Stage de fin de formation 1 VPN / IP sec LOGO YOUR SITE HERE Plan Introduction Activits du tibco Prsentation de lorganisme daccueil Organisation interne tude de la meilleure architecture configuration VPN IP sec Conclusion Systme informatique du tibco Architectures et solutions prsentation sur VPN Configuration par commandes 2 VPN / IP sec LOGO YOUR SITE HERE 3
VPN / IP sec LOGO YOUR SITE HERE Organisme daccueil: tibco Maroc Tche : tude et implmentation dun VPN IP sec pour facilite la communication et renforce la scurit des donnes se voit et toute personne trangre au rseau ne peut accder l'information transfr entre les deux site tibco (Maroc et France ) un logiciel de virtualisation VMWARE . un Simulator GNS3 une IOS dun routeur Cisco c 3640 (compatible avec IP Sec) une meilleure topologie possible. Configuration des routeurs
4 Introduction Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN / IP sec LOGO YOUR SITE HERE 5
VPN / IP sec LOGO YOUR SITE HERE Tches et Activits
Tibco est cr en 1985 autour des mtiers de la tlcommunication et de linstallation la maintenance la construction des sites la supervision et la scurit informatique.
6 6 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN / IP sec Introduction LOGO YOUR SITE HERE 7
Ses activits dans les domaines des tlcommunications et de linformatique ont donc volu dans lobjectif de fournir une rponse adapte ses clients .donc Le groupe Tibco est reconnu aujourdhui comme un acteur notable dans la fourniture de services manags auprs des oprateurs et quipementiers tlcoms . 7 7 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN / IP sec Tches et Activits Introduction LOGO YOUR SITE HERE 8 8 8 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion
Organisation interne VPN / IP sec Introduction LOGO YOUR SITE HERE 9 9 9 9 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN / IP sec Introduction Dpartement informatiques du tibco Les Taches du service informatique Les Administration du rseau. Coordination des services Gestion de la scurit du systme informatique Formation des utilisateurs. Gestion du parc des machines installes. Dpannage hardware. Edition des documents en central. Sauvegarde des donnes et du systme. Ralise linventaire des matriels et logiciels informatique. Les quipes des interventions et de la maintenance
LOGO YOUR SITE HERE 10 10 10 10 10 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN / IP sec Introduction Systme informatiques du tibco
fonctionnalits Les utilisateurs internes et externes utilisent le rseau pour accder aux services publis.
Le rseau est utilis par les services pour changer des donnes.
LOGO YOUR SITE HERE 11 VPN / IP sec LOGO YOUR SITE HERE
Architecture rseau de la socit
12 12
Architectures et Solutions
12 12 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN / IP sec Introduction LOGO YOUR SITE HERE
Systme informatiques du tibco
Stratgie de scurit
Pour augmenter la scurit ; le rseau est dcompos en :
Partie prive : rseau interne. Partie public : partie visible par lextrieur. dans cette partie on va implment notre VPN IP sec entre les deux site tibco . Zone dmilitarise (DMZ) : (serveur web, serveur de messagerie). 13 13 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN / IP sec Introduction LOGO YOUR SITE HERE 14 14 14 14 14
Architectures et Solutions
solution Propose 14 14 Prsentation de lorganisme daccueil tude de la meilleure architecture Mise en place du PIX 515E Conclusion VPN /IP sec Introduction La socit Tibco dispose deux sites gographiquement loigns (Maroc & France) est amene opter pour une solution facilitant la communication interne et externe. Le rseau priv virtuel (Virtual Privat Network) rpond parfaitement ce besoin en se reposant sur un mcanisme de tunnel . On parle de rseau priv car seuls les utilisateurs de la socit y ont accs, tandis que le terme virtuel assure la connexion entre les deux rseaux par une liaison non prive : Internet. La scurit de vos donnes se voit renforce et toute personne trangre au rseau ne peut accder l'information transfre. Seules les 2 entits situes l'extrmit du tunnel peuvent dchiffrer les donnes changes.
