France) est amene opter pour une solution facilitant
la communication interne et externe. Le rseau priv virtuel
(Virtual Privat Network) rpond parfaitement ce besoin en se
reposant sur un mcanisme de tunnel . On parle de rseau priv
car seuls les utilisateurs de la socit y ont accs, tandis que le
terme virtuel assure la connexion entre les deux rseaux par
une liaison non prive : Internet. La scurit de vos donnes se
voit renforce et toute personne trangre au rseau ne peut
accder l'information transfre. Seules les 2 entits situes
l'extrmit du tunnel peuvent dchiffrer les donnes changes.

Donc notre topolgie sera realis sur le simulateur GNS 3

LOGO
YOUR SITE HERE
15

GNS3 (Graphical Network Simulator) est un simulateur de rseau
graphique qui permet l'mulation des des rseaux complexes. Vous
connaissez peut-tre avec VMWare ou Virtual Box qui sont utilises
pour muler les diffrents systmes d'exploitation dans un
environnement virtuel. Ces programmes vous permettent d'excuter
plusieurs systmes d'exploitation tels que Windows ou Linux dans un
environnement virtuel. GNS3 permet le mme type de d'mulation
l'aide de Cisco Internetwork Operating Systems. Il vous permet
dexcuter un IOS Cisco dans un environnement virtuel sur votre
ordinateur

15 15 15 15 15
GNS3
15 15
Introduction
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
LOGO
YOUR SITE HERE
16 16

Utilis le lien http://www.gns3.net. Pour accder au page de
tlchargement et cliquer sur le bouton vert ( Download )

16 16 16 16 16
GNS3
16 16
Introduction
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
LOGO
YOUR SITE HERE
17 17 17 17 17 17 17 17
GNS3
17 17
Introduction
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
Aprs linstallation Vous verrez la fentre principale
de GNS3.
LOGO
YOUR SITE HERE
18 18 18 18 18 18

18 18
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
Introduction
Configuration GNS3
GNS3, dans sa configuration, a besoin de lancer un serveur dynamips en arrire
plan. Ce qui ncessite lexcution dune tape incontournable avant le
commencement de ralis dune maquette.
LOGO
YOUR SITE HERE
19 19 19 19 19 19 19

19 19
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
Introduction
Configuration GNS3
Aprs cette premire tape vient une deuxime du mme ordre dimportance,
prsent, on aura besoin des IOS Cisco afin de les monter ensuite sur des routeurs
Cisco. Pour cela dans GNS3, cliquez sur diter Images IOS et hyperviseurs.

LOGO
YOUR SITE HERE
20 20 20 20 20 20 20 20

20 20
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
Introduction
Configuration GNS3
Une fentre vous permettant d'ajouter des IOS s'ouvre. Pour notre projet on a
besoin de IOS dun routeur Cisco compatible de VPN IP sec

20 20 20 20 20 20 20

20 20
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
Introduction
Configuration GNS3
LOGO
YOUR SITE HERE
21 21 21 21 21 21 21 21 21

21 21
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
Introduction
Configuration GNS3
21 21 21 21 21 21 21

21 21
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
Introduction
Configuration GNS3
Dans GNS3 faire glisser et dposer un routeur partir du menu
de gauche, puis un nuage, travers lequel gns3 sera connect
un hte Vmware
LOGO
YOUR SITE HERE
22 22 22 22 22 22 22 22 22 22

22 22
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
Introduction
Configuration GNS3
22 22 22 22 22 22 22

22 22
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
Introduction
Configuration GNS3
Et Pour que gns3 sera connect un hte Vmware,clic Bouton droit sur
le nuage et slectionner Configure
Depuis lOnglet NIO Ethernet choisissez la carte rseau qui est prcdemment
attribu lhte dans VirtualBox et cliquer sur Add.
LOGO
YOUR SITE HERE
23 23 23 23 23 23 23 23 23 23

23 23
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
Introduction
Configuration GNS3
23 23 23 23 23 23 23

23 23
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
Introduction

cette schma dcrit un exemple dune maquette ralis sur
simulateur GNS3.
Le rseau VPN quon veut raliser est entre les deux routeurs
R1 et R2, ce qui implique que la configuration va se faire sur les
interfaces serial 0/0 des deux routeur.