Donc notre topolgie sera realis sur le simulateur GNS 3
LOGO YOUR SITE HERE 15
GNS3 (Graphical Network Simulator) est un simulateur de rseau graphique qui permet l'mulation des des rseaux complexes. Vous connaissez peut-tre avec VMWare ou Virtual Box qui sont utilises pour muler les diffrents systmes d'exploitation dans un environnement virtuel. Ces programmes vous permettent d'excuter plusieurs systmes d'exploitation tels que Windows ou Linux dans un environnement virtuel. GNS3 permet le mme type de d'mulation l'aide de Cisco Internetwork Operating Systems. Il vous permet dexcuter un IOS Cisco dans un environnement virtuel sur votre ordinateur
15 15 15 15 15 Architectures et Solutions GNS3 15 15 Introduction Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec LOGO YOUR SITE HERE 16 16
Utilis le lien http://www.gns3.net. Pour accder au page de tlchargement et cliquer sur le bouton vert ( Download )
16 16 16 16 16 Architectures et Solutions GNS3 16 16 Introduction Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec LOGO YOUR SITE HERE 17 17 17 17 17 17 17 17 Architectures et Solutions GNS3 17 17 Introduction Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec Aprs linstallation Vous verrez la fentre principale de GNS3. LOGO YOUR SITE HERE 18 18 18 18 18 18 Architectures et Solutions
18 18 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec Introduction Configuration GNS3 GNS3, dans sa configuration, a besoin de lancer un serveur dynamips en arrire plan. Ce qui ncessite lexcution dune tape incontournable avant le commencement de ralis dune maquette. LOGO YOUR SITE HERE 19 19 19 19 19 19 19 Architectures et Solutions
19 19 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec Introduction Configuration GNS3 Aprs cette premire tape vient une deuxime du mme ordre dimportance, prsent, on aura besoin des IOS Cisco afin de les monter ensuite sur des routeurs Cisco. Pour cela dans GNS3, cliquez sur diter Images IOS et hyperviseurs.
LOGO YOUR SITE HERE 20 20 20 20 20 20 20 20 Architectures et Solutions
20 20 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec Introduction Configuration GNS3 Une fentre vous permettant d'ajouter des IOS s'ouvre. Pour notre projet on a besoin de IOS dun routeur Cisco compatible de VPN IP sec
20 20 20 20 20 20 20 Architectures et Solutions
20 20 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec Introduction Configuration GNS3 LOGO YOUR SITE HERE 21 21 21 21 21 21 21 21 21 Architectures et Solutions
21 21 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec Introduction Configuration GNS3 21 21 21 21 21 21 21 Architectures et Solutions
21 21 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec Introduction Configuration GNS3 Dans GNS3 faire glisser et dposer un routeur partir du menu de gauche, puis un nuage, travers lequel gns3 sera connect un hte Vmware LOGO YOUR SITE HERE 22 22 22 22 22 22 22 22 22 22 Architectures et Solutions
22 22 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec Introduction Configuration GNS3 22 22 22 22 22 22 22 Architectures et Solutions
22 22 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec Introduction Configuration GNS3 Et Pour que gns3 sera connect un hte Vmware,clic Bouton droit sur le nuage et slectionner Configure Depuis lOnglet NIO Ethernet choisissez la carte rseau qui est prcdemment attribu lhte dans VirtualBox et cliquer sur Add. LOGO YOUR SITE HERE 23 23 23 23 23 23 23 23 23 23 Architectures et Solutions
23 23 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec Introduction Configuration GNS3 23 23 23 23 23 23 23 Architectures et Solutions
23 23 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec Introduction
cette schma dcrit un exemple dune maquette ralis sur simulateur GNS3. Le rseau VPN quon veut raliser est entre les deux routeurs R1 et R2, ce qui implique que la configuration va se faire sur les interfaces serial 0/0 des deux routeur.
Vue densemble sur la topologie. LOGO YOUR SITE HERE 24 24 24 24 24 24 24 24 Architectures et Solutions
24 24 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec Introduction VPN concept et definition Quest ce quun VPN ? Network :
Un VPN permet dinterconnecter des sites distants => Rseau
Private :
Un VPN est rserv un groupe dusagers dtermins par authentification. Les donnes sont changs de manire masque au yeux des autres par cryptage => Priv
Virtual :
Un VPN repose essentiellement sur des lignes partags et non ddies . Il nest pas rellement dtermin.Il est construit par dessus un rseau public essentiellement. Il sagit dun rseau priv construit par dessus un rseau public (Internet).
LOGO YOUR SITE HERE 25 25 25 25 25 25 25 25 25 Architectures et Solutions
25 25 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec Introduction VPN concept et definition Les rseaux privs virtuels (VPN : Virtual Private Network) permettent l'utilisateur de crer un chemin virtuel scuris entre une source et une destination. Principe :Tunnelling Services : cryptage des donnes, authentification des deux extrmits communicantes et intgrit des donnes.
VPN est une collection de technologies appliques au rseau public, Internet, pour fournir les besoins dun rseau priv
Analogie : VPN fournit des services comme sil y avait une ligne de tlcommunications prive et propre lentreprise
LOGO YOUR SITE HERE 26 26 26 26 26 26 26 26 26 26 Architectures et Solutions
26 26 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec Introduction Le protocol IP sec : -IP sec protocole de niveau 3 -Cration de VPN sr bas forcment sur IP -Permet de scuris les applications mais galement toute la couche IP Les rles d IP sec : Authentification
Confidentialit : Personne ncoute la communication.
Intgrit : Les donnes reues nont pas t modifies pendant la transmission. LOGO YOUR SITE HERE 27 27 27 27 27 27 27 27 27 27 27 Architectures et Solutions
27 27 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec Introduction Les protocoles utiliss par IPSec :
Authentication header (AH): Authentification et intgrit des donnes.
Entte ajoute comportant une signature
Appliqu a tout type de VPN. Encapsulating Security Payload (ESP): - La confidentialit des donnes; - L'authentification de l'origine des donnes; - La protection (retransmission ) - L'intgrit des donnes (sans connexion, par paquet). Internet Key Exchange (IKE): IKE est utilis pour authentifier les deux extrmits d'un tunnel scuris en changeant des cls partages : -mthodes d'authentification, - mthodes de chiffrement, -cls d'utilisation + temps d'utilisation - change intelligent et sr des cls.
LOGO YOUR SITE HERE 28 28 28 28 28 28 28 28 28 28 28 28 Architectures et Solutions
28 28 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN /IP sec Introduction Pour qulle raison on a choisie IP sec comme protocol:
Implmenter un rseau VPN au sein dun tablissement ncessite le choix dun protocole bien prcis qui va subvenir aux exigences des personnes qui vont lutiliser plus tard. Dans le cas tibco , et comme a tait dj signaler , lentreprise veut que son rseau interne devienne indpendant . Pour cela le choix sest orient vers limplmentation dun VPN utilisant le protocole IPSEC. Ceci nest pas fait de faon arbitraire mais avec des raisons justifis pour lentreprise. Le point essentiel dans cela cest que pour implmenter ce type de rseau il suffit dans un premier temps de se procurer le matriel ncessaire ralisant une telle fonction, deuximement il faut se mettre daccord avec les collaborateurs de lautre extrmit sur les diffrents paramtres concernant la configuration dIPSEC (les protocoles de cryptage, les cls IKE/ ISAKMP). Alors que pour raliser le mme rseau en se basant sur le protocole MPLS par exemple il faut en premier temps pass par loprateur qui intgre la technologie MPLS dans son rseau, donc il faut le payer pour que lentreprise profite de cette technologie. Or, a demande un budget norme. A prsent lentreprise a eu recours un VPN utilisant le protocole IPSEC pour scuriser son trafic.
LOGO YOUR SITE HERE 29
VPN / IP sec LOGO YOUR SITE HERE Configuration par commandes
30 30 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion 26 Fvrier 2008 Introduction On va commenc tout d'abord par laffectation des adresses IP aux inter face du R1 et R2 LOGO YOUR SITE HERE
Configuration par commandes
Avant de commenc la configuration.ce qui concerne la cl pr partage (Pre-shared key) on va mettre une cl commune sur les deux routeurs pour quils puissent sauthentifier entre eux. Diffie-Helman est un protocole qui va permettre lchange de la cl de chiffrement de manire scurise (sans envoyer la cl explicitement sur le rseau). Donc la configuration passer par deux phases principales : IKE Phase 1 et IKE phase 2. IKE est utilis pour authentifier les deux extrmits d'un tunnel scuris en changeant des cls partages Pour faire simple dans lIKE de phase 1 nous allons configurer les politiques IKE (mthode de chiffrement, dure de vie, mthode dintgrit)
31 31 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN / IP sec Introduction LOGO YOUR SITE HERE 32 Cration de notre politique IKE pour la phase 1 R1(config)#crypto isakmp policy 100 R1(config-isakmp)#encryption aes 128 R1(config-isakmp)#group 2 R1(config-isakmp)#hash sha R(config-isakmp)#lifetime 86400 R1 (config-isakmp)#exit Cration de cl pr-partag Nous dfinissons la cl pr-partage : VpnK3! ainsi que ladresse IP du routeur distant avec lequel on communique: R1(config)#crypto isakmp key VpnK3! address 212.217.1.2.