Vue densemble sur la topologie.
LOGO
YOUR SITE HERE
24 24 24 24 24 24 24 24

24 24
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
Introduction
VPN concept et definition
Quest ce quun VPN ?
Network :

Un VPN permet dinterconnecter des sites distants => Rseau

Private :

Un VPN est rserv un groupe dusagers dtermins par
authentification.
Les donnes sont changs de manire masque au yeux des
autres par cryptage => Priv

Virtual :

Un VPN repose essentiellement sur des lignes partags et
non ddies .
Il nest pas rellement dtermin.Il est construit par dessus un
rseau public essentiellement.
Il sagit dun rseau priv construit par dessus un rseau
public (Internet).

LOGO
YOUR SITE HERE
25 25 25 25 25 25 25 25 25

25 25
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
Introduction
VPN concept et definition
Les rseaux privs virtuels (VPN : Virtual Private
Network) permettent l'utilisateur de crer un
chemin virtuel scuris entre une source et une
destination.
Principe :Tunnelling
Services : cryptage des donnes,
authentification des deux extrmits communicantes
et intgrit des donnes.

VPN est une collection de technologies appliques au
rseau public, Internet, pour fournir les besoins dun
rseau priv

Analogie : VPN fournit des services comme
sil y avait une ligne de tlcommunications prive et
propre lentreprise

LOGO
YOUR SITE HERE
26 26 26 26 26 26 26 26 26 26

26 26
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
Introduction
Le protocol IP sec :
-IP sec protocole de niveau 3
-Cration de VPN sr bas forcment sur IP
-Permet de scuris les applications mais galement toute la
couche IP
Les rles d IP sec :
Authentification

Confidentialit : Personne ncoute la communication.

Intgrit : Les donnes reues nont pas t modifies pendant
la transmission.
LOGO
YOUR SITE HERE
27 27 27 27 27 27 27 27 27 27 27

27 27
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
Introduction
Les protocoles utiliss par IPSec :

Authentication header (AH):
Authentification et intgrit des donnes.

Entte ajoute comportant une signature

Appliqu a tout type de VPN.
Encapsulating Security Payload (ESP):
- La confidentialit des donnes;
- L'authentification de l'origine des donnes;
- La protection (retransmission )
- L'intgrit des donnes (sans connexion, par paquet).
Internet Key Exchange (IKE):
IKE est utilis pour authentifier les deux extrmits d'un tunnel scuris en changeant
des cls partages :
-mthodes d'authentification,
- mthodes de chiffrement,
-cls d'utilisation + temps d'utilisation
- change intelligent et sr des cls.

LOGO
YOUR SITE HERE
28 28 28 28 28 28 28 28 28 28 28 28

28 28
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN /IP sec
Introduction
Pour qulle raison on a choisie IP sec comme protocol:

Implmenter un rseau VPN au sein dun tablissement ncessite le choix dun protocole
bien prcis qui va subvenir aux exigences des personnes qui vont lutiliser plus tard.
Dans le cas tibco , et comme a tait dj signaler , lentreprise veut que son rseau interne
devienne indpendant . Pour cela le choix sest orient vers limplmentation dun VPN
utilisant le protocole IPSEC. Ceci nest pas fait de faon arbitraire mais avec des raisons
justifis pour lentreprise. Le point essentiel dans cela cest que pour implmenter ce type
de rseau il suffit dans un premier temps de se procurer le matriel ncessaire ralisant une
telle fonction, deuximement il faut se mettre daccord avec les collaborateurs de lautre
extrmit sur les diffrents paramtres concernant la configuration dIPSEC (les protocoles
de cryptage, les cls IKE/ ISAKMP).
Alors que pour raliser le mme rseau en se basant sur le protocole MPLS par exemple il
faut en premier temps pass par loprateur qui intgre la technologie MPLS dans son
rseau, donc il faut le payer pour que lentreprise profite de cette technologie. Or, a
demande un budget norme.
A prsent lentreprise a eu recours un VPN utilisant le protocole IPSEC pour scuriser son
trafic.