32 32
Configuration par commandes
32 32 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN / IP sec Introduction configuration LOGO YOUR SITE HERE 33 Nous allons configurer le VPN sur le routeur R1 afin de permettre ltablissement dune liaison avec R2 . Cration dun ACl tendue permettant ltablissement dun tunnel
Les ACL sont des fonctions appliques chaque paquet IP transitant travers le routeur et qui ont pour paramtres : l'adresse IP de l'metteur du paquet l'adresse IP du destinataire du paquet le type du paquet (tcp, udp, icmp, ip) le port de destination du paquet
33 33
Configuration par commandes
33 33 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN / IP sec Introduction configuration LOGO YOUR SITE HERE 34 34 crer une Access List qui va slectionner le trafic crypter : R1(config)#ip access-list extended IPSECACL R1(config-ext-nacl)#permit ahp host 212.217.1.3 host 212.217.1.2 R1(config-ext-nacl)#permit esp host 212.217.1.3 host 212.217.1.2 R1(config-ext-nacl)#permit udp host 212.217.1.3 host 212.217.1.2 eq isakmp R1(config-ext-nacl)#exit
34 34
Configuration par commandes
34 34 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN / IP sec Introduction configuration LOGO YOUR SITE HERE 35 35 35 Dans lIKE de phase 2 nous allons configurer les politique de scurit IPSec (protocole esp, vrifier le type de liaison) afin davoir un IPSec Security Association.ecurity Association Cration de notre politique IPSec pour la phase 2
Nous dfinissons notre transform-set pour ltablissement dune liaison IPSec
35 35 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN / IP sec Introduction configuration LOGO YOUR SITE HERE 36 36 36 36 R1(config)#ip access-list extended CRYPTOACL R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 R1(config-ext-nacl)#exit Cration de la crypto MAP : Nous crons la crypto map qui dfinit le chemin quemprunte notre tunnel avec : la politique IPSec, la crypto ACL, le transform-set pour la politique IPSec et ladresse IP du routeur distant avec lequel on veut communiquer. R1(config)#crypto map IPSECMAP 100 ipsec-isakmp R1(config-crypto-map)#set peer 212.217.1.2 R1(config-crypto-map)#set transform-set IPSECSET R1(config-crypto-map)#match address CRYPTOACL R1(config-crypto-map)#exit
36 36
Configuration par commandes
36 36 Prsentation de lorganisme daccueil tude de la meilleure architecture Configuration VPN IP sec Conclusion VPN / IP sec Introduction configuration LOGO YOUR SITE HERE 37 37 37
Configuration par commandes
37 37 Introduction Prsentation de lorganisme daccueil tude de la meilleure architecture Mise en place du PIX 515E Conclusion VPN / IP sec configuration
Application de notre crypto map et de lACLpour autoriser le tunnel sur linterface de sortie s0/0 : On application la crypto-map et lACL qui autorise ltablissement du VPN R1(config)#interface s0/0 R1(config-if)#crypto map IPSECMAP R1(config-if)#ip access-group IPSECACL out R1(config-if)#exit . La configuration est la mme sur le routeur R2 (tibco France) lexception de : Dans lACL IPSECACL on doit inverser ladresse IP de lhte source et de lhte de destination Dans la dfinition du transform-set on doit changer ladresse du peer en mettant ladresse IP de R1 Dans lACL CRYPTOACL on doit inverser le rseau source et le rseau de destination Dans la crypto map on doit mettre comme adresse du peer ladresse IP de R1 LOGO YOUR SITE HERE 38
VPN / IP sec LOGO YOUR SITE HERE 39 39 Prsentation de lorganisme daccueil tude de la meilleure architecture Mise en place du PIX 515E Conclusion
Nous venons travers de ce billet voir le principe dun VPN et surtout comment configurer un VPN IP sec de type Site-to-site sur un quipement Cisco. R 3640. Et on a prcis la dfinition dun VPN en gnrale que cest un rseau priv construit au sein d'une infrastructure de rseau public, tel que LInternet global. Les entreprises peuvent utiliser un VPN pour connecter en toute scurit des Bureaux et des utilisateurs distants par le biais d'un accs Internet tiers et peu coteux, plutt que Par le biais de liaisons WAN ddies coteuses ou de liaisons d'accs longue distance. Il est vu Comme une extension des rseaux locaux et prserve la scurit logique que l'on peut avoir Lintrieur d'un rseau local. Il correspond en fait une interconnexion de rseaux locaux via une Technique de tunnel . Un rseau priv virtuel (VPN) est dfini comme une connectivit rseau dploye sur une infrastructure partage avec les mmes politiques de scurit que sur un rseau priv. en utilisant du cryptage et des tunnels pour obtenir:
La confidentialit des donnes.
L'intgrit des donnes.
L'authentification des utilisateurs.
VPN / IP sec Introduction LOGO YOUR SITE HERE 40 40 40 Prsentation de lorganisme daccueil tude de la meilleure architecture Mise en place du PIX 515E Conclusion
VPN / IP sec Introduction Donc le stage est un lment primordial dans la formation, il consiste le point de dpart pour la russite de toute carrire tant donn quil prsente pour le stagiaire une multitude davantage.