LOGO
YOUR SITE HERE
29

VPN / IP sec
LOGO
YOUR SITE HERE
Configuration par
commandes

30 30
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
26 Fvrier 2008
Introduction
On va commenc tout d'abord par laffectation des adresses IP
aux inter face du R1 et R2
LOGO
YOUR SITE HERE


Avant de commenc la configuration.ce qui concerne la cl pr
partage (Pre-shared key) on va mettre une cl commune sur les deux
routeurs pour quils puissent sauthentifier entre eux.
Diffie-Helman est un protocole qui va permettre lchange de la cl de
chiffrement de manire scurise (sans envoyer la cl explicitement sur le
rseau).
Donc la configuration passer par deux phases principales : IKE Phase 1 et
IKE phase 2.
IKE est utilis pour authentifier les deux extrmits d'un tunnel scuris en
changeant des cls partages
Pour faire simple dans lIKE de phase 1 nous allons configurer les
politiques IKE (mthode de chiffrement, dure de vie, mthode dintgrit)

31 31
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN / IP sec
Introduction
LOGO
YOUR SITE HERE
32
Cration de notre politique IKE pour la phase 1
R1(config)#crypto isakmp policy 100
R1(config-isakmp)#encryption aes 128
R1(config-isakmp)#group 2
R1(config-isakmp)#hash sha
R(config-isakmp)#lifetime 86400
R1 (config-isakmp)#exit
Cration de cl pr-partag
Nous dfinissons la cl pr-partage : VpnK3! ainsi que ladresse
IP du routeur distant avec lequel on communique:
R1(config)#crypto isakmp key VpnK3! address 212.217.1.2.

32 32


32 32
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN / IP sec
Introduction
configuration
LOGO
YOUR SITE HERE
33
Nous allons configurer le VPN sur le routeur R1 afin de
permettre ltablissement dune liaison avec R2 .
Cration dun ACl tendue permettant ltablissement dun tunnel

Les ACL sont des fonctions appliques chaque paquet IP transitant
travers le routeur et qui ont pour paramtres :
l'adresse IP de l'metteur du paquet
l'adresse IP du destinataire du paquet
le type du paquet (tcp, udp, icmp, ip)
le port de destination du paquet

33 33


33 33
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN / IP sec
Introduction
configuration
LOGO
YOUR SITE HERE
34 34
crer une Access List qui va slectionner le trafic
crypter :
R1(config)#ip access-list extended IPSECACL
R1(config-ext-nacl)#permit ahp host 212.217.1.3 host
212.217.1.2
R1(config-ext-nacl)#permit esp host 212.217.1.3 host
212.217.1.2
R1(config-ext-nacl)#permit udp host 212.217.1.3 host
212.217.1.2 eq isakmp
R1(config-ext-nacl)#exit

34 34


34 34
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN / IP sec
Introduction
configuration
LOGO
YOUR SITE HERE
35 35 35
Dans lIKE de phase 2 nous allons configurer les politique de scurit
IPSec (protocole esp, vrifier le type de liaison) afin davoir un
IPSec Security Association.ecurity Association
Cration de notre politique IPSec pour la phase 2

Nous dfinissons notre transform-set pour ltablissement dune
liaison IPSec

R1(config)#crypto ipsec transform-set IPSECSET
esp-aes 128 esp-sha-hmac

35 35


35 35
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN / IP sec
Introduction
configuration
LOGO
YOUR SITE HERE
36 36 36 36
R1(config)#ip access-list extended CRYPTOACL
R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.0
0.0.0.255
R1(config-ext-nacl)#exit
Cration de la crypto MAP :
Nous crons la crypto map qui dfinit le chemin quemprunte notre
tunnel avec : la politique IPSec, la crypto ACL, le transform-set
pour la politique IPSec et ladresse IP du routeur distant avec
lequel on veut communiquer.
R1(config)#crypto map IPSECMAP 100 ipsec-isakmp
R1(config-crypto-map)#set peer 212.217.1.2
R1(config-crypto-map)#set transform-set IPSECSET
R1(config-crypto-map)#match address CRYPTOACL
R1(config-crypto-map)#exit

36 36


36 36
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Configuration
VPN IP sec
Conclusion
VPN / IP sec
Introduction
configuration
LOGO
YOUR SITE HERE
37 37 37


37 37
Introduction
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Mise en place
du PIX 515E
Conclusion
VPN / IP sec
configuration

Application de notre crypto map et de lACLpour autoriser le tunnel
sur linterface de sortie s0/0 :
On application la crypto-map et lACL qui autorise ltablissement du
VPN
R1(config)#interface s0/0
R1(config-if)#crypto map IPSECMAP
R1(config-if)#ip access-group IPSECACL out
R1(config-if)#exit
. La configuration est la mme sur le routeur R2 (tibco France)
lexception de :
Dans lACL IPSECACL on doit inverser ladresse IP de lhte source
et de lhte de destination
Dans la dfinition du transform-set on doit changer ladresse du peer
en mettant ladresse IP de R1
Dans lACL CRYPTOACL on doit inverser le rseau source et le
rseau de destination
Dans la crypto map on doit mettre comme adresse du peer ladresse IP
de R1
LOGO
YOUR SITE HERE
38

VPN / IP sec
LOGO
YOUR SITE HERE
39 39
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Mise en place
du PIX 515E
Conclusion

Nous venons travers de ce billet voir le principe dun VPN et surtout comment
configurer un VPN IP sec de type Site-to-site sur un quipement Cisco. R 3640.
Et on a prcis la dfinition dun VPN en gnrale que cest un rseau priv construit
au sein d'une infrastructure de rseau public, tel que LInternet global. Les entreprises
peuvent utiliser un VPN pour connecter en toute scurit des Bureaux et des utilisateurs
distants par le biais d'un accs Internet tiers et peu coteux, plutt que Par le biais de
liaisons WAN ddies coteuses ou de liaisons d'accs longue distance. Il est vu
Comme une extension des rseaux locaux et prserve la scurit logique que l'on peut
avoir Lintrieur d'un rseau local. Il correspond en fait une interconnexion de
rseaux locaux via une Technique de tunnel .
Un rseau priv virtuel (VPN) est dfini comme une connectivit rseau dploye sur
une infrastructure partage avec les mmes politiques de scurit que sur un rseau
priv.
en utilisant du cryptage et des tunnels pour obtenir:

La confidentialit des donnes.

L'intgrit des donnes.

L'authentification des utilisateurs.

VPN / IP sec
Introduction
LOGO
YOUR SITE HERE
40 40 40
Prsentation
de lorganisme
daccueil
tude de la
meilleure
architecture
Mise en place
du PIX 515E
Conclusion

VPN / IP sec
Introduction
Donc le stage est un lment primordial dans la formation, il consiste le
point de dpart pour la russite de toute carrire tant donn quil
prsente pour le stagiaire une multitude davantage.

LOGO
YOUR SITE HERE
41

PFE VPN Ipsec

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

PFE VPN Ipsec

Transféré par

Droits d'auteur :

Formats disponibles

LOGO

YOUR SITE HERE

Vous aimerez peut-être aussi